|
| Phishing: la clave o la vida. |
[Enviar al administrador] |
 La semana pasada fui infectado por el troyano WSNPOEM. La cosa es que el avast borró los archivos correspondientes pero el firewall me sigue avisando de que svchost.exe (que es un proceso fundamental de windows y no debe borrarse) se intenta conectar a nimolp.net 92.62.101.8 . Le he pasado el avast, el ad-aware, a-square y he borrado mil registros que aparecían en internet relacionados con el virus y nada, ahí sigue. Le tengo bloqueada la conexión a esa IP e imagino que estoy más o menos seguro.
Pero vayamos a lo importante, buscando información sobre dicho virus, me encontré una página en alemán con bastante información (abuse.ch). Hoy he vuelto a visitarla para ver si había novedades acerca del virus y he encontrado esta nota:
(traducido torticeramente del alemán)
"Debido a los acontecimientos y al interés que pudiera despertar mi situación paso a describir brevemente los hecho: En mi blog (abuse.ch) traté de divulgar desde principios del año 2008 los peligros excesivos en la Internet. Pongo el foco de tal modo en los correos de Spam y de virus, que afectan sobretodo a Suiza.
El caso que nos concierne es por un troyano ya visto repetidas veces que sustrae claves de banco llamado "WSNPoem" , que se enviaba por email con el texto en alemán.
Después de la infección por el troyano todos los datos de login bancario en línea eran espiados por la computadora infectada y se enviaban al pirata informático. Así la cuadrilla criminal podría conseguir acceso sin impedimentos con la ayuda del login robado a las cuentas bancarias y a las transferencias. Ante tales oleadas de Spam fui el primero en Internet que avisó a la población sobre los peligros del troyano. Así que fui el primero en meter el dedo en el ojo a la cuadrilla. El último miércoles (el 30 de julio de 2008) el cibercriminal - como respuesta a mis indagaciones sobre el virus - comenzó un ataque substancial de DDoS contra mi blog (abuse.ch). No contentos con tirar mi sitio web a la 01:00 (GMT + 0200) de la noche del lunes al martes comenzaron una campaña contra mi persona.
Enviaron cientos de miles de emails falsos con una amenaza alegada de suicidio a cuentas de email suizas. Y falsearon el remitente usando mi email privado como cuenta desde la que se enviaban dichos emails (la falsificación de remitentes en Internet es simple. Cualquiera puede enviar un email con cualquier remite con métodos básicos). Poco después del primer envío muchos de esos mensajes se reenviaron a la policía cantonal de Zurich en grandes cantidades además de las llamadas de los ciudadanos ansiosos por mis supuestas intenciones de suicidio y asesinato. En apenas 20 minutos (aproximadamente a las 02:00) una gran cantidad de policías cantonales de Zurich se llegaron a la puerta de mi casa. De tal modo que me despertaron con el consiguiente susto. Pronto me dí cuenta de que aquello tenía que ver con lo ocurrido en abuse.ch y que era el siguiente paso después de sufrir el ataque de DDoS.
Me pidieron abrir mi email donde descubrí entonces que tenía almacenados ya sobre 1.500 avisos de falta de entrega. Después de discutir durante 90 minutos conseguí convencer a la policía de Zurich de que los email no los había enviado yo. Después pasar la noche en vela vi que por la mañana seguían enviándose innumerables emails y recibí las llamadas telefónicas de periodistas. Poco después de mediodía otro ataque de DDoS comenzó contra mi conexión privada de ADSL, que continuó hasta al mediodía del 6 de agosto de 2008.
Hasta hoy he recibido sobre 10.000 avisos de la falta de entrega y así como respuestas personales en contestación al falso mail de suicidio. El contenido de estas respuestas han sido variadas desde "Le ayudaré" hasta "sí, hágalo". Por toda Suiza la policía recibió centenares de llamadas de la población. También interesantes fueron los comentarios de la noticia en los medios online (heise.de, 20min.ch, zdnet.de etc.): Muchos se expresaron positivamente en lo referente a mis búsquedas en el Internet y me deseaban mucha suerte. Debido a los ataques contra mí y a mi Web site así como por la resonancia positiva de la población me siento animado a seguir con mi trabajo. El flujo de información por mis artículos parece también haber sensibilizado a la población con la Seguridad en Internet. Finalmente quisiera agradecer a los lectores de mi blog su fidelidad. Así son los hechos y así se los comunico.
abuse.ch
Datum: 6. August 2008
Version 1.3"
Acojonante, ¿verdad?.
|
| Ergo 12:04 - 8/08/2008 |
Comentar / Responder |
|
Re: Phishing: la clave o la vida. |
[Enviar al administrador] |
| |
Soy el autor del post. Ya he solucionado el problema de que el svchost.exe se intentase conectar con nimolp.net 92.62.101.8 .
Lo he tenido que hacer yo con la información de la página http://www.threatexpert.com/report.aspx?uid=b6de2230-87b3-4396-b9bb-dbd88d6d9091 ya que la mierda del avast y demás antispyware no encontraban nada.
He borrado C:\Archivos de programa\Microsoft Common\wuauclt.exe y he hecho una busqueda con regedit para cepillarme los registros
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
Debugger = "%ProgramFiles%\Microsoft Common\wuauclt.exe"
y
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
ProxyEnable = 0x00000000
Con eso parece que con eso se ha solucionado.
Espero que sirva de ayuda a los que pudiesen tener el problema ya que a mí me ha costado un buen tiempo encontrar la solución.
|
|
Anónimo 3:10 - 18/08/2008 |
Comentar / Responder |
|
|
|
|
|
