Recibido mail enviado a una lista de direcciones (parece provenir de Costa Rica) adjuntando troyano no controlado aun

Un mail proviniente (aparentemente) de Costa Rica, indicando datos del  remitente , aunque claro está, se supone que dicho remitente  es falseado, ha sido enviado a toda una lista de direcciones, entre las cuales estabamos nosotros.

Adjunta dos ficheros que ninguno de los dos está controlado por la inmensa mayoría de antivirus, los cuales resultan ser variantes de Bifrose que pasamos a controlar y eliminar con el ELITRIIP de hoy, 6.23 que subiremos esta tarde a esta web para pruebas de evaluación.

hemos enviado mail a la lista en cuestión, avisaádoles para que no abrieran el mail malicioso, segun texto adjunto:

_____
Hemos recibido un mail que ha sido remitido a una lista en la cual figura su dirección

En dicho mail hay dos ficheros sospechosos que, al analizarlos, han resultado ser variantes del troyano Bifrose

Las dos variantes no son controladas actualmente por la inmensa mayoría de los antivirus, por lo que si ejecutan el fichero infectado, se infectarán.

Nunca se debe ejecutar ficheros recibidos en mails no solicitados, ni en links ni en imagenes de los mismos, pues lo mas probable es que sean malwares.

Como Ingenieria de seguridad informática, y creadores de utilidades antivirus, hemos implementado en la version de hoy del ELITRIIP 6.23 la deteccion y eliminacion de dicho virus, pero simplemente eliminando el mail sin ejecutar el fichero anexado, evitarán dicha infección.

Sin pretetender hacer publicidad, solo por si se han infectado con este malware y quieren desinfectar el ordenador, sepan que ofrecemos servicios de Asistencia Tecnica Informatica y somos mayoristas de McAfee, y ademas, para el caso de que usen cualquier otro antivirus, disponemos de un pack reducido de utilidades con actualizacion durante un año, que pueden adquirir en su distribuidor informatico, como tambien, por ejemplo,   ONLINE

Solo por si fuera de su interés, al parecer este mail ha venido desde Costa Rica, indicando datos del  remitente , aunque claro está, se supone que dicho remitente  es falseado.

Por lo menos esperamos que con este aviso sepan evitar la infección consecuente.

saludos

SATINFO, 3-11-2009

____
Por si  llega dicho mail malicioso, viene con estas características:

 

Asunto: TUMAYORTESORO
De: Nombre remitente<
to | Vista preliminar | Bajar este mensaje como un archivo | Ver detalles
saludos cordiales….

 

nombre remitente.
correo: remitente
tos:

untitled-[1.1] 0.3 k [ text/plain ] Descargar | Ver
TuMayorTesoro.rar 146 k [ application/x-rar-compressed ] Descargar
TUMAYORTESORO1.rar 143 k [ application/x-rar-compressed ] Descargar

 

Los ficheros que anexa son TuMayorTesoro.rar y TUMAYORTESORO1.rar , que son los que contienen el malware.

Por supuesto que, ademas de controlarlo con el ELITRIIP, se envian las muestras a McAfee especialmente y a través de VirusTotal, a las demás casas antivirus

saludos

ms, 3-11-2009

 

NOTA:  Recibidas noticias del autor del mail, indicando que sus datos no deben ser posteados, los cuales se suponía eran falsos, pero dado lo que indica, se procede a eliminarlos, claro

Sobre la razón del envio del mail a una lista, indica que este mail no debía haber salido a Internet …  (Por supuesto!)

Analizando nombre e iconos de los ficheros maliciosos anexados:

TU MAYOR TESORO

 

 

que aparentan ser presentaciones de Power Point y documento Excel, vemos que debían querer aparentar las presentaciones existentes con este nombre (pero les delatan las extensiones de los ficheros, por ello recomendamos configurar su visualización), como:

http://www.google.es/url?q=http://www.iglesiaendaimiel.com/presentaciones/TU%2520MAYOR%2520TESORO.pps&ei=vHfwSt7eH4HSjAeo6Y3FCA&sa=X&oi=spellmeleon_result&resnum=1&ct=result&ved=0CAYQhgIwAA&usg=AFQjCNEchhLgHMzzGXMl85UEV3w-hoXi5A

 

de contenido moralista, asi que no confiarse, que no todo es lo que parece !

saludos

ms, 3-11-2009

 

Mas al respecto:

y a las 18 horas del 3-11-2009 solo 1 antivirus detecta a cualquiera de los dos, por ejemplo el que tiene icono de Power Point, segun informe del VirusTotal:

File TUMAYORTESORO1.EXE received on 2009.11.03 16:53:02 (UTC)

Result: 1/41 (2.44%)

File size: 190267 bytes
MD5   : 3e525a729d8ed8ac28ac14dff0504488
SHA1  : 0e081e1744065a61762c242757320bb708271284

_____________

Y A LAS 18:30 YA ESTA SUBIDA LA NUEVA VERSION 6.23 DEL ELITRIIP.EXE QUE LO CONTROLA. ms.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies