Ampliacion al SPYBANKER.WIJ del falso mail de la Policia Nacional que se está recibiendo actualmente
Ayer dabámos la primicia de la nueva variante de SPYBANKER recibido en falso mail de la POLICIA NACIONAL, segun https://blog.satinfo.es/?p=18238
Hoy pasamos a ampliar la noticia, con la monitorizacion del fichero descargado:
El link de descarga maliciosa que anexa el mail es:
topia.es/<interceptado>/notificacion.scr
y la ejecución del fichero que descarga, NOTIFICACION.SCR, conduce a una web porno, aparte de descargar el WINV.EXE de mas de 2 MB
conecta a: “http://www.xvideos.com/”
(pagina porno que requiere ActiveX “”)
Mientras que de “http://www.boc.<interceptado>.no/////mazda.exe”
una web de Noruega, descarga e instala:
C:\ Hf_mig\ WINV.EXE (que queda residente)
El preanalisis de dicho fichero ofrece el siguiente informe:
File name:
winv.exe
Submission date:
2011-07-20 07:46:04 (UTC)
Current status:
finished
Result:
7/ 43 (16.3%)
VT Community
not reviewed
Safety score: –
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.20.01 2011.07.20 –
AntiVir 7.11.11.235 2011.07.20 –
Antiy-AVL 2.0.3.7 2011.07.15 –
Avast 4.8.1351.0 2011.07.20 –
Avast5 5.0.677.0 2011.07.20 –
AVG 10.0.0.1190 2011.07.19 PSW.Banker6.SM
BitDefender 7.2 2011.07.20 Trojan.Generic.KDV.294001
CAT-QuickHeal 11.00 2011.07.20 –
ClamAV 0.97.0.0 2011.07.20 –
Commtouch 5.3.2.6 2011.07.20 –
Comodo 9444 2011.07.20 Heur.Suspicious
DrWeb 5.0.2.03300 2011.07.20 –
Emsisoft 5.1.0.8 2011.07.20 –
eSafe 7.0.17.0 2011.07.19 –
eTrust-Vet 36.1.8453 2011.07.19 –
F-Prot 4.6.2.117 2011.07.20 –
F-Secure 9.0.16440.0 2011.07.19 –
Fortinet 4.2.257.0 2011.07.20 –
GData 22 2011.07.20 Trojan.Generic.KDV.294001
Ikarus T3.1.1.104.0 2011.07.20 –
Jiangmin 13.0.900 2011.07.19 Trojan/Swisyn.rew
K7AntiVirus 9.108.4924 2011.07.19 –
Kaspersky 9.0.0.837 2011.07.20 –
McAfee 5.400.0.1158 2011.07.20 –
McAfee-GW-Edition 2010.1D 2011.07.20 –
Microsoft 1.7000 2011.07.20 –
NOD32 6308 2011.07.20 Win32/Spy.Banker.WIJ
Norman 6.07.10 2011.07.19 –
nProtect 2011-07-20.01 2011.07.20 –
Panda 10.0.3.5 2011.07.19 –
PCTools 8.0.0.5 2011.07.13 –
Prevx 3.0 2011.07.20 –
Rising 23.67.02.03 2011.07.20 –
Sophos 4.67.0 2011.07.20 –
SUPERAntiSpyware 4.40.0.1006 2011.07.20 –
Symantec 20111.1.0.186 2011.07.20 –
TheHacker 6.7.0.1.257 2011.07.18 –
TrendMicro 9.200.0.1012 2011.07.20 –
TrendMicro-HouseCall 9.200.0.1012 2011.07.20 –
VBA32 3.12.16.4 2011.07.19 –
VIPRE 9904 2011.07.19 Trojan.Win32.Generic!BT
ViRobot 2011.7.20.4578 2011.07.20 –
VirusBuster 14.0.130.1 2011.07.19 –
Additional information
MD5 : ee8d94bbfb9c27e08986003157eaa74c
SHA1 : 01ad37c18f8d2c6d1c7fd0d75b8df9aa7fdbaba8
File size : 2191360 bytes
Como puede verse este fichero es muy poco detectado actualmente (por solo 7 de 43 AV) pudiendo ser detectado por el ELIMD5 con el hash correspondiente : ee8d94bbfb9c27e08986003157eaa74c
A partir del ELISTARA 23.67 de hoy lo pasamos a controlar totalmente como SPYBANKER.WIJ
saludos
ms, 20-7-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.