Con el título de “Te Mandaron una Postal” llega un correo directo a tu bandeja de entrada con el remitente de Gusanito@mail.com (enviado desde ese servidor: yourtal4.yourtal.com ).

Captura de pantalla del email que me llegó:

El mensaje tiene links falsos permitiendo que engañe a la persona que pretenda visitar el enlace haciendo creer que un amigo nuestro nos ha enviado una Postal Gusanito y esperando que nosotros al entrar ejecutemos el archivo para ver la postal.

Al hacer click en el enlace, carga una página idéntica a la del contenido del mensaje:

http://www.chevaulegers.com/cpg1419//albums/Gusanito/www.gusanito.com.phpKPJ87HY78IOHL67ITNHGBV64U7NJITVGBI67NTGV7I

Obviamente vemos que el enlace es de otra página: chevaulegers.com.

Y curiosamente descarga automáticamente un archivo ejecutable (GusanitoID3434243AEBD342424.exe) que es el virus con el ícono del facebook.

Si bien sabemos que el Google Chrome nos pregunta si deseamos descargar el ejecutable, el atacante está realizando usando un método distinto permitiendo que el virus se descargue sin su consentimiento.

Realizando un análisis del archivo en Virustotal nos damos con la sorpresa que es detectado con un ratio del 3 /42 (7.1%). Este virus facebook es indetectable a los antivirus comerciales.

Los antivirus que lo detectaron fueron (fecha análisis: 26 de Mayo del 2011):

Fortinet

4.2.257.0

2011.05.25

W32/Refroso.DZP!tr

Microsoft

1.6903

2011.05.25

Worm:Win32/Dorkbot

Panda

10.0.3.5

2011.05.25

Suspicious file

Ya he enviado un reporte a las casas de antivirus informando del virus para que empiece a ser detectado por los antivirus.