Otro mail de falsa MULTA DE TRAFICO que anexa presunto PDF malicioso con link a una web de Chile

Se recibe un mail (MAIL MALICIOSO) con esta apariencia:

_____________

ASUNTO  : MULTA DE TRAFICO

______________________________________________________________________________

Te ha llegado una nueva carta con la nueva modalidad de Correos online.

Ver carta.

Asunto: Correo certificado extraviado.

Tamaño: 44kb

© Copyright 2005 Sociedad Estatal Correos y Telégrafos, S.A.

______________

Con caracteristicas de presentacion similares al anterior caso con el mismo ASUNTO (MULTA DE TRAFICO) alegando ser un “Correo Certificado Extraviado”, y con el Texto de “Te ha llegado una nueva carta con la nueva modalidad de Correos online.”, y además esta vez con un falso logo de “McAfee SECURE” para parecer mas autentico y seguro, se recibe un mail que si el usuario pulsa en “Ver carta” lo que logra es bajar el archivo malware en cuestion : “id-23485.pdf.exe”.

Pasamos a controlarlo con a partir del ELISTARA 23.43 de hoy como BANLOAD.YA

En el preanalisis con el VT ofrece el siguiente informe:

File name:
id-23485.pdf.exe

Submission date:
2011-06-15 10:39:29 (UTC)
Current status:
finished
Result:
23/ 41 (56.1%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3 2011.06.15.00 2011.06.14 Backdoor/Win32.VB
AntiVir 7.11.9.204 2011.06.15 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2011.06.15 –
Avast 4.8.1351.0 2011.06.15 Win32:Malware-gen
Avast5 5.0.677.0 2011.06.15 Win32:Malware-gen
AVG 10.0.0.1190 2011.06.15 BackDoor.VB.LUQ
BitDefender 7.2 2011.06.15 Gen:Trojan.Heur.VB.cm0@cGrH6SH
CAT-QuickHeal 11.00 2011.06.15 –
ClamAV 0.97.0.0 2011.06.15 –
Commtouch 5.3.2.6 2011.06.15 –
Comodo 9074 2011.06.15 Backdoor.Win32.VB.NQD
DrWeb 5.0.2.03300 2011.06.15 BackDoor.Siggen.30618
eSafe 7.0.17.0 2011.06.15 Win32.TRDropper
eTrust-Vet 36.1.8387 2011.06.15 –
F-Prot 4.6.2.117 2011.06.15 –
Fortinet 4.2.257.0 2011.06.15 –
GData 22 2011.06.15 Gen:Trojan.Heur.VB.cm0@cGrH6SH
Ikarus T3.1.1.104.0 2011.06.15 Trojan-Downloader.Win32.Banload
Jiangmin 13.0.900 2011.06.14 –
K7AntiVirus 9.106.4812 2011.06.14 –
Kaspersky 9.0.0.837 2011.06.15 Backdoor.Win32.VB.nqd
McAfee 5.400.0.1158 2011.06.15 Artemis!5E27D125661E
McAfee-GW-Edition 2010.1D 2011.06.15 Artemis!5E27D125661E
Microsoft 1.6903 2011.06.13 TrojanDownloader:Win32/Banload.YA
NOD32 6210 2011.06.15 a variant of Win32/PSW.VB.NHJ
Norman 6.07.10 2011.06.15 W32/Suspicious_Gen2.MVMHE
nProtect 2011-06-15.02 2011.06.15 Backdoor/W32.Agent.45056.CP
Panda 10.0.3.5 2011.06.14 Trj/CI.A
PCTools 7.0.3.5 2011.06.15 Trojan.Gen
Prevx 3.0 2011.06.15 –
Rising 23.62.02.05 2011.06.15 –
Sophos 4.66.0 2011.06.15 –
SUPERAntiSpyware 4.40.0.1006 2011.06.15 Trojan.Dropper/Proyect
Symantec 20111.1.0.186 2011.06.15 Trojan.Gen.2
TheHacker 6.7.0.1.230 2011.06.14 –
TrendMicro 9.200.0.1012 2011.06.15 –
TrendMicro-HouseCall 9.200.0.1012 2011.06.15 –
VBA32 3.12.16.1 2011.06.15 –
VIPRE 9588 2011.06.15 Trojan.Win32.Generic!BT
ViRobot 2011.6.15.4513 2011.06.15 –
VirusBuster 14.0.80.1 2011.06.14 –
Additional information
MD5   : 5e27d125661e91796759b542c59240d3
SHA1  : 5259c7cfbfa768e2140e89dc0e328b236b8b5257

Como puede verse 23 de 41 los AV que lo controlan, incluido McAfee con el sistema heurístico del motor ARTEMIS, si bien para ello debe tenerse seleccionada la sensibilidad en MEDIA o ALTA, cambiando la que viene básica de MUY BAJA.
Dicha version del ELISTARA 23.43 que lo controla y elimina, estará diusponible en nuestra web a partir de las 19 horas CEST de hoy

saludos

ms, 15-6-2011