URGENTE : Nuevo mail masivo malicioso que se recibe aparentando venir de “CORREOS” y aun es muy poco detectado por los AV actuales
Se está recibiendo masivamente un falso mail de CORREOS referente a la recogida de un paquete postal:
FALSO MAIL DE CORREOS:
______________________
——- Forwarded message follows ——-
From: “Correos” <tos:
– 0.6 k [ application/octet-stream ] Descargar
– 1 k [ application/octet-stream ] Descargar
Correo Etiqueta_#18987.zip 1.2 k [ application/octet-stream ] Descargar
____________
FIN DEL MAIL
Del ZIP se extrae el fichero Correo Etiqueta.EXE, que si se ejecuta instala un DOWNLOADER en el ordenador, que pasamos a controlar a partir de la version 23.93 del ELISTARA 23.93 de hoy
El preanalisis de VirusTotal ofrece el siguiente informe:
File name: Correo Etiqueta.exe
Submission date: 2011-09-22 09:07:12 (UTC)
Current status: queued queued analysing finished
Result: 6/ 44 (13.6%)
VT Community
malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.09.21.02 2011.09.21 –
AntiVir 7.11.15.4 2011.09.22 –
Antiy-AVL 2.0.3.7 2011.09.22 –
Avast 4.8.1351.0 2011.09.22 –
Avast5 5.0.677.0 2011.09.22 –
AVG 10.0.0.1190 2011.09.21 –
BitDefender 7.2 2011.09.22 –
ByteHero 1.0.0.1 2011.09.13 –
CAT-QuickHeal 11.00 2011.09.22 –
ClamAV 0.97.0.0 2011.09.22 –
Commtouch 5.3.2.6 2011.09.22 –
Comodo 10200 2011.09.22 –
DrWeb 5.0.2.03300 2011.09.22 –
Emsisoft 5.1.0.11 2011.09.22 –
eSafe 7.0.17.0 2011.09.20 –
eTrust-Vet 36.1.8575 2011.09.22 –
F-Prot 4.6.2.117 2011.09.22 –
F-Secure 9.0.16440.0 2011.09.22 –
Fortinet 4.3.370.0 2011.09.22 W32/Yakes.B!tr
GData 22 2011.09.22 –
Ikarus T3.1.1.107.0 2011.09.22 –
Jiangmin 13.0.900 2011.09.21 –
K7AntiVirus 9.113.5173 2011.09.21 –
Kaspersky 9.0.0.837 2011.09.22 –
McAfee 5.400.0.1158 2011.09.22 Suspect-AO!86B023DBB537
McAfee-GW-Edition 2010.1D 2011.09.21 New Malware.fa
Microsoft 1.7702 2011.09.22 –
NOD32 6484 2011.09.22 a variant of Win32/Kryptik.TBD
Norman 6.07.11 2011.09.21 –
nProtect 2011-09-22.01 2011.09.22 –
Panda 10.0.3.5 2011.09.21 –
PCTools 8.0.0.5 2011.09.22 –
Prevx 3.0 2011.09.22 –
Rising 23.76.03.01 2011.09.22 –
Sophos 4.69.0 2011.09.22 –
SUPERAntiSpyware 4.40.0.1006 2011.09.21 –
Symantec 20111.2.0.82 2011.09.22 –
TheHacker 6.7.0.1.305 2011.09.21 –
TrendMicro 9.500.0.1008 2011.09.22 PAK_Generic.001
TrendMicro-HouseCall 9.500.0.1008 2011.09.22 PAK_Generic.001
VBA32 3.12.16.4 2011.09.21 –
VIPRE 10547 2011.09.22 –
ViRobot 2011.9.22.4682 2011.09.22 –
VirusBuster 14.0.225.0 2011.09.21 –
Additional informationShow all
MD5 : 86b023dbb537bda45e4b90f6dec9b79d D
SHA1 : 9c4cf9960bc27104806d3507c0c6022e6cf0dc6e
File size : 44544 bytes
Dicho Downloader será controlado por el ELISTARA 23.93 de hoy, igual que los ficheros que descarga actualmente, que si bien uno de ellos es un FAKE AV PERSONAL SHIELD polimorfico, y hay algo mas que modifica el MBR, por lo que estamos ante un downloader como el Bredolab, que posiblemente descargará diferentes ficheros a medida que su autor quiera…
Los iremos controlando a medida que vayan apareciendo.
De momento el codigo del MBR modificado lo detectamos como ALUREON, tambien con el ELISTARA
A título de informacion, la primera ejecucion del fichero anexado al mail de Correos, accede a este servidor de Minks, en Bielorusia:
178.168.174.147 BY Belarus 04 Minsk Minsk 53.9000 27.5667 Mobile TeleSystems JLLC Mobile TeleSystems JLLC
saludos
ms, 22/9/2011
NOTA: Ver mas info al respecto en
https://blog.satinfo.es/?p=19923
https://blog.satinfo.es/?p=19941
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.