Mas mails anexando ZIP que contiene fichero de doble extension (*.PDF.EXE) que son CRYPTOLOKERS.TORRENT
Siguen llegando mails con fichero malicioso en el interior del ZIP anexado, los cuales vamos añadiendo al control del ELISTARA, que hoy será en el 31.23 que estará disponible a partir de las 15 h CEST, si bien los dos primeros ya los controlamos con el ELIOSTARA 31.22 de ayer
Ejemplos de los mails en los que llegan son:
Asunto: Fwd: Lista de precios
De: “falso remitente> SPOOFING
Fecha: 11/12/2014 19:26
Para: <destinatario>
Hello, <destinatario>.
Su cuenta ha sido cambiado. Por favor, lea la informacion sobre la deuda
http://xxxxxxxxxindonesia.com/Order/Invoice.zip?oLDmFnOZda_i_d_<destinatario>
Tel.: +34 xxx xx-xx-xx.
id:197496372455
____________
y el preanalisis de virustotal que ofrece:
MD5 3f4e9280f7676a7fce3ddcedd64888d7
SHA1 4aafb71724316d825eb5683fc24de6402a325b6b
Tamaño del fichero 141.5 KB ( 144896 bytes )
SHA256: 22ef65697339c72390cf74d97b2a340255524ab7d7da9d9425b4af74717d3d02
Nombre: Invoice_Pdf______________________________________________________…
Detecciones: 26 / 56
Fecha de análisis: 2014-12-12 09:14:50 UTC ( hace 0 minutos )
0 1
Antivirus Resultado Actualización
ALYac Trojan.GenericKD.2021713 20141212
AVG Crypt3.BKLK 20141212
AVware Trojan.Win32.Generic!BT 20141212
Ad-Aware Trojan.GenericKD.2021713 20141212
Avast Win32:Malware-gen 20141212
Avira TR/Crypt.ZPACK.112906 20141212
Baidu-International Trojan.Win32.Ransom.aVlO 20141212
BitDefender Trojan.GenericKD.2021713 20141212
DrWeb BackDoor.Andromeda.404 20141212
ESET-NOD32 a variant of Win32/Kryptik.CSQK 20141212
Emsisoft Trojan.GenericKD.2021713 (B) 20141212
F-Secure Trojan.GenericKD.2021713 20141212
GData Trojan.GenericKD.2021713 20141212
Ikarus Trojan.Win32.Crypt 20141212
Kaspersky Trojan-Ransom.Win32.Foreign.lhcg 20141212
Malwarebytes Trojan.Kryptik.Gen 20141212
McAfee Artemis!3F4E9280F767 20141212
McAfee-GW-Edition BehavesLike.Win32.Packed.ch 20141211
MicroWorld-eScan Trojan.GenericKD.2021713 20141212
Norman Kryptik.CERN 20141212
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141212
Sophos Mal/Generic-S 20141212
Symantec Trojan Horse 20141212
TrendMicro TROJ_CRYPTED.AJS 20141212
TrendMicro-HouseCall TROJ_CRYPTED.AJS 20141212
VIPRE Trojan.Win32.Generic!BT 20141212
y otro similar es el que llega como:
Asunto: Re: El pago de la deuda. yOXhH
De: <falso remitente> spoofing
Fecha: 11/12/2014 23:58
Para: <destinatario>
Hello, <destinatario>
Informacion para los calculos se puede descargar en:
http://?????????????????.com/Order/Order.zip
==
En el caso de falta de pago de la empresa exigira compensacion por inactividad.
Tel./Fax.: +34 ?? ??????
id:474428679615
y su preanalisis ofrece el siguiente informe:
MD5 3f4e9280f7676a7fce3ddcedd64888d7
SHA1 4aafb71724316d825eb5683fc24de6402a325b6b
Tamaño del fichero 141.5 KB ( 144896 bytes )
SHA256: 22ef65697339c72390cf74d97b2a340255524ab7d7da9d9425b4af74717d3d02
Nombre: Order_Pdf________________________________________________________…
Detecciones: 26 / 56
Fecha de análisis: 2014-12-12 09:28:09 UTC ( hace 0 minutos )
0 1
Antivirus Resultado Actualización
ALYac Trojan.GenericKD.2021713 20141212
AVG Crypt3.BKLK 20141212
AVware Trojan.Win32.Generic!BT 20141212
Ad-Aware Trojan.GenericKD.2021713 20141212
Avast Win32:Malware-gen 20141212
Avira TR/Crypt.ZPACK.112906 20141212
Baidu-International Trojan.Win32.Ransom.aVlO 20141212
BitDefender Trojan.GenericKD.2021713 20141212
DrWeb BackDoor.Andromeda.404 20141212
ESET-NOD32 a variant of Win32/Kryptik.CSQK 20141212
Emsisoft Trojan.GenericKD.2021713 (B) 20141212
F-Secure Trojan.GenericKD.2021713 20141212
GData Trojan.GenericKD.2021713 20141212
Ikarus Trojan.Win32.Crypt 20141212
Kaspersky Trojan-Ransom.Win32.Foreign.lhcg 20141212
Malwarebytes Trojan.Kryptik.Gen 20141212
McAfee Artemis!3F4E9280F767 20141212
McAfee-GW-Edition BehavesLike.Win32.Packed.ch 20141211
MicroWorld-eScan Trojan.GenericKD.2021713 20141212
Norman Kryptik.CERN 20141212
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141212
Sophos Mal/Generic-S 20141212
Symantec Trojan Horse 20141212
TrendMicro TROJ_CRYPTED.AJS 20141212
TrendMicro-HouseCall TROJ_CRYPTED.AJS 20141212
VIPRE Trojan.Win32.Generic!BT 20141212
y los nombres de los ficheros en los que se han enviado a virustotal, han sido:
Nombres Invoice_Pdf_______________________________________________________________ .exe
Document_Pdf________________________________________________________________ .exe
MSNQWCQN.EXE.vir
vti-rescan
Order_Pdf_____________________________________________________________ .exe
Shipment_Pdf________________________________________________________________ .exe
fdasfa__PdF_____________________________.exe
Payment_Pdf_____________________________________________________________ .exe
Dichos malwares ya los controlamos con el ELISTARA 31.22 de ayer como CRYPTOLOCKER TORRENT
SE RECUERDA UNA VEZ MAS:
“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”
Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.
y para los nuevas variantes de virus que mcafee controla heuristicamente, configurar a nivel MUY ALTO la sensibilidad heuristica en la Consola de Virusscan, tanto a nivel de RESIDENTE A TIEMPO REAL como el de escaneador en EXPLORACION COMPLETA -> RENDIMIENTO
saludos
ms, 12-12-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.