NUEVO MAIL MASIVO CON ANEXADO MALICIOSO QUE AL FINAL INSTALA RANSOMWARE LOCKY
Un escueto mail que llega con este encabezado:
Asunto: Your Amazon.com order has dispatched (#963-5672895-9365334)
De: “Amazon.com” <auto-shipping@amazon.com>
Fecha: 27/04/2016 18:03
Para: <destinatario>
lleva anexado este empaquetado: ORDER-963-5672895-9365334.zip
que contiene un JS downloader NEMUCOD que descarga un Locky
Todos ellos los pasamos a controlar a partir del ELISTARA 34.44 de hoy
El preanalisis de virustotal sobre el JS del desempaquetado del ZIP, ofrece el siguiente informe:
MD5 b43021ba1dcdd8f26368719c42e070e3
SHA1 1b1f9d81dbc7b48626f56fdb7edd3b9c0b8ec327
Tamaño del fichero 6.0 KB ( 6106 bytes )
SHA256: e4588181f607a81e6246f5fcb201bc9fd8fae0dcea82062b3ef338c23c43bf7b
Nombre: 0050607_00357.js
Detecciones: 17 / 57
Fecha de análisis: 2016-04-28 09:28:23 UTC ( hace 5 minutos )
0 1
Antivirus Resultado Actualización
AVG JS/Downloader.Agent 20160428
Ad-Aware Trojan.JS.Agent.KVR 20160428
Arcabit HEUR.JS.Trojan.ba 20160428
Avira (no cloud) JS/Dldr.Dridex.777 20160428
BitDefender Trojan.JS.Agent.KVR 20160428
Cyren JS/Locky.R.gen 20160428
Emsisoft Trojan.JS.Agent.KVR (B) 20160428
F-Secure Trojan.JS.Agent.KVR 20160428
Fortinet JS/Agent.KVR!tr.dldr 20160428
GData Trojan.JS.Agent.KVR 20160428
Ikarus Trojan-Ransom.Script.Locky 20160428
McAfee JS/Nemucod.eq 20160428
eScan Trojan.JS.Agent.KVR 20160428
Qihoo-360 Script/Virus.bc9 20160428
Sophos Troj/JSDldr-HY 20160428
Symantec JS.Downloader 20160428
VIPRE Malware.JS.Generic (JS) 20160428
Y el fichero con el LOCKY que descarga dicho downloader, ofrece este otro informe:
MD5 3c89456ba5ab540e445a632ccfbbb958
SHA1 c0d239bb3761a9b4e6024f6d970f3a495fe6a04b
Tamaño del fichero 264.5 KB ( 270848 bytes )SHA256: d2954337252fb727b01a7e2a8e4c4b451cb00c9abe6dec34b8b143d845a00111
Nombre: 8759j3f434.exe
Detecciones: 23 / 56
Fecha de análisis: 2016-04-28 08:45:30 UTC ( hace 53 minutos )
0 13
Antivirus Resultado Actualización
ALYac Trojan.Ransom.LockyCrypt 20160428
Ad-Aware Trojan.GenericKD.3183021 20160428
Arcabit Trojan.Generic.D3091AD 20160428
Avast Win32:Malware-gen 20160428
Avira (no cloud) TR/Crypt.ZPACK.iiwg 20160428
BitDefender Trojan.GenericKD.3183021 20160428
DrWeb Trojan.Encoder.3976 20160428
ESET-NOD32 a variant of Win32/Kryptik.EVUK 20160428
Emsisoft Trojan.Win32.FileCoder (A) 20160428
F-Secure Trojan.GenericKD.3183021 20160428
Fortinet W32/Kryptik.EVUK!tr 20160428
GData Trojan.GenericKD.3183021 20160428
Kaspersky UDS:DangerousObject.Multi.Generic 20160427
Malwarebytes Ransom.Locky 20160428
McAfee Artemis!3C89456BA5AB 20160428
McAfee-GW-Edition Artemis 20160428
eScan Trojan.GenericKD.3183021 20160428
Panda Trj/Locky.A 20160427
Sophos Troj/Locky-AQ 20160428
Symantec Trojan.Cryptolocker.N 20160428
TrendMicro Ransom_LOCKY.DLDSN 20160428
TrendMicro-HouseCall Ransom_LOCKY.DLDSN 20160428
ViRobot Trojan.Win32.Agent.270848.K[h] 20160428
Dicha versión del ELISTARA 34.44 que los detecta yelimina, estará dispoonible en nuestra web a partir de las 18 h CEST de hoy
saludos
ms, 28-4-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.