Español | English
rss facebook linkedin Twitter

Love You..

No, no es una declaración de amor ni un sentimiento irracional. Es la nueva acometida de nuestra amiga Storm, en busca de nuevos ordenadores para sus huestes. Desde hace unas horas, nuestra botnet favorita está enviando millones de correos con un simple mensaje: 'I Love You'. Y en el contenido del mensaje, aún más profundos los sentimientos que expresa: 'Pages from My Heart http://x.x.x.x'. (¿Por qué el from no empieza por mayúscula?)

Si nos conectamos a la página que se almacena en uno de los ordenadores que forma parte de Storm, un ordenador totalmente normal donde seguramente su dueño no se ha dado cuenta lo que está haciendo (sí que notara una degradación en su ancho de banda), obtenemos la siguiente página:
Your download should start automatically in a few seconds. If not, click here to start the download.
Que nos hará bajar el código para que nos infectemos. En esta ocasión, no parece que intente infectar a la gente utilizando drive-by exploits, sino que tan sólo espera que la gente ejecute el programa.

De nuevo, también utiliza nginx para tanto mostrar la página de 'Love You..' como para servir el binario iloveyou.exe. Para los que no conozcáis nginx, es un servidor HTTP que tiene funciones de proxy muy utilizado no sólo en Rusia, sino en muchos sites importantes en Internet (un 4%), pero que además, es también muy utilizado en numerosos casos de malware, además de ser el preferido cuando hablamos de flast-flux que protegen su mothership...

Recién salido del horno: compilado hoy 19 de Mayo de 2008 (no virus detected)

Ahora mismo utiliza 4 dominios para comunicarse con sus peers, un .com y tres .cn. Esperaremos el siguiente paso.

David Barroso
S21sec e-crime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login