Malicioso Mail de respuesta de supuesta SOLICITUD EMPLEO EN GOOGLE
Tipo de amenaza: Malicioso site Web, Malicioso codigo
Websense Security Labs ™ ThreatSeeker ™ Network descubrió una nueva campaña de spam malicioso, con fichero malware anexado, que suplanta respuestas de Solicitud de Trabajo en Google. Los mensajes están muy bien escritos y es tan creíble que probablemente sean copias de respuestas a las solicitudes de trabajo de la aplicación de Google. Normalmente, el spam tiene errores gramaticales o faltas de ortografía que hay en los mensajes, obviamente no oficiales, y que actúan como señales de alerta. El texto de estos mensajes, sin embargo, no tiene ningún tipo de errores, haciéndolos mucho más creíbles – sobre todo si el receptor ha solicitado realmente un puesto de trabajo en Google.
La dirección del remitente es falseada para engañar a las víctimas y hacerles creer que el mensaje fue enviado por Google. Los mensajes tienen un archivo adjunto llamado CV-20100120-112.zip con un contenido malicioso. Aquí es donde el mensaje es sospechoso, en el fichero que contiene el ZIP, pues los archivos tienen una extensión doble que terminan en .Exe. Los atacantes intentan ocultar la extensión .Exe final y dejar visible solo la primera que le precede .Html o .Pdf, seguido de un número de espacios y tras ello la extensión .Exe.
Fuente
Muy pocos antivirus lo controlan por el momento:
File document.htm_____________________ received on 2010.02.01 17:00:48 (UTC)
Current status: finished
Result: 10/40 (25.00%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.01 –
AhnLab-V3 5.0.0.2 2010.02.01 –
AntiVir 7.9.1.154 2010.02.01 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.02.01 –
Authentium 5.2.0.5 2010.01.31 –
Avast 4.8.1351.0 2010.02.01 –
AVG 9.0.0.730 2010.02.01 –
BitDefender 7.2 2010.02.01 –
CAT-QuickHeal 10.00 2010.02.01 –
ClamAV 0.96.0.0-git 2010.02.01 –
Comodo 3783 2010.02.01 –
DrWeb 5.0.1.12222 2010.02.01 –
eSafe 7.0.17.0 2010.02.01 –
eTrust-Vet 35.2.7274 2010.02.01 –
F-Prot 4.5.1.85 2010.01.31 –
F-Secure 9.0.15370.0 2010.02.01 Suspicious:W32/Riskware!Online
Fortinet 4.0.14.0 2010.02.01 –
GData 19 2010.02.01 –
Ikarus T3.1.1.80.0 2010.02.01 –
Jiangmin 13.0.900 2010.01.28 –
K7AntiVirus 7.10.960 2010.01.29 –
Kaspersky 7.0.0.125 2010.02.01 –
McAfee 5879 2010.02.01 –
McAfee+Artemis 5879 2010.02.01 Artemis!C2193DC41061
McAfee-GW-Edition 6.8.5 2010.02.01 Heuristic.LooksLike.Win32.Obfuscated.J
Microsoft 1.5406 2010.02.01 Worm:Win32/Prolaco.gen!C
NOD32 4824 2010.02.01 probably a variant of Win32/Merond.AA
Norman 6.04.03 2010.01.31 W32/Obfuscated.CC!genr
nProtect 2009.1.8.0 2010.02.01 –
Panda 10.0.2.2 2010.02.01 –
PCTools 7.0.3.5 2010.02.01 –
Rising 22.33.00.04 2010.02.01 –
Sophos 4.50.0 2010.02.01 Mal/CryptBox-A
Sunbelt 3.2.1858.2 2010.01.31 Worm.Win32.Prolaco.gen (v)
Symantec 20091.2.0.41 2010.02.01 Suspicious.Insight
TheHacker 6.5.1.0.175 2010.02.01 –
TrendMicro 9.120.0.1004 2010.02.01 –
VBA32 3.12.12.1 2010.02.01 –
ViRobot 2010.2.1.2166 2010.02.01 –
VirusBuster 5.0.21.0 2010.02.01 –
Additional information
File size: 607232 bytes
MD5 : c2193dc41061ef56591f4821392599cb
SHA1 : 80366cde71b84606ce8ecf62b5bd2e459c54942e
Solo 10 de 40 antivirus lo detectan, entre ellos, heuristicamente, McAfee
Si se sospecha de su existencia, puede lanzarse el ELIMD5 indicando uno de los dos hashes que aparecen al final del informe del VirusTotal indicado, y enviarnos los ficheros detectados y movidos a cuarentena (C:\MUESTRAS) para analizar y controlar.
saludos
ms, 3-2-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.