NUEVA PROPAGACION DE MAIL MALICIOSO CON FALSO REMITENTE XEROX, ANEXANDO MALWARE
Se están recibiendo mails con falso remitente “XEROX workcentre”, el cual contiene Downloader TEPFER en ZIP “Scan_12-12-2012-31.zip” el cual desempaqueta aparente PDF con icono de dicho standar, pero con terminacion .EXE :
MAIL MALICIOSO:
_______________
—–Mensaje original—–
De: Xerox WorkCentre [mailto:xerox.device3@<url usuario>] Enviado el: miércoles, 12 de diciembre de 2012 14:56
Para: <lista de usuarios de la empresa afectada>
Asunto: Scanned Image from a Xerox WorkCentre
Reply to: scanner@<url usuario>
Device Name: Not Set
Device Model: MX-9030N
Location: Not Set
File Format: PDF (Medium)
File Name: Scan_12-12-2012-31.zip <—- fichero malicioso
Resolution: 200dpi x 200dpi
Attached file is scanned image in PDF format.
Adobe(R)Reader(R) can be downloaded from the following URL: http://www.adobe.com/
_______________________
FIN DEL MAIL MALICIOSO
La ejecución de dicho fichero introduce un downloader en el ordenador, el cual puede descargar lo que encuentre en cada momento en el servidor accedido, como por ejemplo ZBOT, con el efecto de doble acento, asi como CUTWAIL, rootkit con driver protector, y VBNA, que es asimismo otro downloader que descarga FAKE’s, Proxy EXI, Sirefef, etc.
El preanalisis de virustotal ofrece este informe:
SHA256: 1aaae78bd46b705cc33af20ed444d8b86c56b711e913cd9a4ad184988cbabf02
SHA1: 9ce1b1b4921c7d7d12ea6167aa18bddf3ebde275
MD5: 9942d48a5b2d57ebb6dc6e6940700f34
Tamaño: 128.0 KB ( 131072 bytes )
Nombre: Scan_12-12-2012-92.exe
Tipo: Win32 EXE
Detecciones: 21 / 45
Fecha de análisis: 2012-12-13 09:50:47 UTC ( hace 0 minutos )
Antivirus Resultado Actualización
Agnitum – 20121212
AntiVir TR/Poyer.A 20121213
Antiy-AVL – 20121212
Avast Win32:Dropper-gen [Drp] 20121213
AVG Crypt.BCAG 20121212
BitDefender – 20121213
ByteHero – 20121212
CAT-QuickHeal – 20121213
ClamAV – 20121213
Commtouch W32/Trojan3.ENR 20121213
Comodo – 20121213
DrWeb Trojan.PWS.Stealer.946 20121213
Emsisoft Trojan.Win32.Agent.AMN (A) 20121213
eSafe – 20121212
ESET-NOD32 Win32/PSW.Fareit.A 20121213
F-Prot W32/Trojan3.ENR 20121213
F-Secure – 20121213
Fortinet W32/Kryptik.ALRY!tr 20121213
GData Win32:Dropper-gen 20121213
Ikarus Trojan-PWS.Multi 20121213
Jiangmin – 20121213
K7AntiVirus – 20121212
Kaspersky Trojan.Win32.Jorik.Fareit.adr 20121213
Kingsoft – 20121210
Malwarebytes – 20121213
McAfee Generic PWS.ahn 20121213
McAfee-GW-Edition Artemis!9942D48A5B2D 20121213
Microsoft PWS:Win32/Fareit 20121213
MicroWorld-eScan – 20121213
NANO-Antivirus – 20121213
Norman – 20121212
nProtect – 20121213
Panda – 20121212
PCTools Downloader.Ponik 20121213
Rising – 20121213
Sophos Troj/Agent-ZHJ 20121213
SUPERAntiSpyware – 20121213
Symantec Downloader.Ponik 20121213
TheHacker – 20121211
TotalDefense – 20121212
TrendMicro TSPY_FAREIT.ZB 20121213
TrendMicro-HouseCall TROJ_DLDR.GV 20121213
VBA32 – 20121213
VIPRE Win32.Malware!Drop 20121213
ViRobot – 20121213
Dicha version del ELISTARA 26.72 que lo detecta y elimina, estara disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 13/12/2012
Comentario: Recordamos que no se deben ejecutar ficheros anexados en mails no solicitados, ni pulsar en sus links ni en imágenes de los mismos, por poder ser malwares aun no controlados con los que provocar infección en el ordenador.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.