¿Un ataque usando Adobe como excusa?

Enviado por Jaime el junio 16, 2010 Deje un comentario (0) Ir a comentarios

(English version below)

Este mensaje es solo un aviso rápido:
Hoy un mensaje se ha saltado los filtros antispam y ha llegado al buzón.
Hablaba de actualizaciones para Adobe Reader…

Un vistazo al whois del dominio me ha despertado la curiosidad y en 5 minutos he encontrado unos cuantos dominios más relacionados con este posible ataque.

La fecha entre paréntesis indica la fecha de registro de los dominios, por lo que es fácil deducir que se han creado con el objetivo del ataque:

QUIT-THIS-adobe-pdf-solutions.com (2010.05.24) QUIT-THIS-adobe-pdf-solutions.org (26-May-2010) QUIT-THIS-adobe-acrobat-reader.com (2010.05.31) QUIT-THIS-adobe-acrobat-reader.org (03-Jun-2010) QUIT-THIS-adobe-acrobat-reader.de (23.06.20090) (dominio registrado por otra persona, a lo mejor no está relacionada) QUIT-THIS-adobe-reader-2010.com (2010.05.29) QUIT-THIS-adobe-reader-2010.org (03-Jun-2010) QUIT-THIS-acrobat-reader-update.com (2010.06.15) QUIT-THIS-download-adobe-pdf.com (2010.05.17) QUIT-THIS-pdf-adobe-2010.com (2010.03.14) QUIT-THIS-pdf-adobe-2010.net (2010.03.14) QUIT-THIS-pdfreaderupdate.com (2010.05.11) QUIT-THIS-pdfsoftware2010.org (09-Mar-2010) QUIT-THIS-pdfsoftware2010.com (2010.03.09) QUIT-THIS-pdfsoftware2010.net (2010.03.09) QUIT-THIS-pdfsoftwareupdate.com (2010.03.12) QUIT-THIS-pdfsoftwareupdate.net (2010.03.12)

De momento no tengo datos de qué pasa cuando te conectas a esas páginas… pero probablemente nada bueno.
Supongo que explotará alguna vulnerabilidad de IExplorer para instalar algún troyano.

De momento el consejo: no te conectes a esas páginas. Sencillo ¿no?

And now the English version for the English readers:

Today an email has jumped over the antispam filters and has arrived to the mailbox.
It was an email about Adobe Reader updates…

A quick look to the domain’s whois has awakened my curiosity and in 5 minutes I have found some more domains, maybe related to this possible attack.

The dates between brackets is the domain registration date. It is easy to infer than were created with the attack in mind:

QUIT-THIS-adobe-pdf-solutions.com (2010.05.24) QUIT-THIS-adobe-pdf-solutions.org (26-May-2010) QUIT-THIS-adobe-acrobat-reader.com (2010.05.31) QUIT-THIS-adobe-acrobat-reader.org (03-Jun-2010) QUIT-THIS-adobe-acrobat-reader.de (23.06.20090) (another guy registered this domain. Maybe it is not related.) QUIT-THIS-adobe-reader-2010.com (2010.05.29) QUIT-THIS-adobe-reader-2010.org (03-Jun-2010) QUIT-THIS-acrobat-reader-update.com (2010.06.15) QUIT-THIS-download-adobe-pdf.com (2010.05.17) QUIT-THIS-pdf-adobe-2010.com (2010.03.14) QUIT-THIS-pdf-adobe-2010.net (2010.03.14) QUIT-THIS-pdfreaderupdate.com (2010.05.11) QUIT-THIS-pdfsoftware2010.org (09-Mar-2010) QUIT-THIS-pdfsoftware2010.com (2010.03.09) QUIT-THIS-pdfsoftware2010.net (2010.03.09) QUIT-THIS-pdfsoftwareupdate.com (2010.03.12) QUIT-THIS-pdfsoftwareupdate.net (2010.03.12)

At this moment I have no data about what will happen if you connect to those pages… but probably nothing good.
I suppose that those page will exploit some IExplorer vulnerability to install a Trojan…

The suggestion: Do not connect to those pages. Easy, isn’t it?

Seguridadexploit, Incidente, Seguridad, Virus

← Bug workaround: KLog 0.5.3 crashes if not cty.dat file is found

KLog updates →

Dejar un comentario?

0 Comentarios.

Deje un comentario Cancelar la respuesta

Disculpa, debes iniciar sesión para escribir un comentario.

Jaime Robles