Hace unos días comenzamos a recibir una interesante serie de mensajes spam. Estos son fragmentos de los encabezamientos de tres ejemplos:
Aunque tienen direcciones IP y remitentes diferentes y los temas no tienen nada en común, las supuestas fechas de envío de los tres mensajes tienen una extraña similitud. Analicémoslas más detenidamente:
Ejemplo ‘a’
Fecha real: Lunes 3 septiembre 2007 21:39:36 +0300
Fecha falsa: Lunes 34 de agosto de 2007 13:39:47 -0500
Ejemplo ‘b’
Fecha real: Martes 4 septiembre 2007 08:36:52 +0300
Fecha falsa: Martes 35 agosto 2007 13:36:53 +0800
Ejemplo ‘c’:
Fecha real: Martes 4 septiembre 2007 08:50:38 +0300
Fecha falsa: Martes 35 agosto 2007 00:50:51 -0500
Sin contar el tiempo de envío y cambio de horario, las fechas reportadas no sólo son incorrectas, también parecen haber sido calculadas por el mismo algoritmo errado (contando el número de días que han pasado desde el 1 de Agosto, por eso 3 de Septiembre se convierte en 34 de Agosto).
Aunque hemos visto mucho spam con fechas incorrectas, este caso particular es muy interesante, porque al parecer lo que causa los errores en las fechas es un bug en el programa de spam. Eso nos permite ver lo que está enviando ese spammer (o usuario del programa de spam infectado) en particular. Entonces, ¿qué están enviando?
Aquí les mostramos el contenido del primer correo:
Los otros dos correos son el típico caso de spam de imagen: texto poco significativo e imágenes adjuntas. Aquí se los mostramos, por si le interesa a alguien:
El archivo ZIP del primer correo contiene un archivo ejecutable llamado “iloveyou.exe”, que pesa 20992 bytes. Lo detectamos como Trojan-Downloader.Win32.Agent.crz. Esto no nos sorprende del todo; sospechábamos que un par de muchachos traviesos estaban enviando spam y malware desde los mismos sistemas, pero no teníamos evidencia sólida para confirmarlo.
Aunque un par de fechas inexactas parece un detalle insignificante, errores como esos nos permiten encontrar a los muchachos traviesos y, con el tiempo, dar suficiente información a las autoridades para atraparlos. Sin embargo, esos pequeños deslices son cada vez más escasos: los criminales cibernéticos aprenden de sus errores, porque saben que el más mínimo descuido puede mandarlos a la cárcel.
Una historia de fechas absolutamente imposibles