NUEVA VARIANTE DE DOWNLOADER LERSPENG QUE SE RECIBE EN UN MAIL ANEXANDO FICHERO CON DOBLE EXTENSION (.ZIP.SCR)

Publicado el 30 mayo 2014 ¬ 11:17 amh.mscComentarios desactivados en NUEVA VARIANTE DE DOWNLOADER LERSPENG QUE SE RECIBE EN UN MAIL ANEXANDO FICHERO CON DOBLE EXTENSION (.ZIP.SCR)

Bajo la picaresca de presentar un fichero anexado a un mail, con icono de empaquetado y con doble extension .ZIP.SCR, que siempre la primera es parte del nombre, y la que se ejecuta es la última, llega este fichero anexado a un mail:

Fax_0529_scanmessage.zip.scr

El cual resulta ser un downloader, ya controlado por muchos antivirus, entre ellos el VirusScan de McAfee:
El preanalisis de virustotal ofrece el siguiente informe:
MD5 0e0f57af216a1ea5fa9ecb87928e92a1
SHA1 4654f63991783f49244d4645809e77b1d2746afe
Tamaño del fichero 84.5 KB ( 86528 bytes )
SHA256: 0ff7c1299cb13425adab912924ffa09488b0d4a2d408acbe8a9596c67bdde46a
Nombre: Fax_0529_scanmessage.zip.scr
Detecciones: 25 / 52
Fecha de análisis: 2014-05-30 08:49:16 UTC ( hace 1 minuto )

0 8
Antivirus  Resultado  Actualización
AVG  Generic36.PLW  20140530
Ad-Aware  Trojan.GenericKD.1697963  20140530
AntiVir  TR/Dldr.Small.PSD.6  20140530
Avast  Win32:Malware-gen  20140530
BitDefender  Trojan.GenericKD.1697963  20140530
DrWeb  Trojan.DownLoad3.32784  20140530
ESET-NOD32  Win32/TrojanDownloader.Small.PSD  20140530
Emsisoft  Trojan-Downloader.Win32.Small (A)  20140530
F-Secure  Trojan.GenericKD.1697963  20140530
Fortinet  W32/Small.PSD!tr  20140530
GData  Trojan.GenericKD.1697963  20140530
Ikarus  Trojan-Spy.Agent  20140530
Kaspersky  Trojan.Win32.Yakes.ezgx  20140530
Kingsoft  Win32.Troj.Undef.(kcloud)  20140530
Malwarebytes  Trojan.Downloader.Upatre  20140530
McAfee  RDN/Downloader.a!ra  20140530
McAfee-GW-Edition  Artemis!0E0F57AF216A  20140530
MicroWorld-eScan  Trojan.GenericKD.1697963  20140530
Microsoft  TrojanDownloader:Win32/Lerspeng.A  20140530
Sophos  Troj/Zbot-IKI  20140530
Symantec  Downloader  20140530
Tencent  Win32.Trojan.Yakes.Fil  20140530
TrendMicro  TROJ_DLOADR.NGDD  20140530
TrendMicro-HouseCall  TROJ_DLOADR.NGDD  20140530
VIPRE  Trojan.Win32.Crilock.ymt (v)  20140530

Bajo la picaresca de presentar un fichero anexado a un mail, con icono de empaquetado y con doble extension .ZIP.SCR, que siempre la primera es parte del nombre, y la que se ejecuta es la última, llega este fichero anexado a un mail:

Fax_0529_scanmessage.zip.scr

El cual resulta ser un downloader, ya controlado por muchos antivirus, entre ellos el VirusScan de McAfee:
El preanalisis de virustotal ofrece el siguiente informe:
MD5 0e0f57af216a1ea5fa9ecb87928e92a1
SHA1 4654f63991783f49244d4645809e77b1d2746afe
Tamaño del fichero 84.5 KB ( 86528 bytes )
SHA256: 0ff7c1299cb13425adab912924ffa09488b0d4a2d408acbe8a9596c67bdde46a
Nombre: Fax_0529_scanmessage.zip.scr
Detecciones: 25 / 52 
Fecha de análisis: 2014-05-30 08:49:16 UTC ( hace 1 minuto ) 

 0 8
Antivirus  Resultado  Actualización 
AVG  Generic36.PLW  20140530 
Ad-Aware  Trojan.GenericKD.1697963  20140530 
AntiVir  TR/Dldr.Small.PSD.6  20140530 
Avast  Win32:Malware-gen  20140530 
BitDefender  Trojan.GenericKD.1697963  20140530 
DrWeb  Trojan.DownLoad3.32784  20140530 
ESET-NOD32  Win32/TrojanDownloader.Small.PSD  20140530 
Emsisoft  Trojan-Downloader.Win32.Small (A)  20140530 
F-Secure  Trojan.GenericKD.1697963  20140530 
Fortinet  W32/Small.PSD!tr  20140530 
GData  Trojan.GenericKD.1697963  20140530 
Ikarus  Trojan-Spy.Agent  20140530 
Kaspersky  Trojan.Win32.Yakes.ezgx  20140530 
Kingsoft  Win32.Troj.Undef.(kcloud)  20140530 
Malwarebytes  Trojan.Downloader.Upatre  20140530 
McAfee  RDN/Downloader.a!ra  20140530 
McAfee-GW-Edition  Artemis!0E0F57AF216A  20140530 
MicroWorld-eScan  Trojan.GenericKD.1697963  20140530 
Microsoft  TrojanDownloader:Win32/Lerspeng.A  20140530 
Sophos  Troj/Zbot-IKI  20140530 
Symantec  Downloader  20140530 
Tencent  Win32.Trojan.Yakes.Fil  20140530 
TrendMicro  TROJ_DLOADR.NGDD  20140530 
TrendMicro-HouseCall  TROJ_DLOADR.NGDD  20140530 
VIPRE  Trojan.Win32.Crilock.ymt (v)  20140530 
 
A partir del ELISTARA 30.07 de hoy pasamos a controlar especificamente esta nueva variante de downloader Lerspeng, que actualmente descarga una variante de SPYZBOT, aunque quien tiene actualizado y residente cualquiera de los antivirus indicados, ya evita su ejecución.
Dicha version del ELISTARA 30.07 que los detecta y elimina (al downloader y al SPYZBOT-Z), estará disponible en nuestra web a partir de las 19 h CEST de hoy
Se recuerda una vez mas que no deben ejecutarse ficheros anexados a mails recibidos sin haber sido solicitados, ni pulsar en links ni imagenes de dichos mails, ademas de tener residente y actualizado un buen antivirus …
saludos

ms, 30-5-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies