MAIL MASIVO ENVIADO DESDE RUSIA QUE ANEXA DOWNLOADER TEPFER

Otro mail que se está recibiendo masivamente desde un servidor ruso “connect@tgmf.ru” lleva anexado un fichero ZIP que contiene empaquetado un fichero con doble extension  “fax.pdf.exe”, de forma que el usuario que tiene configurado no ver extensiones (como viene por defecto en windows), solo ve FAX.PDF , mientras que es un EXE, ya que la última extension es la que windows utiliza.

Dicho fichero FAX.PDF.EXE es un Downloader TEPFER, cuya ejecucion descarga y ejecuta un SPYZBOT de la última generación (protegida con driver al estilo del Cutwail), todos los cuales pasamos a controlar a partir del ELISTARA 29.84 de hoy

El mail en cuestión es similar a este que indicamos a continuación:

MAIL MALICIOSO:
_______________

Asunto: New Fax Message on 04/23/2014
De: “Berry Hendricks” <connect@tgmf.ru>
Fecha: 24/04/2014 01:54
Para: <DESTINATARIO>

You Have a New Fax Message 
From:  (651) 028-7087
Received:  Wednesday, April 23, 2014 at 2:04 PM
Pages:  6
 
 
To view this message, please open the attachment

Thank you for using Ring Central.
 
 
anexado:  FAX.ZIP
__________________

FIN MAIL MALICIOSO

El preanalisis de virustotal ofrece este informe:

 

MD5 dd87219f217780b860ab706a16afe596
SHA1 9643f393636bf7a2dc3f309680aa634b775d6068
Tamaño del fichero 136.0 KB ( 139264 bytes )
SHA256: 8bff08955464a1526fd60453a5e4112310551a4152bb490919541f1a2971fb1d
Nombre: fax.pdf.exe
Detecciones: 25 / 49
Fecha de análisis: 2014-04-24 06:24:36 UTC  0 2

Antivirus  Resultado  Actualización
AVG  SHeur4.BUEA  20140424
Ad-Aware  Trojan.GenericKD.1651694  20140424
AntiVir  TR/Crypt.ZPACK.65460  20140424
Avast  Win32:Trojan-gen  20140424
Baidu-International  Trojan.Win32.Wigon.PH  20140423
BitDefender  Trojan.GenericKD.1651694  20140424
Commtouch  W32/Downloader.PUYB-2856  20140424
DrWeb  Trojan.PWS.Panda.5676  20140424
ESET-NOD32  Win32/Wigon.PH  20140423
Emsisoft  Trojan.GenericKD.1651694 (B)  20140424
F-Prot  W32/Downldr2.IZNJ  20140424
Ikarus  Trojan-Spy.Zbot  20140424
Kaspersky  Backdoor.Win32.Pushdo.rlp  20140424
Malwarebytes  Spyware.Zbot.ED  20140424
McAfee  RDN/Generic.dx!dbf  20140424
McAfee-GW-Edition  Artemis!DD87219F2177  20140424
MicroWorld-eScan  Trojan.GenericKD.1651694  20140424
Microsoft  TrojanDownloader:Win32/Upatre.M  20140424
Qihoo-360  HEUR/Malware.QVM19.Gen  20140424
Sophos  Troj/Zbot-IDU  20140424
Symantec  Trojan.Zbot  20140424
TrendMicro  TSPY_ZBOT.YUNKQ  20140424
TrendMicro-HouseCall  TSPY_ZBOT.YUNKQ  20140424
VIPRE  Trojan.Win32.Generic!BT  20140424
ViRobot  Trojan.Win32.Inject.114688.K  20140423

Dicha version del ELISTARA 29.84 que lo detecta y elimina, estará disponible en nuetsra web a partir de las 19 h CEST de hoy

saludos

ms, 24-4-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies