AUN SE RECIBEN MAILS ANEXANDO EL ANTIGUO NETSKY-P, EN FICHERO PIF (LNK AVANZADO) QUE WINDOWS NO MUESTRA Y QUE ES EJECUTABLE (ESTA VEZ PRESENTA EXTENSION TXT)

El muy antiguo malware NETSKY-P, que confunde a quien lo recibe por aparentar venir de alguien conocido que no está infectado (envia mails a toda la lista de direcciones figurando como remitente uno de dicha lista) sigue llegando, esta vez en un mail con fichero anexado de doble extension, (.TXT.PIF) si bien la última es un PIF que windows no muestra, por lo que parece ser un TXT, aunque se trata de un ejecutable que infecta y envia mails en la forma antes indicada.

Sin duda, usuarios sin antivirus (ya que la inmensa mayoría lo conocen y controlan) están recibiendo dichos mails y abren el TXT convencidos de que no es infeccioso, y lo peor es que envian mails a todos sus conocidos, sin que en dicho mail figuren como remitente, sino que en su lugar figura otro usuario que no tiene porqué estar infectado

El mail en cuestion presenta estas caracteristicas tan escuetas:

MAIL MALIICIOSO:
________________

Asunto: Mail Authentication
De: bfde4e21f05f30@mlu.contactlab.it (figura como remitente sin que lo sea realmente)
Fecha: 10/12/2015 10:27
Para: <destinatario>

Protected message is attached.

ANEXADO: pgp_sess01_sat.txt (CON ICONO DE ENLACE A MSDOS)
______________________

FIN DEL MAIL MALICIOSO
Hemos subido el fichero anexado al mail recibido a virustotal y nos ha ofrecido el siguiente informe:
MD5 3018e99857f31a59e0777396ae634a8f
SHA1 7031cfe76ee7b2c925f2c00372fb9ef7f983f60c
File size 28.9 KB ( 29568 bytes )
SHA256: c8fffb2e737514c551b2d7bcaf8baa459564b059cab1a35a3cec4b3c270d4525
File name: pgp_sess01_sat.txt …
Detection ratio: 47 / 51
Analysis date: 2015-12-10 11:57:48 UTC

2 26
Antivirus Result Update
AVG I-Worm/Netsky 20151210
AVware Email-Worm.Win32.NetSky.q 20151210
Ad-Aware Win32.Generic.3160 20151210
Agnitum I-Worm.NetSky!4NWvXC1SwiU 20151209
AhnLab-V3 Win-Trojan/Fsg.29568 20151209
Antiy-AVL Worm[Email]/Win32.NetSky 20151210
Avast Win32:Netsky-AF [Wrm] 20151210
Avira WORM/Netsky.AP 20151210
Baidu-International Worm.Win32.Netsky.Q 20151210
BitDefender Win32.Generic.3160 20151210
Bkav W32.SkyNetP.Worm 20151209
CAT-QuickHeal W32.NetSky.P 20151209
CMC Generic.Win32.3018e99857!MD 20151210
ClamAV Worm.NetSky-14 20151210
Comodo Worm.Win32.Netsky.Q 20151208
Cyren W32/Netsky.P@mm 20151210
DrWeb Win32.HLLM.Netsky.18401 20151210
ESET-NOD32 Win32/Netsky.Q 20151210
Emsisoft Win32.Generic.3160 (B) 20151210
F-Prot W32/Netsky.P@mm 20151210
F-Secure Win32.Generic.3160 20151210
Fortinet W32/Netsky.P@mm 20151210
GData Win32.Generic.3160 20151210
Ikarus Virus.Win32.Netsky 20151210
Jiangmin I-Worm/NetSky.q 20151209
K7AntiVirus EmailWorm ( 000043641 ) 20151210
K7GW EmailWorm ( 000043641 ) 20151210
Kaspersky Email-Worm.Win32.NetSky.q 20151210
Malwarebytes Worm.Netsky 20151210
McAfee W32/Netsky.p@MM 20151210
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.mc 20151210
MicroWorld-eScan Win32.Generic.3160 20151210
Microsoft Worm:Win32/Netsky.P@mm 20151210
NANO-Antivirus Trojan.Win32.NetSky.idzx 20151210
Panda Trj/Agent.IVN 20151209
Qihoo-360 Win32/Worm.d2e 20151210
Rising PE:Worm.Mail.NetSky.la!1011265 [F] 20151209
SUPERAntiSpyware Worm.Netsky-P 20151210
Symantec W32.Netsky.P@mm 20151210
TheHacker W32/Netsky(2).gen@MM 20151209
TotalDefense Win32/Netsky.P 20151208
TrendMicro-HouseCall WORM_NETSKY.P 20151210
VBA32 Worm.NetSky.q 20151209
VIPRE Email-Worm.Win32.NetSky.q 20151210
ViRobot I-Worm.Win32.Netsky.29568.K[h] 20151210
Zoner I-Worm.Netsky.Q 20151210
nProtect Worm/W32.NetSky.29568 20151210
Tambien con nuestro ELINETSA se detecta y elimina dicho fichero malware.

La versión del ELINETSA que lo detecta y elimina está disponible en nuestra web desde hace mas de 11 años (22-3-2004)

saludos

ms, 10-12-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies