MAIL MASIVO QUE SE ESTA RECIBIENDO ANEXANDO ARCHIVO ZIP MALICIOSO QUE CONTIENE UN BANLOAD
Se están recibiendo mails de este tipo:
MAIL MALICIOSO
______________
Asunto: Recebemos seu pagamento – segue Nota Fiscal N.51301
De: triagen-pagamentos22201@facservicos-6.cloudapp.net
Fecha: 13/01/2015 19:14
Para: <destinatario>
Pagamento recebido pela operadora!
Segue em anexo o recibo junto da nota fiscal do produto, obrigado pela co=
mpra.=20
Cliente: <destinatario>
Recibo: 6062449
ANEXADO FICHERO : Extrair NF-e 0049200192 .zip
_________________
FIN MAIL MALICIOSO
que anexan fichero ZIP “Extrair NF-e 0049200192 .zip” que contiene el fichero ejecutable “Visualizar NF-e 0049200192 .exe” que resulta ser un BANLOAD generador de una variante de cazapasswords bancario.
A partir del ELISTARA 31.42 de hoy, pasamos a controlar dicha nueva variante de malware, como SPYBANKER, que a diferencia de la mayoria de BANLOADS, este no descarga sino que contiene el fichero cazapasswords en su interior y lo instala al ejecutar el que llega por mail, incluso sin conexion a internet, como requieren siempre los downloaders, dado que este es realmente un “dropper”
El preanalisis de virustotal oferce el siguiente informe:
MD5 c48629cc2687ef85e0dd053ce551d9d0
SHA1 b88746457afc492d5eb1d3a80011e08e4d0a9ef0
Tamaño del fichero 1.8 MB ( 1888256 bytes )
SHA256: 44d644cb08b86799a501d4e322f46db1011e9bf8e3ef064af3579a5076e1036f
Nombre: Visualizar NF-e 0049200192 .exe
Detecciones: 16 / 57
Fecha de análisis: 2015-01-14 10:30:43 UTC ( hace 0 minutos )
0 1
Antivirus Resultado Actualización
Ad-Aware Trojan.GenericKD.2079795 20150114
Avast Win32:Malware-gen 20150114
Baidu-International Trojan.Win32.Banload.UYB 20150114
BitDefender Trojan.GenericKD.2079795 20150114
ESET-NOD32 a variant of Win32/TrojanDownloader.Banload.UYB 20150114
Emsisoft Trojan.GenericKD.2079795 (B) 20150114
F-Secure Trojan.GenericKD.2079795 20150114
GData Trojan.GenericKD.2079795 20150114
Ikarus Trojan.VBInject 20150114
McAfee Artemis!C48629CC2687 20150114
McAfee-GW-Edition BehavesLike.Win32.BadFile.tz 20150114
MicroWorld-eScan Trojan.GenericKD.2079795 20150114
Sophos Troj/Mdrop-GLP 20150114
TrendMicro TROJ_BANLOAD.EKDH 20150114
TrendMicro-HouseCall TROJ_BANLOAD.EKDH 20150114
nProtect Trojan.GenericKD.2079795 20150114
y del fichero generado por este, al ejecutarlo, (con y sin conexión) aparece una barra de progreso y al acabar visualiza el mensaje:
“Adobe Reader”
“O arquivo esta danificado e nao pode ser restaurado”
[ OK ]
Esta un rato activo y finalmente hace un reinicio del sistema.
El preanalisis de dicho fichero ofrece el siguiente informe:
MD5 97e90692843eee398b6fe2f8fa853b8f
SHA1 e6b4e8f82bfd6396f97e6f8dbec601b0f2793b6b
Tamaño del fichero 568.0 KB ( 581632 bytes )
SHA256: 03bbfc67e93bdea94fd3b7608b0e20f5038509ec4a29748c3b485478c3d8b2ac
Nombre: sys32man dll.vir
Detecciones: 3 / 57
Fecha de análisis: 2015-01-14 11:39:10 UTC ( hace 0 minutos )
0 1
Antivirus Resultado Actualización
Avira TR/Crypt.FKM.Gen 20150110
Qihoo-360 HEUR/QVM23.0.Malware.Gen 20150114
Sophos Troj/VB-IAA 20150114
Dicha version del ELISTARA 31.42 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 14-1-2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.