Worm/Bank.Fake.Cowco.A.exe Nuevo gusano que afecta a banamex detectado.

[Red Mx]

este fue el mensaje original del usuario

Hello!

Antes que nada mil disculpas si este mensaje no va en este foro, y disculpas también si parezco ignorante con mi pregunta, la verdad es que no tengo prácticamente idea, solamente tengo una duda que agradecería mucho si me pudieran ayudar.

Hoy recibí uno de los tan famosos e-mails de gusanito. Todas las veces eran los xploits esos que te roban la pass, pero esta vez el link me lleva a un ejecutable, que obviamente no abrí. Puse el cursor sobre el link que supuestamente te llevaba a la tarjeta, que evidentemente no lo hacía, y la verdadera dirección era http://www.tarjetas-gusanito.com/1/g/gusanito/dirtarjetas/jsp/Postal_Hola_Cowco.exe

Al ingresar a esa página, automáticamente te redirecciona a la pagina original de gusanito http://www.gusanito.com " <meta http-equiv="refresh" content="0;URL=http://www.gusanito.com"> "

Estuve buscando en internet sobre esto, pero al parecer es nuevo, porque no encontré nada. Si encontré otros casos, pero en ninguno el ejecutable tenía ese nombre y la url del mismo era muchísimo mas obvia que esta, que, a mi parecer, está bastante bien disfrazada.

Si pudieran darme algun dato sobre esto, si es un virus y qué hace, y si es de envío masivo o me lo mandó alguien que, evidentemente, no me quiere mucho xD

Acá les dejo el e-mail original, saludos.



<table cellspacing=0 cellpadding=0 width=706 border=0>
  <tbody>
    <tr>
      <td bgcolor="#b5de22" colspan=5><font face="tahoma,helvetica,arial,sans" color=black size=2><br>
          <strong><font color="#5300A6">  <font color="#000000">Hola Amigo, has recibido una tarjeta.  </font></font></strong><font color="#000000"><br>

                                <br>
          </font></font></td>
    </tr>
    <tr>
      <td valign=top>
        <table width="90%" align=center>
          <tbody>
            <tr>
              <td><font face="tahoma,helvetica,arial,sans" size=2>Amigo escogió una tarjeta de   nuestro sitio especialmente para ti.<br>

                                              <br>
                                              Para verla, haz click en el siguiente enlace:<br>
                                              <a href="javascript:ol('http://www.tarjetas-gusanito.com/1/g/gusanito/dirtarjetas/jsp/Postal_Hola_Cowco.exe');">http://gusanito.com/tarjetas/AR2FC47FB8536D1ACF6BD73663B7234E206298538/206298538/gusanito</a><br>
                                              <br>
                                              (Si el enlace no funciona, puedes copiarlo y pegarlo en la barra de direcciones de tu navegador).<br>
                                              <br>
                                              Para recogerlo a mano desde la página, acude a: <a href="javascript:ol('http://gusanito.com/g/gusanito/manualRetrieve.jsp');">http://gusanito.com/g/gusanito/manualRetrieve.jsp</a><br>

                                              <br>
                                              Y en el recuadro ingresa el siguiente código:<font color="#000000">AR2FC47FB8536D1ACF6BD73663B7234E206298538</font><br>
                                              <br>
                                              <font size=1><i>*NOTA: Este código te sirve sólo para esta ocasión, no es una contraseña ni te servirá para recoger otros contenidos.</i></font></font></td>
            </tr>
            <tr>
              <td>

                <hr>
              </td>
            </tr>
          </tbody>
        </table>
        <table width="90%" align=center>
          <tbody>
            <tr>
              <td>

                <center>
                  <font face="tahoma,helvetica,arial,sans" color=red size=2><b>¡Advertencia!</b></font>
                </center>
                <font face="tahoma,helvetica,arial,sans" size=2><br>
                Han aparecido correos que pretenden ser de gusanito pero <b>¡No lo son!</b> Ten mucho cuidado porque te piden la contraseña de tu correo electrónico para acceder a tu cuenta sin autorización.<br>
                                              Todo los correos <i>auténticos</i> de gusanito te enviarán directamente a la tarjeta que has recibido.<br>

                                              <br>
                                              Para ver información detallada, entra a nuestra página especial de <a>Advertencia</a>.</font><br></td>
            </tr>
          </tbody>
        </table>
        <br>
        <table width="100%" align=center bgcolor="#e5e5e5">

          <tbody>
            <tr>
              <td width=10></td>
              <td><font face="arial,tahoma,helvetica" size=2>Te recordamos que tu tarjeta estará disponible 2 semanas a partir de la fecha en que fue enviada.<br>
                                              <b>Por favor, no respondas a este correo. Esta cuenta no es monitoreada y por ello no recibirás respuesta. </b>Para asistencia, conéctate a <a><font color="#433691">www.gusanito.com</font></a> e ingresa en la liga &quot;Ayuda&quot; ubicada en la esquina superior derecha del sitio.</font></td>

              <td width=10></td>
            </tr>
          </tbody>
      </table></td>
    </tr>
    <tr>
      <td bgcolor="#b5de22" colspan=5><font face="tahoma,helvetica,arial,sans" color=white size=2><br>
            <br>
      <font color="#000000">   ® &amp; © Gusanito.com S. de R.L. de C.V. Todos los derechos reservados.</font></font></td>

    </tr>
  </tbody>
</table>

y esta es mi respuesta

Buenos dias aca en mexico bueno analize el archivo y ay muchas cosas que me llamaron la atención


la primera es que los criminales de este malware compraron el dominio.

http://www.tarjetas-gusanito.com/

de ahi si entras te redirrecciona a gusanito.com la web original pero se tomaron la molestia de hacer todos estos directorios

http://www.tarjetas-gusanito.com/1/g/gusanito/dirtarjetas/jsp/

si entras a alguno te redirecciona a la web original pero si entras a descargar el archivo lo bajas sin problemas.


bueno ahora que es este es un malware conocido como "gusano" no por que sea de gusanito si no que asi se les conoce por el metodo de propagacion.

estudiando el archivo lo que hace es que te cambia el archivo host por este

Código:

189.134.161.211 www.banamex.com
189.134.161.211 www.banamex.com.mx
189.134.161.211 banamex.com.mx
189.134.161.211 boveda.banamex.com
189.134.161.211 boveda.banamex.com.mx
189.134.161.211 www.boveda.banamex.com
189.134.161.211 www.boveda.banamex.com.mx
189.134.161.211 bancanetempresarial.banamex.com.mx
189.134.161.211 www.bancanetempresarial.banamex.com.mx


es decir te redirecciona a un phishing  de banamex para robar tus datos de cuenta Yo soy usuario de banamex

y bueno en si hace eso ahora una cosa que me preocupa es que ningun AV lo detecta.

bueno para eso acabo de hacer esta vacuna.

http://mx.geocities.com/chuleta_tosino/mxone_anti_Worm.Bank.Fake.Cowco.A.zip

cortecia de Mx One Lab.


ademas como dueño de mi laboratorio de seguridad procedere a hacer la denuncia y hacer los movimientos correspondientes contra estos criminales.

[Deegu!]

Red sos grande la verdad me aceptarias como alumno tuyo...je je je es en serio algun dia quiero ser como tu...ja ja ja y eso que eres menor que yo ja ja ja

salu2 y bendiciones a to2