NUEVA VARIANTE DE DOWNLOADER LERSPENG QUE SE RECIBE EN UN MAIL ANEXANDO FICHERO CON DOBLE EXTENSION (.ZIP.SCR)
Bajo la picaresca de presentar un fichero anexado a un mail, con icono de empaquetado y con doble extension .ZIP.SCR, que siempre la primera es parte del nombre, y la que se ejecuta es la última, llega este fichero anexado a un mail:
Fax_0529_scanmessage.zip.scr
El cual resulta ser un downloader, ya controlado por muchos antivirus, entre ellos el VirusScan de McAfee:
El preanalisis de virustotal ofrece el siguiente informe:
MD5 0e0f57af216a1ea5fa9ecb87928e92a1
SHA1 4654f63991783f49244d4645809e77b1d2746afe
Tamaño del fichero 84.5 KB ( 86528 bytes )
SHA256: 0ff7c1299cb13425adab912924ffa09488b0d4a2d408acbe8a9596c67bdde46a
Nombre: Fax_0529_scanmessage.zip.scr
Detecciones: 25 / 52
Fecha de análisis: 2014-05-30 08:49:16 UTC ( hace 1 minuto )
0 8
Antivirus Resultado Actualización
AVG Generic36.PLW 20140530
Ad-Aware Trojan.GenericKD.1697963 20140530
AntiVir TR/Dldr.Small.PSD.6 20140530
Avast Win32:Malware-gen 20140530
BitDefender Trojan.GenericKD.1697963 20140530
DrWeb Trojan.DownLoad3.32784 20140530
ESET-NOD32 Win32/TrojanDownloader.Small.PSD 20140530
Emsisoft Trojan-Downloader.Win32.Small (A) 20140530
F-Secure Trojan.GenericKD.1697963 20140530
Fortinet W32/Small.PSD!tr 20140530
GData Trojan.GenericKD.1697963 20140530
Ikarus Trojan-Spy.Agent 20140530
Kaspersky Trojan.Win32.Yakes.ezgx 20140530
Kingsoft Win32.Troj.Undef.(kcloud) 20140530
Malwarebytes Trojan.Downloader.Upatre 20140530
McAfee RDN/Downloader.a!ra 20140530
McAfee-GW-Edition Artemis!0E0F57AF216A 20140530
MicroWorld-eScan Trojan.GenericKD.1697963 20140530
Microsoft TrojanDownloader:Win32/Lerspeng.A 20140530
Sophos Troj/Zbot-IKI 20140530
Symantec Downloader 20140530
Tencent Win32.Trojan.Yakes.Fil 20140530
TrendMicro TROJ_DLOADR.NGDD 20140530
TrendMicro-HouseCall TROJ_DLOADR.NGDD 20140530
VIPRE Trojan.Win32.Crilock.ymt (v) 20140530
Bajo la picaresca de presentar un fichero anexado a un mail, con icono de empaquetado y con doble extension .ZIP.SCR, que siempre la primera es parte del nombre, y la que se ejecuta es la última, llega este fichero anexado a un mail:
Fax_0529_scanmessage.zip.scr
El cual resulta ser un downloader, ya controlado por muchos antivirus, entre ellos el VirusScan de McAfee:
El preanalisis de virustotal ofrece el siguiente informe:
MD5 0e0f57af216a1ea5fa9ecb87928e92a1
SHA1 4654f63991783f49244d4645809e77b1d2746afe
Tamaño del fichero 84.5 KB ( 86528 bytes )
SHA256: 0ff7c1299cb13425adab912924ffa09488b0d4a2d408acbe8a9596c67bdde46a
Nombre: Fax_0529_scanmessage.zip.scr
Detecciones: 25 / 52
Fecha de análisis: 2014-05-30 08:49:16 UTC ( hace 1 minuto )
0 8
Antivirus Resultado Actualización
AVG Generic36.PLW 20140530
Ad-Aware Trojan.GenericKD.1697963 20140530
AntiVir TR/Dldr.Small.PSD.6 20140530
Avast Win32:Malware-gen 20140530
BitDefender Trojan.GenericKD.1697963 20140530
DrWeb Trojan.DownLoad3.32784 20140530
ESET-NOD32 Win32/TrojanDownloader.Small.PSD 20140530
Emsisoft Trojan-Downloader.Win32.Small (A) 20140530
F-Secure Trojan.GenericKD.1697963 20140530
Fortinet W32/Small.PSD!tr 20140530
GData Trojan.GenericKD.1697963 20140530
Ikarus Trojan-Spy.Agent 20140530
Kaspersky Trojan.Win32.Yakes.ezgx 20140530
Kingsoft Win32.Troj.Undef.(kcloud) 20140530
Malwarebytes Trojan.Downloader.Upatre 20140530
McAfee RDN/Downloader.a!ra 20140530
McAfee-GW-Edition Artemis!0E0F57AF216A 20140530
MicroWorld-eScan Trojan.GenericKD.1697963 20140530
Microsoft TrojanDownloader:Win32/Lerspeng.A 20140530
Sophos Troj/Zbot-IKI 20140530
Symantec Downloader 20140530
Tencent Win32.Trojan.Yakes.Fil 20140530
TrendMicro TROJ_DLOADR.NGDD 20140530
TrendMicro-HouseCall TROJ_DLOADR.NGDD 20140530
VIPRE Trojan.Win32.Crilock.ymt (v) 20140530
A partir del ELISTARA 30.07 de hoy pasamos a controlar especificamente esta nueva variante de downloader Lerspeng, que actualmente descarga una variante de SPYZBOT, aunque quien tiene actualizado y residente cualquiera de los antivirus indicados, ya evita su ejecución.
Dicha version del ELISTARA 30.07 que los detecta y elimina (al downloader y al SPYZBOT-Z), estará disponible en nuestra web a partir de las 19 h CEST de hoy
Se recuerda una vez mas que no deben ejecutarse ficheros anexados a mails recibidos sin haber sido solicitados, ni pulsar en links ni imagenes de dichos mails, ademas de tener residente y actualizado un buen antivirus …
saludos
ms, 30-5-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.