Nuevo mail masivo malicioso similar al indicado en la noticia anterior, pero con fichero operativo malicioso ! (SPY ZBOT AFV)

Publicado el 26 septiembre 2012 ¬ 9:34 amh.mscComentarios desactivados en Nuevo mail masivo malicioso similar al indicado en la noticia anterior, pero con fichero operativo malicioso ! (SPY ZBOT AFV)

Tambien relativo a facturas, pero esta vez con un enlace que descarga fichero FACTURAS.ZIP que sedesempaqueta correctamente y ofrece el siguiente fichero malware:

Facturas.Pdf_______________________________________________________________.exe
Fijarse que a simple vista parece un PDF, pero al final aparece la extension real, .EXE, lo cua le hace operativo

EL mail en el que se está recibiendo es similar a:

MAIL MALICIOSO
______________

 

De: to:grossi@jet.es] Enviado el: martes, 25 de septiembre de 2012 23:34
Para: <destinatario>

Asunto: Re: Su facturacion.

 

Estimado consumidor le rogamos que se ponga en contacto con nosotros para recibir de forma

habitual su factura mensual, a partir del archivo adjunto.
http://64.176.23.56/… /facturas.zip

FIN DEL MAIL MALICIOSO
______________________

 

El preanalisis de dicho fichero en virustotal, ofrece el siguiemte informe:

SHA256: aa9d5b5174dd040946e2de7b81191f9749f16ebdcf258b4b41012df6aecc17a7
SHA1: 634ed95519d4fa38246b71824bd1e249d0a8aad0
MD5: 03b9b29ee50218a55259a12647aea070
Tamaño: 277.5 KB ( 284160 bytes )
Nombre: Confirmacion.Pdf_______________________________________________________________.exe
Tipo: Win32 EXE
Etiquetas: peexe
Detecciones: 17 / 43
Fecha de análisis: 2012-09-26 07:18:53 UTC ( hace 6 minutos )

00Más detallesAntivirus Resultado Actualización
Agnitum – 20120925
AhnLab-V3 Spyware/Win32.Zbot 20120925
AntiVir – 20120925
Antiy-AVL – 20120926
Avast – 20120926
AVG Agent 20120926
BitDefender Trojan.Generic.KD.740095 20120926
ByteHero – 20120918
CAT-QuickHeal – 20120926
ClamAV – 20120926
Commtouch – 20120926
Comodo – 20120926
DrWeb Trojan.DownLoader6.56603 20120926
Emsisoft – 20120919
eSafe – 20120924
ESET-NOD32 – 20120925
F-Prot – 20120926
F-Secure Trojan.Generic.KD.740095 20120926
Fortinet W32/Zbot.AMX!tr.pws 20120926
GData Trojan.Generic.KD.740095 20120926
Ikarus – 20120926
Jiangmin – 20120925
K7AntiVirus – 20120925
Kaspersky UDS:DangerousObject.Multi.Generic 20120925
Kingsoft – 20120925
McAfee PWS-Zbot.gen.amx 20120926
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-BAY.K 20120925
Microsoft – 20120926
Norman W32/Cridex.Z 20120925
nProtect – 20120925
Panda Suspicious file 20120925
PCTools – 20120926
Rising Hack.Anti.Win32.XPACK.f 20120925
Sophos Troj/Karag-K 20120926
SUPERAntiSpyware – 20120911
Symantec WS.Reputation.1 20120926
TheHacker – 20120926
TotalDefense – 20120925
TrendMicro – 20120926
TrendMicro-HouseCall TROJ_GEN.F4AHZIP 20120926
VBA32 – 20120925
VIPRE – 20120926
ViRobot Trojan.Win32.A.Inject.202240.O 20120926

Ya controlado por varios antivirus, entre ellos McAfee

Se pasa a controlar a partir de ELISTARA 26.21

saludos

SATINFO

 

NOTAS:

Tras la monitorizacion del mismo, que estamos haciendo, lo identificaremos con nombre propio, de lo cual informaremos al final de esta misma NOTICIA.
Cabe comentar mientras tanto, que su ejecución mantiene contexión con internet, por lo que se supone que puede descargar ficheros o enviar datos…
Otros nombres que con el mismo MD5 se han subido a virustotal son:

1.file-4558730_exe
2.Confirmacion.Pdf_______________________________________________________________.exe
3.Transferencia.Pdf_______________________________________________________________.exe
4.Transferencia.Pdf_______________________________________________________________.exe
5.Facturas.Pdf_______________________________________________________________.exe

Así que puede llegar en un mail con cualquier de dichos nombres (aparte de otros desconocidos, claro)

Se recuerda lo siempre recomendado de no ejecutar ficheros anexados a mails no solicitados, como tampoco pulsar en enlaces ni imagenes de los mismos …

ms.

 

De la monitorizacion de dicho malware hemos visto que se trata de una variante de un SPY ZBOT AFV  ya controlado por el ELISTARA, siendo para la eliminacion de este dos reinicios, ya que  primero , al estar en memoria, se regenerará con otro nombre en otra carpeta, y en el segundo reinicio ya lo eleiminamos sin regeneración.

ALgunos de los nombres con los que se regenera en el PC son:

“LicenseValidator”, “Renovator”, “Upgrade”, “UpgradeChecker”, “UpgradeHelper”, “Validator”, etc.

y algunas de los nombres de las carpetas usadas, para ubicarse, son las siguientes: “Adobe”, “Dropbox”, “Google Inc”, “ICQ”, “Identities”, “Macromedia”,”Media Player Classic”, “Microsoft Corporation”, “Opera”, “Skype”,”Sun”, “TeamViewer”, “Vlc”, “Windows Desktop Search”, “WinRAR”, etc.

Con el ELISTARA 26.21 que estará disponible en nuestra web a partir de las 19 h CEST de hoy, se detectará y eliminará dicho malware.

saludos

ms, 26-9-2012

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies