Los ciberdelincuentes aprovechan toda posibilidad que se les presenta para lograr infectar las máquinas de los usuarios y hacer crecer sus redes. Esta vez han disfrazado su correo malicioso como una foto enviada desde un celular al correo del usuario.

El mensaje enviado tiene estas características:

De: Vivo empresas.
Para: Ninguno
Asunto: Foto Torpedo pra voce

Texto del mensaje:

Torpedo recebido com sucesso!

Visualizar Foto
(34Kb / Tempo estimado: 0:26seg)

http://img301.imageshack.us/img301/8797/fototorpedo5xe6.gif

Al hacer clic en el enlace que muestra el mensaje:

http: //torpedo.hobbybus.[removido].net/indexz.php

Se descarga el siguiente archivo:

foto-torpedo.exe

ESET NOD32 detecta esta amenaza como NewHeur_PE.

http://img262.imageshack.us/img262/4056/fototorpedo2at4.gif

Al ejecutarse, descarga de Internet el siguiente archivo:

http: //www.gratis[removido].org/indexx.exe

Lo guarda como:

c:\WINDOWS\system\Char.exe

Este archivo es detectado por ESET NOD32 como Win32/Spy.Banker.AXC (la última variante del mismo fue agregada a la base de firmas 2378 el 04/07/2007).

El Win32/Spy.Banker, posee la capacidad de capturar información (keylogger), y enviar mensajes con su propio motor SMTP. Esta información incluye nombre de usuario, tarjeta de crédito, etc., usadas al ingresar a determinadas páginas bancarias.

El troyano crea el siguiente archivo para almacenar dicha información:

%Windir%\reg_0011.txt

Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows32 = “C:\Arquivos de programas\Windows32.exe”

Intenta conectarse al siguiente servidor SMTP:

smtp terra com br

Envía mensajes con los siguientes datos:

De: pErDeU pLaY BoY
Para: meufilho.r0x [arroba] gmail com
Asunto: (AgOrA vAi): [nombre de la computadora]

Texto del mensaje:

Mac: Nome do Pc: [nombre de la computadora]

http://img213.imageshack.us/img213/2527/fototorpedo7no8.gif

FUENTE