Otro falso mail de la Policia Nacional, con una citacion para la Audiencia Nacional, anexando link que descarga fichero malware (Ver ANEXO al final)
Se está recibiendo por mail falsa citacion anexando link de descarga de cazapasswords bancario (SPYBANKER) variante del que ya informabamos en:
https://blog.satinfo.es/?p=17021
pero distinto, pasando este a controlarlo a partir del ELISTARA 23.53
de hoy
El preanalisis con VirusTotal de este fichero, ofrece el siguiente informe:
File Name:
cancel.scr
Submission date:
2011-06-30 06:42:23 (UTC)
Current status:
finished
Result:
25 /42 (59.5%)
VT Community
not reviewed
Safety score: –
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.06.30.01 2011.06.30 Trojan/Win32.CSon
AntiVir 7.11.10.167 2011.06.30 –
Antiy-AVL 2.0.3.7 2011.06.30 –
Avast 4.8.1351.0 2011.06.29 Win32:Rootkit-gen
Avast5 5.0.677.0 2011.06.29 Win32:Rootkit-gen
AVG 10.0.0.1190 2011.06.30 –
BitDefender 7.2 2011.06.30 Gen:Trojan.Heur.tmGfrXUXDYaO
CAT-QuickHeal 11.00 2011.06.30 –
ClamAV 0.97.0.0 2011.06.30
BC.Heuristic.Trojan.SusPacked.BF-6.A
Commtouch 5.3.2.6 2011.06.30 W32/Trojan-juke-based!
Maximus
Comodo 9225 2011.06.30 TrojWare.Win32.Downloader.VB.RAB
DrWeb 5.0.2.03300 2011.06.30 –
eSafe 7.0.17.0 2011.06.29 –
eTrust-Vet 36.1.8416 2011.06.29 –
F-Prot 4.6.2.117 2011.06.30 W32/Trojan-juke-based!Maximus
F-Secure 9.0.16440.0 2011.06.30
Gen:Trojan.Heur.tmGfrXUXDYaO
Fortinet 4.2.257.0 2011.06.30 –
GData 22 2011.06.30 Gen:Trojan.Heur.tmGfrXUXDYaO
Ikarus T3.1.1.104.0 2011.06.30 Trojan-Spy.Win32.Banker.anv
Jiangmin 13.0.900 2011.06.29 Trojan/Swisyn.rew
K7AntiVirus 9.106.4856 2011.06.29 Trojan
Kaspersky 9.0.0.837 2011.06.30 Trojan-
Downloader.Win32.Banload.blrn
McAfee 5.400.0.1158 2011.06.30 PWS-Banker!gya
McAfee-GW-Edition 2010.1D 2011.06.30 Artemis!
87F8E5BE5638
Microsoft 1.7000 2011.06.30 –
NOD32 6251 2011.06.30 Win32/TrojanDownloader.Banload.QGE
Norman 6.07.10 2011.06.29 W32/Obfuscated.A!genr
nProtect 2011-06-29.01 2011.06.29 –
Panda 10.0.3.5 2011.06.29 Trj/CI.A
PCTools 8.0.0.5 2011.06.30 –
Prevx 3.0 2011.06.30 –
Rising 23.64.02.03 2011.06.29 Trojan.DL.Win32.Undef.qef
Sophos 4.66.0 2011.06.30 Mal/Behav-103
SUPERAntiSpyware 4.40.0.1006 2011.06.30 –
Symantec 20111.1.0.186 2011.06.30 –
TheHacker 6.7.0.1.245 2011.06.29 –
TrendMicro 9.200.0.1012 2011.06.30 TSPY_BANLOAD.AKM
TrendMicro-HouseCall 9.200.0.1012 2011.06.30
TSPY_BANLOAD.AKM
VBA32 3.12.16.3 2011.06.29 TrojanDownloader.Banload.blii
VIPRE 9729 2011.06.30 Trojan.Win32.Generic.pak!cobra
ViRobot 2011.6.30.4541 2011.06.30 –
VirusBuster 14.0.102.0 2011.06.29 –
Additional information
MD5 : 87f8e5be56389ad44ec1ac77d0be4abf
SHA1 : af7204a265110ba352ae4efb851f94ea45fda23f
File size : 316416 bytes
Dicha version del ELISTARA 23.53 que lo detecta y elimina, estará
disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 30-6-2011
________________
ANEXO A LA NOTICIA DEL SPYBANKER RECIBIDO EN FALSO MAIL DE LA POLICIA NACIONAL:
Como complemento de la informacion dada, cabe añadir que el link indicado en el mail descrga el fichero CANCEL.EXE indicado, que descarga este otro, que es realmente el cazapasswords, mucho menos controlado actualmente: (solo 4 de 41 AV)
google-img.exe
Submission date:
2011-06-30 09:43:36 (UTC)
Current status:
finished
Result:
4 /42 (9.5%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.06.30.01 2011.06.30 –
AntiVir 7.11.10.172 2011.06.30 –
Antiy-AVL 2.0.3.7 2011.06.30 –
Avast 4.8.1351.0 2011.06.30 –
Avast5 5.0.677.0 2011.06.30 –
AVG 10.0.0.1190 2011.06.30 –
BitDefender 7.2 2011.06.30 –
CAT-QuickHeal 11.00 2011.06.30 –
ClamAV 0.97.0.0 2011.06.30 –
Commtouch 5.3.2.6 2011.06.30 –
Comodo 9228 2011.06.30 –
DrWeb 5.0.2.03300 2011.06.30 –
eSafe 7.0.17.0 2011.06.29 –
eTrust-Vet 36.1.8416 2011.06.29 –
F-Prot 4.6.2.117 2011.06.30 –
F-Secure 9.0.16440.0 2011.06.30 –
Fortinet 4.2.257.0 2011.06.30 –
GData 22 2011.06.30 –
Ikarus T3.1.1.104.0 2011.06.30 –
Jiangmin 13.0.900 2011.06.29 Trojan/Swisyn.rew
K7AntiVirus 9.106.4856 2011.06.29 –
Kaspersky 9.0.0.837 2011.06.30 –
McAfee 5.400.0.1158 2011.06.30 –
McAfee-GW-Edition 2010.1D 2011.06.30 –
Microsoft 1.7000 2011.06.30 –
NOD32 6252 2011.06.30 Win32/Spy.Banker.WFL
Norman 6.07.10 2011.06.30 –
nProtect 2011-06-29.01 2011.06.29 –
Panda 10.0.3.5 2011.06.29 –
PCTools 8.0.0.5 2011.06.30 –
Prevx 3.0 2011.06.30 –
Rising 23.64.02.03 2011.06.29 –
Sophos 4.66.0 2011.06.30 –
SUPERAntiSpyware 4.40.0.1006 2011.06.30 –
Symantec 20111.1.0.186 2011.06.30 –
TheHacker 6.7.0.1.245 2011.06.29 –
TrendMicro 9.200.0.1012 2011.06.30 TSPY_BANLOAD.AKM
TrendMicro-HouseCall 9.200.0.1012 2011.06.30 TSPY_BANLOAD.AKM
VBA32 3.12.16.3 2011.06.29 –
VIPRE 9729 2011.06.30 –
ViRobot 2011.6.30.4542 2011.06.30 –
VirusBuster 14.0.102.0 2011.06.29 –
Additional information
MD5 : 661d6f612c98f915a74a7978610978b4
SHA1 : 9dd4c8a3fc274a83fdadce1648adc59043dbcffa
SHA256: baf0cbad7d074809429462b627d540c0be6b9f3ae670ba2f91141c78e1ecb9e9
ssdeep: 49152:Tfl0BbO9wHn6wAamxttsN/51RHsS+4eQKrS087IRXr2FjamZuw1:TXwH6wmXt2/5vHfeQ
KrSiRXr2Fja8uw1
File size : 2029568 bytes
Igualmente con el ELISTARA 23.53 de hoy se detectará y eliminará tambien este fichero para eliminarlo si llega a descargarlo el donwloader inicial.
saludos
ms, 30-6-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.