Título: Mail recibido Publicado por: logistica en 28 Septiembre 2011, 07:50 am Hola, he recibido un mail de una persona de mis contactos, por lo que no he dudado en principio de que fuera nada raro. El asunto ponia "es la caña!" y en el mail habia un enlace que ponia "Click para ver imagen adjunta". Si te pones encima del enlace sin clickarle aparece esta direccion: "http://lv6.me/eS/?m=yoc3em2&n=Fran&p=logistica@xxxxx.com" Las xxxx son el dominio de mi empresa que no lo pongo por seguridad. Cuando le dabas click al enlace se abria un Internet Explorer y abria una pagina http://69.64.54.115/continuar.php?n=Fran en la que me salia un mensaje:
Hola Fran ! Si quieres continuar verifica que eres mayor de edad! Aceptar tanto si le doy a aceptar como si le doy a la x de la esquina no hacia nada y se abre el google, que es mi pagina de inicio. no se si puede ser algun tipo de malware. ahora pasare algunos programas que tengo, pero antes queria ver que opinabais. gracias y un saludo. Título: Re: Mail recibido Publicado por: skapunky en 28 Septiembre 2011, 10:54 am Podría ser varias opciónes, desde un malware que aproveche algún bug ejecutandose desde el navegador o por ejemplo un javascript o algo similar. Te recomiendo dos cosas:
1º Utiliza mozilla firefox, es bastante seguro y tienes (addons) añadidos para mejorar la seguridad. 2º No habras mails que desconfies, aunque el emisor sea un contacto conocido hoy dia se recíbe mucho spam/phishing con emails generados con el correo falsificado. Hicíste bien de fijarte en la URL y ya sabes, ante la duda pregunta al conocído antes de abrir un enlace o descargar algo. Si quieres, puedes pegarnos un log del hijackthis, es un programa que hará un resumen de procesos, claves del registro... de tu ordenador para ver si hay malware. El hijackthis lo puedes encontrar en la siguiente web: http://es.trendmicro.com/es/products/personal/free-tools-and-services/ Es muy facil de utilizar, lo ejecutas y le das a analisis y crear log, luego lo pegas aquí. Título: Re: Mail recibido Publicado por: logistica en 28 Septiembre 2011, 11:01 am Gracias skapunky.
Dejo el log a ver si ves algo raro. gracias nuevamente. Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 11:00:58, on 28/09/2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Archivos de programa\WinZip\WZQKPICK.EXE C:\ARCHIV~1\NETSUP~1\client32.exe C:\Archivos de programa\CATCert\Clauer idCAT\clos-win.exe C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Archivos de programa\Java\jre6\bin\jqs.exe C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Archivos de programa\Archivos comunes\Java\Java Update\jucheck.exe C:\Archivos de programa\Internet Explorer\iexplore.exe C:\Archivos de programa\Internet Explorer\iexplore.exe C:\Archivos de programa\Internet Explorer\iexplore.exe C:\WINDOWS\system32\WISPTIS.EXE C:\Documents and Settings\Francisco\Escritorio\desinfectar\hijackthis.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\SoftwareDistribution\Download\Install\windows-kb890830-v4.0-delta.exe c:\9ed8b835757b7d48c0ddaf63111c01\mrtstub.exe C:\WINDOWS\system32\MRT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [ClauerUpdate] C:\Archivos de programa\CATCert\Clauer idCAT\ClUpdate.exe /ini O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Free YouTube Download - C:\Documents and Settings\Francisco\Datos de programa\DVDVideoSoftIEHelpers\freeyoutubedownload.htm O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Documents and Settings\Francisco\Datos de programa\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://web.atar.rima-tde.net/sdccommon/download/tgctlcm.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {3CA45906-EF10-4E4E-9BE4-B444D220FCB0} (Uploader Control) - http://ua.foto.com/ImageUploader6.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www2.agenciatributaria.gob.es/es13/h/cactivex.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E7963B23-D275-48C9-A96D-90FA48FC6527}: NameServer = 80.58.61.250,80.58.61.254 O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Client32 - NetSupport Ltd - C:\ARCHIV~1\NETSUP~1\client32.exe O23 - Service: CLOS - UJI per a CATCert - C:\Archivos de programa\CATCert\Clauer idCAT\clos-win.exe O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Archivos de programa\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing) O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Archivos de programa\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing) O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 9758 bytes Título: Re: Mail recibido Publicado por: skapunky en 28 Septiembre 2011, 11:14 am Tienes un par de claves que se podrían eliminar, pero no parece que haya ningún malware, por esa parte puedes estar tranquilo.
Referente al tema del email no te preocupes de momento y revisa antes de abrir los emails, o ante la duda mejor preguntar. Imagino que si tu email es de empresa tendrás un panel de control o algo similar con los filtros anti-spam. Miraré las url's que has proporcionado, si viera algo a comentar escribiré en este tema lo que encuentre pero en principio quedate tranquilo y más si no descargaste nada. Título: Re: Mail recibido Publicado por: logistica en 28 Septiembre 2011, 11:19 am Hola Skapunky
si quieres te puedo pasar por privado la direccion exacta. (la que he puesto xxxx) ya me diras. un saludo y gracias. Título: Re: Mail recibido Publicado por: skapunky en 28 Septiembre 2011, 11:23 am No hace falta ;) simplemente es el dominio de tu empresa y como tu le a pasado lo mismo a cantidad de gente, mirando en google no eres el primer caso.
Entrando en la web, sale un favicon del facebook, quizá sea algún tipo de phishing sobre facebook para robar datos o algo. A ver si puedo mirar mas información, aunque sea la del dominio. Info del dominio, no muy util... Código: Domain ID:D2290961-ME Se creo el dia 21 de esete mes, por eso hay poca información por google, si buscas por IP o dominio verás que hay gran cantidad de grupos de yahoo, listas y otros sitios con el mismo enlace parecido al tuyo, post sin sentido...quizás sea algún tipo de bot de spam. En tal caso seguro que en unos pocos dias ya se comenta algo de esto. ejemplo 1 (https://lists.ubuntu.com/archives/ubuntu-es/2011-July/048363.html) ejemplo 2 (http://espanol.groups.yahoo.com/group/ucsgebusiness/?tab=s) PD: Confirmado, es un bot que hace spam. Título: Re: Mail recibido Publicado por: logistica en 28 Septiembre 2011, 12:15 pm ok, gracias por toda la ayuda y tiempo ofrecido.
un saludo. P.D: mira que soy muy cuidadoso con lo que abro, y mas en el trabajo, pero esta vez me la han colado. |