EMPIEZAN A PROLIFERAR LOS MAILS ANEXANDO DE NUEVO VIRUS DE MACRO que descarga e instala y propaga CRYPTOLOCKER
Como hace poco vimos en mail que se recibía anexando fichero .DOC malicioso, segun deciamos en https://blog.satinfo.es/2014/vuelven-los-virus-de-macro/, se está recibiendo ahora, esta vez en correcto castellano, un mail con estas características:
MAIL MALICIOSO:
_______________
Asunto: ! Pago Incompleto ES3578755795
De: “Liona” <collinsftg@bigpond.com>
Fecha: 11/08/2014 22:32
Para: undisclosed-recipients:;
Hola.
Le informamos de que usted tiene un pago pendiente.
Numero de pago: 581286423
Razones y detalles estan en el documento adjunto.
Solo ten cuidado si no termina el pago, nuestra empresa se vera obligada a detener el suministro de productos.
Y tal vez usted tendra que pagar una indemnizacion.
==
Sinceramente
Gerente de Finanzas
Gia
93-467-13-07
ANEXADO : Processing1011201423.zip
___________________
FIN DEL MAIL MALICIOSO
El preanalisis de virustotal ofrece el siguiente informe:
MD5 c500489d28e0abe265dfb5812c9a96c9
SHA1 81d25cfbe4b2372363dd6e37a4c9aa8021aa36b4
Tamaño del fichero 199.5 KB ( 204288 bytes )
SHA256: acf73ebdf2e4c846d7d90a7da3ff8c13357d7c0b919be2e1c3ccc3bd9da7cf29
Nombre: Processing1011201423.doc
Detecciones: 4 / 53
Fecha de análisis: 2014-11-12 08:23:22 UTC ( hace 1 minuto )
0 1
Antivirus Resultado Actualización
CAT-QuickHeal W97M.Dropper.AK 20141112
McAfee W97M/Downloader.ab 20141112
Microsoft TrojanDownloader:W97M/Donoff 20141112
Sophos Troj/DocDl-AX 20141112
Enviamos muestra del especimen a Kaspersky, ya que aun no lo controla, para su control en próximas versiones
ULTIMA HORA, MUY IMPORTANTE
Pero al monitorizar dicho DOC con macros, vemos que descargar e instala un CRYPTOLOCKER que subido al virustotal ofrece este informe:
MD5 cb607388d6b05dcf0d77fd06f563511d
SHA1 85717a638f5a3cc62b2f5e25897fcee997f35070
Tamaño del fichero 494.0 KB ( 505856 bytes )
SHA256: 8a375f861957b7effcda03ba43720d5bc14eeea97a33475a78b904714283d04e
Nombre: Adobe Photo Downloader
Detecciones: 10 / 55
Fecha de análisis: 2014-11-12 15:27:35 UTC ( hace 19 minutos )
0 3
Antivirus Resultado Actualización
AhnLab-V3 Spyware/Win32.Zbot 20141112
Avira TR/Dropper.A.31965 20141112
ByteHero Trojan.Malware.Obscu.Gen.006 20141112
ESET-NOD32 Win32/Filecoder.DI 20141112
Ikarus Trojan-Ransom.CryptoWall 20141112
McAfee Artemis!CB607388D6B0 20141112
McAfee-GW-Edition BehavesLike.Win32.BadFile.gh 20141112
Norman ZBot.XAOI 20141112
Panda Trj/Zbot.M 20141110
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141112
Sobra decir lo peligroso que resulta pues abrir dicho DOC que se recibe por e-mail, por las consecuencias que conlleva descargar y ejecutar un CRYPTOLOCKER !!!
A partir del ELISTARA 31.00 de hoy pasamos a controlar esta nueva variante de CRYPTOLOCKER, recordando que conviene configurar la heuristica avanzada de VirusScan a nivel ALTO, además de NO ABRIR FICHEROS ANEXADOS A MAILS NO SOLICITADOS…
Aparte, dicho engendro intenta propagar el mail malicioso por correo electronico, para propagar la infección…
saludos
ms, 12-11-2014
NOTA : Ya decíamos esta mañana que:
En el analisis de Microsoft de esta familia de downloaders , indican:
“TrojanDownloader:O97M/Donoff
This threat downloads and installs other programs onto your PC without your consent, including other malware.”
Por tanto si se ha detectado este malware, vigilar las descargas e instalación de malwares que pueda haber hecho !!!
ms.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.