Revista Informática

Postal de Gusanito falsa con virus

Publicado el 15 abril 2013 por Zoomred

Gusanito es un conocido sitio web para el envío de tarjetas de felicitación virtuales, cuya fama es utilizada habitualmente por los ciberdelincuentes para enviar correos falsos en su nombre con la intención de engañar a los usuarios.
Como por ejemplo el siguiente email spam, con el asunto "Alguien que te quiere te ha enviado una Postal":

Alguien que te quiere te ha enviado una Postal

(Click para ampliar)


El formato es similar al de los correos originales, aunque con algunas diferencias. Para empezar en los correos auténticos de Gusanito figura como remitente [email protected], que como vemos no es lo que nos aparece en el email de spam. Otra diferencia es que en los correos legítimos siempre se dirigen al destinatario por su nombre y dicen también quién envía la tarjeta, en lugar del impersonal "Alguien te envió una postal de http://www.gusanito.com" que vemos en el falso. Y un detalle más, los correos auténticos nunca llevan un archivo adjunto con la supuesta tarjeta, sino un enlace que lleva a la página de Gusanito para ver la postal en la misma web.
En el caso de este correo spam se incluye un fichero adjunto comprimido en formato zip:
Postal de gusanito falsa con virus

Al descomprimir la carpeta nos encontramos con el siguiente archivo:
Postal gusanito

Le han puesto un nombre bastante largo y no se aprecia la extensión del fichero. Pero cambiando la vista de carpeta a iconos más pequeños podemos ver el nombre completo incluyendo la extensión:
exe postal gusanito

Bueno, la veremos si además previamente hemos habilitado la visualización de las extensiones de archivos, como ya comenté en una entrada anterior.
El caso es que para una tarjeta cabría esperar un formato de fichero de imagen (jpg, png, ...) y no un ejecutable "exe", lo cual ya nos alerta de que estamos ante un posible malware. Y efectivamente, lo he subido para analizar a Virustotal y en el momento de escribir esta entrada es detectado por 13 de 46 antivirus, de modo que si un usuario ejecuta el archivo adjunto en un ordenador con Windows infectará su equipo. Y no, no verá ninguna tarjeta.

Volver a la Portada de Logo Paperblog