MAIL MASIVO (SOLO CON ENCABEZAMIENTO Y CON ANEXADO MALICIOSO CONTENIENDO EL DOWNLOADER NEMUCOD)

Se está recibiendo masivamente un mail con solo el encabezamiento y el ZIP anexado con un downloader:

Asunto: sat
De: <sat@storvikaqua.no>
Fecha: 21/04/2016 9:18
Para: “sat” <DESTINATARIO>

ANEXADO : 45648_sat.zip

El fichero anexado en un empaquetado ZIP : 45648_sat.zip

que contiene un JS : document.js , que es un downloader NEMUCOD, que descarga e instala un ransomware

Ambos ficheros (Downloader y ransomware) los pasamos a controlar a partir del ELISTARA 34.39 de hoy

El preanalisis de virustotal de dicha variante del NEMUCOD ofrece el siguiente informe:

MD5 28d81258261464a26f17919d0cf0a052
SHA1 aa17fa34d2490bd4c5a2fa14e67c0a7ea7c06d67
Tamaño del fichero 12.9 KB ( 13172 bytes )
SHA256: 65c0ec6bff4bf94f9f9f8e9e254f7452a3476d1f3ad4d61247eba7cbf00a2f62
Nombre: document.js
Detecciones: 14 / 57
Fecha de análisis: 2016-04-21 08:12:45 UTC ( hace 0 minutos )
0 1

Antivirus Resultado Actualización
AVG JS/Downloader.Agent 20160421
AegisLab Js.Downloader.Agent!c 20160421
Arcabit HEUR.JS.Trojan.b 20160421
Cyren JS/Locky.U!Eldorado 20160421
DrWeb SCRIPT.Virus 20160421
ESET-NOD32 JS/TrojanDownloader.Nemucod.SR 20160421
F-Prot JS/Locky.U!Eldorado 20160421
Fortinet JS/Nemucod.SR!tr.dldr 20160421
GData Script.Trojan.Agent.EP7EGI 20160421
Ikarus Trojan-Downloader.JS.Nemucod 20160421
McAfee JS/Nemucod.hq 20160421
McAfee-GW-Edition BehavesLike.JS.Downloader.lv 20160421
Sophos JS/DwnLdr-NIC 20160421
Tencent Js.Trojan.Raas.Auto 20160421

Dicha version del ELISTARA 34.39 que lo detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 21-4-2016