NUEVO MAIL MASIVO ANEXANDO FICHERO MALICIOSO CON TROYANO PWS-ZBOT
Se está recibiendo mail masivo malicioso aparentando anexar una factura en un PDF con doble extensión, siendo realmente un .EXE
Lo pasamos a controlar a partir del ELISTARA 33.81 de hoy
El mail en cuestión es del siguiente tipo:
MAIL MASIVO MALICIOSO:
______________________
Asunto: FACTURAS
De: viajes_eroski_irun@ono.com (puede ser variable)
Fecha: 25/01/2016 09:40
Para: <destinatario>
Estimado cliente
181735687274_0001.PDF
Si tuviera algún problema a la hora de imprimir el fichero pdf, emplee la opción de imprimirlo como imagen.
—
Le informamos que cumpliendo con la normativa mercantil, tributaria y de tratamiento electrónico de datos, han sido firmados electrónicamente con nuestro Certificado Digital dádonle una garantía absoluta.
Atentamente,
anexado : 181735263956 _ 0001_PDF.zip (contiene fichero 181735001481 _ 0001_PDF.pdf.exe)
_____________________
FIN DEL MAIL MASIVO
El preanalisis de virustotal ofrece el siguiente informe:
MD5 e6da6001318d8aa2cdc2bac75939aea9
SHA1 b6eff80b67863f646061b22ce657ea2fe0894ff3
Tamaño del fichero 220.3 KB ( 225558 bytes )
SHA256: 201cc898be8237b6d26ec16f8a48a9fae05a0df3fd5550a6bcae9c00c6253074
Nombre: 181735001481 _ 0001_PDF.pdf.exe
Detecciones: 3 / 53
Fecha de análisis: 2016-01-26 10:55:00 UTC ( hace 20 minutos )
0 2
Antivirus Resultado Actualización
ESET-NOD32 a variant of Win32/Injector.CQXT 20160126
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.dc 20160126
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20160126
Como puede verse es muy reciente y apensas controlado por los AV, si bien los usuarios que nos leen ya saben que uno de los trucos mas usados de envio de mails con malware anexado es el utilizar ficheros con doble extension, especialmente aparentando enviar facturas (que ultimamente es la manera de enviarlas) aparentando ser un PDF pero cuya ultima extension es un EXE…
Dicha versión del ELISTARA 33.81 que lo detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy
saludos
ms, 26-1-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.