Support.Microsoft… una vergüenza ajena

El siguiente articulo me lo envio Edwin A Capdepomt

———————————————————————————————-

Hace un mes en la empresa para la cual laboro como jefe de sistemas, se infectaron 6 equipos, la infección fue por un mensaje recibido vía Messenger. El mensaje llegaba de la siguiente forma:

http://ar.geocities.com/tufoto_1234/tufoto.zip

El antivirus usado en nuestra empresa es el AntiVir http://www.free-av.com/ el cual no detecto la infección, posteriores actualizaciones ya lo detectaban como tal, y fue al ver que el Messenger abría un sin fin de ventanas que me di cuenta que esto era obra de un virus.

Envié el archivo para análisis en la la pagina de VirusTotal y este fue el resultado:

Este es el resultado completo de analizar el archivo “TUFOTO.jpg.exe” que VirusTotal ha recibido el día 09.05.2006 a las 18:33:51 (CET).
Antivirus Version Actualización Resultado
AntiVir 6.34.1.27 09.05.2006 TR/Dldr.VB.aab
Avast 4.6.695.0 08.05.2006 no ha encontrado virus
AVG 386 09.05.2006 Downloader.Generic.WQJ
BitDefender 7.2 09.05.2006 Win32.Worm.VB.Pagador.A
CAT-QuickHeal 8.00 09.05.2006 no ha encontrado virus
ClamAV devel-20060426 09.05.2006 no ha encontrado virus
DrWeb 4.33 09.05.2006 no ha encontrado virus
eTrust-InoculateIT 23.72.3 09.05.2006 Win32/Pagador.A!Worm
eTrust-Vet 12.4.2201 09.05.2006 no ha encontrado virus
Ewido 3.5 09.05.2006 Downloader.VB.aab
Fortinet 2.76.0.0 09.05.2006 W32/IRCFlood.1095!tr
F-Prot 3.16c 09.05.2006 no ha encontrado virus
Ikarus 0.2.65.0 09.05.2006 Trojan-Downloader.Win32.VB.aab
Kaspersky 4.0.2.24 09.05.2006 Trojan-Downloader.Win32.VB.aab
McAfee 4758 09.05.2006 PWS-MSNFake.a
Microsoft 1.1372 09.05.2006 no ha encontrado virus
NOD32v2 1.1527 09.05.2006 probably unknown NewHeur_PE virus
Norman 5.90.17 09.05.2006 W32/DLoader.VZL
Panda 9.0.0.4 09.05.2006 Trj/Noglo.A
Sophos 4.05.0 09.05.2006 Troj/Dloadr-TH
Symantec 8.0 09.05.2006 Infostealer
TheHacker 5.9.7.140 08.05.2006 Trojan/Downloader.VB.aab
UNA 1.83 06.05.2006 TrojanDownloader.Win32.VB
VBA32 3.11.0 08.05.2006 Trojan-Downloader.Win32.VB.aab

Información adicional
Tamaño archivo: 33068 bytes
MD5: be8a4c4cbe425c113c9f3ae22c62b6d2
SHA1: bf6ac6ab3206639ec6844d4f9e93c7897f4c825f
VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el índice de detección ofrecido por el análisis simultaneo de múltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.

La eliminación fue manual, ya que al abrir el archivo en cuestión, con un editor hexadecimal de nombre WinHex http://www.winhex.com/index-e.html, había una relación de los archivos que efectuaban la infección.

Entre los archivos generados estan:

MSN Messenger 7.5.exe instalado en C:\ y,
Beto1 instalado en C:\WinNT\System32

La instalación de Beto1 puede variar dependiendo del S.O.

Dentro de Tufoto.zip, viene empacado el siguiente archivo: TUFOTO.jpg.exe

Este Archivo fue diseñado usando Visual Basic 6

Esto fue lo q encontramos dentro de el, usando el editor hexadecimal:

C:\WINDOWS\system32\beto1
C:\WINDOWS\system32\logon.exe

H K E Y _ L O C A L _ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ l o g o n R e g R e a d R e g W r i t e ˆ C : \ D o c u m e n t s a n d S e t t i n g s \ A l l U s e r s \ E s c r i t o r i o \ M S N M e s s e n g e r 7 . 5 . l n k

C : \ D o c u m e n t s a n d S e t t i n g s \ A l l U s e r s \ M e n ú I n i c i o \ P r o g r a m a s \ M S N M e s s e n g e r 7 . 5 . l n k 0 c : \ M S N M e s s e n g e r 7 . 5 . e x e

ftp://beto123456789:beto?123456@ftp.webcindario.com/1.exe fuente de donde provenían 3 archivos.

El otro archivos es: MSN Messenger 7.5.exe, dentro de el encontramos lo siguiente:

roblo53@hotmail.com

Bien, como funcionaba esto, al descargar el archivo y afectuar la infección, el programa creaba enlaces al archivo MSN Messenger 7.5.exe, por lo cual el usuario creía estar activando el Messenger original, sin embargo si uno ponía atención en la ventana q se abría este tenia ciertas diferencias, no vamos a entrar en detalles pues hay cosas que nos interesan mas.

Empezaremos por decir que el programador de este juguetito, se hace llamar Beto, es originario de Argentina. Su propósito ha sido no solo de fastidiar gente, sino también de tener acceso a las cuentas de los usuarios infectados, ya que el virus enviaba, debo suponer vía email las claves de los usuarios cuando estos por no darse cuenta ejecutaban la versión falsa del Messenger. Y hay pruebas de que esto funciono, sino vean la siguiente página:

http://beto123456789.webcindario.com/ que se encuentra alojada en los servidores de Miarroba Networks, S.L., aquí hay tres listas de los correos a los cuales este personaje ha tenido acceso, me puse en contacto con algunos de los usuarios afectados, y todos concordaron en haber sufrido una infección vía Messenger, la cual corresponde con el mismo archivo:

http://ar.geocities.com/tufoto_1234/tufoto.zip

Todos había recibido el archivo de la misma dirección.

Procedí a enviar un correo a Support Microsoft Usa, Support Microsoft Argentina y Support Microsoft España, exponiéndoles el caso, la información enviada fue la misma que aquí expongo y la respuesta en los tres casos fue la misma, Support Microsoft se hace al desentendido, Support Microsoft me solicita de nuevo explique el problema. No voy a exponer la respuesta de Support, aun conservo los correos, pero quiero evitar la perdida de tiempo. Mi interés es dejar bien claro que Support Microsoft solo atenderá los casos relacionados con paginas alojadas en http://spaces.msn.com/.

Entiendo perfectamente que la seguridad de cada cuenta es responsabilidad de cada usuario, el problema siempre residirá entre la silla y el teclado. Solo quiero exponer, la falta de conocimiento, de seriedad y responsabilidad por parte de Support Microsoft y del personal que laboran ahí. Ya que si el problema no tiene ninguna relación con MSN, Hotmail o MSN Messenger, ellos no pueden o no quieren hacer nada.

No estoy en contra de Microsoft, ni de ninguno de sus servicios, pues los productos de Microsoft en sus diversas ramas me han facilitado la vida en mi trabajo.

Estoy en contra de la falta de responsabilidad, la falta de seriedad y de las respuestas muy pobre por parte de Support Microsoft. Si ellos me hubieran dicho, “esta situación que usted nos expone esta fuera de nuestras responsabilidad, pero la haremos llegar al departamento o persona adecuada para que le de una respuesta satisfactoria? una respuesta así, claro que satisface a cualquiera.

No espero una respuesta favorable, solo quiero exponer una situación, que espero que en un futuro no muy lejano, alguien de Microsoft tenga la amabilidad de corregir.

Saludos.

Atte.

EvilAngel (Edwin A Capdepomt)

4 Comments

Add a Comment

Comment spam protected by SpamBam