Alerta virus con apariencia de correo de RPP 1

Hace unas horas trataron de atacar con SPAM a una de las cuentas de uno de mis clientes enviando correos masivos a direcciones inexistentes.

Dichos rebotes me son notificados en mi casilla para tomar las acciones correspondientes. De un momento a otro aparecieron poco más de 15 correos provenientes aparentemente desde la cuenta “prensa@rpp.com.pe” enviándome una noticia de titulo: “Periodista grabó imágenes de los momentos previos a su muerte” en dicho correo se aprecia aparentemente un vídeo incrustado de You Tube con un enlace para descargar el vídeo.

Seguridad en internet


Aparentemente, es un correo enviado por el grupo de noticias RPP, puesto que el logo y el resto de imagenes provienen de la web de RPP. No obstante si vemos el correo más detallado (veamos su código fuente) podremos darnos cuenta de algunos detalles:

correo_rpp_fake_body

En rojo podremos observar las rutas de las imágenes y los enlaces que utiliza, la primera apunta al logo de esta empresa: http://www.rpp.com.pe/tmp/img/hd_logosmall.gif (hasta este punto el spammer esta realizando hot-linking a las imágenes corporativas de RPP)

No obstante los 2 inferiores sugieren algo raro, pues el primero apunta a una página web extraña (no perteneciente al grupo RPP) y que no tiene nada que ver con el objetivo del grupo RPP el cual es de informar y entretener a la población de forma radial y como nota curiosa de este código podemos ver que esta maquetado usando tablas, y para colmo (en naranja) en la parte superior una etiqueta extraña: <!–DWLayoutTable–> (Esta última etiqueta es autogenerada por el programa Dreamweaver (de Adobe) para definir regiones editables al hacer una página web.)

Si somos más curiosos y revisamos las cabeceras de este mensaje:

Cabecera de un mensaje de Spam

Nos daremos cuenta que el remitente real, no proviene de esta agencia tan importante de noticias, sino de un script instalado en servidores Holandeses: http://duikcentrumloosdrecht.nl/

El objetivo de este correo es a grandes rasgos intentar que hagas click en el vídeo (aparentemente de You Tube) y entrar a la web de: “descargas-peru.com”. (No ingresar contiene un virus)

Investigando un poquito este dominio fue registrado hace un par de días por un tal “Kevin Paredes” incluso en los registros públicos figura su correo electrónico personal (una dirección en Hotmail)

Al parecer este individuo residente en Perú (exactamente San Juan) no sólo esta cometiendo un delito penal (envio de correo no deseado) aparte del uso de la identidad corporativa de una empresa respetable en este país, sino que en la dirección web que registro el 9 de Abril, esta alojado un virus el cual se descarga directamente al ingresar a dicha dirección.

Espero que esta entrada la puedan leer los responsables de seguridad del grupo RPP para que puedan tomar las acciones correspondientes.

One comment on “Alerta virus con apariencia de correo de RPP

  1. Reply Manuel Eloy May 5,2009 3:58 pm

    Sres.RPP:Debemos hacer una cruzada nacional pro-compra de armamento para nuestras fuerzas armadas en vista que CHILE esta armandose hasta los dientes porque no van a querer cumplir el fallo de la Corte de la Haya que tiene todos los visos que será favorable al PERU nuestra patria,y suficiente con la experiencia de la guerra de 1979 para no dar URGENTE importancia a ésta amenaza de un pais que se destaca por ser un enemigo acerrimo nuestro.

Leave a Reply