Ayer publiqué un post (alerta de gusano...)con los resultados de un gusano, y hoy al verificar de nuevo los análisis con los antivirus online, para mi sorpresa cambiaron los resultados, el ataque fue modificado por otro gusano, troyano.
--------- LINK SCAN SUMMARY ---------
URL scanned:http://www.bouncingbilly.com/contact/forms/admin/x.php
PhisTank say's: Service not available.
AVG say's: Service not available.
SiteTruth say's: This site is safe.
Google Safe Browsing say's: This site is safe. Threat Name:Worm.Autorun-1893 FOUND
Threat Definitions: 807018
Engine Version: 0.96.1 Host IP: 74.54.41.178
Link Status: Infected
File Size: 366.37 KB
Time Finished: 6.36 secs
Overall result: This site may not be secure
--------- LINK SCAN SUMMARY ---------
URL scanned: http://www.bouncingbilly.com/contact/forms/admin/x.php
PhisTank say's: Service not available.
AVG say's: Service not available.
SiteTruth say's: This site is safe.
Google Safe Browsing say's: This site is safe. Threat Name: No Threat FOUND
Threat Definitions: 807033
Engine Version: 0.96.1 Host IP: 74.54.41.178 Link Status: Clean File Size: 547.51 KB
Time Finished: 8.53 secs
Overall result: This site is secure.
Lunes 19/07/2010
Analisis del Archivo MMS.exe con antivirus online Hoy
2010-07-19Generic.19.46942
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19Trojan.Win32.Qhost
2010-07-19BackDoor.VB.KJN
2010-07-19Trojan.Win32.Qhost.nnd
2010-07-19DR/Qhost.nnd
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19Trojan.Win32.Qhost.nnd
2010-07-18No se encontró nada
2010-07-19No se encontró nada
2010-07-19Trojan.Win32.Qhost.nnd
Analisis del Archivo img_DC000012.exe con antivirus online
Alerta con un email enviado desdeMensaje MMS (info@hi5.com). Asunto: Tienes un mensaje enviado desde un celular....
Este email enviado supuestamente desde Terra Peru con "Una tarjeta animada"contiene varios link de descarga a un archivo .exe que contiene un Gusano (worm)
El contenido del mensaje es el siguiente
Terra Peru,18 de junio del 2010
Alguien que te quiere mucho te envia....
Una tarjeta animada, con un mensaje de voz Movistar. Que lo disfrutes!!
Escucha el mensaje que te enviaron aqui (Aqui hay un vínculo)
La imágen de los conejitos (vinculo)
Click aqui para reproducir el contenido multimedia (vínculo)
Enviado por: Escucha mi voz y seguro que te vas a dar cuenta jajaja espero que te guste (Vínculo)
Si deseas escuchar online el mensaje presiona aqui (Vínculo)
Copyright 2010, Terra Movistar Networks, S.A. Peru
NOTA. NO DESCARGAR EL SIGUIENTE VINCULO. PUEDE INFECTAR SU PC
El vinculo de descarga que aparece en cada link es: http://www.bouncingbilly.com/contact/forms/admin/x.php
El archivo que se descarga, da la impresión de ser una Imagen / Foto de Camara Digital.
img_DC00012.exe
El sitio de descarga, aparentemente es desde http://citglobal.ca
Este Sitio Web, no visualiza ningun contenido, solo queda la página en blanco.
Para mi es una imitación/camuflage para engañar y dar la impresión de ser real, igual al Site Oficial de la Empresa CIT Global, la cual desde ella nos indica:.
About CIT CIT Global is an international provider of high quality, innovative eCommerce / mCommerce solutions and services to its clients. Our extensive suite of solutions and services enables us to lead our clients into the next generation of multi-channel fully secured eCommerce systems.
A través de la pagina Web OnlineLinkScan (http://onlinelinkscan.com/) se pueden scanear los vinculos de los email que recibimos o paginas web y verificar que tipo de peligros representan para nuestro pc. Solo se ingresa la url y se scanea el link, en este caso con (http://www.bouncingbilly.com/contact/forms/admin/x.php) el resultado fue el siguiente:
Worm.Autorun-1893 FOUND
--------- LINK SCAN SUMMARY ---------
URL scanned:http://www.bouncingbilly.com/contact/forms/admin/x.php
PhisTank say's: Service not available.
AVG say's: Service not available.
SiteTruth say's: This site is safe.
Google Safe Browsing say's: This site is safe.
Threat Name:Worm.Autorun-1893 FOUND
Threat Definitions: 807018
Engine Version: 0.96.1 Host IP: 74.54.41.178
Link Status: Infected
File Size: 366.37 KB
Time Finished: 6.36 secs
Overall result: This site may not be secure
Cambio el archivo de descarga en el link (http://www.bouncingbilly.com/contact/forms/admin/x.php)
Al día siguiente probe de nuevo el link de descarga del archivo sopechoso y este cambio de nombre y tamaño: Ahora el archivo cambio incluso de icono y ser hace pasar por un video.
MMS.exe (548Kb)
Descargue el archivo y luego verificando con el Escaneador de virus de Jotti ( http://virusscan.jotti.org/es ) eston son los resultados:
2010-07-19Generic.19.46942
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19Trojan.Win32.Qhost
2010-07-19BackDoor.VB.KJN
2010-07-19Trojan.Win32.Qhost.nnd
2010-07-19DR/Qhost.nnd
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19No se encontró nada
2010-07-19Trojan.Win32.Qhost.nnd
2010-07-18No se encontró nada
2010-07-19No se encontró nada
2010-07-19Trojan.Win32.Qhost.nnd
El link de descarga cambio o el archivo o ahora se cambio el tipo de troyano, es decir esta Tarjeta Animada es dinamica y cambia diariamente la forma de ataque
Trojan.Win32.Qhost.nndTrojan:Win32/Qhost.BI is a trojan that modifies the affected system's hosts file to redirect online banking sites to sites of the attacker's choice (possibly for phishing attempts). It modifies the hosts file periodically. Programa troyano, que consiste en el fichero de Windows %System%\drivers\etc\hosts modificado, que se usa para convertir los nombres de dominio en direcciones IP. El tamaño del fichero modificado es de 5.942 bytes. El fichero está modificado de tal manera que bloquea las solicitudes del usuario a los sitios indicados.
3.- EJECUTA CCLEANER usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
4.- Deshabilita RESTAURAR SISTEMA (SYSTEM RESTORE) MIRA AQUI
6.- EJECUTA MALWAREBYTE. Seleccionas hacer un "escaneo completo"
Una vez finalizado, si te detecta algo eliges " quitar lo seleccionado ".
Si te pide reiniciar, lo haces y después te vas a la pestaña de "registros" para copiar y pegar el reporte generado en este tema.
7.- Pasas CCLEANER nuevamente
8.- Inicia en modo normal, habilita restaurar sistema
9.- Realizas un scan online con KASPERSKY, desde ACA usando su versiòn en español o en ingles si esta no funciona....
Resultados Google y Trojan.Win32.Qhost.nnd
Otra cosa de mucha importancia y los resultados de google con el troyano Trojan.Win32.Qhost.nnd
Los resultados de google para este troyano son intrigantes, ya que los primeros link son de programas, herramientas o paginas web con software que supuestamente eliminan el troyano.
Pero utilizo el plugins WOT para verificar la credibilidad y seguridad de las paginas web.
Y las primeras consultas son de myu mala reputación
Tengan cuidad con el software de seguridad que instalan en su Pc, ya que algunas veces tan solo son programasd que al final te dicen que escanean y protegen tu pc y encuentran cientos de archivos peligrosos, y que para limpiarlos debes comprar el programa online, y para colmo estos no se dejan desinstalar.
Vean los reportes de WOT para los primero resultados de google
pcindanger.com: http://www.mywot.com/es/scorecard/pcindanger.com
Comentarios. Cualquier sitio o software que no le dice de antemano que le costará es un engaño y que es casi tan malo como un virus y se debe considerar Greyware y no confiar en él.
User in Yahoo Answers uses it for a source, but, a commercia ...
3
Es comercial y no está permitida. Este es el spam en su mayoría, pero, definitivamente no-ética
Ofrecemos
a la Comunidad Estudiantil, en todos los Niveles Educativos (Universitario,
Técnico, Ciclo Diversificado, Educación Básica) servicios
academicos a muy bajos costos, accesibles para aquellos estudiantes de
bajos recursos.
Nuestro objetivo es ofrecer servicios de calidad.
Ademas
puedes consultar los articulos publicados es este Blog.
Elaboración
y Asesorias de Tesis de Grado, Pasantias, Proyectos de Servicio Comunitario.
Transcripción de todo tipo de documentos.
Asesoría
en Tesis de Grado, Pasantias, Servicio Comunitario. Ofrecemos encargarnos
integralmente del proyecto: Diagramacion normas APA-UPEL. Corrección
de Estilo, Tiempos Verbales, Operacionalización de Variables, Indicadores,
Instrumento de Recolección de Datos, Encuestas, Cuestionario, Estadísticas.
Tambien realizamos Trabajos de investigación documental, de campo,
Proyectos Factibles. Nos adaptmos a las normas y exigencias de cada Institución/universidad.
United States Dallas Theplanet.com Internet Services Inc 
