NUEVO MAIL MASIVO MALICIOSO QUE ANEXA ZIP CONTENIENDO .JS CON DOWNLOADER NEMUCOD
MAIL MASIVO MALICIOSO
_____________________
Asunto: 58524 virus
De: <product.marqrel@brands4friends.jp> <—Ver que el dominio del remitente es del JAPON)
Fecha: 01/05/2017 0:49
Para: DESTINATARIO
ANEXADO: 9230109567.ZIP <———(Malicioso, conteniendo 29472.js con downloader NEMUCOD)
__________________
FIN MAIL MALICIOSO
Si bien no nos ha funcionado el downloader en la monitorización del fichero anexado, quizás por haber sido ya capada la web de descarga del malware, a partir del ELISTARA 36.74 de hoy pasamos a controlar esta nueva variante de malware.
El preanalisis de virustotal ofrece el siguiente informe:
MD5 84aeb49807dd17f0ab7813ee1bff9181
SHA1 d82479a6fd56fddb1403a98783decf70ac1c10f7
Tamaño del fichero 8.5 KB ( 8655 bytes )
SHA256:
c6e08a0f33e11e60f04f7aca1e2971caf7c2f3aee3c503c8b1cc8af79c4e612f
Nombre:
29472.js
Detecciones:
27 / 56
Fecha de análisis:
2017-05-02 07:07:49 UTC ( hace 1 hora, 10 minutos )
Y hay uno que va mas allá, que posiblemente lo descargó antes de que se cortara el acceso a la descarga, indicando para ello el nombre de LOCKY:
Avira (no cloud) JS/Dldr.Locky.WGE 20170502
Pudiendo ser cualquier malware, desde un CERBER4, o un CRYPTOLOCKER, apuntamos tambien lo de LOCKY por volver a estar en la palestra.
Dicha versión del ELISTARA 36.74 que lo detecta y elimina, estará disponible en nuestra web a partir del 3-5-2017
saludos
ms, 2-5-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.