Video: Kalimba fue ultrajado por un agente, propaga ataque de Pharming

Se informó al UNAM – CERT sobre un archivo malicioso que se está propagando por supuestas noticias del Universal. La noticia relata la presunta violación al cantante Kalimba en una celda de la cárcel donde actualmente se encuentra.

Correo electrónico

El sitio www.soccerluck.com/xxxxxxxxx/001.SWF descarga un archivo .exe malicioso, este sitio se encuentra alojado en el estado de Nueva York Estados Unidos. 

Descarga

El malware fue programado en VisualBasic y contiene embebido el ataque de Pharming.

 

Ejecutable

 

Al analizarlo en el laboratorio, el malware abre el explorador por default con el sitio www.frikinternet.com/Kalimba/PrisionMexico, el cual al momento del análisis no se encontraba disponible ni mostraba alguna información. Frikinternet se encuentra alojado en Catalonia, España. 
 
Durante la ejecución del malware en el laboratorio, el Sniffer mostró solamente peticiones DNS DNS hacia el sitio www.frikinternet y la dirección IP la cual responde para posteriormente realizar la petición hacia la página con la instrucción GET /Kalimba/PrisionMexico y el sitio responde con el código de error 404 Not Found.
 
Sniffer

En el equipo se modifica el archivo de hosts para finalmente dejar al usuario víctima del ataque.

Pharming

Hasta el momento el código no es reconocido por ninguna solución antivirus, el sitio se encuentra alojado en Berlín Alemania y los sitios hacía donde realiza el ataque se encuentran activos.

Santander

 

Bancomer

Enviado por plorenzana el Lun, 01/24/2011 - 13:58