Virus

Campaña maliciosa por correo electrónico

Se han encontrado dos campañas maliciosas usando el tema de la política del Tibet como gancho para infectar equipos con código malicioso, uno de ellos muestra como remitente a Alienvault, el mensaje advierte sobre la campaña maliciosa en el sitio, e invita al usuario a dar click en una liga incluida en el mensaje para obtener más información, lo cual los lleva a un sitio donde se descarga JAVA_RHINO.AE., el cual, una vez ejecutado, explota la vulnerabilidad en Java Runtime Environment para dejar otro programa malicioso. Por otra parte, JAVA_RHINO.AE revisa el sistema operativo antes de dejar el archivo malicioso, si el sistema corre bajo Windows, el programa deja TROJ_RHINO.AE, si por el contrario usa Mac OS, el programa deja OSX_RHINO.AE. Ambos programas se conectan a sitios específicos para mandar y recibir información, como nombre de usuario y hostname.

El segundo correo es supuestamente de una personalidad Tibetana en la Ciudad de Nueva York, el correo también advierte sobre cierto correo circulando usando el mismo nombre, el correo contiene un archivo adjunto .DOC denominado tenTips.doc, el cual de hecho es un programa malicioso detectado como TROJ_ARTIEF.FQ., que explota la vulnerabilidad RTF Stack Buffer Overflow (CVE-2010-3333) para dejar el archivo BKDR_VISEL.FQ, el cual ejecuta comandos específicos de un usuario remoto