LA REPERA ! SE RECIBE UN MAIL QUE CONTIENE UN ZIP QUE CONTIENE UN HTML QUE DESCARGA OTRO ZIP ENLAZA CON UN EXE QUE ES UN DOWNLOADER DE OTRO EXE, QUE QUEDA RESIDENTE Y HARA LO QUE QUERRA EN FUNCION DE LA VARIANTE …

Publicado el 8 mayo 2015 ¬ 13:16 pmh.mscComentarios desactivados en LA REPERA ! SE RECIBE UN MAIL QUE CONTIENE UN ZIP QUE CONTIENE UN HTML QUE DESCARGA OTRO ZIP ENLAZA CON UN EXE QUE ES UN DOWNLOADER DE OTRO EXE, QUE QUEDA RESIDENTE Y HARA LO QUE QUERRA EN FUNCION DE LA VARIANTE …

En un mail que aparenta ser un curriculumvitae, se recibe este zip:

20150508032943-CurriculumVitae.zip

el cual contiene un HTML que descarga otro ZIP,  que descarga diferentes EXE, en funcion del momento, como por ejemplo:

CurriculumVitae-AnaClaudiaBorges-UFRJ473-RJ200294389500434389753.exe

El cual actualmente no lo detecta ningun AV de virustotal, como puede verse en el informe:

MD5 bc38cd73c3d9163e259b80d38a3d4345
SHA1 bffa96f080cb06bbb5e20a600ebcf017bc4c2485
File size 21.5 KB ( 22016 bytes )

SHA256: 50c7dc24c8f9d3c36676aa5915c81b1075ebf931b68bfdc56da3ee0f7af400b8
File name: CurriculumVitae-AnaClaudiaBorges-UFRJ473-RJ200294389500434389753.exe
Detection ratio: 0 / 56
Analysis date: 2015-05-08 10:38:55 UTC

0 1

Copyrightaaea5f1ead41493f96232f6cc551d714
Product aaea5f1ead41493f96232f6cc551d714
Original name novofinalload5.exe
Internal name novofinalload5.exe
File version 1.0.0.0
Description aaea5f1ead41493f96232f6cc551d714

Asi que ya han empezado a aprovechar el agujero que teniamos los que controlabamos perimetralmente los mails que llegaban con extensiones de ejecutables, pero no de HTML’s , lo cual sabiamos que por ahí podían meternos un gol, pero los HTML no se pueden bloquear, sino no recibiriamos nada !!!

Pues bueno, cabe filtrar por URL, si se saben las que aprovechan estos malwares, pero ello siempre es despues de conocer cada caso, no para evitarlos de entrada.

Así que tenemos otro frente para temer a los hackers que se enamoren de dicho sistema

Vamos a monitorizar el fichero descargado en el último paso, y pasaremos a controlarlo, claro !

Seguiremos informando

saludos

ms, 8-5-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies