Nuevo malware que se descarga del link que adjunta falso mail de CAIXA PENEDES
Este nuevo malware, aun poco controlado por menos de la mitad de los actuales AV (17 de 43) se decarga del link que anexa CAIXA PENEDES en un mail similar a este:
falso mail:
__________
——– Mensaje original ——– Asunto: Nuevo Sistema de Seguridad Caixa Penedes.
Fecha: Wed, 20 Jul 2011 12:19:41 +0400
De:
Caixa Penedès siempre trata de encontrar sus expectativas mas altas.
Por eso usamos la ultima tecnologia en seguridad para nuestros clientes.
Por lo tanto nuestro departamento de antifraude ha desarrollado un nuevo sistema de seguridad que elimine cualquier posibilidad del acceso de la tercera persona a sus datos, cuentas ni fondos.
Es obligatorio para todos los clientes usar este sistema de seguridad.
Para comenzar la descarga por favor pinche aqui: ACEPTAR
Nuestro consejo para usted es que introduzca sus datos se acceso para pasar La Verificacion Del Sistema. Si la instalación no es realizado dentro de 48 Horas su cuenta sera suspendida temporalmente hasta que su registro sea completado.
Esto solo le va a costar unos minutos de su tiempo y va a tener una seguridad mucho mas estable.
© Caixa Penedès.Todos los Derechos Reservados.
_________________:
fin del falso mail
Curiosamente la imagen del logo de Caja Penedes está hospedada en una web belga …???
77.109.125.146 BE Belgium 12 Vlaams-Brabant Leuven 50.8833 4.7000 EDPNET Extra IP ranges and Colo Custs
La descarga del fichero troyano se realiza de un servidor de EE.UU:
US United States CA California Hayward 37.6503 -122.0730 Covad Communications Covad Communications
Se trata de otro SPYBANKER como puede verse en el preanalisis de virustotal:
File name:
PND.exe
Submission date:
2011-07-20 13:47:48 (UTC)
Current status:
finished
Result:
17/ 43 (39.5%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.20.06 2011.07.20 –
AntiVir 7.11.12.15 2011.07.20 TR/ATRAPS.Gen
Antiy-AVL 2.0.3.7 2011.07.20 –
Avast 4.8.1351.0 2011.07.20 –
Avast5 5.0.677.0 2011.07.20 –
AVG 10.0.0.1190 2011.07.20 Win32/Delf
BitDefender 7.2 2011.07.20 Gen:Trojan.Heur.5G0@rulFJWUG
CAT-QuickHeal 11.00 2011.07.20 –
ClamAV 0.97.0.0 2011.07.20 –
Commtouch 5.3.2.6 2011.07.20 W32/SysVenFak.A.gen!Eldorado
Comodo 9446 2011.07.20 TrojWare.Win32.Spy.Banker.Gen
DrWeb 5.0.2.03300 2011.07.20 –
Emsisoft 5.1.0.8 2011.07.20 Trojan-Banker.Win32.Agent!IK
eSafe 7.0.17.0 2011.07.20 –
eTrust-Vet 36.1.8454 2011.07.20 –
F-Prot 4.6.2.117 2011.07.20 W32/SysVenFak.A.gen!Eldorado
F-Secure 9.0.16440.0 2011.07.20 Gen:Trojan.Heur.5G0@rulFJWUG
Fortinet 4.2.257.0 2011.07.20 –
GData 22 2011.07.20 Gen:Trojan.Heur.5G0@rulFJWUG
Ikarus T3.1.1.104.0 2011.07.20 Trojan-Banker.Win32.Agent
Jiangmin 13.0.900 2011.07.19 Trojan/Banker.Banker.tlw
K7AntiVirus 9.108.4924 2011.07.19 Trojan
Kaspersky 9.0.0.837 2011.07.20 –
McAfee 5.400.0.1158 2011.07.20 –
McAfee-GW-Edition 2010.1D 2011.07.20 –
Microsoft 1.7000 2011.07.20 –
NOD32 6310 2011.07.20 a variant of Win32/Spy.Banker.WIP
Norman 6.07.10 2011.07.20 W32/Suspicious.B!genr
nProtect 2011-07-20.01 2011.07.20 –
Panda 10.0.3.5 2011.07.20 Trj/Banker.MMR
PCTools 8.0.0.5 2011.07.20 –
Prevx 3.0 2011.07.20 –
Rising 23.67.02.03 2011.07.20 –
Sophos 4.67.0 2011.07.20 Mal/Behav-056
SUPERAntiSpyware 4.40.0.1006 2011.07.20 –
Symantec 20111.1.0.186 2011.07.20 –
TheHacker 6.7.0.1.257 2011.07.18 –
TrendMicro 9.200.0.1012 2011.07.20 –
TrendMicro-HouseCall 9.200.0.1012 2011.07.20 –
VBA32 3.12.16.4 2011.07.20 TrojanBanker.Banker.bkle
VIPRE 9904 2011.07.19 –
ViRobot 2011.7.20.4579 2011.07.20 –
VirusBuster 14.0.131.1 2011.07.20 –
Additional information
MD5 : ebea59ae4c7d9d39ed9870e84a44e41f
SHA1 : cd1c92f795f2eca1e1e22cd04360b6bc22fb1a29
File size : 939008 bytes
publisher….: Microsoft Corporation
copyright….: BNK PND
product……: PND
description..: Microsoft_ Windows_ Operating System
original name: PND.exe
internal name: PND.exe
file version.: 3.0.1.2
Con el ELISTARA 23.68 se controlará dicha nueva variante, pero mientras, quien quiera saber y eliminar el posible troyano que le haya creado la descarga de dicho link, puede detectarlo con el ELIMD5 entrando el hash correspondiente al mismo : ebea59ae4c7d9d39ed9870e84a44e41f
Pero se avisa para que se evite su entrada…
saludos
ms, 20-7-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.