Nuevo PHISHING que se presenta como enviado por la CAIXA CATALUNYA
Se está recibiendo mail aparentando ser de la Caixa de Catalunya que piden se entre pulsando en un botón sito en el final del mail,
Imagen mail malicioso
Ello descarga un fichero CXCATALUNYA.EXE que resulta ser un cazapasswords bancario detectado heuristicamente por McAfee como Artemis!7C0F0F0DC964 y el GW Edition como Trojan.Crypt.CFI.Gen
Si se ejecuta dicho fichero, ofrece una pantalla de recogida de datos…
imagen recogida de datos
Dicho troyano es detectado actualmente solo por menos de la mitad de los antivirus del VirusTotal, concretamente un 40 % :
File CXCATALUNYA.exe received on 2010.04.15 08:05:37 (UTC)
Result: 16/40 (40%)
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.04.15 Trojan-Spy.Win32.Banker!IK
AhnLab-V3 5.0.0.2 2010.04.15 –
AntiVir 7.10.6.77 2010.04.14 TR/ATRAPS.Gen
Antiy-AVL 2.0.3.7 2010.04.15 –
Authentium 5.2.0.5 2010.04.15 –
Avast 4.8.1351.0 2010.04.14 Win32:Spyware-gen
Avast5 5.0.332.0 2010.04.14 Win32:Spyware-gen
AVG 9.0.0.787 2010.04.14 Generic2_c.ZLL
BitDefender 7.2 2010.04.15 –
CAT-QuickHeal 10.00 2010.04.15 –
ClamAV 0.96.0.3-git 2010.04.15 –
Comodo 4604 2010.04.15 –
DrWeb 5.0.2.03300 2010.04.15 –
eSafe 7.0.17.0 2010.04.14 –
eTrust-Vet None 2010.04.14 –
F-Prot 4.5.1.85 2010.04.15 –
F-Secure 9.0.15370.0 2010.04.15 –
Fortinet 4.0.14.0 2010.04.12 –
GData 19 2010.04.15 Win32:Spyware-gen
Ikarus T3.1.1.80.0 2010.04.15 Trojan-Spy.Win32.Banker
Jiangmin 13.0.900 2010.04.15 –
Kaspersky 7.0.0.125 2010.04.15 –
McAfee 5.400.0.1158 2010.04.15 –
McAfee-GW-Edition 6.8.5 2010.04.15 Trojan.Crypt.CFI.Gen
Microsoft 1.5605 2010.04.15 TrojanSpy:Win32/Banker.PS
NOD32 5029 2010.04.14 probably a variant of Win32/Spy.Banker.TFW
Norman 6.04.11 2010.04.14 Atraps.AJHS.dropper
nProtect 2010-04-15.02 2010.04.15 Trojan/W32.Agent.492544.M
Panda 10.0.2.7 2010.04.14 Suspicious file
PCTools 7.0.3.5 2010.04.15 –
Prevx 3.0 2010.04.15 –
Rising 22.43.03.04 2010.04.15 Trojan.Win32.Generic.51FEC460
Sophos 4.52.0 2010.04.15 Mal/Banspy-K
Sunbelt 6178 2010.04.15 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.04.15 –
TheHacker 6.5.2.0.261 2010.04.14 –
TrendMicro 9.120.0.1004 2010.04.15 –
VBA32 3.12.12.4 2010.04.15 –
ViRobot 2010.4.15.2277 2010.04.15 –
VirusBuster 5.0.27.0 2010.04.14 –
Additional information
File size: 492544 bytes
MD5…: 7c0f0f0dc9644614e8071270e49278c8
SHA1..: ca704eadd6cb05f5e048c41ded75c2ea31fee5ba
Con nuestro ELIMD5.EXE ya se puede detectar y eliminar entrando uno de los dos hashes indicados al final del informe anterior, por ejemplo 7c0f0f0dc9644614e8071270e49278c8
Pasamos a implementar su control y eliminacion en el ELISTARA 20.74 de hoy, pero mejor evitar su entrada al ser lo que es…, por ello avisamos para conocimiento de los usuarios.
saludos
ms, 15-4-2010
NOTA: Cabe decir que la ejecución del fichero descargado crea un temporal sxe?.tmp que es el que presenta la recogida de datos, el cual se borra luego, por ello no hace falta hacer nada con él.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.