NUEVO MAIL MALICIOSO AUN POCO CONTROLADO (SOLO 10 DE 43) con link a un PHP : PASAMOS A CONTROLARLO COMO FAKE AV MS EA

Se están recibiendo mails con el siguiente contenido:
Mail malicioso:

____________

—–Mensaje original—–
De: jaime <INTERCEPTADO> [mailto:jaime <INYTERCEPTADO>@yahoo.es]
Enviado el: domingo, 10 de julio de 2011 7:54
Para: <varios destinatarios, en lista abierta>

Asunto: Re:¢

howdy, http://www.<interceptado>.it/gidbinnr.php?jprofileID=85ly
____________
Como puede verse el link conduce a un PHP sito en un servidor de Italia, desde el cual  envia el malware a ejecutar.

Si el usuario pulsa en el link en cuestion, se visualiza ùn mensaje de alerta,
“Warning!!! Your computer is at risk of malwares attacks.
We recommend you to check your system immediately.
Press OK to start the process now…”

Simula una exploración del sistema y visualiza falsas detecciones viricas.
Visualiza:

“Danger!!!
Viruses was found on your computer!
Click ‘OK’ to install free System Security Antivirus.”
[  Aceptar ]  [ Cancelar ]

Lo cual provoca la descarga directa de “FreeSystemScan.exe” que es el malware propiamente dicho:

File name:
crktkhj.exe
Submission date:
2011-07-11 09:53:40 (UTC)
Current status:
finished
Result:
10 /43 (23.3%)

VT Community

not reviewed
Safety score: –
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3  2011.07.11.01  2011.07.11  –
AntiVir  7.11.11.51  2011.07.11  TR/ATRAPS.Gen2
Antiy-AVL  2.0.3.7  2011.07.11  –
Avast  4.8.1351.0  2011.07.10  –
Avast5  5.0.677.0  2011.07.10  –
AVG  10.0.0.1190  2011.07.11  Suspicion: unknown virus
BitDefender  7.2  2011.07.11  –
CAT-QuickHeal  11.00  2011.07.11  –
ClamAV  0.97.0.0  2011.07.11  PUA.Packed.ASPack
Commtouch  5.3.2.6  2011.07.11  –
Comodo  9344  2011.07.11  –
DrWeb  5.0.2.03300  2011.07.11  –
Emsisoft  5.1.0.8  2011.07.11  Trojan.Win32.FakeAV!IK
eSafe  7.0.17.0  2011.07.07  –
eTrust-Vet  36.1.8437  2011.07.11  Win32/FakeAV.SPT
F-Prot  4.6.2.117  2011.07.10  –
F-Secure  9.0.16440.0  2011.07.11  –
Fortinet  4.2.257.0  2011.07.11  –
GData  22  2011.07.11  –
Ikarus  T3.1.1.104.0  2011.07.11  Trojan.Win32.FakeAV
Jiangmin  13.0.900  2011.07.10  –
K7AntiVirus  9.108.4891  2011.07.10  –
Kaspersky  9.0.0.837  2011.07.11  UDS:DangerousObject.Multi.Generic
McAfee  5.400.0.1158  2011.07.11  –
McAfee-GW-Edition  2010.1D  2011.07.11  –
Microsoft  1.7000  2011.07.11  –
NOD32  6283  2011.07.11  a variant of Win32/Adware.PrivacyGuard2010.BB
Norman  6.07.10  2011.07.10  –
nProtect  2011-07-10.01  2011.07.10  –
Panda  10.0.3.5  2011.07.10  Suspicious file
PCTools  8.0.0.5  2011.07.11  –
Prevx  3.0  2011.07.11  –
Rising  23.66.00.03  2011.07.11  –
Sophos  4.67.0  2011.07.11  –
SUPERAntiSpyware  4.40.0.1006  2011.07.11  –
Symantec  20111.1.0.186  2011.07.11  –
TheHacker  6.7.0.1.252  2011.07.11  –
TrendMicro  9.200.0.1012  2011.07.11  –
TrendMicro-HouseCall  9.200.0.1012  2011.07.11  –
VBA32  3.12.16.4  2011.07.11  –
VIPRE  9831  2011.07.11  FraudTool.Win32.PrivacyCenter.ek!a (v)
ViRobot  2011.7.11.4562  2011.07.11  –
VirusBuster  14.0.117.0  2011.07.10  –
Additional information
MD5   : 9d40e0e501114e6baa2eb7216fb8bd09
SHA1  : a349d2f7026e81cc9e64f613d3564bbd798bd141
File size : 1654272 bytes

Si de entrada, el usuario rechaza el mail, o corta el proceso de ejecutar el PHP, se evita la infeccion, pero sino ya se cae en la trampa y para su eliminacion se requiere el ELISTARA a partir de la version 23.60 de hoy

A partir de las 19 h de hoy, dicha version del ELISTARA 23.60 estará disponible en nuestra web

saludos

ms, 11-7-2011