NUEVA VARIANTE DE DOWNLOADER SOUNDER QUE SE ESTA RECIBIENDO ACTUALMENTE ANEXADO A UN MAIL MASIVO

En un fichero con doble extensión (.PDF.EXE) que se recibe como una factura anexada, se utiliza uno de los conocidos métodos de ingenieria social para introducir un malware, que en este caso llega como: Invoice 8209137401365960 PRINT pdf.exe , si bien en las extensiones que oculta windows por defecto, se aprecia que es un aparente PDF cuando en realidad al final es un EXE.

Dado que actualmente la mayoría de facturas de envían en PDF, es una manera de engañar al usuario, al hacerle creer que es una mas de las que llegan para procesar, cuando realmente su ejecución infecta al ordenador con un downloader, que se cuidará de descargar otros malwares de todo tipo posteriormente.

A partir del ELISTARA 28.67 de hoy se controla y elimina este downloader, y los malwares que pudiera descargar, se irán controlando a medida que se vayan conociendo, si no son aun conocidos.

El preanalisis de virustotal ofrece este informe:

SHA256: 311c8436980d9a831e3144485357dfd5b75fab2ea0dd9c0544290971ed675129
SHA1: 8133fbe5c49eac6ec99e053e34a60dd6028a1b52
MD5: ab887f60040df29c23de4e0ff2dc2213
Tamaño: 29.7 KB ( 30378 bytes )
Nombre: Invoice 8209137401365960 PRINT pdf.exe
Tipo: Win32 EXE
Detecciones: 10 / 47
Fecha de análisis: 2013-10-30 12:27:05 UTC ( hace 0 minutos )

0 6 Más detalles Análisis File detail Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum  20131029
AhnLab-V3 Backdoor/Win32.ZAccess 20131029
AntiVir  20131030
Antiy-AVL  20131030
Avast  20131030
AVG  20131030
Baidu-International  20131030
BitDefender  20131030
Bkav  20131030
ByteHero  20131028
CAT-QuickHeal  20131030
ClamAV  20131029
Commtouch W32/Trojan.VHQJ-4936 20131030
Comodo TrojWare.Win32.Monder.GEN 20131030
DrWeb  20131030
Emsisoft  20131030
ESET-NOD32 Win32/TrojanDownloader.Wauchos.Q 20131030
F-Prot W32/Trojan3.GIX 20131030
F-Secure  20131030
Fortinet  20131030
GData  20131030
Ikarus  20131030
Jiangmin  20131030
K7AntiVirus  20131029
K7GW  20131029
Kaspersky  20131030
Kingsoft  20130829
Malwarebytes Trojan.ModifiedUPX 20131030
McAfee  20131030
McAfee-GW-Edition  20131030
Microsoft  20131030
MicroWorld-eScan  20131028
NANO-Antivirus  20131030
Norman  20131030
nProtect  20131030
Panda  20131030
Rising  20131029
Sophos Mal/Generic-S 20131030
SUPERAntiSpyware  20131030
Symantec Backdoor.Trojan 20131030
TheHacker Posible_Worm32 20131029
TotalDefense  20131029
TrendMicro  20131030
TrendMicro-HouseCall TROJ_GEN.F47V1030 20131030
VBA32  20131030
VIPRE  20131030
ViRobot  20131030

Dicha versión del ELISTARA 28.67 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy.

Si bien es comprensible que, en algunas ocasiones, se ejecute un fichero anexado a un mail de dichas caracteristicas, se recuerda que se aconseja no ejecutar ningun fichero anexado, ni link, ni imagen, de un mail que no haya sido solicitado, o al menos, como en este caso, si el remitente no es proveedor habitual, aunque cada vez se hace mas difícil distinguir a priori entre los que son de facturas normales en PDF, de los que son malwares aun no controlados, como en este caso.

En cualquier caso, mucho cuidado con ello, pues con la ejecución de anexados desconocidos puede ingresar cualquier cosa en el ordenador. Al menos, para evitar estos casos, configurar que windows no oculte las extensiones, para asi ver si la extension final es un EXE en lugar de un PDF, en cuyo caso, abstenerse de ejecutarlo !!!

Fijarse que solo 10 de los actuales AV lo controlan actualmente, y que, entre los que no lo detectan, están la mayoría de antivirus usados normalmente, como AVAST, AVG, BITDEFENDER, CLAMAV, DRWEB, FORTINET, GDATA, KASPERSKY, MCAFEE, MICROSOFT, PANDA, ETC, como es natural al tratarse de un nuevo engendro, asi que no confiarse de que se tiene instalado el mejor antivirus, ya que,  si no lo conoce, de poco sirve !

De todas formas, nuestro ELISTARA ya lo caza heuristicamente desde hace tiempo, dado que es de la conocida familia SOUNDER, y lo aparcamos al detectar su carga en el registro de sistema, pidiendo muestra del mismo para controlarlo especificamente en la siguiente versión.

saludos

ms, 30-10-2013