Se está recibiendo un mail malicioso que adjunta un fichero .PDF.TGZ
Un mail que adjunta fichero con doble extensión .PDF.TGZ (para despistar al usuario y que piense que es un PDF, cuando la segunda extensión es la que se ejecuta -y normalmente está oculta-), es realmente un RAR que contiene el fichero
Conciliacion_De_Pago_Codigo#0183484495101023740350469847888078336975605817304331409503283093_03350932424890095115467038427209544758902603812344082795859570pdf.exe
total ofrece el siguiente informe:
que pasamos a controlar como Trojan AUTORUNS a partir del ELISTARA 39.94 de hoy, como ya lo identifican algunos AV como por ejemplo:
BitDefender Trojan.Autoruns.GenericKDS.31294254 20181019
F-Secure Trojan.Autoruns.GenericKDS.31294254 20181019
GData Trojan.Autoruns.GenericKDS.31294254 20181019
Parece ser un PWS (cazapasswords) como adjuntan algunos mails que llegan actualmente.
Además contiene tambien un JS que ya controlamos con el ELISTARA como JS.CRISAS y que utiliza un wscript.exe del sistema operativo para ejecutarlo.
Las propiedades del fichero EXE generado indican como nombre original Demo2_CPropertyGnd_Lib de Microsoft, con Copyrigth (C)2005 y estar escrito en Chino (simplificado, de China)
La muestra recibida ha sido solicitada por el ELISTARA, para su analisis, a un usuario de dicha utilidad.
saludos
ms, 19-10-2018
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.