VUELVEN LOS VIRUS DE MACRO !!!

Publicado el 30 octubre 2014 ¬ 17:49 pmh.mscComentarios desactivados en VUELVEN LOS VIRUS DE MACRO !!!

Nos llega un mail recibido por un cliente, que anexa fichero .DOC que es detectado como W97M…

El mail en el que se anexa dicho documento ES SIMILAR A ESTE:

 

MAIL MALICIOSO:
_______________
De: ps0228773@humbermerchants.co.uk [mailto:ps0228773@humbermerchants.co.uk]

Enviado el: jueves, 30 de octubre de 2014 12:27
Para: <destinatario>
Asunto: Industrial Invoices

Attached are accounting documents from Humber Merchants

Humber Merchants Group

Head Office:
Parkinson Avenue
Scunthorpe
North Lincolnshire
DN15 7JX

Tel: 01724 860331
Fax: 01724 281326
Email: sales@humbermerchants.co.uk
_____________

FIN MAIL MALICIOSO

 

El preanalisis de virustotal ofrece el siguiente informe:

MD5 5332700431809cc8f4c916dfb16194bc
Tamaño del fichero 100.0 KB ( 102400 bytes )

SHA256: 2ab1ca0dc689e4923780d7b33274a15f529a4f32a56ddd0b8b5edcd25f71d6aa
Nombre: INVOICE217991.doc
Detecciones: 5 / 43
Fecha de análisis: 2014-10-30 16:33:12 UTC ( hace 1 minuto )

0 11
Antivirus Resultado Actualización
CAT-QuickHeal W97M.Dropper.AD 20141030
Cyren W97M/Downloader.Y 20141030
F-Prot W97M/Downloader.Y 20141030
K7AntiVirus Trojan ( 0001140e1 ) 20141030
K7GW Trojan ( 0001140e1 ) 20141030

 

Solución al respecto:

Eliminar normal.dot (este fichero se crea automáticamente)

Abrir sin macros y salvar los ficheros en cuestión, que estarán limpios.

Comprobar que los ficheros así salvados ya no sean detectados por los antivirus de virustotal (www.virustotal.com)

Enviamos muestra del especimen a McAfee para su control en próximos DAT.
saludos

ms, 30-10-2014

 

____________

 

NOTA IMPORTANTE:

Buscando mas información, vemos que dicho virus de macro descarga o crea un fichero 1.EXE que ya es detectado por McAfee y algun que otro antivirus:

Antivirus Resultado Actualización
Baidu-Internacional Trojan.Win32.Generik.bNSXTLNF 20141019
DrWeb Trojan.Mayachok.18888 20141021
ESET NOD32- Win32 / Dridex.C 20141021
A-squared Backdoor.Win32.Agent (A) 20141021
Ikarus Trojan-Spy.Agent 20141021
Malwarebytes Backdoor.Bot 20141021
McAfee RDN / Generic.dx! Dgk 20141021
McAfee-GW-Edición BehavesLike.Win32.Trojan.qh 20141021
Creciente PE: Malware.XPACK-LNR / Heur 1.5594 20141021
Sophos Troj / Cridex-EJ 20141021
Symantec Caballo de Troya 20141021
Es cuestion de que quien haya recibido y ejecutado el .DOC malicioso, aparte de corregir el NORMAL.DOT y las macros, luego lance un escaneo con el VirusScan para detectar y elimina el posible malware creado por la ejecucion de dicha macro.

Ver mas informacion al respecto en http://blog.dynamoo.com/2014/10/fake-humber-merchants-group.html

ms,

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies