Worm.Autorun-1893/ Trojan.Win32.Qhost Alerta con un email enviado desde Mensaje MMS (info@hi5.com). Asunto: Tienes un mensaje enviado desde un celular....
Este email enviado supuestamente desde Terra Peru con "Una tarjeta animada" contiene varios link de descarga a un archivo .exe que contiene un Gusano (worm)
Terra Peru,18 de junio del 2010
Alguien que te quiere mucho te envia....
Una tarjeta animada, con un mensaje de voz Movistar. Que lo disfrutes!!
Escucha el mensaje que te enviaron aqui (Aqui hay un vínculo)
La imágen de los conejitos (vinculo)
Click aqui para reproducir el contenido multimedia (vínculo)
Enviado por: Escucha mi voz y seguro que te vas a dar cuenta jajaja espero que te guste (Vínculo)
Si deseas escuchar online el mensaje presiona aqui (Vínculo)
Copyright 2010, Terra Movistar Networks, S.A. Peru
NOTA. NO DESCARGAR EL SIGUIENTE VINCULO. PUEDE INFECTAR SU PC
El vinculo de descarga que aparece en cada link es:
http://www.bouncingbilly.com/contact/forms/admin/x.php
img_DC00012.exe
El sitio de descarga, aparentemente es desde http://citglobal.ca Este Sitio Web, no visualiza ningun contenido, solo queda la página en blanco.
Para mi es una imitación/camuflage para engañar y dar la impresión de ser real, igual al Site Oficial de la Empresa CIT Global, la cual desde ella nos indica:.
About CIT
CIT Global is an international provider of high quality, innovative eCommerce / mCommerce solutions and services to its clients.
Our extensive suite of solutions and services enables us to lead our clients into the next generation of multi-channel fully secured eCommerce systems.
A través de la pagina Web OnlineLinkScan (http://onlinelinkscan.com/) se pueden scanear los vinculos de los email que recibimos o paginas web y verificar que tipo de peligros representan para nuestro pc.
Solo se ingresa la url y se scanea el link, en este caso con (http://www.bouncingbilly.com/contact/forms/admin/x.php) el resultado fue el siguiente:
Worm.Autorun-1893 FOUND
--------- LINK SCAN SUMMARY ---------
URL scanned: http://www.bouncingbilly.com/contact/forms/admin/x.php
PhisTank say's: Service not available.
AVG say's: Service not available.
SiteTruth say's: This site is safe.
Google Safe Browsing say's: This site is safe.
Threat Name: Worm.Autorun-1893 FOUND
Threat Definitions: 807018
Engine Version: 0.96.1
Host IP: 74.54.41.178
Link Status: Infected
File Size: 366.37 KB
Time Finished: 6.36 secs
Overall result: This site may not be secure
Cambio el archivo de descarga en el link (http://www.bouncingbilly.com/contact/forms/admin/x.php)
Al día siguiente probe de nuevo el link de descarga del archivo sopechoso y este cambio de nombre y tamaño: Ahora el archivo cambio incluso de icono y ser hace pasar por un video.MMS.exe (548Kb)
Descargue el archivo y luego verificando con el Escaneador de virus de Jotti ( http://virusscan.jotti.org/es ) eston son los resultados:
 | 2010-07-19 Generic.19.46942 |  | 2010-07-19 No se encontró nada |
 | 2010-07-19 No se encontró nada |  | 2010-07-19 Trojan.Win32.Qhost |
 | 2010-07-19 BackDoor.VB.KJN |  | 2010-07-19 Trojan.Win32.Qhost.nnd |
 | 2010-07-19 DR/Qhost.nnd |  | 2010-07-19 No se encontró nada |
 | 2010-07-19 No se encontró nada |  | 2010-07-19 No se encontró nada |
 | 2010-07-19 No se encontró nada |  | 2010-07-19 No se encontró nada |
 | 2010-07-19 No se encontró nada |  | 2010-07-19 No se encontró nada |
 | 2010-07-19 No se encontró nada |  | 2010-07-19 Trojan.Win32.Qhost.nnd |
 | 2010-07-18 No se encontró nada |  | 2010-07-19 No se encontró nada |
 | 2010-07-19 Trojan.Win32.Qhost.nnd | ||
El link de descarga cambio o el archivo o ahora se cambio el tipo de troyano, es decir esta Tarjeta Animada es dinamica y cambia diariamente la forma de ataque
Resporte: http://virusscan.jotti.org/es/scanresult/f209aad1cca60251583ffafa8af2bf1b466b430f
Información de los Sospechoso (O algún familiar)
Trojan.Win32.Qhost.nndTrojan:Win32/Qhost.BI is a trojan that modifies the affected system's hosts file to redirect online banking sites to sites of the attacker's choice (possibly for phishing attempts). It modifies the hosts file periodically.
Programa troyano, que consiste en el fichero de Windows %System%\drivers\etc\hosts modificado, que se usa para convertir los nombres de dominio en direcciones IP. El tamaño del fichero modificado es de 5.942 bytes. El fichero está modificado de tal manera que bloquea las solicitudes del usuario a los sitios indicados.
http://www.f-secure.com/v-descs/qhost.shtml
http://www.bleepingcomputer.com/forums/lofiversion/index.php/t65854.html
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWin32%2FQhost.BI Leer este foro. (http://www.forospyware.com/t237310.html) (http://www.forospyware.com/t206121.html)
Otro posible Familiar Worm/Autorun.dhl
http://www.avira.com/es/threats/section/fulldetails/id_vir/4262/worm_autorun.dhl.html
| Nombre: | Worm/Autorun.dhl |
| Descubierto: | 10/04/2008 |
| Tipo: | Gusano |
| En circulación (ITW): | Sí |
| Número de infecciones comunicadas: | Bajo |
| Potencial de propagación: | Medio-bajo |
| Potencial dañino: | Bajo |
| Fichero estático: | Sí |
| Tamaño: | 63.488 Bytes |
| Suma de control MD5: | 51050Da73b0B909dedba99b9886e165e |
| Versión del IVDF: | 7.00.03.145 |
http://www.avira.com/es/threats/section/fulldetails/id_vir/4262/worm_autorun.dhl.html
Información del dominio de descarga (Host IP: 74.54.41.178 ) es la siguiente:
http://whois.domaintools.com/74.54.41.178
IP Information for 74.54.41.178
| IP Location: |  United States Dallas Theplanet.com Internet Services Inc |
| Resolve Host: | tesla.websitewelcome.com |
| IP Address: | 74.54.41.178      |
| SSL Cert: | *.websitewelcome.com expires in 1 days. |
| Reverse IP: | 734 other sites hosted on this server. |
NetRange: 74.52.0.0 - 74.55.255.255
CIDR: 74.52.0.0/14
OriginAS: AS36420, AS30315, AS13749, AS21844
NetName: NETBLK-THEPLANET-BLK-14
NetHandle: NET-74-52-0-0-1
Parent: NET-74-0-0-0-0
NetType: Direct Allocation
NameServer: NS2.THEPLANET.COM
NameServer: NS1.THEPLANET.COM
RegDate: 2006-02-17
Updated: 2009-02-24
Ref: http://whois.arin.net/rest/net/NET-74-52-0-0-1
Como eliminar el Win32/Qhost
(http://www.forospyware.com/t237310.html)
1.- DESCARGA LO SIGUIENTE:
CCLEANER y su MANUAL
2.- MALWAREBYTE`S ANTIMALWARE Y Su MANUAL
(LO INSTALAS SEGUN SU MANUAL, LO ACTUALIZAS......PERO NO LO EJECUTES AUN)
3.- EJECUTA CCLEANER usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
4.- Deshabilita RESTAURAR SISTEMA (SYSTEM RESTORE) MIRA AQUI
5.- Inicia EN MODO A PRUEBA DE ERRORES MIRA AQUI
6.- EJECUTA MALWAREBYTE. Seleccionas hacer un "escaneo completo"
Una vez finalizado, si te detecta algo eliges " quitar lo seleccionado ".
Si te pide reiniciar, lo haces y después te vas a la pestaña de "registros" para copiar y pegar el reporte generado en este tema.
7.- Pasas CCLEANER nuevamente
8.- Inicia en modo normal, habilita restaurar sistema
9.- Realizas un scan online con KASPERSKY, desde ACA usando su versiòn en español o en ingles si esta no funciona....
Los resultados de google para este troyano son intrigantes, ya que los primeros link son de programas, herramientas o paginas web con software que supuestamente eliminan el troyano.
Pero utilizo el plugins WOT para verificar la credibilidad y seguridad de las paginas web.
Y las primeras consultas son de myu mala reputación
Tengan cuidad con el software de seguridad que instalan en su Pc, ya que algunas veces tan solo son programasd que al final te dicen que escanean y protegen tu pc y encuentran cientos de archivos peligrosos, y que para limpiarlos debes comprar el programa online, y para colmo estos no se dejan desinstalar.
Vean los reportes de WOT para los primero resultados de google
scanforfree.com: http://www.mywot.com/es/scorecard/scanforfree.com.
securitystronghold.com: http://www.mywot.com/es/scorecard/securitystronghold.com
pcindanger.com: http://www.mywot.com/es/scorecard/pcindanger.com
Comentarios. Cualquier sitio o software que no le dice de antemano que le costará es un engaño y que es casi tan malo como un virus y se debe considerar Greyware y no confiar en él.
CIDR: 74.52.0.0/14
OriginAS: AS36420, AS30315, AS13749, AS21844
NetName: NETBLK-THEPLANET-BLK-14
NetHandle: NET-74-52-0-0-1
Parent: NET-74-0-0-0-0
NetType: Direct Allocation
NameServer: NS2.THEPLANET.COM
NameServer: NS1.THEPLANET.COM
RegDate: 2006-02-17
Updated: 2009-02-24
Ref: http://whois.arin.net/rest/net/NET-74-52-0-0-1
Como eliminar el Win32/Qhost
(http://www.forospyware.com/t237310.html)
1.- DESCARGA LO SIGUIENTE:
CCLEANER y su MANUAL
2.- MALWAREBYTE`S ANTIMALWARE Y Su MANUAL
(LO INSTALAS SEGUN SU MANUAL, LO ACTUALIZAS......PERO NO LO EJECUTES AUN)
3.- EJECUTA CCLEANER usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
4.- Deshabilita RESTAURAR SISTEMA (SYSTEM RESTORE) MIRA AQUI
5.- Inicia EN MODO A PRUEBA DE ERRORES MIRA AQUI
6.- EJECUTA MALWAREBYTE. Seleccionas hacer un "escaneo completo"
Una vez finalizado, si te detecta algo eliges " quitar lo seleccionado ".
Si te pide reiniciar, lo haces y después te vas a la pestaña de "registros" para copiar y pegar el reporte generado en este tema.
7.- Pasas CCLEANER nuevamente
8.- Inicia en modo normal, habilita restaurar sistema
9.- Realizas un scan online con KASPERSKY, desde ACA usando su versiòn en español o en ingles si esta no funciona....
Resultados Google y Trojan.Win32.Qhost.nnd
Otra cosa de mucha importancia y los resultados de google con el troyano Trojan.Win32.Qhost.nndLos resultados de google para este troyano son intrigantes, ya que los primeros link son de programas, herramientas o paginas web con software que supuestamente eliminan el troyano.
Pero utilizo el plugins WOT para verificar la credibilidad y seguridad de las paginas web.
Y las primeras consultas son de myu mala reputación
Vean los reportes de WOT para los primero resultados de google
scanforfree.com: http://www.mywot.com/es/scorecard/scanforfree.com.
Phishing or other scams | |
Contenido malintencionado, virus | |
Infracción de seguridad del navegador | |
Spyware o adware |
Buen sitio | |
Anuncios o mensajes emergentes molestos | |
Phishing or other scams | |
Contenido malintencionado, virus | |
Infracción de seguridad del navegador | |
Ethical issues |
Comentarios. Cualquier sitio o software que no le dice de antemano que le costará es un engaño y que es casi tan malo como un virus y se debe considerar Greyware y no confiar en él.
Es comercial y no está permitida. Este es el spam en su mayoría, pero, definitivamente no-ética
