Nuevo troyano que llega por e-mail aparentando ser un telegrama enviado por CORREOS

Un nuevo malware está llegando por mail con la picaresca de aparentar ser un telegrama que envia Correos avisando del mismo

Hay tres o cuatro detalles que alertan de que ello no es normal, pero pueden pasar facilmente desapercibidos:

El mail viene del dominio correo.es, no de correos.es como sería el normal.

En la imagen que se observa al ejecutar el HTML que llega adjunto, se observan unos cuantos fallos que no son propios de un servicio como el de Correos:

En la línea del link dice : “Haga cliq aquí para abrir tu telegrama”

Y ya dicha línea suena mal, pues primero habla de Vd : “Haga” y al final de tú: “tu telegrama”

y la palabra cliq está mal escrita con ganas, pues debería ser click, y pudiera ser mal escrita clic o clik pero nunca cliq como indica el mail !

Mas propio sería “Haga click aquí para abrir su telegrama”
Si se pulsa sobre el link conduce a sh???.net/cm0 y ofrece descargar o ejecutar (NUNCA DEBE HACERSE) el fichero : Telegrama99781-ES.scr que es un ejecutable de  157526 KB que contiene un Trojan-Downloader.Win32.Banload.cgh

analizado con el VirusTotal actualmente lo detectan solo un 41 % de los antivirus:

File Telegrama99381-ES.scr received on 2009.06.11 11:19:20 (UTC)
Result: 16/39 (41.03%)
Antivirus Version Last Update Result

a-squared 4.5.0.18 2009.06.11 Trojan.Crypt!IK
AhnLab-V3 5.0.0.2 2009.06.11 –
AntiVir 7.9.0.183 2009.06.11 TR/Dropper.Gen
Antiy-AVL 2.0.3.1 2009.06.11 –
Authentium 5.1.2.4 2009.06.10 W32/SuspPack.M.gen!Eldorado
Avast 4.8.1335.0 2009.06.10 –
AVG 8.5.0.339 2009.06.10 –
BitDefender 7.2 2009.06.11 Gen:Trojan.Heur.90837C6969
CAT-QuickHeal 10.00 2009.06.11 (Suspicious) – DNAScan
ClamAV 0.94.1 2009.06.11 –
Comodo 1312 2009.06.11 –
DrWeb 5.0.0.12182 2009.06.11 BackDoor.Pigeon.8828
eSafe 7.0.17.0 2009.06.10 –
eTrust-Vet 31.6.6553 2009.06.11 –
F-Prot 4.4.4.56 2009.06.10 W32/SuspPack.M.gen!Eldorado
F-Secure 8.0.14470.0 2009.06.11 Trojan-Downloader.Win32.Banload.cgh
Fortinet 3.117.0.0 2009.06.11 –
GData 19 2009.06.11 Gen:Trojan.Heur.90837C6969
Ikarus T3.1.1.59.0 2009.06.11 Trojan.Crypt
K7AntiVirus 7.10.760 2009.06.10 –
Kaspersky 7.0.0.125 2009.06.11 Trojan-Downloader.Win32.Banload.cgh
McAfee 5642 2009.06.10 –
McAfee+Artemis 5642 2009.06.10 –
McAfee-GW-Edition 6.7.6 2009.06.11 Trojan.Dropper.Gen
Microsoft 1.4701 2009.06.11 –
NOD32 4147 2009.06.11 –
Norman 6.01.09 2009.06.10 W32/Obfuscated.I!genr
nProtect 2009.1.8.0 2009.06.11 –
Panda 10.0.0.14 2009.06.10 –
PCTools 4.4.2.0 2009.06.11 –
Prevx 3.0 2009.06.11 –
Rising 21.33.32.00 2009.06.11 Packer.Win32.Agent.r
Sophos 4.42.0 2009.06.11 Mal/Behav-103
Sunbelt 3.2.1858.2 2009.06.11 –
Symantec 1.4.4.12 2009.06.11 Suspicious.MH690.A
TheHacker 6.3.4.3.343 2009.06.10 –
TrendMicro 8.950.0.1092 2009.06.11 –
VBA32 3.12.10.7 2009.06.11 –
ViRobot 2009.6.11.1781 2009.06.11 –

Additional information
File size: 157526 bytes
MD5…: e3c0f202ebc795103b4b7ad348f15432
SHA1..: 92dc460a36a726d5957b006926ec0532ad0bef4f

Como se ve, no lo detectan todavía los tan usados AVG, AVAST, NOD32, Panda, ni TREND

Con el ELISTARA 18.80 de hoy ya controlamos y eliminamos esta nueva variante
Avisamos de ello ya que es muy fácil de “picar” ante la llegada de un presunto “telegrama” por e-mail e infectarse con un downloader de un cazapasswords bancario, tan peligrosos como abundantes hoy en día.  Mucho cuidado con ellos que pueden obtener numeros de cuentas bancarias y passwords con los que hacer transferencias de fondos, no precisamente a nuestro gusto…

saludos

ms, 11-6-2009