Mail que aparenta venir de POLICIA NACIONAL notificando una citación de LA AUDIENCIA anexando malware

Publicado el 16 junio 2011 ¬ 11:31 amh.mscComentarios desactivados en Mail que aparenta venir de POLICIA NACIONAL notificando una citación de LA AUDIENCIA anexando malware

Se recibe por mail uno similar a este:

______________

De: to:policianacional@policia.es]
Enviado el: <fecha envio>
Para: <destinatario>
Asunto: intimacion

PROCEDIMENTO INVESTIGATÓRIO N.º 363.234/2010Dirección General de la Policía y de la Guardia Civil

Assunto:NOTIFICACIÓN DE ASISTENCIA EN LA AUDIENCIA en el procedimiento de investigación de que se trata en esta conducta regional
Para que se adjunta.
1 ANEXO: NOTIFICACIÓN-MPF.SCR (32k)  <es un link malicioso que descarga malware>

_______________
el link conduce a :  http://lajefa.fm/<interceptado>/intimacion.scr

conectando con una web de San Antonio (Texas):

lajefa.fm.  US  United States  TX  Texas  San Antonio  78218  29.4889  -98.3987  Rackspace Hosting

El analisis del VT sobre el fichero descargado es el siguiente:

File name:
intimacion.scr
Submission date:
2011-06-16 07:21:47 (UTC)
Current status:
finished
Result:
18 /42 (42.9%)

VT Community

not reviewed
Safety score: –
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3  2011.06.16.00  2011.06.15  Trojan/Win32.CSon
AntiVir  7.11.9.228  2011.06.16  –
Antiy-AVL  2.0.3.7  2011.06.15  –
Avast  4.8.1351.0  2011.06.15  –
Avast5  5.0.677.0  2011.06.15  –
AVG  10.0.0.1190  2011.06.15  –
BitDefender  7.2  2011.06.16  Gen:Trojan.Heur.tmGfr5RSn9fO
CAT-QuickHeal  11.00  2011.06.16  –
ClamAV  0.97.0.0  2011.06.16  BC.Heuristic.Trojan.SusPacked.BF-6.A
Commtouch  5.3.2.6  2011.06.16  W32/Trojan-juke-based!Maximus
Comodo  9084  2011.06.16  TrojWare.Win32.Downloader.VB.RAB
DrWeb  5.0.2.03300  2011.06.16  –
eSafe  7.0.17.0  2011.06.15  –
eTrust-Vet  36.1.8389  2011.06.15  –
F-Prot  4.6.2.117  2011.06.15  W32/Trojan-juke-based!Maximus
F-Secure  9.0.16440.0  2011.06.16  Gen:Trojan.Heur.tmGfr5RSn9fO
Fortinet  4.2.257.0  2011.06.16  –
GData  22  2011.06.16  Gen:Trojan.Heur.tmGfr5RSn9fO
Ikarus  T3.1.1.104.0  2011.06.16  Trojan-Spy.Win32.Banker.anv
Jiangmin  13.0.900  2011.06.15  –
K7AntiVirus  9.106.4812  2011.06.14  Trojan
Kaspersky  9.0.0.837  2011.06.16  Trojan-Downloader.Win32.Banload.blii
McAfee  5.400.0.1158  2011.06.16  –
McAfee-GW-Edition  2010.1D  2011.06.16  –
Microsoft  1.6903  2011.06.13  –
NOD32  6212  2011.06.16  –
Norman  6.07.10  2011.06.15  W32/Obfuscated.A!genr
nProtect  2011-06-15.02  2011.06.16  –
Panda  10.0.3.5  2011.06.15  Suspicious file
PCTools  7.0.3.5  2011.06.16  –
Prevx  3.0  2011.06.16  –
Rising  23.62.02.05  2011.06.15  Trojan.DL.Win32.Undef.qef
Sophos  4.66.0  2011.06.16  Mal/Behav-103
SUPERAntiSpyware  4.40.0.1006  2011.06.16  –
Symantec  20111.1.0.186  2011.06.16  –
TheHacker  6.7.0.1.230  2011.06.14  –
TrendMicro  9.200.0.1012  2011.06.16  Mal_Banker11
TrendMicro-HouseCall  9.200.0.1012  2011.06.16  Mal_Banker11
VBA32  3.12.16.1  2011.06.15  –
VIPRE  9595  2011.06.16  Trojan.Win32.Generic.pak!cobra
ViRobot  2011.6.16.4516  2011.06.16  –
VirusBuster  14.0.82.0  2011.06.15  –
Additional information
MD5   : edff021c651e6b03bdffdbfcdde2ae28
SHA1  : 44599d6997f26eb7be20ab3e81669e7cc4da28b3

File size : 316416 bytes
A partir del ELISTARA 23,44 de hoy pasamos a controlar este downloader como variante de SPYBANKER.BLII (dldr)

y la ejecucion de este downloader, descarga otro fichero google-img.exe en la carpeta C:\TMP\  y lo ejecuta en cada reinicio desde clave HKLM [APPLICATTION] . De este fichero ningun antivirus detecta nada actualmente:

File name:
google-img.exe
Submission date:
2011-06-16 09:34:45 (UTC)
Current status:
finished
Result:
0 /42 (0.0%)

MD5   : 9436583b5cba37a3714e72d3f8343b2f
SHA1  : 82611084882141174804a8b0888f0f2049d7d1fb
File size : 2029056 bytes

A este descargado por el SPYBANKER.BLII (dldr)  lo pasamos a controlar simplemente SPYBANKER.BLII

Dicha version del ELISTARA 23.44 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 16-6-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies