NUEVO MAIL MASIVO MALICIOSO (EN PORTUGUES) QUE ANEXA COMPLEJO SISTEMA PARA INGRESAR MALWARE SPYBANKER AVJL (AUN MUY POCO CONTROLADO POR LOS ACTUALES av (SOLO 6 DE 52)
Se está recibiendo mail masivo malicioso que ofrece un enlace de Brasil que descarga un CPL el cual es un downloader que descarga y ejecuta un EXE malicioso que resulta ser un cazapasswords bancario.
Las caracteristicas de dicho mail son:
MAIL MALICIOSO:
_______________
Asunto: Departamento Financeiro – 3934780
De: <falso remitente>
Fecha: 25/10/2014 04:41
Para: <destinatario>
Notificação
Nosso controle de pagamentos acusa, em sua conta, prestação vencida há mais de 15 dias.
motivo pelo qual pedimos a V. Sa. sua imediata regularização. Tendo em vista que a emissão deste aviso é automático.
Atenciosamente,
Clique aqui para ver o debito Titulo Pendente.doc ( 28 kb ) <— link malicioso
______________________
FIN DEL MAIL MALICIOSO
El link que ofrecen aparenta ofrecer un fichero .DOC, pero apunta a un enlace de Brasil
http://XXXXX.br/site/public/images/background/Documento.php
el cual Descarga directamente un “Documento.zip” que contiene “Documento.cpl”, que es un downloader que descarga un cazapasswords bancario de 12 MB con el nombre de “LogWin.exe”, los cuales (ambos) pasamos a controlar como SPYBANKER.AVJL a partir del ELISTARA 30.88 de hoy
El preanalisis de virustotal ofrece el siguiente informe:
MD5 09b4da4f85dc23f8f9c40a06ea7c5f83
SHA1 9506afef47e30b674e8c46ff02d0f44c0818b6ed
Tamaño del fichero 12.4 MB ( 12971008 bytes )
SHA256: 365fee7379b0f31bffcf2170b99deaf2f649a78f0ed62d7b4600abce4f6140e1
Nombre: LogWin.exe.vir
Detecciones: 6 / 52
Fecha de análisis: 2014-10-27 09:28:39 UTC ( hace 1 minuto )
0 1
Antivirus Resultado Actualización
AVG Win32/Blacked 20141027
Avira TR/Black.Gen2 20141027
Baidu-International Trojan.Win32.VMProtect.bABD 20141027
ESET-NOD32 a variant of Win32/Packed.VMProtect.ABD 20141027
Malwarebytes Trojan.Banker 20141027
TrendMicro PAK_Generic.009 20141027
Dicha versiÓn del ELISTARA 30.88 que lo detecta y elimina, estará diusponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 27-10-2014
SE RECUERDA UNA VEZ MAS:
“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.