MAS SOBRE EL MALWARE PSWTOOL.MAILPASSVIEW QUE LLEGA APARENTANDO SER UNA CITACION DE LA POLICIA

Publicado el 30 diciembre 2010 ¬ 11:04 amh.mscComentarios desactivados en MAS SOBRE EL MALWARE PSWTOOL.MAILPASSVIEW QUE LLEGA APARENTANDO SER UNA CITACION DE LA POLICIA

Esta mañana ya hemos indicado que en un mail con logo de la policia, llegaba anexado un malware que indicaba ser ANEXO: NOTIFICACIÓN-MPF.SCR (32k)  y  NOTIFICACIÓN-MPF.SCR (32k) (son igualea) y descargan un fichero SITACION.scr que ya el error ortográfico inicial lo delata, pues además hemos visto que en la carpeta \WINDOWS\HELP\ crea otro fichero de nombre MSNMESSENGER.EXE que tambien es malware

icono MSNMESSENGER : 

igualmente dicho fichero lo pasamos a controlar, tanto por ubicacion (en Accion Directa) como por cadenas (Exploración) a partir del ELISTARA 22.31 de hoy:

Subido al VirusTotal nos ofrece el siguiente preanalisis:

File name: MsnMessenger.Exe
Submission date: 2010-12-30 09:30:00 (UTC)
Current status: finished
Result: 11 /43 (25.6%)
 VT Community

malware
 Safety score: 0.0% 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.12.30.02 2010.12.30 –
AntiVir 7.11.0.220 2010.12.29 –
Antiy-AVL 2.0.3.7 2010.12.30 –
Avast 4.8.1351.0 2010.12.29 –
Avast5 5.0.677.0 2010.12.29 Win32:PSWtool-K
AVG 9.0.0.851 2010.12.30 Generic16.CMJD
BitDefender 7.2 2010.12.30 Gen:Application.Heur.hq0@bmYI1ejO
CAT-QuickHeal 11.00 2010.12.30 –
ClamAV 0.96.4.0 2010.12.30 –
Command 5.2.11.5 2010.12.30 –
Comodo 7233 2010.12.30 –
DrWeb 5.0.2.03300 2010.12.30 –
Emsisoft 5.1.0.1 2010.12.30 –
eSafe 7.0.17.0 2010.12.28 –
eTrust-Vet 36.1.8071 2010.12.30 –
F-Prot 4.6.2.117 2010.12.29 –
F-Secure 9.0.16160.0 2010.12.30 Gen:Application.Heur.hq0@bmYI1ejO
Fortinet 4.2.254.0 2010.12.30 –
GData 21 2010.12.30 Gen:Application.Heur.hq0@bmYI1ejO
Ikarus T3.1.1.90.0 2010.12.30 –
Jiangmin 13.0.900 2010.12.30 –
K7AntiVirus 9.75.3383 2010.12.29 –
Kaspersky 7.0.0.125 2010.12.30 not-a-virus:PSWTool.Win32.MailPassView.ii
McAfee 5.400.0.1158 2010.12.30 –
McAfee-GW-Edition 2010.1C 2010.12.29 Heuristic.BehavesLike.Win32.ModifiedUPX.C
Microsoft 1.6402 2010.12.30 HackTool:Win32/Mailpassview
NOD32 5744 2010.12.29 a variant of Win32/PSWTool.MailPassView.E
Norman 6.06.12 2010.12.29 –
nProtect 2010-12-30.01 2010.12.30 Gen:Application.Heur.hq0@bmYI1ejO
Panda 10.0.2.7 2010.12.29 –
PCTools 7.0.3.5 2010.12.30 –
Prevx 3.0 2010.12.30 –
Rising 22.80.03.01 2010.12.30 –
Sophos 4.60.0 2010.12.30 PassViewer
SUPERAntiSpyware 4.40.0.1006 2010.12.30 –
Symantec 20101.3.0.103 2010.12.30 –
TheHacker 6.7.0.1.108 2010.12.30 –
TrendMicro 9.120.0.1004 2010.12.30 –
TrendMicro-HouseCall 9.120.0.1004 2010.12.30 –
VBA32 3.12.14.2 2010.12.28 –
VIPRE 7879 2010.12.30 –
ViRobot 2010.12.30.4228 2010.12.30 –
VirusBuster 13.6.119.0 2010.12.29 –
Additional informationShow all 
MD5   : d01e82c0c043ced0bbcf6c030f38bb8f
SHA1  : b0cd740965a77313eba8e014ea69c411400637b4

File size : 123904 bytes

publisher….: NirSoft
copyright….: Copyright (c) 2003 – 2010 Nir Sofer
product……: Mail PassView
description..: Mail Password Recovery
original name: mailpv.exe
internal name: Mail PassView
file version.: 1.70

Por el MD5 vemos que ya se ha analizado este fichero obteniendose esta informacion:
“There was registered attempt to establish connection with the remote host. The connection details are:

Remote Host Port Number
62.149.140.165″

La IP del servidor donde se conecta es de un ISP de Italia:
62.149.140.165 IT Italy 16 Toscana Arezzo  43.4167 11.8833 Aruba S.p.A. Aruba S.p.A. – Shared Hosting and Mail services

Y aparece relacionada en otros malware tipo BANLOAD en http://www.threatexpert.com/report.aspx?md5=c2a97a2d8a0ac10e48ef9742cb8a87f1

y el malware podría ser original de Brasil, aunque este servidor sea de un ISP de Italia.

Como colofon indicar que parece tratarse de un conjunto de aplicaciones propias de herramientas de hacker con las que conseguir algun propósito fraudulento, posiblemente relacionado con las cuentas bancarias del usuario…

saludos

ms, 30-12-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies