NUEVO MAIL QUE LLEGA ANEXANDO ZIP CONTENIENDO FICHERO HTA CON DOWNLOADER DEL RANSOMWARE ZEPTO
Si bien ya estamos diciendo siempre que no se deben ejecutar ficheros anexados a mails no solicitados, esta vez nos han sorprendido al anexar un ZIP con un .HTA, que hasta ahora no habiamos recibido ninguno antes
Se trata de un downloader, tipo NEMUCOD, que esta vez descarga un ransomware ZEPTO (derivado del LOCKY) , pasando a controlar ambos a partir del ELISTARA 35.21 de hoy
El mail en el que se recibe está escrito en inglés y dice lo siguiente:
MAIL MALICIOSO
______________
Asunto: Accounts Documentation – Invoices
De: <CreditControl@dominio destinatario>
Fecha: 13/09/2016 15:20
Para: <destinatario>
CC:
Please find attached the invoice(s) raised on your account today. If you have more than one invoice they will all be in the single attachment above.
If you have any queries please do not hesitate to contact the Credit Controller who deals with your account.
Alternatively if you do not know the name of the Credit Controller you can contact us at:
CreditControl@dominio destinatario
Please do not reply to this E-mail as this is a forwarding address only.
ANEXO : nombre variable.hta
______________________
FIN DEL MAIL MALICIOSO
El preanalisis de virustotal ofrece el siguiente informe:
MD5 7dd260a9c2841e7328eb025bdbbd08b8
SHA1 e5544832ff13d4968932f5ca50177e6074d0c943
File size 32.9 KB ( 33713 bytes )
SHA256: 84c4fb07563f449245bf50c56fbaff8f0083b9ec8c6942ffd9d443064178df26
File name: 05X4nwz26.hta
Detection ratio: 24 / 55
Analysis date: 2016-09-14 07:34:45 UTC ( 35 minutes ago )
0
1
Antivirus Result Update
AVG JS/Downloader.Agent.52_6 20160914
Ad-Aware Trojan.JS.Downloader.FMN 20160914
Antiy-AVL Trojan/Generic.ASVCS3S.3F7 20160914
Arcabit Trojan.JS.Downloader.FMN 20160914
Avira (no cloud) JS/Dldr.Locky.71680 20160914
Baidu JS.Trojan-Downloader.Nemucod.jn 20160914
BitDefender Trojan.JS.Downloader.FMN 20160914
Cyren JS/Locky.AY1 20160914
DrWeb JS.DownLoader.2181 20160914
ESET-NOD32 JS/TrojanDownloader.Nemucod.AXO 20160914
Emsisoft Trojan.JS.Downloader.FMN (B) 20160914
F-Prot JS/Locky.AY1 20160914
F-Secure Trojan.JS.Downloader.FMN 20160914
Fortinet JS/Agent.2BBF!tr.dldr 20160914
GData Trojan.JS.Downloader.FMN 20160914
Kaspersky Trojan-Downloader.JS.Cryptoload.akk 20160914
McAfee JS/Nemucod.no 20160914
eScan Trojan.JS.Downloader.FMN 20160914
Microsoft TrojanDownloader:JS/Nemucod 20160914
NANO-Antivirus Trojan.Script.Heuristic-js.iacgm 20160913
Qihoo-360 trojan.js.downloader.1 20160914
Sophos Troj/JSDldr-TF 20160914
Symantec JS.Downloader 20160914
Tencent Hta.Trojan.Raas.Auto 20160914
Dicha versión del ELISTARA 35.21 que los detecta y elimina, estará disponible en nuestra web a partir del 15-9-2016
saludos
ms, 14-9-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.