NUEVA VARIANTE DE DOWNLOADER DEL LOCKY (THOR) QUE LLEGA ANEXADO A UN MAIL MASIVO
Otro mail masivo llega anexado un aparente PDF en ZIP que contiene un fichero .JS qued descarga e instala una variante del conocido LOCKY con el THOR
El contenido de dicho mail es el siguiente:
MAIL MALICIOSO:
_______________
Asunto: Suspicious movements
De: “Gayle Pruitt” <Pruitt.Gayle@thebusinessprinting.com>
Fecha: 08/11/2016 16:04
Para: DESTINATARIO <destinatario.xxx>
Dear virus, Abdul from the bank notified us about the suspicious movements on out account.
Examine the attached scanned record. If you need more information, feel free to contact me.
—
King regards,
Gayle Pruitt
Account Manager
Tel.: 202-178-1800
U.S. Office of Personnel Management
1377 E Street, NW
Washington, DC 20415-1000
anexado: pdf_virus_3b685f014.ZIP (conteniendo NRV_29KP3599_.js)
__________________
FIN MAIL MALICIOSO
Dicho fichero .JS lo pasamos a controlar a partir del ELISTARA 35.57 de hoy
El preanalisis de virustotal ofrece el siguiente informe:
MD5 0e3abbea8f456f77624344851ae4e7f4
SHA1 9a41043273b64a12979e98826c459dc1e166aa51
File size 7.1 KB ( 7236 bytes )
SHA256: a24753198d09609c870bbe1b4e492e5e163eb702c2063d9e23902ff07ffd7e54
File name: NRV_29KP3599_.js
Detection ratio: 6 / 55
Analysis date: 2016-11-08 16:28:51 UTC ( 2 minutes ago )
0
1
Antivirus Result Update
AhnLab-V3 JS/Obfus.Gen 20161108
Arcabit HEUR.JS.Trojan.b 20161108
Kaspersky Trojan-Downloader.JS.Agent.asdfwa 20161108
NANO-Antivirus Trojan.Script.Heuristic-js.iacgm 20161108
Qihoo-360 js.url.downloader.k 20161108
Tencent Js.Trojan.Raas.Auto 20161108
Como puede verse aun son muy pocos los AV que lo controlan actualmente, por lo que enviamos muestra a McAfee para que añadan su control a las próximas actualizaciones de su AV
Dicha versión del ELISTARA 35.57 que lo detecta y elimina, estará diusponible en nuestra web a partir del 9-11-2016
saludos
ms, 8-11-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.