virus informático que aparenta ser de la Guardia Civil
noSign
EFE
La Polic�a Nacional ha alertado hoy de la propagaci�n de un correo
electr�nico, que contiene un virus inform�tico, con un remitente falso
atribuido a las Fuerzas y Cuerpos de Seguridad del Estado.
Durante la ma�ana de hoy (29-09-09), se ha enviado de forma "indiscriminada"
un correo electr�nico que aparenta provenir de la Guardia Civil e incluye
como cuenta remitente la direcci�n "delitos.te...@policia.es".
La Polic�a ha subrayado en un comunicado que "no debe abrirse" el archivo
adjunto al correo electr�nico, con nombre "convocatoria10-pdf", que en
realidad corresponde al archivo "convocatoria.scr" y que oculta un virus
inform�tico.
Este correo no ha sido enviado desde ninguna direcci�n oficial de la Polic�a
Nacional, sino desde un servidor de correo electr�nico radicado en Estados
Unidos con el objetivo de difundir un virus conocido como "Induc" que afecta
a librer�as del sistema operativo.
saludos
noSign
c.b.
> http://www.diarioinformacion.com/tecnologia/2009/09/30/tecnologia-virus-
informatico-aparenta-guardia-civil/935897.html
> Este correo no ha sido enviado desde ninguna dirección oficial de la
> Policía Nacional, sino desde un servidor de correo electrónico radicado
> en Estados Unidos con el objetivo de difundir un virus conocido como
> "Induc" que afecta a librerías del sistema operativo.
Podéis ver un análisis del archivo en:
http://www.sunbeltsecurity.com/cwsandboxreport.aspx?
id=9078219&cs=B7A9AE1C8BA1AAC78659B140800E14C3
/home/c.b./malware/30ac47e7cfc991aa12667e9c1d53fd6a
Date: 30.08.2009 Time: 07:40:04 Size: 724992
ALERT: [W32/Induc.A] /home/c.b./malware/30ac47e7cfc991aa12667e9c1d53fd6a
<<< Contains detection pattern of the Windows virus W32/Induc.A
La fecha de este 'Induc.A' es de agosto (finales)
Best regards
c.b.
noSign
c.b.
> ¿ El no encontrar actividad de red en la sandbox es por estar capada su
> salida ?
No lo sé. Lo he mandado a la sandbox directamente, sin echarle una ojeada
(falta de tiempo). Si este finde puedo, intentaré hacerle una 'virus-
vivisección'
Best regards
c.b.
c.b.
> ¿ El no encontrar actividad de red en la sandbox es por estar capada su
> salida ?
No he tenido, ni tendré tiempo para analizarlo. Estoy intentando volver a
montar un 'honeypot', pero no lo consigo. Problemas con
incompatibilidades de los compiladores. Tendré que pasarme por
es.comp.os.linux
He encontrado otro análisis (estamos hablando de una variante del que tú
indicabas):
http://www.threatexpert.com/report.aspx?
md5=30ac47e7cfc991aa12667e9c1d53fd6a
Best regards
c.b.
Mitra, The son of God
Buenos dias,
Alguien tiene el ASM o similar para ver el codigo??
Gracias!
c.b.
> Alguien tiene el ASM o similar para ver el codigo??
Sí, similares. Pero aquí no se 'postea' código ni fragmentos de código
por obvias razones.
Best regards
c.b.
noSign
saludos
noSign
"c.b." <simequier...@despammed.com> escribi� en el mensaje >
> S�, similares. Pero aqu� no se 'postea' c�digo ni fragmentos de c�digo
c.b.
> Cauteloso por la epidemia que se avecina ,-)
Calla, calla. Acabo de pasar la gripe A :((
SinT
se pasa por los cables a todos nosostros.....
"c.b." <simequier...@despammed.com> escribi� en el mensaje
news:hadlc7$i8a$1...@news.eternal-september.org...
> El Mon, 05 Oct 2009 22:02:47 +0200, noSign escribi�:
c.b.
> ¡No toques el teclado! Que tarda 5 horas en morirse el bicho y en ese
> tiempo se pasa por los cables a todos nosostros.....
Como no se traslade a los lomos de algún byte...
En 5 horas no llega ni al final de la calle ;)
Best regards
c.b.
SinT
en un segundo....
;-)
Dans son message prï¿œcï¿œdent, c.b. a ï¿œcrit :
> El Thu, 15 Oct 2009 08:59:09 +0200, SinT escribiᅵ:
>
>> ï¿œNo toques el teclado! Que tarda 5 horas en morirse el bicho y en ese
>> tiempo se pasa por los cables a todos nosostros.....
>
> Como no se traslade a los lomos de algï¿œn byte...