MAIL MASIVO QUE ANEXA LINK DE DESCARGA DE UN ZIP QUE CONTIENE EMPAQUETADO UN CPL QUE GENERA SPY BANKER AVJG

Publicado el 1 abril 2014 ¬ 12:56 pmh.mscComentarios desactivados en MAIL MASIVO QUE ANEXA LINK DE DESCARGA DE UN ZIP QUE CONTIENE EMPAQUETADO UN CPL QUE GENERA SPY BANKER AVJG

Se está recibiendo actualmente un mail malicioso con estas características:
MAIL MALICIOSO:
______________

 

Asunto: Re! Documentos!
De: “Marcia Carvalho” <tocontabilidade.cnt.br”>financeiro@conceitocontabilidade.cnt.br>
Fecha: 01/04/2014 09:05
Para: <destinatario>
Cópia dos documentos, confere e me fala.

 

tos.zip
Vlww, ótimo dia pra você

______________________
FIN DEL MAIL MALICIOSO
Como se ve, está escrito en portugués y el correo viene de una direccion de Brasil.
El enlace en cuestion descarga el fichero ZIP que contiene el fichero DOCUMENTOS.CPL, el cual descarga  2 EXES que infectan con un SPY BANKER (CAZAPASSWORDS BANCARIO)

 

A partir de la version del ELISTARA 29.70 de hoy, pasamos a controlar esta nueva variante de malware

 

El preanalisis de virustotal sobre el CPL, ofrece este informe:

 

MD5 c72a281f1626def92c214914577ac6df
SHA1 e3e15fa60743bff73da4ebe91768fde5f073cdb6
Tamaño del fichero 1.3 MB ( 1360384 bytes )
SHA256: 1f473d280e2ecbfe9ad5d1246dc84c3be3c5ac0641429dc5e08a0d656a9e2030
Nombre: documentos.cpl
Detecciones: 16 / 51
Fecha de análisis: 2014-04-01 10:33:46 UTC ( hace 5 minutos )

 

0 2
Antivirus  Resultado  Actualización
Ad-Aware  Gen:Variant.Symmi.35840  20140401
AegisLab   20140401
Agnitum   20140331
AhnLab-V3  Trojan/Win32.Banker  20140331
AntiVir   20140401
Antiy-AVL   20140401
Avast   20140401
AVG   20140401
Baidu-International  Trojan.Win32.Banload.THA  20140401
BitDefender  Gen:Variant.Symmi.35840  20140401
Bkav   20140331
ByteHero   20140401
CAT-QuickHeal   20140401
ClamAV   20140401
CMC   20140331
Commtouch   20140401
Comodo   20140401
DrWeb   20140401
Emsisoft  Gen:Variant.Symmi.35840 (B)  20140401
ESET-NOD32  a variant of Win32/TrojanDownloader.Banload.THA  20140401
F-Prot   20140401
F-Secure  Gen:Variant.Symmi.35840  20140401
Fortinet  W32/Banload.AI!tr  20140331
GData  Gen:Variant.Symmi.35840  20140401
Ikarus   20140401
Jiangmin   20140401
K7AntiVirus   20140331
K7GW   20140331
Kaspersky   20140401
Kingsoft   20140401
Malwarebytes   20140401
McAfee  Artemis!C72A281F1626  20140401
McAfee-GW-Edition  Artemis!C72A281F1626  20140401
Microsoft   20140401
MicroWorld-eScan  Gen:Variant.Symmi.35840  20140401
NANO-Antivirus   20140331
Norman   20140401
nProtect   20140331
Panda  Suspicious file  20140331
Qihoo-360  HEUR/Malware.QVM25.Gen  20140401
Rising   20140331
Sophos  Mal/Banload-AB  20140401
SUPERAntiSpyware   20140331
Symantec   20140401
TheHacker   20140401
TotalDefense   20140331
TrendMicro   20140401
TrendMicro-HouseCall   20140401
VBA32   20140331
VIPRE  Trojan-Downloader.Win32.Banload.rxb (v)  20140401
ViRobot   20140331

 

Y los preanalisis de los EXES que descarga (el uno protege al otro) son:
MD5 7970c2a5775127a015869214981da42c
SHA1 1c94a7c0a15f65ea544a5ed697a827c40f6cbc29
Tamaño del fichero 2.8 MB ( 2988032 bytes )
SHA256: 37e4f4b183555beaea0d753f8dc34641bc680d75f4f822882179cadb7aa3853a
Nombre: Idesoguexih87.exe.vir
Detecciones: 6 / 51
Fecha de análisis: 2014-04-01 11:12:15 UTC ( hace 1 minuto )

0 1
Antivirus  Resultado  Actualización
Ad-Aware  Gen:Variant.Symmi.40180  20140401
BitDefender  Gen:Variant.Symmi.40180  20140401
Emsisoft  Gen:Variant.Symmi.40180 (B)  20140401
F-Secure  Gen:Variant.Symmi.40180  20140401
GData  Gen:Variant.Symmi.40180  20140401
MicroWorld-eScan  Gen:Variant.Symmi.40180  20140401

y el otro:
MD5 5fae6ccb47b0dd27ffbac7c7200234a5
SHA1 18b2d98b46a3829c0fc958e50c23639e50e7e2e4
Tamaño del fichero 6.5 MB ( 6865408 bytes )
SHA256: c0e21428670a184d9a2ec71cd99d9c32cba01425d91b539ff9efae162e1774d8
Nombre: Uqugaejupi9615.exe.vir
Detecciones: 13 / 50
Fecha de análisis: 2014-04-01 11:16:43 UTC ( hace 1 minuto )

0 1
Antivirus  Resultado  Actualización
Ad-Aware  Gen:Variant.Strictor.51147  20140401
AhnLab-V3  Trojan/Win32.agent  20140331
Baidu-International  Trojan.Win32.Banker.AAON  20140401
BitDefender  Gen:Variant.Strictor.51147  20140401
ESET-NOD32  a variant of Win32/Spy.Banker.AAON  20140401
Emsisoft  Gen:Variant.Strictor.51147 (B)  20140401
F-Secure  Gen:Variant.Strictor.51147  20140401
GData  Gen:Variant.Strictor.51147  20140401
Ikarus  Win32.SuspectCrc  20140401
Kaspersky  HEUR:Trojan.Win32.Generic  20140401
Malwarebytes  Spyware.Banker  20140401
MicroWorld-eScan  Gen:Variant.Strictor.51147  20140401
TotalDefense  Win32/FakeIE_i  20140401
Dicha versión del ELISTARA 29.70 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
Como siempre, recordamos que no se deben abrir ficheros anexados a mails no solicitados, asi como no pulsar en enlaces o imagenes de los mismos, y por supuesto, NUNCA RELLENAR DATOS QUE PIDAN POR MAIL aunque aparenten venir de fuentes conocidas.

 

Y si se han visto afectados e infectados por dicho malware, avisen urgentemente a su banco al respecto …

 

Esperamos que lo indicado les sea de utilidad.

 

saludos

 

ms, 1-4-2014

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Banker, Keylogger, Virus, , , , , , , , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies