Hola a todos.
El 21/11/2002 recibí un e-mail con lo siguiente.
De:
Mail System Internal Data
Asunto:
DON'T DELETE THIS MESSAGE--FOLDER INTERNAL DATA
Texto:
This text is part of the internal format of your mail folder, and is not
a real message. It is created automatically by the mail system software.
If deleted, important folder data will be lost, and it will be re-created
with the data reset to initial values.
Al dia siguiente recibí otro que me aclaró todo
A continuacion os lo adjunto
--Saludos--
----- Original Message -----
From: <[email protected]>
To: <undisclosed-recipients:>
Sent: Friday, November 22, 2002 3:35 AM
Subject: una-al-dia (22/11/2002) Spam de troyanos
>
> -----BEGIN PGP SIGNED MESSAGE-----
>
> -------------------------------------------------------------------
> Hispasec - una-al-día 22/11/2002
> Todos los días una noticia de seguridad www.hispasec.com
> -------------------------------------------------------------------
>
> Spam de troyanos
> -----------------
>
> Detectada una nueva ola de envíos masivos de e-mails para distribuir
> troyanos. En esta ocasión intentan engañar al usuario simulando ser un
> mensaje de su propio servidor de correo que no ha podido ser entregado
> y viene devuelto.
>
> Los mensajes tienen como remitente MAIL-DAEMON@[dominio_del_usuario],
> asunto "FAILED DELIVERY", el cuerpo es un texto que simula ser un
> aviso del servidor de correo que informa que no ha podido entregar un
> mensaje, y por último nos encontramos con el archivo adjunto MAIL.HTA.
>
> Como muestra uno de los envíos recibidos en Hispasec:
>
> <---
> From: [email protected]
> To: [email protected]
> Sent: Tuesday, November 19, 2002 7:57 PM
> Subject: FAILED DELIVERY
>
> Your message, attached
> did not reach the reciepent.
> [email protected] #5.5.0 smtp; 550 Requested action not taken:
> mailbox unavailable.
> - --->
>
> También se han detectado envíos con el siguiente cuerpo en el mensaje:
>
> <---
> Unfortunately, it was not possible to deliver one or more of your
> messages. For more information, please, take a look in the attachment.
> - --->
>
> En ambos casos se adjunta el archivo MAIL.HTA (HTml Application) que
> contiene el troyano. En caso de que el usuario abra dicho fichero se
> despliega una ventana con un mensaje HTML falso para despistar,
> mientras que de forma oculta al usuario se escribe el troyano en el
> disco duro y procede a su ejecución.
>
> El procedimiento es muy simple, MAIL.HTA lleva una sencilla rutina en
> VBScript que se encarga de hospedar el volcado del troyano en una
> variable, escribirlo en el disco duro del usuario, como
> "c:\Progra~1\Outloo~1\outl32.scr" o "c:\sys615.scr", y ejecutarlo.
>
> El troyano volcado es reconocido por algunos antivirus como
> "Downloader-BO" o "Inor", y ya ha sido utilizado en otros spams
> similares. Su principal función consiste en conectar con una servidor
> de Internet y descargar nuevos componentes y troyanos.
>
> Lo más curioso de este incidente ha sido el uso de la Ingeniería
> Social, el hecho de hacer pasar el mensaje por un aviso del servidor
> de correo del usuario, invitándole a abrir el archivo adjunto.
>
> En cuanto a la ola de spams distribuyendo troyanos, que ya tuvo
> una incidencia significativa el pasado 12 de noviembre, una de las
> hipótesis que se barajan es que se trate de un intento de hacerse
> con el control del máximo número de PCs para posteriormente
> utilizarlos de forma coordinada en un ataque masivo tipo DoS.
>
> Desde Hispasec, una vez más, aconsejamos extremar las precauciones
> a la hora de abrir archivos adjuntos que lleguen a nuestro buzón,
> de forma especial en aquellos casos que no hayamos solicitado su
> envío explícitamente. En caso de duda, algo tan simple como pedir
> confirmación al remitente puede evitar en ocasiones problemas
> mayores.
>
> Opina sobre esta noticia:
> http://www.hispasec.com/unaaldiacom.asp?id=1489
>
>
> Bernardo Quintero
> [email protected]
