Este documento advierte sobre un virus que se propaga a través de correos electrónicos falsos que parecen provenir de Facebook. El correo contiene un archivo .zip infectado que instala un troyano capaz de robar información y enviar el virus a los contactos de la víctima. Se proveen instrucciones para eliminar manualmente el virus borrando archivos y procesos maliciosos del sistema.
1. Virus enviado por correo electrónico
¡Cuidado! No abra correos de personas que no conoce, no descargue, descomprima ni
abra o ejecute documentos en formato de Word u otro documento de office con
extensión .exe
1. Primer mensaje (El de la flechita roja)
2. 2.- Viene supuestamente del Departamento de Facebook. (de Daniel@facebook.com) En el que te avisa que tu
cuenta de Facebook está enviando virus, por lo que te informan que han cambiado tu contraseña por seguridad.
Cuidado: Adjunto a este correo viene un archivo que esta comprimido en formato .Zip con el
nombre Attached_SecurityCode81942.zip, al descomprimir se genera una carpeta con el
mismo nombre (El numero cambia porque se envía desde una computadora ya infectada
donde el virus controla información que sale) en el interior de la carpeta se encuentra un
documento en forma de Word, pero con extensión .exe, como se muestra en la siguiente
imagen.
3.- El cuerpo del mensaje es el siguiente: (lo pongo en imagen tal como viene en el correo, para no hacer
cambios)
3. 4.- Mensaje traducido:
Buenas tardes
El spam es enviado desde su cuenta de Facebook.
Su contraseña ha sido cambiada por seguridad.
La información relativa a su cuenta y una contraseña nueva se une a la carta.
Lea esta información a fondo y cambiar la contraseña a una complicada.
Por favor, no responda a este mensaje, es notificación por correo electrónico automático!
Gracias por su atención.
FaceBook servicio.
Spam = Correo o mensaje no deseado.
Análisis del mensaje:
1.- Yo no estoy registrado en Fecebook…. Así que ni para que me preocupo, inmediatamente pienso que se trata
de un mensaje no deseado con posible virus.
2.- Si fuera personal el mensaje con el documento adjunto, pensando que fuera mi nueva contraseña, (por lo que
dice code… código, llave o contraseña) no lo enviarían a otros correos. Si se fijan en el mensaje se envía copia
a otras personas.
3.- El Norton antivirus no detectó el documento infectado que se envía por correo.
4.- Como no conozco a Daniel, ni tengo contacto con Facebook, y con fines de informar a usted sobre ésta
amenaza. Investigué sobre este archivo adjunto recibido vía correo electrónico. Encontré lo siguiente.
4. "El spam de su cuenta de Facebook" contiene mensajes troyano
http://blog.mxlab.eu/2011/04/28/spam-from-your-facebook-account-messages-contains-trojan/
5.- Version en Ingles:
MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with tone of the
following subjects:
Spam from your account:
Spam from your Facebook account
Your password has been changed
The email is from “Facebook Abuse Department” containing a spoofed email address in the format
***@facebook.com, where the part before the @-sign contains different names starting with a capital, and has the
following body:
Dear client
Spam is sent from your FaceBook account.
Your password has been changed for safety.
Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.
Please do not reply to this email, it’s automatic mail notification!
Thank you for using our services.
FaceBook Service.
The attached ZIP file has the name Attached_SecurityCode08592.zip, where the number is choosen randomly,
and contains the 33 kB large file Attached_SecurityCode.exe.
5. The trojan is known as W32/Trojan2.NNGG (Commtouch) and Troj/DwnLdr-IZR (Sophos). This trojan will install
itself on the infected computer and has a build in SMTP engine for spreading its payload further by email.
The following files will be created:
%Temp%_check32.bat
%Windir%s32.txt
%System%aspimgr.exe
%System%document.doc
%Windir%ws386.ini
6.- Traducción en español (la traducción puede contener errores de concordancia)
Several Windows registry changes will be exectued and the trojan can establish connection with the following
IPs:… Continua lo sombreado en color amarillo.
MX Lab, http://www.mxlab.eu, comenzó a interceptar una campaña troyano nueva distribución por correo
electrónico con el tono de las siguientes materias:
Spam de su cuenta
Spam de su cuenta de Facebook
Su contraseña se ha cambiado
El correo electrónico es de "Facebook Departamento de Abuso" que contiene una dirección de correo electrónico
falso en el formato facebook.com *** @, donde la parte anterior al signo @ contiene nombres diferentes a partir
de un capital, y tiene el cuerpo lo siguiente:
Estimado cliente
El spam es enviado desde su cuenta de Facebook.
Su contraseña ha sido cambiada por seguridad.
6. La información relativa a su cuenta y una contraseña nueva se une a la carta.
Lea esta información a fondo y cambiar la contraseña a una complicada.
Por favor, no responda a este mensaje, es notificación por correo electrónico automático!
Gracias por usar nuestros servicios.
FaceBook servicio.
El archivo adjunto ZIP tiene la Attached_SecurityCode08592.zip nombre, donde el número es elegido al azar, y
contiene el 33 kB archivo grande Attached_SecurityCode.exe.
El troyano es conocido como W32/Trojan2.NNGG (Commtouch) y Troj / DwnLdr-IZR (Sophos). Este troyano se
instalará en el ordenador infectado y tiene una estructura en motor SMTP para la difusión de su carga útil más
por correo electrónico.
Los siguientes archivos se crearán:
% Temp% _check32.bat
% Windir% s32.txt
% System% aspimgr.exe
% System% documento.doc
% Windir% ws386.ini
Varios cambios en el registro de Windows se exectued y el troyano puede establecer la conexión con las
direcciones IP siguientes:
Remote Host Port Number
148.223.242.243 25 161.132.8.44 25 200.157.233.13 25
148.244.121.6 25 174.120.139.92 25 200.57.129.65 25
7. 200.57.129.66 25 207.193.205.1 25 194.247.183.170 80
204.200.167.219 25 216.200.145.36 25 91.207.178.169 80
Data can be obtained from following URLs:
hxxp://cl63amgstart.ru:80/board.php
hxxp://campaigncommunications.ru/connect/load.php?file=document
hxxp://campaigncommunications.ru/connect/load.php?file=2
hxxp://campaigncommunications.ru/connect/load.php?file=3
hxxp://campaigncommunications.ru/connect/load.php?file=4
hxxp://campaigncommunications.ru/connect/load.php?file=5
hxxp://campaigncommunications.ru/connect/load.php?file=6
hxxp://campaigncommunications.ru/connect/load.php?file=7
hxxp://campaigncommunications.ru/connect/load.php?file=8
hxxp://campaigncommunications.ru/connect/load.php?file=9
hxxp://campaigncommunications.ru/connect/load.php?file=uploader
hxxp://campaigncommunications.ru/connect/load.php?file=0
hxxp://campaigncommunications.ru/connect/load.php?file=0&luck=1
hxxp://campaigncommunications.ru/connect/load.php?file=1
hxxp://campaigncommunications.ru/connect/load.php?file=1&luck=1
At the time of writing, only 2 of the 41 AV engines did detect the trojan at Virus Total.
Virus Total permalink and MD5: 72a45688ba03a9bfd3b3755c33843dcd.
7.- Segundo mensaje (El de la flechita morada)
Proviene de un correo de una persona conocida.
Envío sus mensajes a la carpeta Spam de correos no deseados.
8. También el adjunto es un virus informático, así que no lo abro, además los números que se encuentran tanto
en el apartado de asunto como en el cuerpo del mensaje, son muy semejantes a los que se encuentran y
registran en los registros del sistema operativo, mismos que se encuentran en los documentos ocultos de la
carpeta Recycler o $Recycle.Bin
¿Por qué se envía a otros correos?, seguramente Marcelino Pérez Zapote, ni se imagina que su
computadora envía correos duplicando el virus en su nombre usando su correo
9. bUENAS: http://www.forospyware.com/t333755.html
Me mandaron un email desde la libreta de contactos de un amigo que tiene hotmail, yo lo abri con el outlook y
resulta que era un virus, del outlook mio han desaparecido todas las carpetas que tenia creadas en las cuales iba
guardando los emails, solo me ha dejado los enviados y los recibidos, pero las carpetas estas desaparecidas, he
reseteado el ordenador al dia antes del virus pero nada, necesito ayuda urgente.
Gracias.
Nota: el siguiente texto y sugerencias son tomadas de la red, no están comprobadas, es un ejemplo de la
preocupación de la gente que por descuido abre un correo electrónico no deseado, enviado desde una
computadora infectada. Así que tome sus precauciones. Tenga cuidado al descargar supuestos antivirus, hay
virus que se hacen pasar por antivirus y si los ejecutas o instalas en tu computadora, se daña el sistema
operativo, pierdes toda la información del disco duro.
¿Como quitar este virus nuevo? ¡¡¡CUIDADO!!!?
http://es.answers.yahoo.com/question/index?qid=20100620131551AAVV1Oa
Os aviso de este nuevo virus cuidado con el si lo recibís no abrirloEl mensaje contiene archivos adjuntos1
Archivo (18KB)Foto del virus foto05.bmpOs paso como se borrar el nuevo virus que se propaga a traves de la
agenda de los correos.
Fotos 05/06 – ES UN VIRUS
Si te ha llegado el siguiente correo:
1 anexo(s) | Baixar anexo (198,7 KB) Imagem.jpg (198,7 KB)
10. tem você ai...
Con asunto: Fotos 05/06
No lo habras! Es un virus. Si ya lo has abierto estás infectado.
El virus abre un nuevo proceso oculto del Internet Explorer, que hace uso de tus credenciales de tu cliente
webmail (hotmail o gmail) y reenvía a todos tus contactos el virus, varias veces.
A día de hoy, no hay un antivirus que lo limpie, así que debes borrarlo manualmente.
Los pasos son:
1. Cerrar sesión en hotmail para que el virus deje de reenviarse a todos tus contactos.
2. Eliminar toda la información privada de Internet Explorer, pulsando Ctrl+Mayúsculas+Del
3. Matar los procesos del virus desde el Administrador de tareas: Ctrl+Alt+Del / Iniciar el Administrador de Tareas
/ Procesos / Ver procesos de todos los usuarios / Ordenar por nombre (Pinchar en la columna "Nombre de
Imagen") y buscar:
- xlr.exe
- xlr2.exe
(Con el botón derecho / Finalizar el árbol de tareas)
4. Borrar las claves de registro, para que al reiniciar el equipo no se vuelva a abrir el virus: TeclaDeWindows+R /
regedit.exe / Edición / Buscar y escribimos xlr.exe. Cuando lo encuentre, borrar todo lo que empiece por xlr.
Serán 2 o 4 claves, dependiendo de las veces que hayamos intentado abrir la foto.
5. Borrar la carpeta donde están copiados los ficheros del virus (C:CMOS): Abrir el explorador de archivos. La
carpeta está oculta, por lo que debes tener configurado el explorador de archivos para que permita ver archivos
ocultos. Si no ves una carpeta que se llame CMOS dentro de C:, haz lo siguiente: Pulsa tecla Alt / Herramientas /
Opciones de Carpeta / Ver / Archivos y Carpetas Ocultos / Mostrar Archivos, carpetas y unidades ocultos.
Ahora que ves la carpeta intenta eliminarla. Si da error, cámbiale el nombre a CMOSKKKKKK.
6. Reinicia el ordenador.
11. Si todo ha ido bien, ya no aparecerá el proceso xlr.exe en la lista de procesos, ni habrá aparecido de nuevo la
carpeta C:CMOS, y lo más importante, tus amigos dejarán de recibir el virus.
Si alguno de tus amigos ya ha abierto el correo y está también infectado, mándale este artículo.
Los Virus se ocultan en el Sistema Operativo y bloquean el antivirus para
protegerse.
¿Qué hacer para eliminar los virus si no los podemos ver?
Es común que, al introducir memorias o unidades extraíbles USB a computadoras de compañeros, oficinas,
escuelas, universidades, cibercafé, etc., se contaminen con programas que pueden dañar archivos de éstos
extraíbles o el sistema operativo de nuestras computadoras sino tenemos el cuidado apropiado al introducir las
unidades extraibles en computadoras propias después de haberlos insertado en computadoras infectadas.
A continuación voy a explicar pasos sencillos para eliminar los virus de manera manual…………
Tienes interés en saber cómo eliminar los virus…. Entra en el siguiente enlace: (Documento en
construcción, pero sirve, sólo que al descargar los antivirus recomendados busque los mas actualizados)
http://academiasefcnayarit.blogspot.com/2009/08/antivirus.html
Blog: http://academiasefcnayarit.blogspot.com/
Parte derecha del blog… en la etiqueta novedades, hay un enlace titulado: Eliminar virus.
Para quejas, sugerencias, felicitaciones o dudas, deja comentario en el blog.