NUEVA VARIANTE DE MALWARE FEDEX RECIBIDO POR MAIL CON INGENIERIA SOCIAL, DESCARGA DOWNLOADER

Publicado el 24 marzo 2013 ¬ 10:02 amh.mscComentarios desactivados en NUEVA VARIANTE DE MALWARE FEDEX RECIBIDO POR MAIL CON INGENIERIA SOCIAL, DESCARGA DOWNLOADER

En este caso se recibe un correo sospechoso que parece venir de FedEX, segun la siguiente imagen:

El correo básicamente dice que me han intentado entregar un paquete y que no han podido, así que invitan a  descargar un recibo y entregarlo para que me den el paquete. Para descargar el recibo, tenemos que hacer click en el enlace.
El enlace es de una web japonesa, ya que antes de descargar el fichero puede mirarse el dominio de la web de descarga, el cual resulta ser:
darkmac:Desktop marc$ whois sakura.ne.jp

Al pulsar en dicho enlace se descarga un fichero ZIP, el cual desempaquetado resulta este EXE:

PostalReceipt.exe

que preanalizado en virustotal, ofrece este informe:
INFO:virustotal:Get report of ‘ca0393c3d4ae30f258266329b8b8867a’

********************************************************************************
File:    PostalReceipt.exe
Size:    49152 bytes
Type:    PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5:     ca0393c3d4ae30f258266329b8b8867a
SHA1:    be8ce26449980e5aecba2d2f793f5e4e5123ff61
– MicroWorld-eScan (12.0.250.0, 20130105):    Trojan.Generic.KDV.820505
– nProtect (2013-01-04.03, 20130104):    Trojan/W32.Small.49152.CEB
– CAT-QuickHeal (12.00, 20130104):    TrojanDownloader.Kuluoz.agy
– McAfee (5.400.0.1158, 20130105):    Generic Downloader.x!gpd
– Malwarebytes (1.62.0.140, 20130105):    Trojan.Fakeword
– K7AntiVirus (9.156.8074, 20130104):    Riskware
– TheHacker (None, 20130105):    Posible_Worm32
– NANO-Antivirus (0.22.6.49175, 20130105):    None
– F-Prot (4.6.5.141, 20130104):    None
– Symantec (20121.2.1.2, 20130105):    Trojan.Gen.2
– Norman (6.08.06, 20130104):    W32/Troj_Generic.GJHER
– TotalDefense (37.0.10238, 20130104):    Win32/Kuluoz.DA
– TrendMicro-HouseCall (9.700.0.1001, 20130105):    TROJ_KULUOZ.GC
– Avast (6.0.1289.0, 20130105):    Win32:Malware-gen
– eSafe (7.0.17.0, 20130103):    None
– ClamAV (0.97.3.0, 20130105):    None
– Kaspersky (9.0.0.837, 20130105):    Trojan-Downloader.Win32.Kuluoz.agy
– BitDefender (7.2, 20130105):    Trojan.Generic.KDV.820505
– Agnitum (5.5.1.3, 20130104):    None
– SUPERAntiSpyware (5.6.0.1008, 20130105):    None
– Emsisoft (3.0.0.569, 20130105):    Trojan.Win32.Agent.AMN (A)
– Comodo (14796, 20130105):    TrojWare.Win32.Trojan.Agent.Gen
– F-Secure (9.0.17090.0, 20130104):    Trojan.Generic.KDV.820505
– DrWeb (7.0.4.09250, 20130105):    BackDoor.Kuluoz.3
– VIPRE (14848, 20130104):    Trojan.Win32.Generic.pak!cobra
– AntiVir (7.11.55.234, 20130104):    TR/Rogue.kdv.820505.1
– TrendMicro (9.561.0.1035, 20130105):    TROJ_KULUOZ.GC
– McAfee-GW-Edition (2012.1, 20130104):    Generic Downloader.x!gpd
– Sophos (4.84.0, 20130105):    Troj/Zbot-DKL
– Jiangmin (13.0.900, 20121221):    None
– Antiy-AVL (2.0.3.7, 20130104):    None
– Kingsoft (2012.12.21.213, 20130104):    Win32.Malware.Generic.a.(kcloud)
– Microsoft (1.9002, 20130105):    TrojanDownloader:Win32/Kuluoz.B
– ViRobot (2011.4.7.4223, 20130104):    Trojan.Win32.S.Downloader.49152.CQ
– AhnLab-V3 (2013.01.05.00, 20130104):    Win-Trojan/Downloader.49152.UF
– GData (22, 20130105):    Trojan.Generic.KDV.820505
– Commtouch (5.3.2.6, 20130104):    None
– ByteHero (1.0.0.1, 20121226):    None
– VBA32 (3.12.18.4, 20130104):    None
– PCTools (8.0.0.5, 20130105):    Trojan.Gen
– ESET-NOD32 (7862, 20130104):    a variant of Win32/Kryptik.ARME
– Rising (24.43.04.02, 20130104):    None
– Ikarus (T3.1.1.122.0, 20130104):    Trojan-Downloader.Win32.Kuluoz
– Fortinet (5.0.26.0, 20130105):    W32/Kuluoz.AGY!tr.dldr
– AVG (10.0.0.1190, 20130105):    Downloader.Generic13.XMH
– Panda (10.0.3.5, 20130104):    Trj/CI.A

================================================================================

 Fuente

 

A pesar de que lo detectan la mayoría de antivirus, dado que este método de simular un envio de FEDEX y pedir que se pulse en un link, lo han hecho otras veces, y se supone que lo seguirán haciendo, se recomienda mirar a donde accede el link de descarga, evitando acceder a sitios dudosos, y si es posible, hacer caso a lo que siempre indicamos de no pulsar sobre ficheros y links recibidos en mails  no solicitados, si bien se comprende que a veces los mensajes son persuasivos…
saludos

ms, 24-3-2013

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies