Mail recibido

Iniciado por logistica, 28 Septiembre 2011, 07:50 AM

0 Miembros y 1 Visitante están viendo este tema.

logistica

Hola, he recibido un mail de una persona de mis contactos, por lo que no he dudado en principio de que fuera nada raro. El asunto ponia "es la caña!" y en el mail habia un enlace que ponia "Click para ver imagen adjunta". Si te pones encima del enlace sin clickarle aparece esta direccion: "http://lv6.me/eS/?m=yoc3em2&n=Fran&p=logistica@xxxxx.com" Las xxxx son el dominio de mi empresa que no lo pongo por seguridad. Cuando le dabas click al enlace se abria un Internet Explorer y abria una pagina http://69.64.54.115/continuar.php?n=Fran en la que me salia un mensaje:
Hola Fran !
Si quieres continuar verifica que eres mayor de edad!

                          Aceptar
tanto si le doy a aceptar como si le doy a la x de la esquina no hacia nada y se abre el google, que es mi pagina de inicio.

no se si puede ser algun tipo de malware. ahora pasare algunos programas que tengo, pero antes queria ver que opinabais.
gracias y un saludo.

skapunky

Podría ser varias opciónes, desde un malware que aproveche algún bug ejecutandose desde el navegador o por ejemplo un javascript o algo similar. Te recomiendo dos cosas:

1º Utiliza mozilla firefox, es bastante seguro y tienes (addons) añadidos para mejorar la seguridad.

2º No habras mails que desconfies, aunque el emisor sea un contacto conocido hoy dia se recíbe mucho spam/phishing con emails generados con el correo falsificado. Hicíste bien de fijarte en la URL y ya sabes, ante la duda pregunta al conocído antes de abrir un enlace o descargar algo.

Si quieres, puedes pegarnos un log del hijackthis, es un programa que hará un resumen de procesos, claves del registro... de tu ordenador para ver si hay malware. El hijackthis lo puedes encontrar en la siguiente web:

http://es.trendmicro.com/es/products/personal/free-tools-and-services/

Es muy facil de utilizar, lo ejecutas y le das a analisis y crear log, luego lo pegas aquí.

Killtrojan Syslog v1.44: ENTRAR

logistica

Gracias skapunky.
Dejo el log a ver si ves algo raro.
gracias nuevamente.


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:00:58, on 28/09/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\ARCHIV~1\NETSUP~1\client32.exe
C:\Archivos de programa\CATCert\Clauer idCAT\clos-win.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Archivos comunes\Java\Java Update\jucheck.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Documents and Settings\Francisco\Escritorio\desinfectar\hijackthis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\Install\windows-kb890830-v4.0-delta.exe
c:\9ed8b835757b7d48c0ddaf63111c01\mrtstub.exe
C:\WINDOWS\system32\MRT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ClauerUpdate] C:\Archivos de programa\CATCert\Clauer idCAT\ClUpdate.exe /ini
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://c:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://c:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Free YouTube Download - C:\Documents and Settings\Francisco\Datos de programa\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Documents and Settings\Francisco\Datos de programa\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://web.atar.rima-tde.net/sdccommon/download/tgctlcm.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3CA45906-EF10-4E4E-9BE4-B444D220FCB0} (Uploader Control) - http://ua.foto.com/ImageUploader6.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www2.agenciatributaria.gob.es/es13/h/cactivex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7963B23-D275-48C9-A96D-90FA48FC6527}: NameServer = 80.58.61.250,80.58.61.254
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Client32 - NetSupport Ltd - C:\ARCHIV~1\NETSUP~1\client32.exe
O23 - Service: CLOS - UJI per a CATCert - C:\Archivos de programa\CATCert\Clauer idCAT\clos-win.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Archivos de programa\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Archivos de programa\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9758 bytes

skapunky

Tienes un par de claves que se podrían eliminar, pero no parece que haya ningún malware, por esa parte puedes estar tranquilo.

Referente al tema del email no te preocupes de momento y revisa antes de abrir los emails, o ante la duda mejor preguntar. Imagino que si tu email es de empresa tendrás un panel de control o algo similar con los filtros anti-spam.

Miraré las url's que has proporcionado, si viera algo a comentar escribiré en este tema lo que encuentre pero en principio quedate tranquilo y más si no descargaste nada.
Killtrojan Syslog v1.44: ENTRAR

logistica

Hola Skapunky
si quieres te puedo pasar por privado la direccion exacta. (la que he puesto xxxx)
ya me diras.
un saludo y gracias.

skapunky

#5
No hace falta  ;) simplemente es el dominio de tu empresa y como tu le a pasado lo mismo a cantidad de gente, mirando en google no eres el primer caso.

Entrando en la web, sale un favicon del facebook, quizá sea algún tipo de phishing sobre facebook para robar datos o algo. A ver si puedo mirar mas información, aunque sea la del dominio.

Info del dominio, no muy util...

Domain ID:D2290961-ME
Domain Name:LV6.ME
Domain Create Date:21-Sep-2011 11:26:16 UTC
Domain Last Updated Date:21-Sep-2011 11:26:17 UTC
Domain Expiration Date:21-Sep-2012 11:26:16 UTC
Last Transferred Date:
Trademark Name:
Trademark Country:
Trademark Number:
Date Trademark Applied For:
Date Trademark Registered:
Sponsoring Registrar:eNom Inc R32-ME
Created by:eNom Inc R32-ME
Last Updated by Registrar:eNom Inc R32-ME
Domain Status:CLIENT TRANSFER PROHIBITED
Domain Status:TRANSFER PROHIBITED
Registrant ID:66c44385d57d2330
Registrant Name:WhoisGuard Protected
Registrant Organization:WhoisGuard
Registrant Address:11400 W. Olympic Blvd. Suite 200
Registrant Address2:
Registrant Address3:
Registrant City:Los Angeles
Registrant State/Province:CA
Registrant Country/Economy:US
Registrant Postal Code:90064
Registrant Phone:+1.6613102107
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant E-mail:8bec7e120f3e45b2b638882d1e3051ec.protect@whoisguard.com
Admin ID:66c44385d57d2330
Admin Name:WhoisGuard Protected
Admin Organization:WhoisGuard
Admin Address:11400 W. Olympic Blvd. Suite 200
Admin Address2:
Admin Address3:
Admin City:Los Angeles
Admin State/Province:CA
Admin Country/Economy:US
Admin Postal Code:90064
Admin Phone:+1.6613102107
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin E-mail:8bec7e120f3e45b2b638882d1e3051ec.protect@whoisguard.com
Tech ID:66c44385d57d2330
Tech Name:WhoisGuard Protected
Tech Organization:WhoisGuard
Tech Address:11400 W. Olympic Blvd. Suite 200
Tech Address2:
Tech Address3:
Tech City:Los Angeles
Tech State/Province:CA
Tech Country/Economy:US
Tech Postal Code:90064
Tech Phone:+1.6613102107
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech E-mail:8bec7e120f3e45b2b638882d1e3051ec.protect@whoisguard.com
Nameservers:DNS1.REGISTRAR-SERVERS.COM
Nameservers:DNS2.REGISTRAR-SERVERS.COM
Nameservers:DNS3.REGISTRAR-SERVERS.COM
Nameservers:DNS4.REGISTRAR-SERVERS.COM
Nameservers:DNS5.REGISTRAR-SERVERS.COM


Se creo el dia 21 de esete mes, por eso hay poca información por google, si buscas por IP o dominio verás que hay gran cantidad de grupos de yahoo, listas y otros sitios con el mismo enlace parecido al tuyo, post sin sentido...quizás sea algún tipo de bot de spam. En tal caso seguro que en unos pocos dias ya se comenta algo de esto.

ejemplo 1

ejemplo 2

PD: Confirmado, es un bot que hace spam.
Killtrojan Syslog v1.44: ENTRAR

logistica

ok, gracias por toda la ayuda y tiempo ofrecido.
un saludo.

P.D: mira que soy muy cuidadoso con lo que abro, y mas en el trabajo, pero esta vez me la han colado.