Si usted recibe un correo electrónico con el asunto Su orden #F8A2198CD8E a
total de 576.00$ fue aceptado tenga mucho cuidado es una web trampa para
instalarle un programa que roba claves.
Captura del correo electrónico:
Cuando presionamos sobre el enlace que contiene dicho correo nos envía a esta
web: http://frandenburg-online.net
Esta web por medio de IFRAME nos descarga un fichero llamado; xpl.wmf
Si su equipo trabaja bajo sistemas operativos Microsoft y no esta actualizado
con los últimos parches de seguridad nos ejecutara el fichero y este a su vez
realiza una descarga de un fichero llamado a.exe que se ejecutara sin permiso
del usuario de la maquina. Este programa es troyano para robar claves.
Ampliar imagen.
http://frandenburg-online.net/boom.htm
-IMPORTANTE como borrar el troyano-
El programa a.exe se ejecuta de la siguiente forma
En windows 2000;
"c:winntsystem32regsvr32.exe" /s c:winntsystem32msnscps.dll
En XP;
:
"c:windowssystem32regsvr32.exe" /s c:windowssystem32msnscps.dll
Tenemos que borrar este fichero; msnscps.dll
La Asociación de Internautas alerto de un caso de phishing bancario que usaba
esta técnica pero la entidad no era española y el peligro era bajo en nuestro
país, pero en este caso el ataque se produce a todos los hispano parlantes y el
peligro es considerado muy grave ya que hay millones de maquinas que aun no
están actualizadas con el nuevo parche de seguridad.
Para no llevarnos ninguna sorpresa se recomienda tener actualizado nuestro
sistema y parchear esta grave vulnerabilidad, mas información en:
Boletines de Seguridad Microsoft - Enero 2006
|