martes, 22 de noviembre de 2011

Mas Phishing esta vez el Trojan/Troj.Qhost en Falso correo electrónico

El Trojan/Troj.Qhost se propaga por correo electrónico simulando pertenecer a un diario conocido del medio como se puede apreciar en la siguiente imagen:





Al hacer clic en el botón "Descargar" abre una ventana del explorador web y empieza a descargar un archivo ejecutable, siendo el mismo troyano, desde una determinada dirección web.

Cuando el archivo es descargado se guarda en el disco duro con el nombre:

Rosario_Video.exe -> MD5 {0512160EB47E5C2663E5C7475CE1C7BD}

Al hacer doble clic sobre el archivo crea una copia del mismo en la siguiente ruta:

[C:\Windows\System32\msnmsgr.exe]

Agrega la siguiente llave en el Editor de Registro para que cargue cada vez que inicia el sistema operativo.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
[Windows Live messenger]
[C:\Windows\System32\msnmsgr.exe]

Una vez que el troyano está infectado en el equipo, procederá a editar el archivo hosts del sistema operativo con la siguiente información:

Hosts -> C:\Windows\System32\Drivers\etc\

173.212.229.138 viabcp.com
173.212.229.138 www.bn.com.pe
173.212.229.138 bn.com.pe

Además intentará conectarse remotamente con su creador y está a la espera de recibir ordenes para descargar otros tipos de malwares o sino para enviar información confidencial del equipo infectado. Y para que esto se lleve a cabo utiliza el protocolo TCP a través de los puertos 49218 y 49220 respectivamente.

La dirección donde intenta mantener conexión es:

http://cl67.justhost.com

Pero ya fue bloqueado o cancelado por el servicio de hosting.


Hacksoft recomienda lo siguiente:
  • The Hacker Anti-malware debe estar actualizado con el último registro de virus.
  • Su sistema operativo debe estar actualizado con los últimos parches de seguridad.
  • Su explorador web, como Firefox, Google Chrome, Internet Explorer o etc., deben estar actualizados por sus propios proveedores.
  • Sus contraseñas que utiliza para ingresar a su correo, red social, messenger, etc. , deben ser rígidos y no débiles. Es decir que exista una combinación entre letras y números por ejemplo. Y debe ser intransferible.
  • Evitar visitar páginas web de dudosa procedencia.
  • Evitar la descarga de archivos o supuestos programas de internet si no sabemos muy bien la confiabilidad de su origen.
  • Utilizar su dispositivo extraíble o memoria USB, en equipos que cuente con un software anti-malware debidamente actualizado.
  • Antes de explorar el contenido de su dispositivo extraíble o memoria USB, se recomienda abrir el programa The Hacker Anti-malware para que analice el dispositivo.
  • Evitar hacer clic en enlaces que se encuentran dentro de correos electrónicos si sabemos que es una información no solicitada. Con esto se previene las amenazas de malwares propagadas por internet, de páginas fraudulentas (phishing), etc.
  • Cuando realice transacciones bancarias por internet debe tomar en cuenta antes las recomendaciones emitidas por las entidades bancarias, con esto evitará robo de dinero o información.
Publicado por
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)