Falso mail de Symantec en el que envian fichero con virus con el pretexto de servir para eliminar un supuesto virus que se les ha enviado…

Otro curioso método de ingeniería social: Se recibe falso mail de una empresa antivirus en el que envían “antídoto” para un supuesto virus que tiene el usuario, lo malo es que dicho antídoto resulta ser realmente virus, nada menos que un NETSKY, que afortunadamente ya está controlado por la mayoría de antivirus, incluido por el ELINETSA.EXE, utilidad que utilizamos para ello.

El mail que envian indica:

Asunto: Re: Submit a Virus Sample
De: support@symantec.com
Fecha: Tue, 3 May 2011 21:51:34 +0200
Para: <destinatario>
The sample file you sent contains a new virus version of mydoom.j.
Please clean your system with the attached signature.

Sincerly,
Robert Ferrew

y el fichero que anexan, tiene este icono:

imagen del datfiles : 
y analizado el fichero, que es un PIF (por lo que no se ve en windows su extension, aunque se tenga marcado ver extensiones), y parece ser un link, resulta ofrecer el siguiente informe:

Scanned time   : 2011/05/04 09:18:58 (CEST)
Scanner results: 54% Escaner (20/37) encontró infección
File Name      : datfiles.pif
File Size      : 29568 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 3018e99857f31a59e0777396ae634a8f
SHA1           : 7031cfe76ee7b2c925f2c00372fb9ef7f983f60c
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      5.1.0.2         20110504011159    2011-05-04  40.09  –
AhnLab V3      2011.05.04.00   2011.05.04        2011-05-04  40.09  –
AntiVir        8.2.4.226       7.11.7.124        2011-05-03  0.28   WORM/Netsky.AP
Antiy          2.0.18          20110205.7694535  2011-02-05  0.13   Worm/Win32.NetSky.q
Arcavir        2011            201103241627      2011-03-24  0.03   Generic.2.3776
Authentium     5.1.1           201105040145      2011-05-04  1.48   W32/Netsky.P@mm (Possible)
AVAST!         4.7.4           110503-1          2011-05-03  0.01   Win32:Netsky-AF [Wrm]
AVG            8.5.850         271.1.1/3613      2011-05-03  0.25   I-Worm/Netsky
BitDefender    7.90123.7224990 7.37347           2011-05-04  6.08   Win32.Netsky.P@mm
ClamAV         0.96.5          13043             2011-05-04  0.00   Worm.NetSky-14
Comodo         4.0             8571              2011-05-03  40.09  –
CP Secure      1.3.0.5         2011.05.01        2011-05-01  0.01   W32.W.Detnat.A
Dr.Web         5.0.2.3300      2011.05.04        2011-05-04  11.94  Win32.HLLM.Netsky.18401
F-Prot         4.4.4.56        20110503          2011-05-03  1.86   W32/Netsky.P@mm
F-Secure       7.02.73807      2011.05.04.02     2011-05-04  4.75   Email-Worm.Win32.NetSky.q [AVP]
Fortinet       4.2.257         13.179            2011-05-03  40.11  –
GData          22.237/22.76    20110504          2011-05-04  40.09  –
ViRobot        20110503        2011.05.03        2011-05-03  40.09  –
Ikarus         T3.1.32.20.0    2011.05.04.78316  2011-05-04  6.14   Email-Worm.Win32.NetSky
JiangMin       13.0.900        2011.05.03        2011-05-03  40.17  –
Kaspersky      5.5.10          2011.05.04        2011-05-04  0.39   Email-Worm.Win32.NetSky.q
KingSoft       2009.2.5.15     2011.5.4.12       2011-05-04  40.09  –
McAfee         5400.1158       6320              2011-04-18  9.06   W32/Netsky.p@MM
Microsoft      1.6802          2011.05.04        2011-05-04  40.11  –
NOD32          3.0.21          6091              2011-05-03  0.00   Win32/Netsky.Q worm
Norman         6.07.08         6.07.00           2011-05-03  28.02  –
Panda          9.05.01         2011.05.02        2011-05-02  40.15  –
Trend Micro    9.200-1012      8.136.02          2011-05-03  0.02   WORM_NETSKY.P
Quick Heal     11.00           2011.05.03        2011-05-03  40.14  –
Rising         20.0            23.56.01.06       2011-05-03  40.09  –
Sophos         3.18.0          4.64              2011-05-04  4.12   W32/Netsky-P
Sunbelt        3.9.2491.2      9190              2011-05-03  40.11  –
Symantec       1.3.0.24        20110503.003      2011-05-03  2.40   W32.Netsky.P@mm
nProtect       20110504.01     3431809           2011-05-04  40.11  –
The Hacker     6.7.0.1         v00176            2011-04-18  40.09  –
VBA32          3.12.16.0       20110501.1545     2011-05-01  4.36   Email-Worm.Win32.NetSky.q
VirusBuster    5.2.0.28        13.6.334.0/51152482011-05-03  0.00   –

Lo curioso es que conocidos antivirus como GDATA, Microsoft, Norman y Panda, entre otros, aun no lo detectan, por lo que tendrá cierta propagación.
Como ya hemos dicho, nuestra utilidad ELINETSA.EXE lo controla y elimina.

saludos

ms, 4-5-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies