Por Bernardo Quintero
bernardo@hispasec.com
Detectada una nueva ola de envíos masivos de e-mails para distribuir troyanos. En esta ocasión intentan engañar al usuario simulando ser un mensaje de su propio servidor de correo que no ha podido ser entregado y viene devuelto. Los mensajes tienen como remitente MAIL-DAEMON@[dominio_del_usuario], asunto "FAILED DELIVERY", el cuerpo es un texto que simula ser un aviso del servidor de correo que informa que no ha podido entregar un mensaje, y por último nos encontramos con el archivo adjunto MAIL.HTA. Como muestra uno de los envíos recibidos en Hispasec: <--- From: mail-daemon@hispasec.com To: bernardo_quintero@hispasec.com Sent: Tuesday, November 19, 2002 7:57 PM Subject: FAILED DELIVERY Your message, attached did not reach the reciepent. 181207@hispasec.com #5.5.0 smtp; 550 Requested action not taken: mailbox unavailable. ---> También se han detectado envíos con el siguiente cuerpo en el mensaje: <--- Unfortunately, it was not possible to deliver one or more of your messages. For more information, please, take a look in the attachment. ---> En ambos casos se adjunta el archivo MAIL.HTA (HTml Application) que contiene el troyano. En caso de que el usuario abra dicho fichero se despliega una ventana con un mensaje HTML falso para despistar, mientras que de forma oculta al usuario se escribe el troyano en el disco duro y procede a su ejecución. El procedimiento es muy simple, MAIL.HTA lleva una sencilla rutina en VBScript que se encarga de hospedar el volcado del troyano en una variable, escribirlo en el disco duro del usuario, como "c:\Progra~1\Outloo~1\outl32.scr" o "c:\sys615.scr", y ejecutarlo. El troyano volcado es reconocido por algunos antivirus como "Downloader-BO" o "Inor", y ya ha sido utilizado en otros spams similares. Su principal función consiste en conectar con una servidor de Internet y descargar nuevos componentes y troyanos. Lo más curioso de este incidente ha sido el uso de la Ingeniería Social, el hecho de hacer pasar el mensaje por un aviso del servidor de correo del usuario, invitándole a abrir el archivo adjunto. En cuanto a la ola de spams distribuyendo troyanos, que ya tuvo una incidencia significativa el pasado 12 de noviembre, una de las hipótesis que se barajan es que se trate de un intento de hacerse con el control del máximo número de PCs para posteriormente utilizarlos de forma coordinada en un ataque masivo tipo DoS. Desde Hispasec, una vez más, aconsejamos extremar las precauciones a la hora de abrir archivos adjuntos que lleguen a nuestro buzón, de forma especial en aquellos casos que no hayamos solicitado su envío explícitamente. En caso de duda, algo tan simple como pedir confirmación al remitente puede evitar en ocasiones problemas mayores.
|
