NUEVA VARIANTE DE DOWNLOADER NEMUCOD QUE LLEGA ANEXADA A UN EMAIL MASIVO (y termina descargando una especie de Cryptolocker ???)
Anexado a un e-nail con estas caracteristicas
MAIL MASIVO ENVIANDO FICHERO DOWNLOADER
_______________________________________
Asunto: Returned debt, Ref. #7429094
De: “grace@firstemploymentservices.com” <humanresources@collettevacations.com>
Fecha: 13/02/2016 03:57
Para: <destinatario>
Valued Client,
Please find attached to this email your statement
Our company has just shipped out your order.
You can find the payment details for your purchase attached. Please take a look at it ASAP.
you can to send a massage in case of any question about the transfer.
Accounts Department
Wavenet Group
Incorporating – Titan Technology, Centralcom and S1 Network Services
Tel 0844312707
Anexado: “invoice_copy_GliB9R.zip”, contiene fichero “invoice_copy_GliB9R.js” infectado con NEMUCOD
______________________
FIN MAIL MASIVO MALICIOSO
El fichero anexado contiene un downloader NEMUCOD que subido al virustotal ofrece el siguiente informe:
MD5 0994e0a15bfd598a318bc5f8681d8440
SHA1 4bb6ac2adfd92c7dbe374fee667dd24f22606244
Tamaño del fichero 4.8 KB ( 4890 bytes )
SHA256: 5cb649fe7cc879a67edb03a15b9fe6c5e2d60af500cd3b5b0e10cbf97882bb7a
Nombre: invoice_copy_GliB9R.js
Detecciones: 22 / 55
Fecha de análisis: 2016-02-15 14:17:25 UTC ( hace 9 minutos )
0 1
Antivirus Resultado Actualización
ALYac Trojan.VBS.Downloader.LB 20160215
Ad-Aware Trojan.VBS.Downloader.LB 20160215
AegisLab Troj.Downloader.Script!c 20160215
Arcabit HEUR.JS.Trojan.b 20160215
Avira JS/Nemucod.ME.6678 20160215
BitDefender Trojan.VBS.Downloader.LB 20160215
CAT-QuickHeal JS.Downloader.EV 20160215
ESET-NOD32 JS/TrojanDownloader.Nemucod.EM 20160215
Emsisoft Trojan-Downloader.JS.Nemucod (A) 20160215
F-Secure Trojan.VBS.Downloader.LB 20160215
Fortinet JS/Nemucod.EM!tr 20160215
GData Trojan.VBS.Downloader.LB 20160215
Ikarus Trojan-Downloader.JS.Nemucod 20160215
Kaspersky HEUR:Trojan-Downloader.Script.Generic 20160215
McAfee JS/Nemucod.ch 20160215
MicroWorld-eScan Trojan.VBS.Downloader.LB 20160215
Microsoft TrojanDownloader:JS/Nemucod.BC 20160215
NANO-Antivirus Trojan.Script.Nemucod.eafuva 20160215
Sophos Troj/Nemucud-A 20160215
TrendMicro JS_NEMUCOD.YYIQ 20160215
TrendMicro-HouseCall JS_NEMUCOD.YYIQ 20160215
ViRobot JS.S.Downloader.4890[h] 20160215
y dicho downloader NEMUCOD descarga una variante de malware, que tambien pasamos a controlar con el ELISTARA 33.94 de hoy:
MD5 41f50894f59a7e7999f5b15f0866e813
SHA1 de0ae8b443b01d8d2df894534739b3f2fb311bed
Tamaño del fichero 352.0 KB ( 360448 bytes )
SHA256: 0b9740238dffd8135155ee6acefae9e7df3db24f5925e8f015fa1704791a3bde
Nombre: ocihyzhl.exe
Detecciones: 41 / 54
Fecha de análisis: 2016-02-15 14:44:54 UTC ( hace 1 minuto )
0 1
Antivirus Resultado Actualización
AVG Zbot.AJGD 20160215
Ad-Aware Trojan.Cridex.M 20160215
AegisLab Uds.Dangerousobject.Multi!c 20160215
AhnLab-V3 Win-Trojan/Teerac.Gen 20160215
Antiy-AVL Trojan[Backdoor]/Win32.Androm 20160215
Arcabit Trojan.Cridex.M 20160215
Avast Win32:Malware-gen 20160215
Avira TR/Crypt.ZPACK.202794 20160215
Baidu-International Backdoor.Win32.Androm.ipeb 20160215
BitDefender Trojan.Cridex.M 20160215
CAT-QuickHeal Ransom.Teerac.A4 20160215
Comodo UnclassifiedMalware 20160215
Cyren W32/Trojan.UKJQ-1374 20160215
DrWeb Trojan.Encoder.761 20160215
ESET-NOD32 a variant of Win32/Kryptik.EDMB 20160215
Emsisoft Trojan.Cridex.M (B) 20160215
F-Secure Trojan.Cridex.M 20160215
Fortinet W32/Androm.EDMB!tr.bdr 20160215
GData Trojan.Cridex.M 20160215
Ikarus Trojan.Win32.Crypt 20160215
Jiangmin Backdoor/Androm.nav 20160215
K7AntiVirus Trojan ( 004d5f201 ) 20160215
K7GW Trojan ( 004d5f201 ) 20160215
Kaspersky Backdoor.Win32.Androm.ipeb 20160215
Malwarebytes Ransom.TorrentLocker 20160215
McAfee RDN/Generic BackDoor 20160215
McAfee-GW-Edition RDN/Generic BackDoor 20160215
MicroWorld-eScan Trojan.Cridex.M 20160215
Microsoft Ransom:Win32/Teerac.A 20160215
NANO-Antivirus Trojan.Win32.Androm.dymzyd 20160215
Panda Generic Suspicious 20160214
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160215
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160215
Sophos Mal/Tinba-Q 20160215
Symantec Trojan.Cryptolocker.H 20160214
Tencent Win32.Trojan.Inject.Auto 20160215
TrendMicro TROJ_GEN.R0EDC0DK615 20160215
VIPRE Trojan.Win32.Generic!BT 20160215
ViRobot Trojan.Win32.Cryptolocker.360448[h] 20160215
Zillya Backdoor.Androm.Win32.29508 20160213
nProtect Trojan.Cridex.M 20160212
A dicho fichero malware se le ven coincidencias con los Cryptolockers Torrent, aunque no nos ha cifrado ficheros, pero…
Dicha version del ELISTARA 33.94 que lo detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy
saludos
ms, 15-2-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.