Mail malicioso que se recibe de “Coreoos.es”

Como otras veces, se está recibiendo un mail sospechoso que si bien indica provenir de Correos, se ve que la direccion del remitente es otra que lo delata: servicio.sn39119@coreoos.es

El texto del mail es de este estilo:
MAIL MALICIOSO
_______________

Asunto: Tiene que recoger un paquete postal ID98112
De: “Correos” <servicio.sn39119@coreoos.es>
Fecha: 10/10/2012 14:20
Para: <destinatario>

Estimado cliente.

El alcance de nuestra compania no pudo enviar el paquete a su direccion.
Causa: Error en la direccion de envio.
Usted puede por si mismo recoger el paquete en su oficina de correos.
Una etiqueta postal es adjuntada a esta carta.
Tiene que imprimir la etiqueta para recoger el paquete en su oficina de correos.

Muchas gracias.
Sociedad Estatal Correos y Telegrafos.

 

ADJUNTO FICHERO Postal_Etiqueta_ES.zip

______________________
fin del mail malicioso
Al desempaquetar el fichero que anexa, se obtiene un fichero con icono de PDF pero extension EXE, de nombre :

Postal_Etiqueta_ES.exe

El cual pasamos a controlar como KULUOZ-B , a partir del ELISTARA 26.31 de hoy

Hay que tener en cuenta que este asu vez descarga otro de 450 KB y que tambien pasamos a controlar con la misma version del ELISTARA, como FAKE AV
El preanalisis de virustotal del primero (KULUOZ-B) ofrece este informe:
SHA256: cfa7098b2a6b85cf7f33d63cf5ec407f05969a67c4a1cd0a7437111dddb59859
SHA1: 8b406cfbdc509d241a2bc136d70d6bcf56017804
MD5: b9a42578cf2fdb4dfc94eb64b4467623
Tamaño: 54.0 KB ( 55296 bytes )
Nombre: Postal_Etiqueta_ES.exe
Tipo: Win32 EXE
Detecciones: 4 / 39
Fecha de análisis: 2012-10-10 15:13:54 UTC ( hace 1 minuto )

Antivirus Resultado Actualización
Agnitum – 20121010
AntiVir – 20121010
Antiy-AVL – 20121009
Avast – 20121010
AVG – 20121010
BitDefender – 20121010
CAT-QuickHeal – 20121010
ClamAV – 20121010
Commtouch – 20121010
Comodo – 20121010
Emsisoft – 20120919
ESET-NOD32 a variant of Win32/Injector.XOX 20121010
F-Prot – 20121010
F-Secure – 20121003
Fortinet – 20121010
GData – 20121010
Ikarus Trojan.Win32.FakeAV 20121010
Jiangmin – 20121009
K7AntiVirus – 20121009
Kaspersky Trojan-Downloader.Win32.Kuluoz.qw 20121010
Kingsoft – 20121008
McAfee – 20121010
McAfee-GW-Edition – 20121010
Microsoft – 20121010
MicroWorld-eScan – 20121010
Norman – 20121009
nProtect – 20121010
Panda Adware/FakeAV 20121010
PCTools – 20121010
Rising – 20121009
Sophos – 20121010
SUPERAntiSpyware – 20121010
TheHacker – 20121009
TotalDefense – 20121010
TrendMicro – 20121010
TrendMicro-HouseCall – 20121010
VBA32 – 20121009
VIPRE – 20121010
ViRobot – 20121010

y el que descarga este, (FAKE AV), ofrece este otro informe:

SHA256: 5a515b0cf47cbb8acbe5e0f2b82e50c6c46a691cbb43c62834a23d64c86e1fac
SHA1: 09ac07335482c71630ed56e52bb7c5837cf9bc9c
MD5: c91f0b26431b56ed18b617ede3cc6bd1
Tamaño: 454.5 KB ( 465408 bytes )
Nombre: ok-gnqesuel.exe-fake av
Tipo: Win32 EXE
Detecciones: 4 / 43
Fecha de análisis: 2012-10-10 15:17:17 UTC ( hace 0 minutos )

00Más detallesAnálisis
Comentarios
Votos
Información adicional

Antivirus Resultado Actualización
Agnitum – 20121010
AntiVir – 20121010
Antiy-AVL – 20121009
Avast – 20121010
AVG – 20121010
BitDefender – 20121010
ByteHero – 20121008
CAT-QuickHeal – 20121010
ClamAV – 20121010
Commtouch – 20121010
Comodo – 20121010
DrWeb – 20121010
Emsisoft – 20120919
eSafe – 20121009
ESET-NOD32 – 20121010
F-Prot – 20121010
F-Secure – 20121003
Fortinet – 20121010
GData – 20121010
Ikarus – 20121010
Jiangmin – 20121009
K7AntiVirus – 20121009
Kaspersky UDS:DangerousObject.Multi.Generic 20121010
Kingsoft – 20121008
McAfee FakeAlert-SecurityTool.fo 20121010
McAfee-GW-Edition – 20121010
Microsoft – 20121010
MicroWorld-eScan – 20121010
Norman W32/Hlux.M 20121009
nProtect – 20121010
Panda – 20121010
PCTools – 20121010
Rising – 20121009
Sophos – 20121010
SUPERAntiSpyware – 20121010
Symantec Suspicious.Cloud.5 20121010
TheHacker – 20121009
TotalDefense – 20121010
TrendMicro – 20121010
TrendMicro-HouseCall – 20121010
VBA32 – 20121009
VIPRE – 20121010
ViRobot – 20121010

Dicha version 26.31 del ELISTARA que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 10-10-2012

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies