OTRO FICHERO DOC CON MACROS INFECTADAS QUE INSTALA UN DOWNLOADER…
Mucho cuidado con abrir ficheros con macros, ya que son varios los que se están recibiendo y su ejecucion pide utilizar las macros, que en este caso son maliciosas
Y lo malo de los downloaders es que hoy descargan un malware y mañana pueden descargar otro totalmente distinto, por lo que lo interesante es no permitir (si no es imprescindible por el entorno del documento) la ejecución de las macros (que afortunademante WORD pide permiso para ello)
El preanalisis de virustotal ofrece el siguiente informe:
MD5 ff0694cba3b1ba6b39c997528385e649
SHA1 913c55170aeb24353a055525485d9204cc21796c
Tamaño del fichero 54.0 KB ( 55296 bytes )
SHA256: 0f66b81ba27fa0e18b6545ef0574fc8d1978ff8e6ce27ec14e32951e8e1a4a2b
Nombre: 20140918_122519.doc
Detecciones: 23 / 53
Fecha de análisis: 2014-12-18 09:23:15 UTC ( hace 0 minutos )
0 23
Antivirus Resultado Actualización
ALYac W97M.Downloader.DK 20141218
AVG Generic11_c.CGBA 20141218
Ad-Aware W97M.Downloader.DK 20141218
Avast Other:Malware-gen [Trj] 20141218
Avira WM/Gotty.L.78 20141218
BitDefender W97M.Downloader.DK 20141218
Comodo UnclassifiedMalware 20141218
Cyren W97M/Downloader.AT 20141218
DrWeb W97M.DownLoader.147 20141218
ESET-NOD32 VBA/TrojanDownloader.Agent.ER 20141218
Emsisoft W97M.Downloader.DK (B) 20141218
F-Prot W97M/Downloader.AT 20141218
GData W97M.Downloader.DK 20141218
Ikarus Trojan-Downloader.VBA.Agent 20141218
Kaspersky Trojan-Downloader.MSWord.Agent.dl 20141218
McAfee W97M/Downloader.aar 20141218
MicroWorld-eScan W97M.Downloader.DK 20141218
Microsoft TrojanDownloader:W97M/Adnel 20141218
Sophos Troj/DocDl-CT 20141218
Symantec W97M.Downloader 20141218
TrendMicro W97M_DLOADER.BYT 20141218
TrendMicro-HouseCall W97M_DLOADER.BYT 20141218
nProtect Exploit/W32.MSWord.55296 20141218
Son varias las muestras subidas al virustotal con el nombre de 20140918_122519.doc, y al respecto vemos esta informacion que indica se recibe en un mail con ASUNTO “Invoice as requested”, que puede aparentar venir de la siguiente direccion spoofing:
“UK GEOLOGY PROJECT by Rough & Tumble with Moussa Minerals <roughandtumble63@yahoo.co.uk>
Fuente:
http://blog.mxlab.eu/2014/12/17/malicious-word-file-in-email-uk-geology-project/
y por otra parte hemos visto que el fichero que descarga el DOC con macros, nos ha generado un BIN.EXE que subido al viristotal ofrecia ayer 2 detecciones y hoy ya mas de 20 …
aunque puede que descargue cualquier otro, en funcion del momento, pero al menos este lo pasamos tambien a controlar con el ELISTARA 31.28 de hoy
Cabe indicar que el DOC con macros lo detecta tanto McAfee como Kaspersky como DOwnloader, pero el descargado por este, de momento solo lo detecta McAfee heuristicamente pero no Kaspersky, por lo ya les hemos enviado muestra para su control, aparte de envairlo globalmente a todas las casas de antivirus a traves de virustotal.
saludos
ms, 18-12-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.