19 oct 2011

Analizando correo NO deseado

Hola!

Muy buenas a todos/as!

Supongo que todo el mundo que tiene una cuenta de correo alguna vez habrá recibido correo SPAM. Este correo muchas veces es filtrado ppor los filtros de correo, pero en otras ocasiones aparecen en nuestra bandeja de entrada y estos correos pueden llegar a contener virus, o publicidad engañosa.

Dispongo de muchos correos de esos, por lo tanto iré analizando que hacen esas páginas además de analizar algún programa, que te haga descargar la URL maliciosa del correo.

Primero tenemos esta URL.

URL maliciosa

Lo primero que haremos será pasar la URL por un analizador, en este caso usaremos Virus Total, podemos ver el reporte aquí

Reporte Virus Total

Abrimos la URL y miramos que aparece

Si miramos el código fuente podemos ver que cuando accedemos nos redirige a otra web:

You are here because one of your friends have invited you <br>to try our free trial. <br>Hurry up! Limited quantity available!<br>We try to be helpful for you.<br>Page loading, please wait….<meta http-equiv=”refresh” content=”4; url=http://gromekha.ru/trial2/”>

Podemos ver al dominio que seremos redirigido.

En este caso, el análisis del dominio es catalogado sólamente por 1 como Phising Site

Reporte  Virus Total

Si miramos en Robtex, también es catalogado en una blacklist

Si miramos el código fuente de la web que ha sido catalogada en una Blacklist, además de considerarse un sitio de Pishing, podemos ver que hasta tienen cuenta de Google Analytics!!!!!!

var _gaq = _gaq || [];_gaq.push(['_setAccount', 'UA-19276994-1']);_gaq.push(['_setDomainName', 'none']);_gaq.push(['_setAllowLinker', true]);_gaq.push(['_trackPageview']);

Podemos hacer una búsqueda de esos ID de Google Analytics

Resultados

¿Significa que todas las webs en la que aparece este código de Analytics será un posible Phising?

Quien sabe..

 

1 comentario: