NUEVO MAIL MASIVO QUE LLEGA ANEXANDO UN EMPAQUETADO JAR MALICIOSO (TROJAN ADWIN JAR)
En un mail que aparenta venir de DHL se recibe un empaquetado JAR malicioso.
Dicho mail contuiene el siguiente texto:
MAIL MASIVO MALICIOSO:
______________________
Asunto: eDelivery: DHL/DB0011739002/02/17 (Final Notification)
De: DHL EXPRESS <dhlexpressdelivery405@gmail.com>
Fecha: 27/02/2017 11:32
Para: undisclosed-recipients:;
Dear customer,
We attempted to deliver your item at 13:50PM on Friday FEB 24th, 2017.
(Read enclosed file detail)
The delivery attempt failed because nobody was present at the shipping
address, so this notify has been automatically sent.
If the parcel is not scheduled for redelivery or picked up within 72
hours of working days, it will be returned to the sender.
Label Number: DB_DHL_0011739002/AD
Expected Delivery Date: FEB 24th, 2017
Class: Package Services
Service(s): Delivery Confirmation
Status: eNotification sent
Read the enclosed file for details.
Thank you,
DHL Customer Service.
2017 © DHL International GmbH. All rights reserved.
———————————————————————-
This message has been scanned for viruses and dangerous content by
MailScanner, and is believed to be clean.
ANEXADO: DHL_AWB_0011739002-pdf.jar <— fichero malicioso
______________________
FIN MAIL MALICIOSO
El malware propiamente dicho se obtiene al desempaquetar el JAR anexado, si bien vemos en él que tiene cantidad de “paja”, pues de los 491 kB que tiene el fichero, solo 4 resultan ser malware, siendo el resto de relleno.
Pasamos a controlarlo por su MD5 total, a sabiendas que si un robot va cambiando la “paja”, no lo pillaremos, y solo si es igual al que hemos recibido (entendemos que al menos este envio de hoy contendrá fijo el mismo JAR), lo detectaremos y procederemos a eliminarlo
De todas formas es el mismo usuario que si recibe dicho mail puede eliminarlo directamente, para evitar los perjuicios que su ejecución pudiera ocasionarle.
EL preanalisis de virustotal de dicho JAR anexado, ofrece el siguiente informe:
MD5 92b03c55f7f3083895384354b7104057
SHA1 99d5f91fae3a08ecf8e58b594a36af095a9aa1e0
Tamaño del fichero 490.5 KB ( 502252 bytes )
SHA256: 941f76117c8b9b09d5aa3e1857fbb37ddaf4175af147b814bddfab1dc22a6bb5
Nombre: 92b03c55f7f3083895384354b7104057
Detecciones: 4 / 58
Fecha de análisis: 2017-02-27 10:18:30 UTC
Dicha versión del ELISTARA 36.31 que lo detecta y elimina, estará disponible en nuestra web a partir del 28-2 prox.
saludos
ms, 27-2-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.