VARIANTE DE DOWNLOADER SOUNDER QUE SE RECIBE ANEXADO A UN MAIL

Un mail con anexando un fichero malicioso está porpagandose por Internet, adjuntando el fichero “Faktura_VAT_12_11_2015.pdf.scr“, con un icono de PDF, pero el fichero con doble extension, .PDF.SCR, y siempre es la ultima la que se ejecuta, y los SCR son ejecutables como los EXE…

El preanalisis de virustotal ofrece el siguiente informe:
MD5 c442e5d7d25c16d595610a26c2d330a1
SHA1 1ee80d6e9065c662df6b4e70f813b0cde41c400a
File size 127.5 KB ( 130562 bytes )
SHA256: 5634a64bd74597dbe096b6dd92645efb92de8ae8acffcfbbfcb530445a22f91e
File name: Faktura_VAT_12_11_2015.pdf.scr
Detection ratio: 35 / 55
Analysis date: 2015-11-18 12:32:13 UTC
0 1

Antivirus Result Update
ALYac Gen:Variant.Kazy.766738 20151118
AVG Inject3.OVY 20151118
AVware Trojan.Win32.Generic!BT 20151118
Ad-Aware Gen:Variant.Kazy.766738 20151118
Agnitum Trojan.Bublik!8mbcCiyn1is 20151118
AhnLab-V3 Trojan/Win32.MDA 20151118
Antiy-AVL Trojan/Win32.Bublik 20151118
Arcabit Trojan.Kazy.DBB312 20151118
Avast Win32:Malware-gen 20151118
Baidu-International Trojan.Win32.Diple.gitu 20151118
BitDefender Gen:Variant.Kazy.766738 20151118
DrWeb Trojan.Siggen6.23087 20151118
ESET-NOD32 a variant of Win32/Injector.CMIF 20151118
Emsisoft Gen:Variant.Kazy.766738 (B) 20151118
F-Secure Gen:Variant.Kazy.766738 20151118
Fortinet W32/Diple.GITU!tr 20151118
GData Gen:Variant.Kazy.766738 20151118
Ikarus Trojan.Win32.Injector 20151118
K7AntiVirus Trojan ( 004d6b181 ) 20151118
K7GW Trojan ( 004d6b181 ) 20151118
Kaspersky Trojan.Win32.Diple.gitu 20151118
Malwarebytes Ransom.FileCryptor 20151118
McAfee Artemis!C442E5D7D25C 20151118
McAfee-GW-Edition BehavesLike.Win32.Mabezat.ch 20151118
MicroWorld-eScan Gen:Variant.Kazy.766738 20151118
Microsoft Trojan:Win32/Dynamer!ac 20151118
NANO-Antivirus Trojan.Win32.CMHF.dyqxhy 20151118
Panda Trj/Genetic.gen 20151117
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20151118
Rising PE:Malware.Obscure/Heur!1.9E03 [F] 20151117
Sophos Mal/Generic-S 20151118
Symantec Trojan.Gen.2 20151117
Tencent Win32.Trojan.Kazy.Swkg 20151118
TrendMicro TROJ_GEN.R0C1C0DKG15 20151118
VIPRE Trojan.Win32.Generic!BT 20151118

La monitorizacion de dicho fichero nos ha descargado este otro malware, que tambien pasamos a controlar con el mismo ELISTARA:

MD5 c4b84be722c3f8f6dfca823dec33f308
SHA1 900986df7b5f655167d7de50c2227cc4e7a10096
File size 248.5 KB ( 254464 bytes )
SHA256: 85689b455b8f86a879ed55eb6ee1bd704543840f0bb818dab5904865ac3f65ba
File name: KB00441975.gxe
Detection ratio: 22 / 54
Analysis date: 2015-11-19 08:10:55 UTC ( 1 hour, 54 minutes ago )

0 1
Antivirus Result Update
AVG Win32/DH{VA?} 20151119
Arcabit Trojan.Heur.ED4AA 20151119
Avast Win32:Malware-gen 20151119
Avira TR/Dropper.Gen 20151119
Baidu-International Trojan.Win32.Dropper.nrio 20151118
BitDefender Gen:Trojan.Heur.puZ@YABqhRki 20151119
Cyren W32/Trojan.JXHA-8848 20151119
DrWeb Trojan.Inject2.9061 20151119
Emsisoft Gen:Trojan.Heur.puZ@YABqhRki (B) 20151119
F-Secure Gen:Trojan.Heur.puZ@YABqhRki 20151119
Fortinet W32/Injector.NRIO!tr 20151119
GData Gen:Trojan.Heur.puZ@YABqhRki 20151119
Kaspersky Trojan-Dropper.Win32.Injector.nrio 20151119
McAfee Generic Obfuscated.g 20151119
McAfee-GW-Edition BehavesLike.Win32.MultiPlug.dc 20151119
MicroWorld-eScan Gen:Trojan.Heur.puZ@YABqhRki 20151119
NANO-Antivirus Virus.Win32.Gen-Crypt.ccnc 20151119
Qihoo-360 QVM20.1.Malware.Gen 20151119
Sophos Mal/Generic-S 20151119
Tencent Win32.Trojan.Dropper.Szbk 20151119
TrendMicro TROJ_GEN.R02SC0PKI15 20151119
VIPRE Trojan.Win32.Generic!BT 20151119

Dicha version del ELISTARA 33.39 que los detecta y elimina, estará disponioble en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 19-11-2015