Malicioso Mail de respuesta de supuesta SOLICITUD EMPLEO EN GOOGLE

Tipo de amenaza:  Malicioso site Web, Malicioso codigo

Websense Security Labs ™ ThreatSeeker ™ Network descubrió una nueva campaña de spam malicioso, con fichero malware anexado, que suplanta respuestas de Solicitud de Trabajo en Google. Los mensajes están muy bien escritos y es tan creíble que probablemente sean copias de respuestas a las solicitudes de trabajo de la aplicación de Google. Normalmente, el spam tiene errores gramaticales o faltas de ortografía que hay en los mensajes, obviamente no oficiales, y que actúan como señales de alerta. El texto de estos mensajes, sin embargo, no tiene ningún tipo de errores, haciéndolos mucho más creíbles – sobre todo si el receptor ha solicitado realmente un puesto de trabajo en Google.

La dirección del remitente es falseada para engañar a las víctimas y hacerles creer que el mensaje fue enviado por Google. Los mensajes tienen un archivo adjunto llamado CV-20100120-112.zip  con un contenido  malicioso. Aquí es donde el mensaje es sospechoso, en el fichero que contiene el ZIP, pues los archivos tienen una extensión doble que terminan en .Exe. Los atacantes intentan ocultar la extensión .Exe final y dejar visible solo la primera que le precede .Html o  .Pdf, seguido de un número de espacios y tras ello la extensión .Exe.
Fuente

Muy pocos antivirus lo controlan por el momento:

File document.htm_____________________  received on 2010.02.01 17:00:48 (UTC)
Current status: finished
Result: 10/40 (25.00%)
Compact Compact
Print results Print results
Antivirus     Version     Last Update     Result
a-squared     4.5.0.50     2010.02.01     –
AhnLab-V3     5.0.0.2     2010.02.01     –
AntiVir     7.9.1.154     2010.02.01     TR/Dropper.Gen
Antiy-AVL     2.0.3.7     2010.02.01     –
Authentium     5.2.0.5     2010.01.31     –
Avast     4.8.1351.0     2010.02.01     –
AVG     9.0.0.730     2010.02.01     –
BitDefender     7.2     2010.02.01     –
CAT-QuickHeal     10.00     2010.02.01     –
ClamAV     0.96.0.0-git     2010.02.01     –
Comodo     3783     2010.02.01     –
DrWeb     5.0.1.12222     2010.02.01     –
eSafe     7.0.17.0     2010.02.01     –
eTrust-Vet     35.2.7274     2010.02.01     –
F-Prot     4.5.1.85     2010.01.31     –
F-Secure     9.0.15370.0     2010.02.01     Suspicious:W32/Riskware!Online
Fortinet     4.0.14.0     2010.02.01     –
GData     19     2010.02.01     –
Ikarus     T3.1.1.80.0     2010.02.01     –
Jiangmin     13.0.900     2010.01.28     –
K7AntiVirus     7.10.960     2010.01.29     –
Kaspersky     7.0.0.125     2010.02.01     –
McAfee     5879     2010.02.01     –
McAfee+Artemis     5879     2010.02.01     Artemis!C2193DC41061
McAfee-GW-Edition     6.8.5     2010.02.01     Heuristic.LooksLike.Win32.Obfuscated.J
Microsoft     1.5406     2010.02.01     Worm:Win32/Prolaco.gen!C
NOD32     4824     2010.02.01     probably a variant of Win32/Merond.AA
Norman     6.04.03     2010.01.31     W32/Obfuscated.CC!genr
nProtect     2009.1.8.0     2010.02.01     –
Panda     10.0.2.2     2010.02.01     –
PCTools     7.0.3.5     2010.02.01     –
Rising     22.33.00.04     2010.02.01     –
Sophos     4.50.0     2010.02.01     Mal/CryptBox-A
Sunbelt     3.2.1858.2     2010.01.31     Worm.Win32.Prolaco.gen (v)
Symantec     20091.2.0.41     2010.02.01     Suspicious.Insight
TheHacker     6.5.1.0.175     2010.02.01     –
TrendMicro     9.120.0.1004     2010.02.01     –
VBA32     3.12.12.1     2010.02.01     –
ViRobot     2010.2.1.2166     2010.02.01     –
VirusBuster     5.0.21.0     2010.02.01     –
Additional information
File size: 607232 bytes
MD5   : c2193dc41061ef56591f4821392599cb
SHA1  : 80366cde71b84606ce8ecf62b5bd2e459c54942e

Solo 10 de 40 antivirus lo detectan, entre ellos, heuristicamente, McAfee

Si se sospecha de su existencia, puede lanzarse el ELIMD5 indicando uno de los dos hashes que aparecen al final del informe del VirusTotal indicado, y enviarnos los ficheros detectados y movidos a cuarentena (C:\MUESTRAS) para analizar y controlar.

saludos

ms, 3-2-2010