Recibido mail enviado a una lista de direcciones (parece provenir de Costa Rica) adjuntando troyano no controlado aun
Un mail proviniente (aparentemente) de Costa Rica, indicando datos del remitente , aunque claro está, se supone que dicho remitente es falseado, ha sido enviado a toda una lista de direcciones, entre las cuales estabamos nosotros.
Adjunta dos ficheros que ninguno de los dos está controlado por la inmensa mayoría de antivirus, los cuales resultan ser variantes de Bifrose que pasamos a controlar y eliminar con el ELITRIIP de hoy, 6.23 que subiremos esta tarde a esta web para pruebas de evaluación.
hemos enviado mail a la lista en cuestión, avisaádoles para que no abrieran el mail malicioso, segun texto adjunto:
_____
Hemos recibido un mail que ha sido remitido a una lista en la cual figura su dirección
En dicho mail hay dos ficheros sospechosos que, al analizarlos, han resultado ser variantes del troyano Bifrose
Las dos variantes no son controladas actualmente por la inmensa mayoría de los antivirus, por lo que si ejecutan el fichero infectado, se infectarán.
Nunca se debe ejecutar ficheros recibidos en mails no solicitados, ni en links ni en imagenes de los mismos, pues lo mas probable es que sean malwares.
Como Ingenieria de seguridad informática, y creadores de utilidades antivirus, hemos implementado en la version de hoy del ELITRIIP 6.23 la deteccion y eliminacion de dicho virus, pero simplemente eliminando el mail sin ejecutar el fichero anexado, evitarán dicha infección.
Sin pretetender hacer publicidad, solo por si se han infectado con este malware y quieren desinfectar el ordenador, sepan que ofrecemos servicios de Asistencia Tecnica Informatica y somos mayoristas de McAfee, y ademas, para el caso de que usen cualquier otro antivirus, disponemos de un pack reducido de utilidades con actualizacion durante un año, que pueden adquirir en su distribuidor informatico, como tambien, por ejemplo, ONLINE
Solo por si fuera de su interés, al parecer este mail ha venido desde Costa Rica, indicando datos del remitente , aunque claro está, se supone que dicho remitente es falseado.
Por lo menos esperamos que con este aviso sepan evitar la infección consecuente.
saludos
SATINFO, 3-11-2009
____
Por si llega dicho mail malicioso, viene con estas características:
Asunto: TUMAYORTESORO
De: Nombre remitente<to | Vista preliminar | Bajar este mensaje como un archivo | Ver detalles
saludos cordiales….
nombre remitente.
correo: remitentetos:
untitled-[1.1] 0.3 k [ text/plain ] Descargar | Ver
TuMayorTesoro.rar 146 k [ application/x-rar-compressed ] Descargar
TUMAYORTESORO1.rar 143 k [ application/x-rar-compressed ] Descargar
Los ficheros que anexa son TuMayorTesoro.rar y TUMAYORTESORO1.rar , que son los que contienen el malware.
Por supuesto que, ademas de controlarlo con el ELITRIIP, se envian las muestras a McAfee especialmente y a través de VirusTotal, a las demás casas antivirus
saludos
ms, 3-11-2009
NOTA: Recibidas noticias del autor del mail, indicando que sus datos no deben ser posteados, los cuales se suponía eran falsos, pero dado lo que indica, se procede a eliminarlos, claro
Sobre la razón del envio del mail a una lista, indica que este mail no debía haber salido a Internet … (Por supuesto!)
Analizando nombre e iconos de los ficheros maliciosos anexados:
que aparentan ser presentaciones de Power Point y documento Excel, vemos que debían querer aparentar las presentaciones existentes con este nombre (pero les delatan las extensiones de los ficheros, por ello recomendamos configurar su visualización), como:
de contenido moralista, asi que no confiarse, que no todo es lo que parece !
saludos
ms, 3-11-2009
Mas al respecto:
y a las 18 horas del 3-11-2009 solo 1 antivirus detecta a cualquiera de los dos, por ejemplo el que tiene icono de Power Point, segun informe del VirusTotal:
File TUMAYORTESORO1.EXE received on 2009.11.03 16:53:02 (UTC)
Result: 1/41 (2.44%)
File size: 190267 bytes
MD5 : 3e525a729d8ed8ac28ac14dff0504488
SHA1 : 0e081e1744065a61762c242757320bb708271284
_____________
Y A LAS 18:30 YA ESTA SUBIDA LA NUEVA VERSION 6.23 DEL ELITRIIP.EXE QUE LO CONTROLA. ms.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.