NUEVA VARIANTE DE DOWNLOADER UPATRE QUE DESCARGA, INSTALA Y EJECUTA UN NUEVO CRYPTOLOCKER

Posted in 14 noviembre 2014 ¬ 12:57 pmh.mscComentarios desactivados en NUEVA VARIANTE DE DOWNLOADER UPATRE QUE DESCARGA, INSTALA Y EJECUTA UN NUEVO CRYPTOLOCKER

Otra historia para no dormir: A traves de un mail se ofrece un enlace que descarga un fichero con extension aparente PDF (invoice1211_pdf.exe) que es un ejecutable que descarga una nueva variante de CRYPTOLOCKER

El mail que lleva el enlace que descarga dicho downloader, es similar a:

 

MAIL MALICIOSO

_____________

 

 

De: billing.address.updates@ADP.com [mailto:billing.address.updates@ADP.com]
Enviado el: miércoles, 12 de noviembre de 2014 17:30
Para: Undisclosed recipients:
Asunto: ADP Past Due Invoice#77387957

Your ADP past due invoice is ready for your review at ADP Online Invoice Management .

If you have any questions regarding this invoice, please contact your ADP service team at the number provided on the invoice for assistance. <—- ENLACE MALICIOSO

Please note that your bank account will be debited within one banking business day for the amount(s) shown on the invoice.

Review your ADP past due invoice here. <—- ENLACE MALICIOSO

Important: Please do not respond to this message. It comes from an unattended mailbox.

 

_____________________

FIN DEL MAIL MALICIOSO

 

Los dos enlaces que contiene dicho mail son maliciosos, y conectan con una web de Brasil desde la que se descarga el fichero downloader invoice1211_pdf.exe

Dichos enlaces tienen estas caracteristicas:

http://<dominio>.com.br/docfiles/invoice_1211.php

http://<dominio>.com.br/docfiles/invoice_1211.php

El preanalisis de virustotal de dicho fichero invoice1211_pdf.exe (downloader) ofrece el siguiente informe:

MD5 78cf05faa79b41b4be4666e3496d1d54
SHA1 35e63b42e4482e70338539240648deb1db638c8d
Tamaño del fichero 23.5 KB ( 24064 bytes )
SHA256: 9699b28a653395444d05c8c6030d9ec738661eede9d3ca44fb1615bdc52dfa0b
Nombre: invoice1211_pdf.exe
Detecciones: 36 / 55
Fecha de análisis: 2014-11-14 11:19:13 UTC ( hace 8 minutos )

0 17
Antivirus Resultado Actualización
AVG Generic_r.EGY 20141114
AVware Win32.Malware!Drop 20141114
Ad-Aware Trojan.GenericKD.1970869 20141114
AhnLab-V3 Trojan/Win32.Upatre 20141113
Avast Win32:Malware-gen 20141114
Avira TR/ATRAPS.A.2000 20141114
Baidu-International Trojan.Win32.Waski.bA 20141107
BitDefender Trojan.GenericKD.1970869 20141114
Comodo TrojWare.Win32.Waski.~A 20141114
Cyren W32/Trojan.TLIP-2521 20141114
DrWeb Trojan.DownLoader11.41432 20141114
ESET-NOD32 Win32/TrojanDownloader.Waski.A 20141114
Emsisoft Trojan-Downloader.Win32.Agent (A) 20141114
F-Prot W32/Trojan3.MCV 20141114
F-Secure Trojan-Downloader:W32/Upatre.I 20141114
Fortinet W32/Agent.AKAG!tr 20141114
GData Trojan.GenericKD.1970869 20141114
Ikarus Trojan-Downloader.Win32.Upatre 20141114
K7AntiVirus Trojan-Downloader ( 0048f6391 ) 20141113
K7GW Trojan-Downloader ( 0048f6391 ) 20141113
Kaspersky Trojan-Downloader.Win32.Upatre.dxp 20141114
Malwarebytes Trojan.Upatre 20141114
McAfee Upatre-FAAH!78CF05FAA79B 20141114
McAfee-GW-Edition BehavesLike.Win32.Downloader.mm 20141114
MicroWorld-eScan Trojan.GenericKD.1970869 20141114
Microsoft TrojanDownloader:Win32/Upatre 20141114
Norman Upatre.FH 20141114
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20141114
Sophos Troj/Agent-AKAG 20141114
Symantec Downloader.Upatre 20141114
TotalDefense Win32/Upatre.LDCeeNC 20141114
TrendMicro TROJ_UPATRE.NK 20141114
TrendMicro-HouseCall TROJ_UPATRE.NK 20141114
VIPRE Win32.Malware!Drop 20141114
ViRobot Trojan.Win32.Agent.24064.DU 20141114
nProtect Trojan-Downloader/W32.Upatre.24064.E 20141114

La ejecución de dicho downloader descarga, instala y ejecuta una nueva variante de CRYPTOLOCKER, que se ha podido controlar con la heuristica del VirusScan de McAfee, configurando la sensibilidad en MUY ALTA, que es como aconsejamos configurar a partir de ahora, dados los últimos acontecimiento relativos a esta familia de ransomwares.

El preanalisis de virustotal del fichero que nos ha descargado el downloader indicado, ofrece el siguiente informe:

 

Pues la ejecución del downloader queda residente, pero actualmente no descarga ningun fichero.

Al ejecutarlo, se autoborra y…

– Queda residente.

%WinTmp%\ dtayy.exe
pero igual ya lo han sacado de la descarga de dicha web…  O demora dicha descarga. Tendremos que esperar acontecimientos para poder analizarlo y controlarlo,

 

De momento conviene saber el tipo de mail (arriba indicado) en el que se inicia el proceso, para evitar sus enlaces si llega en un futuro.

 

SE RECUERDA UNA VEZ MAS:

«no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.»

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.

saludos

ms, 14-11-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , , , , ,

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies