NUEVO BANLOAD (generador de SpyBanker) que se descarga de los links ofrecidos en mail malicioso que se está recibiendo en portugués:

Publicado el 4 febrero 2014 ¬ 15:25 pmh.mscComentarios desactivados en NUEVO BANLOAD (generador de SpyBanker) que se descarga de los links ofrecidos en mail malicioso que se está recibiendo en portugués:

NUEVO BANLOAD (generador de SpyBanker) que se descarga de los links ofrecidos en mail malicioso que se está recibiendo en portugués:

 

mail malicioso:
_______________

 

From:            “RH – Patricia Pinheiro” <to de Janeiro,
após sua autorização efetuarei os
depósitos.
To:              <destinatario>
Send reply to:   tos com o
nosso efetivo,
estou te mandando as despesas de cada funcionário, na folha de pagamento, separadas em
cada planilha abaixo.

Obs: Logo após sua autorização efetuarei os depósitos.

Att: Patricia Pinheiro

Horas extras: http://xxx.xxx.3.70/Horas_Extras.zip
Transporte: http://xxx.xxx.3.70/Vale_Transporte.zip
FGTS: http://xxx.xxx.3.70/FGTS.zip
________________
Evidentemente no deben ni descargarse los ficheros ZIP de los que indican enlace, y menos ejecutarlos si se han descargado !
Aunque la apariencia es que viene de Brasil, realmente la IP de descarga es de Holanda:

xxx.xxx.3.70 NL Netherlands,
Europe  52.5,
5.75 Digital Ocean Server hosting.
Los tres ZIP que se descargan de los links que ofrece el mail, son ligeramente distintos al tener distinto nombre, pero los ficheros extraidos, con correspondiente nombre, tienen igual contenido, siendo detectados en general como BANLOAD (SPYBANKER)

Dicha variante de malware pasa a ser controlada a partir del ELISTARA 29.29 de hoy
El preanalisis de virustotal de dichos ficheros, ofrece este informe:

 

 

MD5 ee953f8cd8d5216cbac1f9143813c292
SHA1 323e9dc1340e19c33d85c30e9c725a8e08233bed
File size 820.5 KB ( 840192 bytes )
SHA256: 4087c6915d921c3ea4ec2189f241a38a701400eddc08ccd526395e83c3cf202c
Nombre: Vale_transporte.cpl
Detecciones: 17 / 39
Fecha de análisis: 2014-02-04 14:12:24 UTC ( hace 6 minutos )

0 1
Antivirus  Resultado  Actualización
AVG  Delf.FX  20140204
Ad-Aware  Gen:Variant.Symmi.35840  20140204
AegisLab  Troj.Banker.W32.Agent  20140204
AhnLab-V3  Trojan/Win32.Banload  20140204
Baidu-International  Trojan.Win32.Banload.SQV  20140204
BitDefender  Gen:Variant.Symmi.35840  20140204
ESET-NOD32  probably a variant of Win32/TrojanDownloader.Banload.SQV  20140204
Emsisoft  Gen:Variant.Symmi.35840 (B)  20140204
F-Secure  Gen:Variant.Symmi.35840  20140204
GData  Gen:Variant.Symmi.35840  20140204
Ikarus  Trojan-Dropper.Delf  20140204
Kaspersky  Trojan-Downloader.Win32.Banload.cqwi  20140204
McAfee  Trojan-FDIG!EE953F8CD8D5  20140204
McAfee-GW-Edition  Trojan-FDIG!EE953F8CD8D5  20140204
MicroWorld-eScan  Gen:Variant.Symmi.35840  20140204
Microsoft  TrojanDownloader:Win32/Banload.AUR  20140204
Sophos  Mal/Banload-AB  20140204
Dicha version del ELISTARA 29.29 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 4-2-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies