Hoy recibí un correo muy extraño. Supuestamente provenía de PeruBlogs, diciendo que “alguien” me había mencionado en su sección de vídeos.
Hacer click para agrandar
Peru miercoles 16 de julio del 2008
Tu direccion de email fue mencionada en peruvideoblogs, seguramente un amigo o amiga estan hablando de ti.
Debido a nuestra politica de privacidad te invitamos a que verifiques el video donde hacen referencia a tu nombre y direccion de email.
En el caso que quieras denunciar o remover el video por favor comunicalo
Verifica los siguientes links por favor
http://www.perublogs.com.pe/xxxxxxxxxxxxxxxxxxxx.html
http://www.perublogs.com.pe/xxxxxxxxxxxxxxxxxxxx.html
http://www.perublogs.com.pe/xxxxxxxxxxxxxxxxxxxx.html
El remitente, videoblog@perublogs.com.pe. Y como dirección de respuesta figura pesy@cnn.com. Raro no?.
Click para agrandar
Dos de los tres enlaces conducían a archivos ejecutables, tal como se ve en estos screenshots:
Primer enlace: (hacer click para agrandar)
Segundo enlace: (ya saben que hacer para agrandar)
Tercer enlace: (a estas alturas ya mejor ni menciono que hagan click para agrandar no?)
Ahora, el mensaje evidentemente va dirigido a Bloggers. El lenguaje es “casi” impecable, salvo el “…seguramente un amigo o amiga estan hablando de ti…”, no se encuentra ningun otro hoygan en el texto. Como chico precavido que usa Linux y por lo tanto los ejecutables me tienen sin cuidado, descargué uno de los archivos, y lo puse a scanear en Jotti. los resultados fueron:
Scan taken on 17 Jul 2008 07:22:39 (GMT)
BitDefender Found Trojan.Crypt.Delf.F
ClamAV Found PUA.Packed.MEW-1
Ikarus Found IM-Worm.Win32.Sumom.C
Norman Virus Control Found W32/Suspicious_M.gen2
Sophos Antivirus Found Mal/EncPk-BU
VBA32 Found Downloader.Dadobra.15 (paranoid heuristics)
O sea. que si estaba infectado por lo menos uno de los archivos. Asi que había que buscar un responsable.
Atención, Si eres de las personas que le aburren o le llegan simplemente al pinguino las informaciones técnicas, pueden detenerse aquí y no seguir leyendo. La moraleja es la de siempre: NUNCA ABRIR ARCHIVOS ENVIADOS POR DESCONOCIDOS, POR MAS QUE DIGAN QUE TE CONOCEN, QUE TU NOVIO (A) TE ESTA SACANDO LA VUELTA Y LOS QUE TE ENVÍA SON FOTOS DE LA INFIDELIDAD, QUE HAS GANADO UN PREMIO, NADA DE ESO ES CIERTO Y BLA BLA BLA. AMEN.
Ahora si, para los Frikis. Había que indagar más sobre este asunto. Primero, saber de dónde provenía el correo. Que yo sepa, PerúBlogs es un dominio.com, así que revisé en supuesto perublogs.com.pe, y encontré que al menos la página no estaba montada. Al hacer un whois vía terminal (Ubuntu Power!), me salía conexion rechazada. Busqué la forma de hacer un Whois vía un servicio en la Red, pero salía que probablemente no estaba registrado. Sin embargo, al tratar de registrarlo en nic.pe, salía que ya estaba tomado, pero no pude hallar mayor información. Si algún amigo sabe cómo obtener el nombre del gracioso que tiene ese dominio, por favor aviseme.
Finalmente, busqué información sobre los servidores dodne estan alojados los archivos infectados, y encontré:
registrar: ONLINE SAS
type: Isp Option 1
address: 8 Rue de la Ville l’Ev�que
address: 75008 PARIS
country: FR
phone: +33 1 73 50 20 00
fax-no: +33 1 73 50 26 05
e-mail: hebergement@online.net
website: http://www.online.net
liste-r: N
registered: 01/04/1999
source: FRNIC
O sea nada. Probé con la segunda y basicamente fue lo mismo:
Registrars.Registrant:
Axel photo store
Krupanjska 16
Beograd, 11000
RSDomain name: AXELFOTO.COM
Con la tercera:
Registrant:
Janez Rojko
Volkmerjev cesta 30
Ptuj, Slovenia SI/2250
SloveniaRegistered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: SEVER-MARIBOR.COM
Created on: 14-May-04
Expires on: 14-May-09
Last Updated on: 31-Jul-04
Todas direcciones europeas. Probablemente el gracioso autor de esta farsa utilizó servidores gratuitos para llevar a cabo su fechoría. La clave está en descubrir el whois del dominio perublogs.com.pe.
Algo que también me gustaría hacer es desensamblar el Ejecutable, para saber a dónde o a quién le enviaría los datos que robe. Aunque probablemente los almacene en otro servidor gratuito, para que el gracioso lo pueda recoger luego anónimamente.
Como última acotación, al momento de estar haciendo todos estos whois, llegó un momento en que al parecer el terminal se colgó, o al menos no me dió mas respuestas de whois. Empiezo a dudar de la invulnerabilidad de Linux. Habrá que estudiar eso también.
Cuidense y ya saben, a no abrir todo lo que llega al correo.
ACTUALIZACIÓN: 17/07/2008 16:25 h: Hace un par de horas me ha llegado nuevamente el mencionado correo, el contenido es el mismo, pero esta vez la direccion de respuesta es 54145@gmail.com.
Asimismo he leido en el blog de PeruBlogs, y en Computerz3, que Perúblogs se ha comunicado con los administradores del sitio desde donde envian los correos, y éstos les han confirmado el retiro de los archivos. Sin embargo, a esta hora he comprobado que la situación es la misma que hace 13 horas que descargué y analicé los archivos. Éstos aún están disponibles en la red para su descarga y ejecución por algún incauto que llegue a caer en esta trampa.
Entradas relacionadas:
on Jul 17th, 2008 at 9:20
Bueno, yo tambien recibi el dichoso mensaje.
No entiendo como no pudiste conocer el whois si es informacion publica de nic.pe, ahi se publica esto:
Nombre del dominio : perublogs.com.pe
Estado del dominio : Activo
Nombre del titular : javier santiago albarracin valdivia
Contacto administrativo : Javier Santiago Albarracin Valdivia
Correo electrónico de contacto administrativo : javier@azulcielo.com
Esa informacion es publica y aparece en https://www.nic.pe/nic_whois.php
He seguido investigando, pero quiza tu puedas hacer mas cosas, te lo dejo.
Saludos.
on Jul 17th, 2008 at 9:26
Hola Victor David:
Gracias por la informacion. Hay que tener en cuenta que este post lo hice de madrugada y por tanto algo dormido. Por otro lado, dejame decirte que a mi no me carga la pagina de nic.pe/nic_whois.php (la principal nic.pe me carga de manera normal), ni en mi casa ni en el trabajo, que es donde estoy ahora.
Que raro no?
Bueno, gracias pro la info.
Seguiremos investigando.
on Jul 17th, 2008 at 16:44
apuntado, gracias!!
on Jul 17th, 2008 at 20:43
Pero tengo una gran duda Clonpi como saben sus correos de ustedes? bueno mi blog es nuevo seguro no cataron mi email pero el caso seria que hay algun bug en la BD de PeruBlogs para obtener sus email y esten mandando estos supuestos mensajes ?? o sus email estan libres en los perfiles de PeruBlogs ?
on Jul 17th, 2008 at 23:43
Olaa, tengo una duda, yooo abri el mensaje, le pinche a 2 de los primeros enlases y se me colgo la pc, lo reinicie y todo normal, estara con algo mi PC¿?
on Jul 18th, 2008 at 9:46
Hola jassy:
Si, bueno siempre trato de avisar de estas cosas, es bueno cuidarse.
Computer Z3:
Francamente no me habia puesto a pensar en eso. Pero lo raro es que el correo al que me llego esta info no es el que tengo registrado en PeruBlogs. Espero se esclaresca pronto ese detalle.
Briand:
Estoy 99.99% seguro de que tu PC ha quedado infectada. Despues de todo, el objetivo de un troyano no es malograr nada en tu PC, sino robarte información, tal como contraseñas, numeros de tarjetas de credito, etc.
Si te roban la contraseña de tu Blog, pueden robartelo, y si roban la contraseña de tu correo, pueden quitartelo o usarlo sin tu consentimiento para enviar spam o seguir propagando sus virus.
En fin, no soy un experto en antivirus, pero voy a recomendarte a los especialistas, al menos a mi siempre me sacaron de apuros cuando usaba Winbugs, anda a esta dirección, ahí encontrarás todo lo necesario para desinfectar tu PC:
http://www.forospyware.com/t8.html
Bueno luego de la desinfeccion te recomiendo que cambies tus contraseñas, porque al momento de infectarte, es probable que ya hayan sido enviadas a nuestro “gracioso”.
Saludos
on Jul 18th, 2008 at 9:49
Ah, y usen Firefox muchachos, es mucho mas seguro.
on Jul 18th, 2008 at 10:13
A mi tb me llego ese bendito email pero como yo uso un gestor de descargas (IDM) me advirtio q me iba a descargar un archivo .exe y ahi me di cuenta q era un troyano. Y tambien digo lo mismo, no usen IE es un asco.
on Jul 18th, 2008 at 10:18
y otra cosa
no creo q haya un bug en perublogs pues como ven yo no tengo cuenta y a mi tb me llego el email.
Quizas este email fue enviado por algun conocido nuestro q quiere jorobar el dia.
on Jul 19th, 2008 at 3:56
Eres mi idolo!!!!!
(aunque casi no entendi nada al comienzo, se ahora que todo esto esta pasando y me alegra que nos avises
jejjeje)
on Jul 19th, 2008 at 5:57
Hola Estos son los datos del Dominio perublogs.com.pe!!
Datos del dominio
Nombre del dominio : perublogs.com.pe
Estado del dominio : Activo
Nombre del titular : javier santiago albarracin valdivia
Contacto administrativo : Javier Santiago Albarracin Valdivia
Correo electrónico de contacto administrativo : javier@azulcielo.com
REGISTROS DNS ACTIVOS
Dominios sin DNS Activos
on Jul 19th, 2008 at 11:20
A mi tambien me llego pero claro! no eh puesto ejecutar ni guardar!, más bien lo detuve la pagina y salio este link muy aparte de los ya mencionados.
http://kelien.free.fr/EDITADOPORCLONPI/Videoblog_Peru-multimedia.exe
on Jul 19th, 2008 at 11:46
Hola dieg0armand0:
Es lo bueno de usar un gestor de descargas, en todo caso, si usas Firefox también te hubiera avisado. Sobre lo del bug, lamentablemente he notado que el dueño de blogsperu.com es el mismo dueño de blogsperu.com.pe , de donde vienen esos ataques. En fin, en el proximo post pondre todas mis averiguaciones.
Truly! gracias por lo de idolo yeeeeeeeeeeeee. Hay que estar enterados pues.
Rojerh: Creo que esa información ya me la había dado el primer comentarista, pero gracias por tomarte la molestia de buscarlo.
Klau: Que bueno que seas una persona precavida, me alegro que no hayas caido.
Pero sólo una acotación, he desactivado el link que pusiste, porque conducía directamente al troyanooooo. No quiero ser centro de descargas de esas cosas.
Saludos a todos y gracias por sus comentarios.
on Jul 21st, 2008 at 8:48
bueeeno llegué yo ^^
no puedo creer que tan siquiera siguieses el link… aun a sabiendas que tenia un virus…
a mi me pasa que mucha gente me conoce, y cuando mandan cosas asi, pregunto… si dice “mira quien te borró en msn” o cosas como “un amigo te busca..” es obvio que son cosas de spam y publicidad, o en este caso, virus…
me parece que lo peor de todo es que los afectados somos los bloggeros, ya que en nuestra buena fe, ponemos nuestros emails y nos atocigan (por no decir ladillan xDD) con esto… en mi caso, lo ultimo que me paso fue que alguien me agrgó y me dijo “di algo filosofico” sin un “hola” antes… que descaro… jajaja
por cierto “ahora si, para los frikis” jajajaja
saludos man
on Jul 22nd, 2008 at 21:23
Hola sdjrp:
Que gusto volver a verte por aqui.
Jeje el link lo seguí porque, como dice el post, estaba bajo Linux, y en Linux no funcionan los ejecutables, aunque de todos modos en Winbugs no iba a pasar nada si solo lo descargaba y no lo ejecutaba.
En fin, constantemente me llegan desde tarjetitas virtuales, hasta el mensaje ese de “si envias este correo a 8 contactos te enviaremos una portatil Sony Ericsson, no es broma!”.
Y hace tiempo que no caigo en esas trampas tan tontas.
Lo que si, yo jamas acepto en el messenger a alguien que no conosca personalmente, eso me mantene libre de leer muchas cositas no aptas para mi pobre higado.
Y eso de los frikis, si pues, algunas personas encuentran interesante el post, pero se empiezan a aburrir cuando vienen las cuestiones tecnicas. Con ellos es mejor cortar por lo sano, despues de todo, no todos tienen que ser frikis no?.
Y, respecto a eso, creo que voy a abrir una nueva categoria en el Blog, que se llame “cosas frikis”. a ver que tal me va.
Saludos.
on Jul 28th, 2008 at 13:17
Tambien recibi ese correo y aun correo de trabajo, lo que me descuadra totalmente es como averiguan tus correos por lo que veo solo envia a un grupo como deciden a quien si y a quien, en algun momento pense que podria ser alguien conocido que sepa de mis correos… Lo que si necesito es saber como eliminar a esa gente que solo es capaz de querer perjudicar a los demas…
on Jul 31st, 2008 at 0:36
Hola eros:
Bueno creo que dificilmente va a ser alguien conocido, de todos modos, quisiera poner mis conclusiones sobre este asunto en un post pero me falta tiempo.
Lamentablemente todo parece indicar que el dueño del servidor donde se envian estos correos es el mismo que perublogs.com , lo cual indica que no es ningun bug en su base de datos, sino que intencionalmente fueron enviados todos esos correos con troyano.
Y si lo que quieres es eliminar, bueno puedes marcarlo como no deseado, o crear un filtro en tu correo, cosa que cualquier correo de esa direccion quede automaticamente descartado. Es mas, proximamente espero tener tiempo de hacer un tuto respecto de ese tema.
Saludos
on Ago 13th, 2008 at 17:42
Hola, muchas gracias por alertar a todos de estas tacticas usadas por hackers. Lamentablemente usan nuestra marca. Nosotros nos hemos contactado con los sitios web del primer envio, pero este parece ser un nuevo email. Recomendamos mucha cautela con todos los emails que reciben.
Perúblogs.com no ha enviado esos correos electronicos.
on Ago 13th, 2008 at 17:45
Los correos no salen de nuestro servidor, seguramente han sido obtenidos de otra manera. Muchas personas que no están registradas en Perublogs han recibido correos también. Definitivamente se trata de un envio masivo.
on Ago 15th, 2008 at 8:44
Hola Javier:
Justamente respecto de ese punto he sido muy cauteloso de no sacar conclusiones apresuradas.
Estoy seguro de que Perublogs no tendría ninguna motivación para cometer este acto, y espero que con este, y otros post se prevenga a la gente y este tipo de fraude no vuelva a funcionar.
Un gran saludo.