Avalancha diaria de mails maliciosos con ingenioso sistema de descarga/ejecución.
La moda de los mails con malware, bien por el fichero anexado o por contener enlaces maliciosos (links) a web de descarga o a ejecución de PHP remoto, que consiguen instalar un virus en el ordenador, asi como el ingenio utilizado para que el usuario se infecte “sin querer”, hace que consideremos MUY IMPORTANTE la recomendacion estrella ante ordenadores con correo electrónico, esto es, que “no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.” Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.
Ayer descubrimos un nuevo engendro que bautizamos como malware RAPPA, el cual empieza por llegar en un mail con tecnicas “MIME”, y que, solo por abrirlo, ya ejecuta el fichero anexado, con lo que ya se empieza a organizar la infección, que en aquel caso descarga un cazapassword bancario, de la gama BANLOAD / SPYBANKER, pero que no acaba aquí, sino que a través de descargar ficheros con extension .JPG, en los que, a diferencia de los .EXE los navegadores no avisan de su entrada, consiguen colarse e infectar el ordenador.
Pues hoy mas de lo mismo, con un método parecido aunque diferente: Aparentando ser un mensaje de voz, se recibe un mail con un enlace que no es operativo:
Asunto: Baixe Seu Recado De Voz !!!
De: virtualturbos <virtualturbos@yahoo.com.br>
Fecha: 26/11/2014 19:19
Para: <destinatario>
https://pt-br.facebook.com/dirrectory/peoople/comentarios-de-voz?=fda54654fda94fa546da=gfs98he8gs9g8fsgfs098
enlace que aparece en el mail, pero que no es el que ejecuta, que es el realmente vírico, a saber:
http://<dominio malicioso>.net/visual/comenti/gfs90gfs0983j4l32kjoiufsd908fsd87.php?089gfsd897bvcx76da876rew
el cual descarga un fichero malicioso, de nombre “comentario.cpl” , que pasamos a controlar a partir del ELISTARA 31.11 de hoy
El preanalisis de virustotal ofrece el siguiente informe:
MD5 0bf3b822a50ee81f941237762ca43b01
SHA1 2b5b4c9e8039e76c4d00c903222c6c521471b6b9
Tamaño del fichero 678.5 KB ( 694784 bytes )
SHA256: 7becf9ca7124d4c0a3f57a613a9c9edb57c2ca21e8d6b6fc44323716da67eddc
Nombre: comentario.cpl
Detecciones: 25 / 56
Fecha de análisis: 2014-11-27 10:20:49 UTC ( hace 20 minutos )
0 1
Antivirus Resultado Actualización
ALYac Gen:Variant.Barys.3546 20141127
Ad-Aware Gen:Variant.Barys.3546 20141127
AhnLab-V3 Trojan/Win32.Banker 20141126
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20141127
Avast Win32:Malware-gen 20141127
Avira TR/Barys.vsraz 20141127
Baidu-International Trojan.Win32.Banload.bRXB 20141127
BitDefender Gen:Variant.Barys.3546 20141127
ESET-NOD32 a variant of Win32/TrojanDownloader.Banload.RXB 20141127
Emsisoft Gen:Variant.Barys.3546 (B) 20141127
F-Secure Gen:Variant.Barys.3546 20141127
Fortinet W32/Banload.AJ!tr 20141127
GData Gen:Variant.Barys.3546 20141127
Ikarus Trojan.Win32.ChePro 20141127
Kaspersky HEUR:Trojan.Win32.Generic 20141126
McAfee GenericR-CHP!0BF3B822A50E 20141127
McAfee-GW-Edition BehavesLike.Win32.Obfuscated.jh 20141127
MicroWorld-eScan Gen:Variant.Barys.3546 20141127
Microsoft TrojanDownloader:Win32/Banload.AWL 20141127
NANO-Antivirus Trojan.Win32.Barys.djhwrk 20141127
Qihoo-360 HEUR/QVM25.0.Malware.Gen 20141127
SUPERAntiSpyware Trojan.Agent/Gen-Banload 20141127
Sophos Mal/Banload-AB 20141127
VBA32 suspected of Trojan.Downloader.gen.h 20141126
VIPRE Trojan.Win32.Banload.rxb (v) 20141127
Su ejecución descarga un ZIP (aneis.zip) con password, que contiene varios ficheros, entre ellos el gbdesystemainteliigado.exe, el cual es instalado y ejecutado, dejando residente el cazapasswors.
Tambien este segundo fichero lo pasamos a controar con el ELISTARA 31.11 de hoy
El preanalisis de virustotal ofrece el siguiente informe:
D5 ab76c37234cc442887bbe5894da16a19
SHA1 79f69b8875f7286c310f7d7c2b258c71a7359d23
Tamaño del fichero 7.3 MB ( 7700480 bytes )
SHA256: 83bd7a7d573f3cf37fc25f1d7fafcb1df321cff92cd5d5303aa9970f53110389
Nombre: gbdesystemainteliigado.exe
Detecciones: 19 / 56
Fecha de análisis: 2014-11-27 10:52:54 UTC ( hace 2 minutos )
0 1
Antivirus Resultado Actualización
AVG PSW.Banker6.BVCY 20141127
Ad-Aware Trojan.GenericKD.1995632 20141127
Baidu-International Trojan.Win32.Banker.BABMP 20141127
BitDefender Trojan.GenericKD.1995632 20141127
Comodo UnclassifiedMalware 20141127
ESET-NOD32 a variant of Win32/Spy.Banker.ABMP 20141127
Emsisoft Trojan.GenericKD.1995632 (B) 20141127
F-Secure Trojan.GenericKD.1995632 20141127
GData Trojan.GenericKD.1995632 20141127
Ikarus Trojan-Spy.Agent 20141127
Kaspersky Trojan.Win32.Badur.ljcd 20141126
McAfee Artemis!AB76C37234CC 20141127
McAfee-GW-Edition Artemis 20141127
MicroWorld-eScan Trojan.GenericKD.1995632 20141127
NANO-Antivirus Trojan.Win32.Banker.djignh 20141127
Sophos Mal/Generic-S 20141127
Symantec WS.Reputation.1 20141127
TrendMicro-HouseCall Suspicious_GEN.F47V1126 20141127
nProtect Trojan.GenericKD.1995632 20141127
Y otro fichero contenido en dicho ZIP con password, es el libmysql.dll, que tambien pasamos a controlar a partir del ELISTARA 31.11. de hoy, y cuyo preanalisis de virustotal ofrece el siguiente informe:
MD5 7b0f826a1ca9933366fc4a1ea4b5dc88
SHA1 93644aa6bfce7514c3199d4bc4e2423b4fd63293
Tamaño del fichero 3.8 MB ( 4003840 bytes )
SHA256: 7e8443cdb6edb51457ca8885b1774bc16ba395f7c0763d04f644a2d5183416d8
Nombre: libmysql.dll
Detecciones: 16 / 56
Fecha de análisis: 2014-11-26 19:39:01 UTC ( hace 15 horas, 25 minutos )
0 2
Antivirus Resultado Actualización
AVware Trojan.Win32.Generic!BT 20141121
Agnitum Trojan.Rogue!MOuCmUDlN48 20141126
Avira TR/Rogue.KD.809649 20141126
Comodo UnclassifiedMalware 20141126
Fortinet W32/Rouge.KD!tr 20141126
Ikarus Trojan.Rogue 20141126
Malwarebytes Trojan.Banker 20141126
McAfee Artemis!7B0F826A1CA9 20141126
McAfee-GW-Edition Artemis 20141126
Norman Troj_Generic.GWTYQ 20141126
Qihoo-360 Win32/Trojan.346 20141126
Symantec WS.Reputation.1 20141126
TrendMicro JOKE_CODIS 20141126
TrendMicro-HouseCall JOKE_CODIS 20141126
VIPRE Trojan.Win32.Generic!BT 20141126
ViRobot JS.A.Iframe.4003840 20141126
Dicha version del ELISTARA 31.11 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
NOTA AL RESPECTO: Como se ve, bien por ficheros anexados a mails recibidos, o por enlaces contenidos en los mismos, es muy facil infectarse si no se vigila y se evitan abrir mails no solicitados, lo cual cada día es mas dificil al llegar muchos de ellos aparentando ser relativos pedidos, o a impagados, o a envios por Agencia, mails cuyo remitente es suplantando utilizando tecnicas Spoofing, si bien los que llegan en iidoma no habitual pueden delatarse, pero muchas veces es gracias al sentido comun del usuario lo que evita dicha infección, que puede ocasiona, desde robo de contraseñas bancarias como estos últimos SPYBANKER, hasta el cifrado de todos los ficheros de datos del servidor, como en el caso de las tropecientas varuiantes del Cryptolocker. asi que mucho cuidado con lo que se recibe por correo electrónico … !!!
saludos
ms, 27-11-2014
saludos
ms, 27-11-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.