Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 3 de febrero de 2009

Propagación masiva de malware en falsos códecs

En alguna otra oportunidad había comentado que tanto los creadores como diseminadores de códigos maliciosos continúan haciendo uso de viejas y por demás conocidas técnicas de engaño como lo es la propagación de malware a través de falsos códecs, supuestamente necesarios para la visualización de falsos videos.

Esta conocida técnica de engaño (Ingeniería Social visual) se encuentra siendo activamente utilizada y de manera masiva para la diseminación de troyanos downloader. El nombre de los troyanos pueden ser:

TubeViewer.ver.6.exe (MD5: 1E66BEFC96CBC87FE58A8167A287ADA9)
TubePlayer.v.9.exe (MD5: 88427AF3D5DD4F641589AA0D2D40DB59)
tubeviewerfile.exe (MD5: 64C66D519FFFD889221436E09721F403)
tubeviewerfile.exe (MD5: 1F7D97194AD503A6B355DF1CEFBF001F0)
tubeviewerfile.exe (MD5: 5F25C00280E0F9075E47DCB06E908B15)
tubeviewerfile.exe (MD5: B120D58ACC1CE584E07C5F648A45AD01)
tubeviewerfile.exe (MD5: 429E897FAE57E5EA19C81B39D3745CC6)
TestCodec.v.3.127.exe (MD5: 1E2404CBAFB1E617AB0B0D3DB3EF46E3)
FlashPlayer.v.exe (MD5: CD612747CF868DF8647D47DE23AED47F)


En este caso, todas las url’s desde donde se descarga el malware son páginas pornográficas, un recurso altamente explotado para intentar infectar los sistemas de los usuarios que recurren a este tipo de sitios.

digg .com/celebrity/Namitha_Nude_Video
broken-tv .com/broadcast/?d=Namitha_nude
tube-nonstop-videos-sluts .com/xplaymovie .php?id=20081
2009-tube-collection .com/xplay .php?id=20467
tube-sex-xxx-tube .com/xplays .php?id=1802
tube-sex-xxx-tube .com/xplay .php?id=1760
tube-sex-xxx-tube.com/xplay.php?id=1819
streamingonlinetube .com/xplaymovie .php?id=385
streamingonlinetube .com/xplaymovie .php?id=334
celebnudestars .net/index .php?q=Gay%20Group%20Sex%20Video
celebnudestars .net
xxxporn-tube .com/123/2/FFFFFF/3127/TestCodec/Best
xxxporn-tube .com
brakeextra .com
uporntube-07 .com
porntubenew .com
tubeporn08 .com
tubeporn09 .com
porn-tube09 .com


Otras temáticas muy explotadas es la descarga de warez, crack, keygen, etc., donde lejos de descargar el programa deseado por el usuario, lo que se descarga es un malware. Que de hecho, la mayoría de las direcciones expuestas en este post comparten la misma dirección IP junto a otros dominios registrados que hacen alusión a la descarga de software pero aún sin contenido como:

opera-extra .com
player-codec .biz

quicktimeupdate .com

shortdownload .com

soft-free-updates .com

spacekeys .net

turboplayer .net

keyengage .net

mega-player .net

xp-extra .com


Por lo que quizás, dentro de poco nos enteremos de una nueva oleada de propagación de malware a través de estos dominios.


Información relacionada:
Técnicas de engaño que no pasan de moda

# pistus

Ver más