NUEVO MAIL MASIVO CON FICHERO ANEXADO MALICIOSO
Un nuevo mail está llegando masivamente, anexando fichero malicioso .ZIP que contiene un .JSE con un downloader del ransomware LOCKY-OSIRIS, que descarga e instala una DLL con dicho engendro.
El contenido del mail en cuestión es similar a:
MAIL MASIVO MALICIOSO
_____________________
Asunto: Tracking Sheet
De: “francis harker” <francis.harker@lookatthebride.com.br>
Fecha: 20/12/2016 6:54
Para: <DESTINATARIO>
Dear all
please find attached sheet
Thanks
anexado: Sheet 20-12-2016-708703.ZIP (contiene 30872310645.jse)
__________________
FIN MAIL MALICIOSO
A partir del ELISTARA 35.84 pasamos a controlar, tanto el .JSE como la DLL que descarga e instala.
El preanalisis de virustotal ofrece el siguiente informe:
MD5 5b49eac5932804a8ca23bd43253b120a
SHA1 f86391bf5e02f7c2499880f96d2ef0999dc695e1
File size 30.7 KB ( 31403 bytes )
SHA256: 2ee6c111adbb7be78f92417d3a3c33dbb4d1d250f646018e722b51f8bdd29787
File name: 30872310645.jse
Detection ratio: 21 / 54
Analysis date: 2016-12-20 09:00:13 UTC ( 6 minutes ago )
0
1
Antivirus Result Update
AVware Trojan-Downloader.JS.Nemucod.bbp (v) 20161220
Ad-Aware JS:Trojan.JS.Downloader.NW 20161220
Antiy-AVL Trojan/Generic.ASMalwRG.70 20161220
Arcabit JS:Trojan.JS.Downloader.NW 20161220
BitDefender JS:Trojan.JS.Downloader.NW 20161220
Cyren JS/Nemucod.CA2 20161220
DrWeb JS.DownLoader.3043 20161220
ESET-NOD32 JS/TrojanDownloader.Nemucod.BVU 20161220
Emsisoft JS:Trojan.JS.Downloader.NW (B) 20161220
F-Prot JS/Nemucod.CA2 20161220
F-Secure JS:Trojan.JS.Downloader.NW 20161220
Fortinet JS/Nemucod.CAD!tr 20161220
GData JS:Trojan.JS.Downloader.NW 20161220
Ikarus Win32.Outbreak 20161220
Kaspersky HEUR:Trojan-Downloader.Script.Generic 20161220
eScan JS:Trojan.JS.Downloader.NW 20161220
NANO-Antivirus Trojan.Script.Heuristic-js.iacgm 20161220
Qihoo-360 virus.js.gen.90 20161220
Symantec JS.Downloader.D 20161220
Tencent Js.Trojan.Raas.Auto 20161220
VIPRE Trojan-Downloader.JS.Nemucod.bbp (v) 20161220
y la DLL que descarga e instala, que tambien controlamos con el ELISTARA 35.84, ofrece el siguiente informe:
MD5 599713d3b9ad1607bd70f227e204fc84
SHA1 e6b8209aa29819919b7d53f8a4d5ef26cb33daec
File size 260.0 KB ( 266240 bytes )
SHA256: 893fb7f67a397efcea2235dfd3ecc5d6b90fd6b151186e1440ee228b7dd6c7be
File name: http___www.galerie-idees.fr_byt4g3.decoded
Detection ratio: 12 / 54
Analysis date: 2016-12-20 05:29:36 UTC ( 3 hours, 39 minutes ago )
0
1
Antivirus Result Update
AegisLab Ransom.Hplocky.Smjbb!c 20161219
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9955 20161207
CrowdStrike Falcon (ML) malicious_confidence_98% (D) 20161024
DrWeb Trojan.Encoder.3976 20161220
ESET-NOD32 a variant of Generik.FALNEBT 20161220
K7GW Hacktool ( 655367771 ) 20161220
Kaspersky Trojan-Ransom.Win32.Locky.wuf 20161220
eScan Trojan.RanSerKD.3945185 20161220
Qihoo-360 HEUR/QVM40.1.F0FF.Malware.Gen 20161220
Symantec Ransom.Locky 20161220
Tencent Win32.Trojan.Raas.Auto 20161220
VBA32 SScope.Malware-Cryptor.Filecoder 20161219
Dicha versión del ELISTARA 35.84 que lo detecta y elimina,e stará disponible en nuestra web a partir del 21-12-2016
Como se ve, aun son pocos los AV que lo detectan, por lo que enviamos muestra del mismo a McAfee que no lo detecta para que lo analicen y añadan su control en las proximas versiones de su antivirus.
saludos
ms, 20-12-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.