¿Traidores del MSN? Dominio Malicioso.

L a noche de hoy, cansado de recibir el popular correo: “TRAIDORES DEL MSN ”, y DESPUES DE INVESTIGAR y confirmar mis sospechas, voy a  explicar el dominio malicioso, “http://www.tuscontactos.net/” y para mostrarles como funcionan este tipos de dominios para cometer robos de cuentas de mensajería instantánea, envío de mensajes SPAM, y por si fuera poco, cierran la cuenta de MSN Hotmail, y todos esos inconvenientes, por creer que todo el mundo nos traiciona, jajá ¿Que mentira?
Estos fraudes ocurren normalmente por correo electrónico y suelen llevar mensajes llamativos del estilo, “Traidores del MSN” o “Te han eliminado! del  MSN”
Este tipo de estafas además vienen siempre de la invitación de uno de tus contactos y es, en ese momento cuando para el usuario final es fácil caer en este tipo de estafas.
A nuestro buzón de correo nos puede llegar un correo del tipo:

Este tipo de correos a mi no me suelen causar ninguna confianza…
Si copiamos el contenido del enlace, nos lleva a:
http://zeppelinbv.nl/

y aquí empieza el engaño, falsedad, etc. = fake
re direcciona “redir.html?inv=inocente@hotmail.com” a esta otra pagina:

Si observamos la URL le pasa como parámetro la URL del correo desde el que te llego la invitación.
Si nos bajamos el archivo redir.html, esto contiene:

seifreed$ more redir.html\?inv\=inocente\@hotmail.com
< meta http-equiv=”refresh” content=”0;url=http://www.tu-msn.info/index.html”>

Podemos ver que en cuando la víctima visite la página enHTML redir.html será reenviado a tu-msn.info.
Si nos centramos en el primer dominio zeppelinbv.nl, podemos ver el whois asociado al dominio:
Si miramos que servicios tiene asociados

PORT STATE SERVICE REASON
21/tcp open ftp syn-ack
53/tcp open domain syn-ack
80/tcp open http syn-ack
110/tcp open pop3 syn-ack
143/tcp open imap syn-ack
995/tcp closed pop3s conn-refused
3306/tcp open mysql syn-ack
3389/tcp open ms-term-serv syn-ack
Servicio de email de base de datos y hasta escritorio remoto!
Este es el servidor que se usa para los emailings y luego otro para cometer el fraude.
Si miramos la web de Robtex sólo nos cataloga 1 como web maliciosa
http://www.robtex.com/dns/zeppelinbv.nl.html?tab=blacklists
Si miramos que directorios tienen en el servidor podemos ver:

http://zeppelinbv.nl/Stats/
==> DIRECTORY
+ http://zeppelinbv.nl/cgi-bin/
==> DIRECTORY
+ http://zeppelinbv.nl/cgi-bin/
(FOUND: 403 [Forbidden] – Size: 218)
+ http://zeppelinbv.nl/images/
==> DIRECTORY
+ http://zeppelinbv.nl/stats/
==> DIRECTORY

Encima que te envían SPAM, generan estadísticas….
este es el informe de McAfee sobre este sitio

Dicen que es un sitio de regular reputación y que es utilizado para enviar SPAM

En esta pag donde reportan sitios que tienen malas practicas : Phising”, http://www.phishtank.com/phish_detail.php?phish_id=1194873&frame=details

lo califican con un 79% de riesgo.

y el sitio: http://www.tuscontactos.net/ lo califican con un 100 % de riesgo de Phising
Ahora nos dirigimos al otro dominio: “http://www.tuscontactos.net/”

donde aparece el nombre la persona que registro el dominio: tuscontactos.net
y por ultimo les dejo algunas estadísticas y cifras sobre la pagina:

Vista Rápida http://zeppelinbv.nl.siteaero.com/

Zeppelinbv.nl esta en la posición 644668th del ranking de trafico global. Los países donde Zeppelinbv.nl es mas popular son: México, España. Zeppelinbv.nl tiene 11 re direccionamientos de dominio.

• Valor Estimado: $1,165.00 USD
  
• Ingreso Estimado Income Por Dia: $1.59
  
• Visitas Promedio: 1323

Aqui un enlace a InfoSpyware donde explican como vacunar el PC si caiste en la trampa de :"traidores del MSN" : http://www.forospyware.com/t406074.html

Por ultimo favor reportarlo al FBI, gracias.