Nuevo mail malicioso que se recibe con falso remitente de CORREOS conteniendo DOWNLOADER KULUOZ

 

Se está recibiendo un mail que aparenta venir de CORREOS, adjuntando fichero ZIP que desempaqueta uno con icono de PDF (pero que realmente es un EXE malicioso con DOWNLOADER KULUOZ):
MAIL MALICIOSO:
_______________

 

Asunto: RV: Tiene que recoger un paquete postal ID77091
Fecha: 12/07/2012 15:02
De: Correos [mailto:servicio.sn86750@correos.es]
Para: <destinatario>

 

 

Estimado cliente.

El alcance de nuestra compania no pudo enviar el paquete a su direccion.
Causa: Error en la direccion de envio.
Usted puede por si mismo recoger el paquete en su oficina de correos.
Una etiqueta postal es adjuntada a esta carta.
Tiene que imprimir la etiqueta para recoger el paquete en su oficina de correos.

Muchas gracias.
Sociedad Estatal Correos y Telegrafos.
ANEXO:
Etiqueta_correos_ES_ID_35735345.zip <— fichero malicioso desempaqueta fichero EXE con icono de PDF

 

______________________

fin del mail malicioso

 

Como se ve, en el mail indican que se ha de imprimir el contenido de un fichero para generar la etiqueta, y al ser dicho fichero malicioso, lo que se consigue con ello es infectar el ordenador.
El preanalisis de virustotal sobre el fichero desempaquetado es el siguiente:

SHA256: db7c1168a7339882d3e3bcab4932797f319e2157933966e2428199478c2193db
SHA1: 2a6ec551c41b9010849c74ab9df4c3c763beb7bb
MD5: 4ef4e4d256a4552368c804a441052c32
Tamaño: 59.0 KB ( 60416 bytes )
Nombre: Etiqueta_correos_ES_ID_35735345.exe
Tipo: Win32 EXE
Etiquetas: peexe
Detecciones: 17 / 42
Fecha de análisis: 2012-07-13 00:05:20 UTC ( hace 8 horas, 34 minutos )

02Más detallesAntivirus Resultado Actualización
AhnLab-V3 Spyware/Win32.Zbot 20120712
AntiVir TR/Agent.JH.47 20120712
Antiy-AVL – 20120712
Avast – 20120712
AVG – 20120712
BitDefender Trojan.Generic.KDV.670916 20120713
ByteHero – 20120704
CAT-QuickHeal – 20120712
ClamAV – 20120712
Commtouch – 20120712
Comodo – 20120713
DrWeb BackDoor.Kuluoz.3 20120713
Emsisoft Trojan.Dropper.Win32.Dapato.blxn.AMN!A2 20120713
eSafe – 20120712
F-Prot – 20120713
F-Secure Gen:Variant.Kazy.81021 20120713
Fortinet W32/Dapato.BLXN!tr 20120712
GData Trojan.Generic.KDV.670916 20120713
Ikarus – 20120712
Jiangmin – 20120711
K7AntiVirus – 20120712
Kaspersky Trojan-Dropper.Win32.Dapato.blxn 20120713
McAfee PWS-Zbot.gen.adn 20120712
McAfee-GW-Edition – 20120712
Microsoft TrojanDownloader:Win32/Kuluoz.C 20120713
NOD32 a variant of Win32/Kryptik.AIHB 20120712
Norman – 20120712
nProtect – 20120712
Panda Trj/Sinowal.WWG 20120712
PCTools Trojan.Smoaler 20120713
Rising – 20120712
Sophos Mal/NecursDrp-A 20120713
SUPERAntiSpyware – 20120712
Symantec Trojan.Smoaler 20120713
TheHacker – 20120711
TotalDefense – 20120712
TrendMicro – 20120713
TrendMicro-HouseCall – 20120712
VBA32 – 20120712
VIPRE – 20120712
ViRobot Dropper.A.Dapato.60416.C 20120712
VirusBuster – 20120712

Dicho virus pasa a ser controlado a partir del ELISTARA 25.90 de hoy, que estará disponible en nuestra web a partir de las 15 h CEST

Una vez mas se recuerda que NO DEBEN EJECUTARSE FICHEROS ANEXADOS A MAILS NO SOLKICITADOS, ni pulsar en imagenes o links de dichos mails.

saludos

ms, 13-7-2012

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies