OTRO MAIL MALICIOSO CON LINKS DE DESCARGA DE BANLOAD / SPY BANKER

Esta vez llegado desde Argentina, se recibe mail similar a este:
MAIL MALICIOSO:
_______________
From:            Finançeiro Brasil Ferragens <tornos, e sua inclusão junto ao SPC e
SERASA
To:              <
to:   to Ref. NFe 059 que venceu dia 13/01/2014 no valor de R$ 747,56 não foi pago.
Estou enviando em anexo o boleto original p/ sua identificação,
e a 2ª via do boleto atualizado até 07/02/2014 sexta-feira.

Evite transtornos, e sua inclusão junto ao SPC e SERASA.
Att: Patricia Moraes – Finançeiro Brasil Ferragens

Boleto vencido: http://xxx.xxx.48.170/Anexo/Bol_vencido.zip
Boleto atual  : http://xxx.xxx.48.170/Anexo/Bol_atualizado.zip
_________________

FIN DEL MAIL MALICIOSO

Esta vez el servidor de descargas es uno de EE.UU:

xxx.xxx.48.170 US Seattle,
Washington,
United States,
North America 98144 47.5839,
-122.2995

Y es mas de lo mismo que los últimos mails maliciosos que hemos avisado anteriormente, los enlaces descargan BANLOAD que genera SPY BANKER

La descarga del fichero extraido del ZIP, resulta ser un BANLOAD (downloader de SPY BANKER) y los dos que genera este, pasan a ser controlados a partir del ELISTARA 29.30 de hoy

La ejecución del BANLOAD gebera dos ficheros (2 procesos activos. uno protege al otro)

El preanalisis de dichos ficheros ofrecen ofrecen estos informes:

MD5 6af098ec38f51c51001389c5b890c3d6
SHA1 b214558c23cd1aebbd354c94f2e9895045686a01
File size 3.2 MB ( 3376640 bytes )
SHA256: e0fa4242b0bb925665d2b2a462bba68e93e5bb68d2097165b18c1e1b698a225d
Nombre: Ezawctr78.exe
Detecciones: 8 / 51
Fecha de análisis: 2014-02-05 12:09:00 UTC ( hace 0 minutos )

0 1
Antivirus  Resultado  Actualización
Ad-Aware  Gen:Variant.Symmi.27700  20140205
AegisLab  Troj.Dropper.W32.Agent  20140205
BitDefender  Gen:Variant.Symmi.27700  20140205
Emsisoft  Gen:Variant.Symmi.27700 (B)  20140205
F-Secure  Gen:Variant.Symmi.27700  20140205
GData  Gen:Variant.Symmi.27700  20140205
MicroWorld-eScan  Gen:Variant.Symmi.27700  20140205
Panda  Trj/Banker.HHU  20140205
_________

y el otro, que tiene icono de Internet Explorer :

 

MD5 17ab18b1edd1a6557b277ad80f5f7831
SHA1 3ac90da81df91355ba89ca7d85c32ed5c285285a
File size 6.4 MB ( 6716928 bytes )
SHA256: ebe2d924f9591274befd8d2538652c8b901197ddcc0e5c2bc46d2f238c3dfd56
Nombre: Uobexucti412.exe
Detecciones: 7 / 51
Fecha de análisis: 2014-02-05 12:19:19 UTC ( hace 6 minutos )

0 1

Antivirus  Resultado  Actualización
AegisLab  Troj.Banker.W32.Banker  20140205
Baidu-International  Trojan.Win32.Banker.AADM  20140205
Comodo  TrojWare.Win32.Spy.Banker.Gen  20140205
ESET-NOD32  probably a variant of Win32/Spy.Banker.AADM  20140205
Ikarus  Win32.SuspectCrc  20140205
Kaspersky  HEUR:Trojan.Win32.Generic  20140205
TotalDefense  Win32/FakeIE_i  20140205
Dicha version del ELISTARA 29.30 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 5-2-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies