Blog Laboratorio Hispasec

Volver a Principal

Febrero 2012

Lun	Mar	Mie	Jue	Vie	Sab	Dom
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29

Últimas Entradas

¿Te han llamado alguna vez preguntando por servicios sexuales?(01/18 13:23)
Hispasec en la I Jornada: "Seguridad en las Comunicaciones y la Información" de Sevilla(11/15 08:55)
La fuente del conocimiento(11/14 10:01)
Hispasec en el blog del Observatorio de seguridad de INTECO(11/03 08:35)
Crónica de #5EBloggers(10/27 10:11)
Práctico: Falsificación de certificados en Qt(10/20 14:29)
Índice del libro(10/20 08:37)
Ya está en la oficina "Máxima seguridad en Windows: Secretos Técnicos"(10/17 12:16)
Aclaración sobre la una-al-día "Códigos QR y malware" (10/07 08:39)
Flashback durante mudanza de madrugada(10/04 03:35)

Categorías

Noticias (44 items)
VirusTotal (53 items)
Hispasec (50 items)
Humor (49 items)
Malware (92 items)
Vulnerabilidades (32 items)
Phishing (20 items)
Hacking (13 items)
Frases (7 items)
Libros (6 items)
Herramientas (8 items)
Cursos y Certificaciones (13 items)

Archivos

Enero 2012
Noviembre 2011
Octubre 2011
Septiembre 2011
Agosto 2011
Julio 2011
Junio 2011
Mayo 2011
Abril 2011
Marzo 2011

10

diciembre
2005

Spam de puertas traseras, en español

Falsea su procedencia desde "Microsoft"

Debido a las numerosas comunicaciones que hemos recibido últimamente sobre personas que han ejecutado un supuesto parche de microsoft, a continuación, reproducimos el spam y un breve análisis sobre los distintos archivos:

Cuando pinchamos en el enlace a microsoft.com realmente estamos descargando el archivo http://www.austria-arbeit.com/update/update.exe.

Al pasar el archivo descargado por VirusTotal observamos que aun ningún antivirus detecta que se trate de un fichero malicioso:

Tras un rápido desempaquetado y echarle un vistazo al binario nos indica su actividad:

Trata de descargar e instalar el fichero "syshost.exe" que pasado a su vez también por VirusTotal vemos que se trata de una puerta trasera bien conocida.

Enviado por fsantos a las 18:41 | Enlace permanente | Comentarios (5) | Trackbacks (0)

<< ¿Sophos es el antivirus de Gmail? | Principal | Firewall y Cisco, película y libro >>

Comentarios

Re: Spam de puertas traseras, en español

Menos mal que se nota que se trata de una traducción al castellano deficiente (por ordenador o manual), pero se ven los latino-americanismos.
Por otra parte, está claro que si el malware llega en segunda instancia,no directamente, los antivirus parecen quedar anulados.

Posted by: sopadeajo at diciembre 11,2005 18:15

Re: Spam de puertas traseras, en español

Andaba yo buscando un editor HEX, ¿cual has empleado?

Buen análisis

Posted by: mike at diciembre 11,2005 23:52

Re: Spam de puertas traseras, en español

sopadeajo: si tienes un antivirus residente al ejecutar el syshost.exe te lo hubiera detectado.
mike: echale un vistazo al winhex como verás es más que un simple editor hexadecimal.

Posted by: fsantos at diciembre 12,2005 11:10

Re: Spam de puertas traseras, en español

Prueba el PSPad que también trae editor Hexadecimal y además es gratuito,

http://www.pspad.com/en/

Posted by: NetVicious at diciembre 14,2005 16:41

Re: Spam de puertas traseras, en español

soy un craker quiero ayudar al inteernet pero con esta inseguridad que hay hasta a mi me han atacado y atacan casi siempre es por los programas p2p ejemplo: emule,sherazea,kazaaaa ect

Posted by: goku at noviembre 28,2006 02:19

Trackbacks

Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/80/tbZ3ping
Reemplazando "nospam" por "com"

No hay trackbacks.

Enviar un comentario

Creative Commons 2005-2011. HISPASEC SISTEMAS.