Esa info es posible que la manden a la direccionde alta tecnologia de la PNP- http://www.policiainformatica.gob.pe/contactenos.asp
a ver si hacen algo ahi… quizas el que esta mandando esos correos lo haga por chistoso, pero seria bueno que se de cuenta que no debe jugar con la gente no?…

Sí, pero si analizamos un poco, lo más probable es que si llegaron a robar la base de datos (lo más seguro), ahorita te estás suscribiendo a una nueva en la cual no aparecerás en la que ya fue robada antes… Porque supongo que si ya les robaron una vez la base de datos, tomaron medidas al respecto para que no vuelva a pasar, con lo cual los nuevos clientes que se suscriben no se verán afectados, solo los que ya estaban registrados cuando robaron la base de datos en el pasado. ¿Me dejo entender Alejandro? De todas formas creo que ya sabemos quién está detrás de todo esto, gracias a Milton.

@Milton, muy bueno! gracias por compartirlo.

Se trata de un programa en Visual Basic 6 comprimido con upx (nada más fácil) y parece (por las strings que se ven) que lleva incorporado el LOIC o algo similar para hacer peticiones masivas a páginas web.

1 – Crea un programa llamado servicio. exe
2- Crea las siguientes claves de registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Window Service: «servicio.exe»
HKU\S-1-5-21-73586283-1677128483-1644491937-500\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update: «C:\DOCUME~1\ADMINI~1\Temp\servicio.exe»

Por supuesto, el nombre de la carpeta de administrador dentro de documents and settings es el nombre de usuario que tengo en la máquina de prueba, con lo que variará en otros ordenadores.

3- Intenta conectarse a union-for os.com (sin espacio) IP:193.107.16.150 por el puerto 1863
4- Si lo consigue, envía la siguiente conversación:

NICK {XP\ESP\826974}
USER [NOMBRE_EQUIPO] * 0 :[NOMBRE_EQUIPO]
:RjR.Network NOTICE AUTH :GET: http://www.google.com
:RjR.Network NOTICE AUTH :User-Agent: Firefox
:RjR.Network 001 {XP\ESP\826974}
:RjR.Network 002 {XP\ESP\826974}
:RjR.Network 003 {XP\ESP\826974}
:RjR.Network 004 {XP\ESP\826974}
:RjR.Network 005 {XP\ESP\826974}
:RjR.Network 005 {XP\ESP\826974}
:RjR.Network 005 {XP\ESP\826974}
:RjR.Network 422 {XP\ESP\826974} :http://www.google.com
:{XP\ESP\826974} MODE {XP\ESP\826974} :+iwx
MODE {XP\ESP\826974} -ix
JOIN #per
MODE {XP\ESP\826974} -ix
JOIN #per
MODE {XP\ESP\826974} -ix
JOIN #per
MODE {XP\ESP\826974} -ix
JOIN #per
:{XP\ESP\826974}![NOMBRE_EQUIPO]@Crew-[TU_IP] JOIN :#per

Donde:
XP -> Sistema operativo de la máquina infectada
ESP-> País de la víctima
826974-> Valor aleatorio para identificar unívocamente cada usuario (o eso creo)
[NOMBRE_EQUIPO]-> Nombre del equipo de la víctima
[TU_IP]-> Pues eso, la ip de la víctima

Para desinfectarse sólo hay que finalizar el proceso (taskmgr), quitar las claves de registro creadas por el programa y eliminar el archivo que está oculto en la carpeta Temp dentro de Documents and settings/usuario.

Como me aburría un poco más, miré a ver la información del whois de la página union-for os.com, que por supuesto tenía pinta de ser falsa, pero había un detalle, el email, que me parecía que podía ser de verdad. Buscando dicho email en google encontré unos blogs de blogspot en los que el usuario coincidía con este email y, qué casualidad, era de Perú. Además el buen joven publica una foto suya, por lo que si queréis saber quién administra esta botnet (o lo que sea), aquí lo tenéis:

http://www.blogger.com/profile/18385729382294016925

Además, hubo otras páginas que fueron registradas con el mismo email y que no tienen buena pinta. Si queréis verlas, buscando el nombre del mail en google nos arroja ciertos resultados de páginas de whois (por si alguien tiene la curiosidad de mirarlo).

Un saludo

Ahora entiendo lo de tu correo, es raro que justo te llegue si no lo usas en otras cosas que sean «públicas».

Voy a probar suscribirme al boletín de ellos para ver si me llega algo, si llega entonces tu teoría era correcta :)

Interesante esas estadísticas, no las conocía, pero bueno, como te dije, me parece algo muy raro, que el correo que brindé a Cineplanet haya sido escogido «por casualidad», como te dije, ese correo no lo tengo suscrito a ningún otro servicio/web, solamente a Cineplanet, por eso me cuesta creer que hay sido por casualidad por spammers, pero en fin, ya de nada sirve culpar, lo único que deberían hacer es como dices, que se enfoquen más en brindar esa información a sus clientes, ya que si bien es cierto, en su muro hay más publicidad que anuncios para evitar estos fraudes.

Gracias por los enlaces Alejandro, muy interesantes. Excelente blog ;)

El problema es que no se puede afirmar que los spammers tengan la base de datos, yo creo que están enviando correos al azar de forma masiva y como dicen ellos, muchos coinciden en que son clientes de Cineplanet. Pienso que deberían hacer una campaña más fuerte para educar a los usuarios, publicar un mensaje en el muro no ayuda mucho cuando en el día publican varios mensajes promocionales dejando el aviso de seguridad «tapado» por el resto.

Esto también le ha pasado a Cinemark y hace poco comenté un caso de un programa de TV llamado «La Ruleta de la Suerte» con el cual hacían lo mismo, en este caso además filtraban las IPs para que sólo usuarios de Perú se infectaran. Es decir, no parece que sea algo sólo contra clientes de Cineplanet.

En latam el malware cada vez es más sofisticado y Perú lamentablemente es uno de los países más afectados, mira estos números publicados por Eset en relación a una botnet llamada Volk, en Perú se encontraron el 63% de las víctimas.

Otro problema es que falsificar una dirección de correo no es complicado, incluso hay servicios online gratuitos que lo hacen, y muchos al ver que la dirección coincide con la del cine creen con mayor facilidad que es real. La técnica se conoce como e-mail email spoofing (mira este ejemplo que comenté).

Como comentaba al principio, yo creo que los delincuentes los envían al azar para pescar víctimas o ya sepan de alguna forma quienes son clientes de Cineplanet, pero no necesariamente porque hayan robado la base de datos. No lo digo por defender a la empresa, no me interesa, lo que sí deberían dejar «más a la vista» las advertencias para educar a los usuarios porque una publicación en el muro puede pasar fácilmente desapercibida, lo mismo un twitt.