Los falsos mails de DHL, con malware anexado, no paran de llegar

Cada día hay nos llegan nuevas variantes de muestras anexadas al falso mail de DHL, o ya del EXE que resulta al desempaquetarlo

Hoy nos ha llegado esta nueva variante:

DHL_Etiqueta.rar
Submission date:
2010-11-05 14:24:31 (UTC)
Current status:
finished
Result:
30 /43 (69.8%)
 
VT Community

malware
 Safety score: 0.0%
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3  2010.11.05.01  2010.11.05  Spyware/Win32.Zbot
AntiVir  7.10.13.143  2010.11.05  TR/Kazy.293.3
Antiy-AVL  2.0.3.7  2010.11.05  –
Authentium  5.2.0.5  2010.11.05  W32/Trojan3.CHP
Avast  4.8.1351.0  2010.11.05  Win32:Oficla-AR
Avast5  5.0.594.0  2010.11.05  Win32:Oficla-AR
AVG  9.0.0.851  2010.11.05  Agent_r.XH
BitDefender  7.2  2010.11.05  Gen:Variant.Kazy.293
CAT-QuickHeal  11.00  2010.11.04  –
ClamAV  0.96.2.0-git  2010.11.05  –
Comodo  6622  2010.11.05  Heur.Suspicious
DrWeb  5.0.2.03300  2010.11.05  Trojan.Hottrend.28
Emsisoft  5.0.0.50  2010.11.05  Gen.Variant!IK
eSafe  7.0.17.0  2010.11.04  –
eTrust-Vet  36.1.7957  2010.11.05  –
F-Prot  4.6.2.117  2010.11.04  W32/Trojan3.CHP
F-Secure  9.0.16160.0  2010.11.05  Trojan-Downloader:W32/Oficla.KO
Fortinet  4.2.249.0  2010.11.05  W32/Krypt.D!tr.dldr
GData  21  2010.11.05  Gen:Variant.Kazy.293
Ikarus  T3.1.1.90.0  2010.11.05  Gen.Variant
Jiangmin  13.0.900  2010.11.05  –
K7AntiVirus  9.67.2903  2010.11.03  –
Kaspersky  7.0.0.125  2010.11.05  Trojan-Spy.Win32.Zbot.asqk
McAfee  5.400.0.1158  2010.11.05  Generic.dx!unz
McAfee-GW-Edition  2010.1C  2010.11.05  Artemis!C854ED8277EE
Microsoft  1.6301  2010.11.04  –
NOD32  5594  2010.11.05  Win32/Oficla.JA
Norman  6.06.10  2010.11.05  W32/Obfuscated.BH!genr
nProtect  2010-11-05.01  2010.11.05  Gen:Variant.Kazy.293
Panda  10.0.2.7  2010.11.05  Trj/Sinowal.XFT
PCTools  7.0.3.5  2010.11.05  Trojan.Bredolab
Prevx  3.0  2010.11.05  High Risk Cloaked Malware
Rising  22.72.03.04  2010.11.05  –
Sophos  4.59.0  2010.11.05  Troj/FakeAV-BWH
Sunbelt  7223  2010.11.05  Trojan.Win32.Generic.pak!cobra
SUPERAntiSpyware  4.40.0.1006  2010.11.05  –
Symantec  20101.2.0.161  2010.11.05  Trojan.Bredolab
TheHacker  6.7.0.1.076  2010.11.04  –
TrendMicro  9.120.0.1004  2010.11.05  Possible_Oficla
TrendMicro-HouseCall  9.120.0.1004  2010.11.05  Possible_Oficla
VBA32  3.12.14.1  2010.11.05  BScope.Trojan.LE.01053
ViRobot  2010.10.4.4074  2010.11.05  –
VirusBuster  12.71.6.0  2010.11.05  –
Additional information
Show all
MD5   : 5308d74d50e3ed903942f4472a0b4ba6
SHA1  : 266f034947886b1c8571d3d76cf90080adbc3712

File size : 27461 bytes

cuyo EXE desempaquetado es:

File name:
DHL_Etiqueta.exe
Submission date:
2010-11-05 14:30:59 (UTC)
Current status:
finished
Result:
30 /43 (69.8%)
 
VT Community

malware
 Safety score: 0.0%
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3  2010.11.05.01  2010.11.05  Spyware/Win32.Zbot
AntiVir  7.10.13.143  2010.11.05  TR/Kazy.293.3
Antiy-AVL  2.0.3.7  2010.11.05  –
Authentium  5.2.0.5  2010.11.05  W32/Trojan3.CHP
Avast  4.8.1351.0  2010.11.05  Win32:Oficla-AR
Avast5  5.0.594.0  2010.11.05  Win32:Oficla-AR
AVG  9.0.0.851  2010.11.05  Agent_r.XH
BitDefender  7.2  2010.11.05  Gen:Variant.Kazy.293
CAT-QuickHeal  11.00  2010.11.04  –
ClamAV  0.96.2.0-git  2010.11.05  –
Comodo  6622  2010.11.05  Heur.Suspicious
DrWeb  5.0.2.03300  2010.11.05  Trojan.Hottrend.28
Emsisoft  5.0.0.50  2010.11.05  Gen.Variant!IK
eSafe  7.0.17.0  2010.11.04  –
eTrust-Vet  36.1.7957  2010.11.05  –
F-Prot  4.6.2.117  2010.11.04  W32/Trojan3.CHP
F-Secure  9.0.16160.0  2010.11.05  Trojan-Downloader:W32/Oficla.KO
Fortinet  4.2.249.0  2010.11.05  W32/Krypt.D!tr.dldr
GData  21  2010.11.05  Gen:Variant.Kazy.293
Ikarus  T3.1.1.90.0  2010.11.05  Gen.Variant
Jiangmin  13.0.900  2010.11.05  –
K7AntiVirus  9.67.2903  2010.11.03  –
Kaspersky  7.0.0.125  2010.11.05  Trojan-Spy.Win32.Zbot.asqk
McAfee  5.400.0.1158  2010.11.05  Generic.dx!unz
McAfee-GW-Edition  2010.1C  2010.11.05  Artemis!C854ED8277EE
Microsoft  1.6301  2010.11.04  –
NOD32  5594  2010.11.05  Win32/Oficla.JA
Norman  6.06.10  2010.11.05  W32/Obfuscated.BH!genr
nProtect  2010-11-05.01  2010.11.05  Gen:Variant.Kazy.293
Panda  10.0.2.7  2010.11.05  Trj/Sinowal.XFT
PCTools  7.0.3.5  2010.11.05  Trojan.Bredolab
Prevx  3.0  2010.11.05  High Risk Cloaked Malware
Rising  22.72.03.04  2010.11.05  –
Sophos  4.59.0  2010.11.05  Troj/FakeAV-BWH
Sunbelt  7223  2010.11.05  Trojan.Win32.Generic.pak!cobra
SUPERAntiSpyware  4.40.0.1006  2010.11.05  –
Symantec  20101.2.0.161  2010.11.05  Trojan.Bredolab
TheHacker  6.7.0.1.076  2010.11.04  –
TrendMicro  9.120.0.1004  2010.11.05  Possible_Oficla
TrendMicro-HouseCall  9.120.0.1004  2010.11.05  Possible_Oficla
VBA32  3.12.14.1  2010.11.05  BScope.Trojan.LE.01053
ViRobot  2010.10.4.4074  2010.11.05  –
VirusBuster  12.71.6.0  2010.11.05  –
Additional information
Show all
MD5   : c854ed8277eed084c21480bbca7e2d1a
SHA1  : 47ece61c8d865d1eb31ba6d7a626f56ddeefd87e

File size : 51200 bytes
El cual genera fichero de 4 letras con tres de extension rara, que controlamos con el ELISTARA de hoy 21.95, ya disponible en nuestra web.

Aparte, nuevas muestras son detectadas heuristcamente por el mismo ELISTARA con un AVISO de clave anomala en el Shell del Explorer.

La ingenieria social aplicada en este caso hace dificil que los usuarios dejen de ejeuctar el fichero anexado, por el falso remitente tan famoso (DHL) y ante la cantidad de nuevas variantes, un elevado porcentaje de los antivirus aun no lo conoce (en este caso un 30 %), por lo que el usuario se infecta muy facilmente.

De todas formas, con el ELISTARA controlamos los conocidos y avisamos de la presencia de desconocidos, que pasaremos a controlar tan pronto nos lleguen las muestras correspondientes.

saludos

ms, 5-11-2010