Kryptik.BHM descarga via URL por MSN
Lunes, 2:58 am, muy aburrido y pensando como comenzar a escribir este post, así que simplemente me voy a limitar a decir “Que se pudra Flanders”.
Bien, comencemos.. hace mucho tiempo ya que es algo muy común ver contactos de MSN infectados, quienes en su momento enviaban mensajes automáticos y archivos adjuntos en formato Zip, hoy dejan mismos comentarios con urls para descargarlos.
En gran parte es una forma más efectiva, puesto que el escaneo automatizado de archivos compartidos por MSN, y las previews de imágenes 500 veces más grandes facilitan el reconocimiento de archivos maliciosos por parte de los usuarios..quienes no parecen pensar 2 veces en clickear, descargar, descomprimir y ejecutar los archivos e infectarse.
Click en el enlace: Ok algunas de las urls que eh visto son muy ingeniosas, utilizando dominios muy parecidos a los grandes y conocidos como imageshack <aunque en realidad era lmagehacks con una L en vez de una i y la s un poco tirada mas a la derecha. ¿y desde cuándo van zippeadas?.. quizás para ahorrar ancho de banda.>.
En fin, los mensajes salen de la siguiente forma:
Debería subir esta foto a myspace?
http://www.{dominio-raro}/Search&request=4950/DVP-NuevoImagen004.JPG.zip
Dado click en el enlace, la descarga comienza.. y una vez abajo, abrir el archivo.
Acá es la parte donde Windows no se presta de mucha ayuda: “ocultar extensiones para tipos de archivos conocidos” activado por defecto inclusive en Windows 7, y el abrir archivos zips de una forma muy similar a como quien abre una carpeta termina en la ejecución del archivo zippeado y a la infección en cuestión.
archivo: “DVP-NuevoImagen004.JPG.zip”
MD5: 3cf96c5ba564d07515e09bc73ddb02d2
El cual obviamente baje descomprimí y ejecute para ver que hacia..
Según Eset Nod32 v.4665 (20091206) (Win32/Kryptik.BHM Troyano)
El escaneo con a-squared v.4.5.0.21 (Worm.Win32.Hamweq!IK)
Según virus total:
Sophos 4.48.0 (Mal/Generic-A) (a mi no me lo detecto)
McAffe GW (Heuristic.BehavesLike.Win32.Packed.H)
Ikarus ( el motor es el que utiliza a-squared) (Worm.Win32.Hamweq).
Para quitarlo, simple escaneo con nod32 (modo a prueba de fallos si no lo quita la reiniciar), y luego un escaneo de limpieza y registro con ccleaner.
Para no agarrarlo:
->herramientas-> opciones de carpeta-> ver -> ocultar extensiones para tipos de archivos conocidos (destilar).
->Nod32 en la ultima actualización lo detectaría apenas lo ejecuten.
-> un poco de cuidado y sentido comun, la imagen no se va a ir porque pensamos un poco antes de tomar acciones.
Mas informacion:
Análisis del archivo DVP-NuevoImagen004.JPG en VirusTotal
“un poco de cuidado y sentido comun”, cosa que poca gente tiene hoy en dia lamentablemente..
Lo mas curioso es que mucha de la gente que me envia esas imagenes son bloggers, lo cual supone al menos conocer un poco como funcionan las cosas en internet.