->
Está leyendo:
Informática e Internet

Gissmo.php y otros malware informáticos

Hola nuevamente queridos lectores, el día de hoy planeaba hablar de otra cosa, pero resulto que el destino trajo a una de mis cuentas de correo un tema para escribir de el, y dado que buscando en google no pude encontrar ninguna información sobre el tema, entonces me aventuraré a ser de los primeros que hablen sobre un maldito bicho informático que me dio mas de un dolor de cabeza.

El día de hoy posterior a una larga plática con mi esposa, mientras ella revisaba su correo y yo me preparaba para ir a mi computadora me sorprendió que mi esposa me preguntara si le había mandado algún correo, cosa que era por demás improbable ya que yo apenas y acababa de encender mi equipo y en el móvil no había realizado nada referente a mis cuentas de correo.

Al revisar al susodicho correo, me di con la sorpresa de que era un breve correo con un saludo en Inglés y un link hacia una dirección que no existía. Posteriormente, uno de mis clientes me llama para preguntarme si le había mandado un correo con un link (y yo seguía sin poder agarrar mi máquina) obvia respuesta de que no había sido yo y sugerencia de que evitara ingresar en el link mencionado, procedí a informar a mis contactos por todos los medios que pude para prevenirlos y evitar que pudieran ser infectados por cualquier tipo de malware.

Confiando en mi seguridad como usuario responsable y prevenido, considere que el ataque no provenía de un virus en mi computadora, además de que el correo había sido enviado en un horario en el que mi computadora estaba apagada, así que me fui por la opción de un ataque directo a mi cuenta de correo, así que solicite a mis contactos el desconfiar de cualquier correo que proviniera de esa cuenta, así que me despedí de mi cuenta y quedo sacrificada, no sin antes recibir la promesa de ser vengada.

Lo que averigüé

El correo provenía de una dirección de la República Checa, y lo descubrí gracias a que dentro de mis contactos tengo a mis cuentas alternas de correo, así que termino llegando a mi el mismo correo, el resto fue abrir el código fuente del correo con Mozilla Thunderbird y buscar la IP desde donde fue enviado el correo. Esto me llevo a pensar que o no era un ataque directo a mi correo sino que era producto de un malware masivo que ataco a muchos usuarios aparte de mi, o que quien lo había hecho fue alguien que utilizo una cadena de IP’s.

Opté por seguir la mas probable (creo que no tengo enemigos personales, así que era poco lógico pensar en un ataque directo), me puse a analizar los diferentes correos que fueron enviados y note un factor común:

gissmo.php era la parte que todas las direcciones compartían, así que lo mas lógico era buscar ese archivo con google, sin embargo, lo único que alcance a descubrir, ese archivo andaba rondando en diferentes correos, blogs y foros, siempre con la estructura de un saludo breve seguido de la dirección donde se mencionaba sin importar a que dominio perteneciera, siempre contenía una referencia al archivo gissmo.php. Otra cosa que descubrí es que venia rondando la red desde el 11 de julio de este año, si, apenas el día lunes.

Siguiendo el comportamiento concluí en lo siguiente: el patrón corresponde a un bot que busca y se instala de forma aleatoria en diferentes cuentas de correo, blogs y foros haciéndose pasar por el propietario de las cuentas deja el mensajito nefasto ese.

A mi me suena a una combinación de la SkyNet de Terminator con la Matrix y un chiste muy tonto y fregativo, pero bueno, de momento fuera de ser esa lata de mensaje no he encontrado otro daño que ocasione en los equipos.

Este post procurare irlo actualizando según tenga noticias, así que estén pendientes.

Por cierto, como utilice muchas técnicas de investigación dignas de la honorable #SSSMDF y del #SISEN, este post va dedicado al Capi @MemoJarasFierro y todo su equipo de colaboradores.

Acerca de Roberto G. Contreras (Ryu Dragón Azul de Ild)

Emprendedor y empresario, editor y periodista, enfocado en la difusión de temas de tecnología, arte, historia y entretenimiento. Fundador y gerente general de KiGaRi CyD S. De R. L. de C. V., se ha especializado en la consultoría de tecnologías de la información, especialmente en seguridad informática para pequeñas y medianas empresas. Sus habilidades van desde el análisis e investigación periodística, tanto documental como de campo, desarrollo web y de software, coordinación de equipos de trabajo, edición y producción multimedia, fotografía de arquitectura, naturaleza y publicitaria, así como composición musical.

Comentarios

Aún no hay comentarios.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Actualizaciones de Twitter

Error: Twitter no responde. Por favor, espera unos minutos y actualiza esta página.

Estadísticas del blog

  • 926 hits

Calendario

julio 2011
L M X J V S D
 123
45678910
11121314151617
18192021222324
25262728293031
A %d blogueros les gusta esto: