¡ALERTA! Supuesta tarjeta de Gusanito es un Virus

Me acaba de llegar un correo que miente de su procedencia: se dice de Gusanito.com y avisa que ‘he recibido una tarjeta’ sin embargo las ligas a las tarjetas apuntan a un ejecutable. El nombre de dicho ejecutable es “Gusanito-ls.exe”

Aquí la fuente de el correo:

Delivered-To: rolandog@gmail.com
Received: by 10.35.74.17 with SMTP id b17cs132415pyl;
        Wed, 24 Oct 2007 14:14:44 -0700 (PDT)
Received: by 10.100.202.9 with SMTP id z9mr1428178anf.1193260483143;
        Wed, 24 Oct 2007 14:14:43 -0700 (PDT)
Return-Path: <web@jaj.com>
Received: from disaster.jaj.com (ns2.jaj.com [24.123.75.82])
        by mx.google.com with ESMTP id z80si2060376pyg.2007.10.24.14.14.41;
        Wed, 24 Oct 2007 14:14:43 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of web@jaj.com designates 24.123.75.82 as permitted sender) client-ip=24.123.75.82;
Authentication-Results: mx.google.com; spf=pass (google.com: best guess record for domain of web@jaj.com designates 24.123.75.82 as permitted sender) smtp.mail=web@jaj.com
Received: from disaster.jaj.com (IDENT:1011@localhost [127.0.0.1])
	by disaster.jaj.com (8.13.8/8.13.8) with ESMTP id l9OLEI5u021008
	(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)
	for <rolandog@gmail.com>; Wed, 24 Oct 2007 17:14:18 -0400
Received: (from web@localhost)
	by disaster.jaj.com (8.13.8/8.12.9/Submit) id l9OLEIGI021007;
	Wed, 24 Oct 2007 17:14:18 -0400
Date: Wed, 24 Oct 2007 17:14:18 -0400
Message-Id: <200710242114.l9OLEIGI021007@disaster.jaj.com>
To: rolandog@gmail.com
Subject: ¡ Haz recibido una postal de Gusanito!
From: "Gusanito.com.mx" <tarjetas@gusanito.com.mx>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office">

<head>
<meta http-equiv="Content-Language" content="en-us" />
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Hola</title>
<style type="text/css">
body *{outline:none;}
table{font-size:inherit;font:x-small;}
div.msgbody :link{text-decoration:underline;}
a{color:#039;}
a{text-decoration:none;}
</style>
</head>

<body>

<table cellSpacing="0" cellPadding="0" width="706" border="0">
	<tr>
		<td bgColor="#b5de22" colSpan="5">
		<font face="tahoma,helvetica,arial,sans" color="black" size="2"><br />
		  Hola, has recibido una tarjeta.  <br />
		<br />
		</font></td>
	</tr>
	<tr>
		<td vAlign="top">
		<table width="90%" align="center">
			<tr>
				<td>Alguien<font face="tahoma,helvetica,arial,sans" size="2">
				escogió una tarjeta de nuestro sitio especialmente para ti.<br />
				<br />
				Para verla, haz click en el siguiente enlace y descarga nuestra
				nueva herramienta:<br />
				<span id="lw_1182299460_0" style="BACKGROUND: none transparent scroll repeat 0% 0%">
				<a target="_blank" rel="nofollow" href="http://www.sphericalimprovement.com/blogs/mbowler/uploads/Gusanito-ls.exe">http://gusanito.com/tarjetas/45878F32F6FE02SSBD7D604821A8B1B2C187915071/187915071/gusanito</a></span><br />
				<br />
				(Si el enlace no funciona, puedes copiarlo y pegarlo en la barra
				de direcciones de tu navegador).<br />
				<br />
				Para recogerlo a mano desde la página, acude a:
				<span id="lw_1182299460_1">
				<a target="_blank" rel="nofollow" href="http://www.sphericalimprovement.com/blogs/mbowler/uploads/Gusanito-ls.exe">
				http://gusanito.com/g/gusanito/manualRetrieve.jsp</a></span><br />
				<br />
				Y en el recuadro ingresa el siguiente código:
				45878F32F6FE02SSBD7D604821A8B1B2C187915071<br />
				<br />
				<font size="1"><i>*NOTA: Este código te sirve sólo para esta
				ocasión, no es una contraseña ni te servirá para recoger otros
				contenidos.</i></font></font></td>
			</tr>
			<tr>
				<td><hr /></td>
			</tr>
		</table>
		<table width="90%" align="center">
			<tr>
				<td><br />
				</td>
			</tr>
		</table>
		<br />
		<table width="100%" align="center" bgColor="#e5e5e5">
			<tr>
				<td width="10"></td>
				<td><font face="arial,tahoma,helvetica" size="2">Te recordamos
				que tu tarjeta estará disponible 2 semanas a partir de la fecha
				en que fue enviada.<br />
				<b>Por favor, no respondas a este correo. Esta cuenta no es
				monitoreada y por ello no recibirás respuesta. </b>Para
				asistencia, conéctate a
				<a target="_blank" rel="nofollow" href="http://gusanito.com">
				<font color="#433691"><span id="lw_1182299460_3">
				www.gusanito.com</span></font></a> e ingresa en la liga "Ayuda"
				ubicada en la esquina superior derecha del sitio.</font></td>
				<td width="10"></td>
			</tr>
		</table>
		</td>
	</tr>
	<tr>
		<td bgColor="#b5de22" colSpan="5">
		<font face="tahoma,helvetica,arial,sans" color="white" size="2"><br />
		<br />
		   ® & © <span id="lw_1182299460_4">
		<a target="_blank" href="http://www.sphericalimprovement.com/blogs/mbowler/uploads/Gusanito-ls.exe">
		Gusanito.com</a></span> S. de R.L. de C.V. Todos los derechos reservados.</font></td>
	</tr>
</table>

</body>

</html>

Trataré de localizar al dueño de sphericalimprovement.com y al señor Mike Bowler — cuyo blog se encuentra en sphericalimprovement.com/blogs/mbowler/ — para ver si sus servidores no han sido hackeados y adicionalmente para ver si pueden borrar ese archivo antes de que la gente ingenua se haga daño.

Lo bueno es que hay más personas que le ha sucedido lo mismo y que, afortunadamente, se dieron cuenta y que lo dan a conocer. Avísenle a sus amigos para evitar que se infecten.

2007/10/24 – 16:39 | By Rolando Garza | Posted in Posts | Tagged | Comments (8)

8 Comments

  • Jacob wrote:
    2007/10/27 at 22:41

    Ami tambien me llego , pero la direccion es diferente.

    http://all4ac.com/chat4/tmp/Gusanito.com.mx.exe

    Pero el archivo es el mismo, un ejecutable con el nombre “gusanito”.

  • Virus de Gusanito.com | Miguel Pena Roma wrote:
    2007/10/27 at 23:09

    [...] La advertencia sobre como evitar el problema ésta publicada en Gusanito.com y también en el blog Pervasive Smoothering. [...]

  • Martin wrote:
    2007/12/23 at 13:40

    Ami tambien me llega frecuentemente, pero la direccion es diferente. Tambien usan el mismo fraude pero usando el nombre de Banamex, HSBC y el Instituto Tec. de Monterrey.

  • Yazmin wrote:
    2008/01/08 at 12:53

    A mi tbm me llego el correo de la tarjeta..en este caso que hago?? que le pasa a la compu?? ayuda…que va pasar??

  • Francisco wrote:
    2008/01/17 at 13:16

    Yo tengo ese problema con el virus de gusanito. Cada vez que trato de entrar a la página de Banamex, me redirecciona a una sitio fantasma idéntico al del banco, pero con una fecha del año pasado y sin el candado de seguridad. Además, en la página real ejecuta automáticamente una herramienta anti-intrusos de Ahnlab, y en esta no. Ya he ejecutado el Panda Antivirus, pero no lo detecta y no lo puedo encontrar manualmente y no sé cómo eliminarlo. Si alguien sabe como hacerlo, escríbanme a f_echeagaray@yahoo.com.mx. Gracias

  • LIZBETH wrote:
    2008/03/13 at 10:21

    COMO SE PUEDE SOLUCIONAR ESTO

  • Alejandro wrote:
    2008/06/13 at 01:29

    El virus de gusanito sigue dando vueltas por internet, efectivamente es un virus espia que se instala en tu computadora, se carga un ejecutable llamado gusanito.com pero el peligro real es que la funcion de ese programa es instalar en otra parte de la computadora un programa llamado wonexdman32.exe que es el real espía, buscalo manualmente y bórralo, puedes usar tambien tu antivirus para detectarlo y bloquerlo, pero como es un programa instalado bajo permiso tuyo no lo identifica como peligroso. suerte…

  • ramón paz wrote:
    2008/08/13 at 13:25

    A mi tambien me llegó y sólo me quedó maldecir al hijueputa que no tiene nada que hacer….

Post a Comment

Your email is never shared. Required fields are marked *