A las 20:07 del 15 de agosto hemos recibido el siguiente mensaje
Si pinchas en el enlace, vas a una página donde aparentemente puedes leer la noticia. Sin embargo, mientras el usuario lee la noticia, la página incluye un script para explotar una vulnerabilidad del Internet Explorer e instalar malware de forma automática
A efectos prácticos, a través del archivo w.hta descarga y ejecuta en tu sistema el archivo c:\fh4uh.exe, que a su vez es un troyano que descarga y ejecuta el archivo win32sbd.exe, y éste a su vez se copia en la carpeta SYSTEM de Windows como SMSS.EXE, que finalmente es como queda instalado el troyano en tu sistema.
Si analizamos los ejecutables con los distintos antivirus del laboratorio, obtenemos los siguientes resultados:
Archivo: fh4uh.exe
Fecha: 16/08/2005 01:46:53 (CET)
----
AntiVir :: no ha detectado nada
Avast :: no ha detectado nada
AVG :: no ha detectado nada
Avira :: no ha detectado nada
BitDefender :: ha detectado [BehavesLike:Trojan.Downloader]
CAT-QuickHeal :: no ha detectado nada
ClamAV :: no ha detectado nada
DrWeb :: no ha detectado nada
eTrust-Iris :: no ha detectado nada
eTrust-Vet :: no ha detectado nada
Fortinet :: ha detectado [suspicious]
F-Prot :: no ha detectado nada
Ikarus :: no ha detectado nada
Kaspersky :: no ha detectado nada
McAfee :: no ha detectado nada
NOD32v2 :: no ha detectado nada
Norman :: no ha detectado nada
Panda :: no ha detectado nada
Sophos :: ha detectado [Troj/Borodr-Fam]
Sybari :: ha detectado [Troj/Borodr-Fam]
Symantec :: no ha detectado nada
TheHacker :: no ha detectado nada
TrendMicro :: no ha detectado nada
VBA32 :: no ha detectado nada
Archivo: SMSS.EXE
Fecha: 16/08/2005 01:46:57 (CET)
----
AntiVir :: ha detectado [Worm/Robobot]
Avast :: no ha detectado nada
AVG :: no ha detectado nada
Avira :: ha detectado [Worm/Robobot]
BitDefender :: ha detectado [BehavesLike:Win32.IRC-Backdoor]
CAT-QuickHeal :: no ha detectado nada
ClamAV :: no ha detectado nada
DrWeb :: no ha detectado nada
eTrust-Iris :: no ha detectado nada
eTrust-Vet :: no ha detectado nada
Fortinet :: ha detectado [W32/Dedler.fam-net]
F-Prot :: ha detectado [could be infected with an unknown virus]
Ikarus :: ha detectado [Backdoor.Win32.Robobot.P]
Kaspersky :: ha detectado [Backdoor.Win32.Robobot.ak]
McAfee :: no ha detectado nada
NOD32v2 :: ha detectado [a variant of Win32/Robobot]
Norman :: no ha detectado nada
Panda :: no ha detectado nada
Sophos :: no ha detectado nada
Sybari :: ha detectado [Backdoor.Win32.Robobot.ak]
Symantec :: no ha detectado nada
TheHacker :: no ha detectado nada
TrendMicro :: no ha detectado nada
VBA32 :: ha detectado [suspected of Trojan.Proxy.Agent.6]
En el momento de escribir estas líneas los sitios que hospedan los exploits y troyanos siguen activos. PRECAUCIÓN. En el caso de sistemas Windows, os recordamos, una vez más, la imperiosa necesidad de tener instaladas las últimas actualizaciones. De lo contrario...
