Se está recibiendo un mail con asunto FOTOS-MOTEL …

 Cuidado con él: Hoy se está recibiendo en cuentas varias, un mail con asunto FOTOS-MOTEL escrito en portugés (el dominio es del Brasil), que reza así:

<body>

<p><b><a href=”http://www.<interceptado>.com.br/includes/class/DSC30123.php”>FOTOS-MOTEL</a>
(60 KB)</b></p>

<pre><font size=”3″>to te mandando nossas <u><b>FOTOS</b></u> daquele dia tão
especial pra mim no MOTEL,

NÃO esquece de apagar depois de ver viu rsrsrs =). bjuuu te AMOOOOOOOO PRA SEMPRE.

AAAAAA não esquece de me responder o e-mail tá.</font>

Tener en cuenta que el link lanza un PHP, que es código interpretado, asi que solo por pulsar en el link ya se ejecutará dicho PHP, NO PULSAR EN DICHO LINK !!!

Si se recibe dicho mail, eliminarlo directamente, se trata de un malware muy reciente no necesariamente controlado por los antivirus…

Tras analizarlo, informaremos

saludos

ms, 6-10-2009

AÑADIMOS: 

Preanalizado con VirusTotal, no lo detectan todavía ni Kaspersky, ni NOD32, ni AVG, ni AVAST, entre los mas conocidos, y McAfee solo heuristicamente.

Sus datos son :

File size: 61440 bytes
MD5   : 01db8a337c502dd5c79295b9fef81ba5
SHA1  : 8056ceec6661df39008008ae4b8b6ea7729cd5ad
Presenta un icono ya visto en otros malwares:

Lo pasamos a monitorizar e implementaremos su control y eliminación, en la versión de hoy del ELISTARA 19.40 como SpyBanker.OO ya que al parecer se trata de un downloader de Banker’s.
De momento con nuestro ELIMD5.EXE ya se puede detectar y eliminar indicandole el correspondiente HASH 01db8a337c502dd5c79295b9fef81ba5

ms.