Mail de factura vencida que anexa un supuesto .DOC, que no es tal sino un .PHP que ejecuta un link el cual descarga un downloader del Banker
Menos de la mitad de los antivirus actuales detectan el malware que contiene un anexo a un mail que se recibe en portugués (procedente del Brasil) y que instala un downloader de una variante de zcazapasswords bancario (“Banker”) con el que pueden robar contraseñas bancarias y acceder a las cuentas de los afectados, para transferir sus “dineros” a favor del maleante.
El mail reza así:
__________________________________________
Hircon Acessoria Consultoria e Cobranca LTDA
Prezado cliente,
Consta em nosso sistema uma fatura vencida referente ao mês de Junho (06/2010),
caso não tenha efetuado o pagamento segue o extrato em anexo.
Agradece a Gerência.
__________________________________________
Anexo (Boleto_Bancário-Junho.doc) 232 KB -> el link apunta a http://www.<interceptado>.com.br/ensaios/Titulo.php
Este es el analisis del virustotal actual:
File name: Titulo.php
Submission date: 2010-08-24 07:40:18 (UTC)
Current status: finished
Result: 20 /42 (47.6%)
VT Community
not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.08.24.00 2010.08.23 Downloader/Win32.Banload
AntiVir 8.2.4.38 2010.08.23 TR/VB.Downloader.Gen
Antiy-AVL 2.0.3.7 2010.08.23 –
Authentium 5.2.0.5 2010.08.24 –
Avast 4.8.1351.0 2010.08.23 –
Avast5 5.0.332.0 2010.08.23 –
AVG 9.0.0.851 2010.08.24 –
BitDefender 7.2 2010.08.24 Gen:Trojan.Heur.PT.bm1@aqIj3Fpi
CAT-QuickHeal 11.00 2010.08.24 –
ClamAV 0.96.2.0-git 2010.08.24 –
Comodo 5841 2010.08.24 –
DrWeb 5.0.2.03300 2010.08.24 Trojan.DownLoad1.54349
Emsisoft 5.0.0.37 2010.08.24 Trojan-Downloader.Win32.VB!IK
eSafe 7.0.17.0 2010.08.23 –
eTrust-Vet 36.1.7810 2010.08.23 –
F-Prot 4.6.1.107 2010.08.24 –
F-Secure 9.0.15370.0 2010.08.24 Gen:Trojan.Heur.PT.bm1@aqIj3Fpi
Fortinet 4.1.143.0 2010.08.23 –
GData 21 2010.08.24 Gen:Trojan.Heur.PT.bm1@aqIj3Fpi
Ikarus T3.1.1.88.0 2010.08.24 Trojan-Downloader.Win32.VB
Jiangmin 13.0.900 2010.08.23 –
Kaspersky 7.0.0.125 2010.08.24 –
McAfee 5.400.0.1158 2010.08.24 PWS-Banker!gpe
McAfee-GW-Edition 2010.1B 2010.08.24 Artemis!7E391E88428E
Microsoft 1.6103 2010.08.24 –
NOD32 5391 2010.08.24 a variant of Win32/TrojanDownloader.VB.NYR
Norman 6.05.11 2010.08.23 W32/Banload.AZWU
nProtect 2010-08-23.01 2010.08.23 –
Panda 10.0.2.7 2010.08.23 Trj/CI.A
PCTools 7.0.3.5 2010.08.24 Downloader.Generic
Prevx 3.0 2010.08.24 Medium Risk Malware Downloader
Rising 22.62.01.03 2010.08.24 –
Sophos 4.56.0 2010.08.24 Mal/Emogen-O
Sunbelt 6783 2010.08.24 –
SUPERAntiSpyware 4.40.0.1006 2010.08.24 Trojan.Agent/Gen-MSFake
Symantec 20101.1.1.7 2010.08.24 Downloader
TheHacker 6.5.2.1.355 2010.08.24 –
TrendMicro 9.120.0.1004 2010.08.24 TROJ_BANLOAD.SMN
TrendMicro-HouseCall 9.120.0.1004 2010.08.24 TROJ_BANLOAD.SMN
VBA32 3.12.14.0 2010.08.23 –
ViRobot 2010.8.18.3995 2010.08.24 –
VirusBuster 5.0.27.0 2010.08.23 –
Additional informationShow all
MD5 : 7e391e88428e9d66002c812956d91a9c
SHA1 : 3e4e3ed3de27f2f985bb0d196212aa8c7d6f14a7
A partir de la version 21.46 del ELISTARA de hoy, que estará disponible a partir de las 15 horas, se controlará y eliminará dicho nueva variante, recordando la peligrosidad del mismo por su riesgo, y mas cuando lo controlan aun menos de la mitad de los antivirus actuales
saludos
ms, 24-8-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.