Saludos a todos

Escribo para alertarles y tambien para denunciar sobre el fraude cibernético-telefónico que se realiza desde el año pasado, mediante instalación de un dialer y troyano, al visitar alguna página maliciosa.

La visita a la página puede darse directamente, por redireccionamiento o pop-up. La página es de publicidad, pero contiene una línea de código que vincula a servidores 209.167.111.110 y/o 216.95.196.22. Al entrar a esos servidores, se carga un script que explota la vulnerabilidad publicada en el boletín de seguridad de Microsoft del 14 de noviembre de 2006:

http://www.microsoft.com/technet/sec.../ms06-071.mspx

Cuando no se tiene la protección descrita en el artículo, se ejecuta código XML que invoca un ejecutable (troyano Zonebac) de nombre svcipa.exe o ulogin125.exe. Ese troyano instala un tercer ejecutable, lsasss.exe, el cual suplanta a todos los archivos listados en la llave de inicio RUN del registro de windows, y se instala él mismo en la llave de inicio, pero no borra los ejecutables, sino que los mueve al directorio "bak". Esto para que cada vez que inicie la máquina, se ejecute el troyano tantas veces como archivos de inicio se tengan en la llave del registro, pero también manda llamar a los procesos originales para aparentar lo más posible que el equipo funciona correctamente. Los archivos svcipa y ulogin125 ya son detectados por la mayoría de los antivirus, pero el lsasss.exe (no es el mismo archivo del gusano sasser) no se detecta como virulento.

La peor parte viene ahora: una vez infectada la computadora, se ejecuta un dialer que hace llamadas de larga distancia, y cada vez que el usuario quiera conectarse a internet, se ejecuta este dialer y el usuario esta navegando sin darse cuenta, a través de un servicio remoto de larga distancia. El usuario se percata de que ha sido estafado una vez que revisa su recibo telefónico, al ver cargos por llamadas de "servicio de internet" que no supo que realizó.

En mi país han habido cientos de denuncias al respecto, por muchas personas afectadas que han sido perjudicadas con cuentas millonarias, y aunque las autoridades manifiestan que ya se han tomado cartas en el asunto, ayer, ni más ni menos, mi máquina se infectó con el dialer y el troyano, cuando visitaba un libro de visitas. De pronto se abió una ventana de publicidad del servidor TONAINFO.COM, supuestamente un sitio para descarga de tonos de telefono celular, e inmediatamente mi equipo se desconectó de internet y por sí sólo comenzó a conectarse desde otro acceso telefónico. Yo interrumpí las comunicaciones en cuanto me percaté del extraño comportamiento y al investigar el asunto, descubrí lo arriba citado.

La página que indiqué, TONAINFO.COM, manda llamar un javascript hospedado en los servidores 216.95.196.22 y 209.167.111.110. Esas direcciones corresponden a la compañía fraudulenta que supuestamente ha dejado de operar, pero es mentira: SIGUE OPERANDO EN LA TOTAL IMPUNIDAD, infectando máquinas y defraudando a los usuarios inexpertos con poco conocimiento técnico de cómo funcionan sus equipos.

Si ustedes quieren ver el índice de esos servidores, no aparece nada, parece que el sitio esta "fuera de servicio", pero ni siquiera se muestra el error 404 o el 403. Simplemente el servidor parece que no está funcionando, sin embargo, los directorios donde se hospedan, tanto el xml rpc, como los ejecutables svcipa.exe, ulogin125 y el binario de lsasss.exe, siguen funcionando. Esos archivos siguen estando hospedados ahí y la infraestructura del fraude sigue operando sin que nadie haga nada!

Aparte de que este mensaje sirva para alertarles, ojalá sirva para que se investigue a las páginas y servidores mencionados, se clausuren esos sitios por realizar actividades delictivas, y se castigue a los responsables, incluyendo a los webmasters que desde sus páginas mandan llamar a ese script malicioso, por estar coludidos con el fraude.

Imagínense: desde junio de 2006 hay reportes de usuarios en México, y la vulnerabilidad se descubrió apenas en noviembre de 2006. Es decir que han habido y siguen habiendo víctimas que no han actualizado sus equipos con el nuevo parche.

Y luego los antivirus no detectaban al troyano, por lo menos Norton no lo detectaba si no se había actualizado después del 13 de marzo de 2007.

Por lo tanto les recomiendo fuertemente que instalen el parche (SP1 y SP2 no es suficiente) y también actualicen cuanto antes sus antivirus, si no lo han hecho en las dos semanas anteriores.

Buena suerte y tengan mucho cuidado!