Otra vez atacan con falso mail de DHL conteniendo una nueva variante de BREDAVI
De nuevo un mail que aparenta venir de DHL está recibiendose masivamente, con un fichero ZIP anexado, que contiene un EXE con un dropper de Bredavi el cual genera un fichero de cuatro letras con tres de extension rara, en nuestro caso ha sido nxqm.uyo que es lanzado en la clave del Shell del Explorer, a traves del RUNDLL32.EXE, que no necesita la extension normal de los ficheros.
Aparte de que implementamos su control y eliminacion en el ELISTARA DE HOY 21.92, si se añade .VIR a dicho fichero nxqm.uyo y se lanza el ELISHELL, ya queda aparcado,
En el mail que hemos recibido de muestra, el zip anexado lleva de nombre DHL_Eticueta_Nr75632.zip y el EXE que contiene es el DHL_Etiqueta.exe, cuya ejecucion instala en el Shell del Explorer el nxqm.uyo antes indicado
Si bien con el ELISTARA que estamos haciendo hoy, 21.92, ya queda todo controlado y solucionado, para otros casos similares basta con añadir .VIR al fichero creado y ejecutar el ELISHELL para restablecer la clave, todo lo cual ya hará el ELISTARA para cada caso que vayamos controlando de esta familia, como ya hacemos con los anteriores.
Ver lo que deciamos al respecto hace solo 10 días, en el anterior mail masivo de esta familia:
https://blog.satinfo.es/?p=7144
saludos
ms, 2-11-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.