Mail masivo recibido como notificacion de cambios en la acumulacion de pensiones, anexando variante vírica no controlada

Publicado el 4 noviembre 2009 ¬ 11:52 amh.mscComentarios desactivados en Mail masivo recibido como notificacion de cambios en la acumulacion de pensiones, anexando variante vírica no controlada

Mail malicioso que llega (en el caso del mail recibido como muestra era de Galicia) con técnicas de ingenieria social:

ASUNTO  Re: Notificacion
Los cambios en la acumulacion de pensiones!
ANEXO: Notificacion12.doc<_________80 caracteres________>.EXE

 

Resulta que lleva anexado un .ZIP, que contiene un supuesto .DOC (con su correspondiente icono de Word), pero que al final, separado por 80 caracteres, aparece el .EXE, que es lo que es.

Si el usuario abre dicho “documento”, lo que hace es ejecutar el .EXE, que resulta ser un malware variante de DOWNLOADER.SVCHOST.TEMP (de la familia Buzus)

Como siempre, NO DEBE ABRIRSE NINGUN FICHERO ANEXADO A UN MAIL NO SOLICITADO, NI PULSAR EN LINKS O IMAGENES DEL MISMO, pero si ya se ha hecho, conviene eliminar las modificaciones que ha introducido dicho troyano en el ordenador, para lo cual implementamos su control y eliminacion en el ELISTARA 19.61 de hoy

Digamos que actualmente son pocos los antivirus que lo detectan (un 34,15 %), por lo cual es fácil que pase desapercibido, ya que NO LO DETECTAN AUN antivirus como Trend, Panda, Norman, Fortinet, E-Trust, E-Safe o Avast.

 

Del preanalisis con VirusTotal:

File Notificacion12.doc_______________ received on 2009.11.04 08:46:30 (UTC)

Result: 14/41 (34.15%)


Si se recibe dicho mail, mejor eliminarlo !

 Si se ejecuta el fichero anexado, genera un SVCHOST.EXE en la carpeta temporal de windows, (Documents and settings\<usuario>\Configuracion local\temp\), el cual lanza en cada reinicio desde una clave del Shell de EXPLORER, que se debe restaurar (no eliminar)

De ello ya se cuida el ELISTARA actual, que pedirá muestra de este SVCHOST.EXE, si es una variante no conocida, que no debe ser confundido con el lanzador de tareas del sistema, que está en C:\windows\system32\
Si no se elimina, este malware lanza sus funciones de Downloader en el proximo reinicio, descargando lo que encuentre en las webs donde tiene programado acceder, y que cada vez pueden ser troyanos distintos, segun quiera el coder que lo ha hecho.
Tener en cuenta que los iconos pueden falsearse, en este caso es de un documento de WORD y el fichero es un EXE ! :

notificacion
(Se recomienda configurar windows para ver las extensiones de los ficheros, asi podrá verse realmente lo que es…)
saludos

ms, 4-11-2009

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies