Siguen llegando mails de moda, anexando enlace malicioso que descarga fichero malware SPY ZBOT AFV

Publicado el 28 septiembre 2012 ¬ 12:18 pmh.mscComentarios desactivados en Siguen llegando mails de moda, anexando enlace malicioso que descarga fichero malware SPY ZBOT AFV

Hemos recibido varias nuevas muestras como consecuencia de haber descargado el fichero que ofrece el enlace del mail malicioso de turno, de los que destacan hoy estos asuntos:

____________
Asunto: Invalidez de datos
De: “Support” <papapapa@worldonline.es>
Fecha: 27/09/2012 21:03
Para: <destyinatario>
Buenos dias estimado consumidor. Nos comunicamos con usted para informarle de que hemos recibido de vuelta la factura emitida por nosotros debido a que los datos que nos facilito no son correctos. Le rogariamos que nos facilite la informacion correspondiente a partir del archivo adjunto a continuacion.

http://ftp.interturystyka.pl/…/Transferencia.zip
____________
Asunto: Datos incorrectos.
De: “CFX Group.” <mrodo@telstar.es>
Fecha: 27/09/2012 22:58
Para: <destinatario>
Estimado cliente contactamos con usted para informarle de que no hemos podido completar la emision de su facturo debido a que algunos de sus datos son invalidos. Le rogariamos que revisara los datos que nos facilito en la factura a partir del archivo que le adjuntamos a continuacion.
http://ftp.interturystyka.pl/…/Operacion.zip
______________
Asunto: Pago fallido
De: “Supportpay” <jsantana@arrakis.es>
Fecha: 28/09/2012 05:38
Para: <destinatario>
Estimado cliente sentimos comunicarle que no hemos recibido la cuota a abonar en el ?ltimo trimestre. Le adjuntamos la correspondiente factura por si ha tenido alg?n percance con la anterior.
http://iklancilik.web.id/…/Operacion.zip
________________

Como puede verse los servidores de correo usados son de Polonia e Indonesia

Los ficheros descargados ya son controlados por el ELISTARA actual, aparte de que cada día son mas los avntivirus que ya lo controlan (actualmente 26 de 43).

El preanalisis actual de virustotal ofrece el siguiente informe:
SHA256: 20133879324bac0cc2197d9f6e985889457b29b00d2198b4070565ce09b068f4
SHA1: edffb86dcaf36e5dbc900996f0bc18133bf37015
MD5: 23c4fe33695b7d5e5354d5cbcad363f4
Tamaño: 283.0 KB ( 289792 bytes )
Nombre: Operacion.Pdf_______________________________________________________________.exe
Tipo: Win32 EXE
Etiquetas: peexe
Detecciones: 26 / 43
Fecha de análisis: 2012-09-28 09:46:25 UTC ( hace 1 minuto )

04Más detallesAntivirus Resultado Actualización
Agnitum – 20120926
AhnLab-V3 Spyware/Win32.Zbot 20120927
AntiVir TR/Buzus.HL.1812 20120928
Antiy-AVL – 20120927
Avast Win32:Malware-gen 20120928
AVG Delf.AHMW 20120927
BitDefender Trojan.Generic.KDV.741786 20120928
ByteHero Trojan.Win32.Heur.Gen 20120918
CAT-QuickHeal – 20120927
ClamAV – 20120927
Commtouch – 20120927
Comodo UnclassifiedMalware 20120928
DrWeb – 20120927
Emsisoft – 20120919
eSafe – 20120927
ESET-NOD32 a variant of Win32/Injector.XAZ 20120928
F-Prot – 20120926
F-Secure Trojan.Generic.KDV.741786 20120927
Fortinet W32/Karag.5961!tr 20120927
GData Trojan.Generic.KDV.741786 20120928
Ikarus Virus.Win32.CeeInject 20120928
Jiangmin – 20120927
K7AntiVirus – 20120927
Kaspersky Trojan.Win32.Inject.eozh 20120927
Kingsoft Win32.Troj.Inject.(kcloud) 20120925
McAfee PWS-Zbot.gen.amx 20120927
McAfee-GW-Edition PWS-Zbot.gen.amx 20120927
Microsoft – 20120926
Norman W32/Cridex.Z 20120927
nProtect Trojan/W32.Agent.289792.FO 20120927
Panda Trj/Zbot.M 20120928
PCTools Trojan.Gen 20120928
Rising Hack.Anti.Win32.XPACK.f 20120927
Sophos Troj/Karag-K 20120927
SUPERAntiSpyware – 20120911
Symantec Trojan.Gen 20120928
TheHacker – 20120927
TotalDefense – 20120927
TrendMicro TROJ_INJECT.CEV 20120928
TrendMicro-HouseCall – 20120926
VBA32 – 20120927
VIPRE Trojan.Win32.Sirefef.h (v) 20120927
ViRobot Trojan.Win32.A.Inject.289792 20120928

y los nombres de los ficheros subidos al virustotal al efecto han sido hasta ahora:

1.23C4FE33695B7D5E5354D5CBCAD363F4
2.Operacion.Pdf_______________________________________________________________.exe
3.aaaa.exe
4.file-4565625_exe
5.LICENSEVALIDATOR.EXE.Muestra EliStartPage v26.21
6.Confirmacion.Pdf_______________________________________________________________.exe
7.Transferencia.Pdf_______________________________________________________________.exe
8.Facturas.Pdf_______________________________________________________________.exe

Con la actual version del ELISTARA 26.22 ya se controlan los ejecutables en cuestión, y si se le indica examinar los ZIP, tambien busca en ellos dichos pocibles malwares.

saludos

ms, 28-9-2012

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies