Como puede el enlace mostrado (HTML) no coincide con el real que apunta a un script PHP en otro servidor.
Si el usuario ingresa al primer enlace HTML,verá la noticia de abril de 2010 sobre el video y efectivamente descargará un archivo WMV pornográfico pero sin contenido pederasta.
En cambio, si el usuario hace clic, se ejecuta el archivo PHP y se descarga un archivo ejecutable llamado video-do-padre-pedofilo-fazendo-sexo-com-menor-mwv.exe y que es identificado por algunos antivirus como un troyano.
El archivo se aloja en un servidor vulnerado y que ha sido modificado previamente (deface):
En el servidor se pueden encontrar muchos directorios (alrededor de 20) y archivos que están siendo utilizados actualmente para propagar el malware mencionado:
Todos los archivos han sido creados en el día de la fecha y seguramente serán utilizados durante estos días para maximizar la cantidad de usuarios infectados.
¡Gracias Alejandro por el reporte del correo!
Cristian de la Redacción de Segu-Info
- Publicidad -
