Campañas de malware con Alibaba y los 40 ladrones
Noviembre 20, 2008 10:07 amComo hemos mencionado días atrás, existen herramientas para crear páginas que ayudan a la promoción de supuestos YouTube falsos para infectar usuarios. Si se presta atención al código fuente del HTML generado por esa herramienta, se puede apreciar que la aplicación fue generada (o al menos eso promocionan) por un grupo autodenominado “© 2008 ali baba & 40 , LLC”.
La creación de esta herramienta dió origen a una nueva campaña masiva de propagación de malware, funcionando sobre diversas plataformas sobre la que se destaca la red social FaceBook:
- Usuario malintencionado promociona enlaces en la red social a través de sus perfil o en comentarios a otros usuarios
- Un usuario desprevenido hace clic en el enlace ofrecido y es redirigido a diversos sitios
- Estos sitios pueden visualizar videos falsos o contener un scripts ofuscados o enviar al usuario a un sitio de descarga de rogue
- En cualquier caso la página visualizada (en este caso los videos falsos), a través de una vulnerabilidad en alguna aplicación, puede:
- Ejecutar el archivo descargado
- El usuario nunca se percata de la descarga y de la ejecución del archivo dañino
Las cientos (literalmente) de variantes de archivos maliciosos que actualmente estan participando de esta campaña son detectados por ESET NOD32 como:
- El gusano de propagación masiva a través de FaceBook es detectado por Heurística como variante de Gusano Win32/Koobface
- Los scripts ofuscados son detectados genéricamente como JS/Exploit.Pdfk
- Los troyanos descargados son detectados por Heurística Avanzada como Win32/Agent o como probablemente una variante de Win32/Kryptik.BJ
- Los archivos PDF descargados son detectados como PDF/Exploit.Pidief
Si bien los diversos perfiles dañinos de FaceBook son controlados y eliminados por la red social, debido a las múltiples formas de promocionar estos videos falsos, seguirán apareciendo nuevas herramientas y formas de crear campañas para infectar usuarios.
Por eso, es fundamental contar con una protección proactiva que detecte cada nueva variante y además se debe actualizar todas las aplicaciones.
Cristian
Promedio: 5
7-7-2009 a las 3:00 pm
Hola chepe,
Lee la pregunta 13 de las FAQ, y contacta al soporte técnico o a tu distribuidor.
Sebastián
7-7-2009 a las 2:05 pm
NO ME RESULTO HACER EL ESCANEO EN MODO SEGURO,ME SIGUEN APARECIENDO LOS BLOQUEOS CONSTANTES……
7-7-2009 a las 11:32 am
GRACIAS CRISTIAN,ESO HARE,TE DIGO DESPUES QUE PASO….
6-7-2009 a las 12:42 pm
Hola:
Seguramente existe un proceso activo en tu sistema que descarga este malware desde Internet.
Por favor explora en modo prueba de fallos.
Cristian
6-7-2009 a las 12:37 pm
HOLA,CONSTANTEMENTE MI ESTE ME ABRE UNA VENTANA DE QUE ELIMINA Y PONE EN CUARENTENA UNA VARIANTE WIN32/KRYPTIK.VO, EL ANTIVIRUS FUNCIONA PREFECTAMENTE,LO QUE ME LLAMA LA ATENCION ES QUE APARECE ESE MENSAJE CON UNA NUEVA AMENAZA A CADA RATO,SABEN DE DONDE ME ESTAN MANDANSO ESOS TROYANOS?? O QUE HAGO?
GRACIAS…
18-5-2009 a las 1:27 pm
Koobface: La confiance accordée à vos relations doit cesser….
Win32/Koobface is a multi-component family of malware used to
compromise machines and direct them in various ways at the attacker’s
will. This could include using the affected machine to distribute
additional malware, generate ‘pay per click…
27-1-2009 a las 2:48 am
hace poco casi me infecto con este virus. fue por buscar videos de google video puede que se encuentre uno de estos en las pantallas sin imagenes de muestra y que ademas hay un link para ir hacia la pagina donde fue subido.
puede que aparesca un aviso para descargar alguna especie de pluging. por suerte el nod me lo deteto (se recomienda ir a la parte de la cuarentena y borrarlo inmediatamente)
7-12-2008 a las 7:59 pm
Hola Manuel:
Efectivamente, las muestras enviada por tí son detectadas por heurística como una variante de Win32/Injector.FF y Win32/Rbot.DWC.
Cristian
7-12-2008 a las 5:56 pm
gracias presisamete iva a cambiar el NOD32 pero ya lo detecta por la actualizacion de huristica
7-12-2008 a las 5:03 pm
estoy infectedo con los 2 virus pero ESET NOD32 no los detecta ya los envie completos para su análisis pero nadie constesta
4-12-2008 a las 10:57 am
Hola Fernando:
No se a cual malware te refieres de los mencionados en el post, pero cualquiera de ellos es detectado y eliminado por ESET NOD32, puedes descargarlo o incluso utilizar ESET Online Scanner.
Cristian
4-12-2008 a las 1:28 am
disculpa pero no se como quitar ese virus
27-11-2008 a las 12:14 pm
Hola Manuel, hemos recibido archivos con esos nombres donde en algunos casos los archivos se encuentran dañados y, por lo tanto no son detectados porque no constituyen amenaza alguna al no poderse ejecutar.
Por otro lado, también detectamos códigos maliciosos que se propagan con esos nombres. Seguramente tu caso se ajusta a alguno de los dos casos comentados.
Es imposible determinar si es un malware o no, o el estado del archivo ejecutable sólo por el nombre. De todas formas, si los has enviado a nuestro laboratorio, deberías haber recibido una confirmación de recepción.
Saludos.
Jorge
26-11-2008 a las 6:31 pm
bueno aqui tengo problemas con el NOD32 y kaspersky que ninguno detecta los virus que ya mande a laboratorios eset.
wisenis32.exe, y Rhosts32.exe