NUEVA VARIANTE DE MALWARE QUE SE RECIBE ANEXADO A UN MAIL EN UN DOC CON MACROS
Como de costumbre, anexado a un mail malicioso se recibe un fichero malware, siendo en este caso un .DOC con macros que descargan e instalan un ADOBREAD.EXE que pasamos a controlar a partir del ELISTARA 35.50 de hoy
El mail en el que se recibe presenta el siguiente texto:
MAIL MALICIOSO:
_______________
—–Original Message—–
From: “Bharat”<psscarpetta@gmail.com>
To: <destinatario>
Date: Mon, 24 Oct 2016 20:45:04 -0700
Subject: NEW ORDER
Dear Sir,
Kindly give us your best price for the attached orders and proforma invoice with payment terms.
Thanks & Regards,
Bharat
Sales Rep.
ANEXADO: 1103780065.zip (contiene 1103780065.doc)
__________________
FIN MAIL MALICIOSO
El preanalisis de virustotal del fichero DOC ofrece el siguiente informe:
MD5 5cb7aa73b3636458c7fe50102c1e5d5a
SHA1 74c607b862b7ade06ccb09cd0dcb0a668c275e16
File size 781.1 KB ( 799892 bytes )
SHA256: 65a258315b29e118830594208b73908ff3b4ee1726f9dffd4ab1aa8dd2c94a7b
File name: 1103780065.doc
Detection ratio: 13 / 54
Analysis date: 2016-10-26 09:26:46 UTC
0
1
Antivirus Result Update
AVG W97M/Downloader 20161026
AegisLab Troj.Script.Agent!c 20161026
Avira (no cloud) W2000M/Dldr.Agent.AM.05500 20161026
Baidu VBA.Trojan-Dropper.Agent.pf 20161026
ESET-NOD32 VBA/TrojanDropper.Agent.RI 20161026
Fortinet WM/Agent.RI!tr 20161026
Ikarus Trojan-Downloader.VBA.Agent 20161026
Kaspersky HEUR:Trojan.Script.Agent.gen 20161026
Microsoft Trojan:X97M/ShellHide.D 20161026
Qihoo-360 heur.macro.drop.eb 20161026
Symantec Trojan.Mdropper!gen4 20161026
TrendMicro W2KM_DROPPR.CSYM 20161026
TrendMicro-HouseCall W2KM_DROPPR.CSYM 20161026
Y los ficheros que descarga al ejecutar dicho DOC con macros, son un EXE, un BAT y un .lnk, todos acerca del primero indicado, de nombre ADOBREAD.EXE, cuyo preanalisis de virustotal ofrece el siguiente informe:
MD5 40b05d733fde64f1538df6e51892c465
SHA1 3b6dd3a4763f5d62902bb502080a11dca679cb3f
File size 873.0 KB ( 893952 bytes )
SHA256: db2ef93561a746207d0ebb006de297d549dc610ed5d543667b27c3231c6919ef
File name: adobread.exe
Detection ratio: 17 / 55
Analysis date: 2016-10-26 09:08:23 UTC ( 1 hour, 17 minutes ago )
0
1
Antivirus Result Update
Ad-Aware Trojan.GenericKD.3632001 20161026
Arcabit Trojan.Generic.D376B81 20161026
Avast Win32:Evo-gen [Susp] 20161026
Avira (no cloud) TR/Dropper.Gen 20161026
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9999 20161026
BitDefender Trojan.GenericKD.3632001 20161026
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20160725
ESET-NOD32 a variant of MSIL/Injector.QLO 20161026
Emsisoft Trojan.GenericKD.3632001 (B) 20161026
F-Secure Trojan.GenericKD.3632001 20161026
Fortinet MSIL/Injector.OBU!tr 20161026
GData Trojan.GenericKD.3632001 20161026
Invincea trojanclicker.msil.fakeie.a 20161018
Jiangmin Backdoor/RBot.kmq 20161026
Kaspersky Trojan.MSIL.Crypt.cdmb 20161026
eScan Trojan.GenericKD.3632001 20161026
Qihoo-360 HEUR/QVM03.0.0000.Malware.Gen 20161026
que lo pasamos a controlar a partir del ELISTARA 35.50 de hoy.
Una vez mas conviene recordar que NO DEBEN EJECUTARSE FICHEROS ANEXADOS A MAILS NO SOLICITADOS…
Dicha versión del ELISTARA 35.50 que lo detecta y elimina, estará disponible en nuestra web a partir del 27-10-2016
saludos
ms, 26-10-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.