NUEVA VARIANTE DE MALWARE YEQW QUE LLEGA ANEXADO A E-MAIL

Publicado el 19 noviembre 2014 ¬ 11:25 amh.mscComentarios desactivados en NUEVA VARIANTE DE MALWARE YEQW QUE LLEGA ANEXADO A E-MAIL

En mail masivo malicioso se está recibiendo anexado fichero malware en un ZIP que desempaqueta un ejecutable con extensión .SCR, que pasamos a controlar a partir del ELISTARA 31.05 de hoy

El mail en cuestión es del siguiente tipo:

MAIL MALICIOSO:
______________

De: <REMITENTE> (puede ser spoofing)
Enviado el: miércoles, 19 de noviembre de 2014 1:30
Asunto: Re; New revised order list

Hello,

We sent you an email few days ago regarding an inquiry that we made last week but i did not
receive any response from you regarding my order,so i have just sent it again just in-case you
did not receive it….Please note my new purchase order list in my attached file, and kindly
send me your draft Quotation on the items…. Awaiting your reply.

Regards
Salim Saad
Export Manager
ANEXADO : copy.zip (que contiene fichero malware “Copy #70395.scr”)
______________________

FIN DEL MAIL MALICIOSO
El preanalisis de virustotal del fichero anexado, ofrece el siguiente informe:
MD5 37e11a9600038cf9766b63b1d974620a
SHA1 7b896d004f1cee01b65b30ca08e8c2d51856f032
Tamaño del fichero 586.5 KB ( 600576 bytes )
SHA256: 2c69b316a3106987a104d6ddef53e30690f017b33cd5098e16914e99c2e0ace5
Nombre: Copy #70395.scr
Detecciones: 18 / 55
Fecha de análisis: 2014-11-19 09:05:17 UTC ( hace 4 minutos )

0 1

Antivirus Resultado Actualización
Ad-Aware Gen:Variant.Zusy.115131 20141119
Avira TR/Zusy.600576 20141119
BitDefender Gen:Variant.Zusy.115131 20141119
Cyren W32/Backdoor.WFSU-6463 20141119
ESET-NOD32 a variant of Win32/Kryptik.CQOT 20141119
Emsisoft Gen:Variant.Zusy.115131 (B) 20141119
F-Prot W32/Backdoor2.HWLR 20141119
F-Secure Gen:Variant.Zusy.115131 20141119
Fortinet W32/Kryptik.CQOT!tr 20141119
GData Gen:Variant.Zusy.115131 20141119
Ikarus Trojan.Win32.Crypt 20141119
Malwarebytes Spyware.Password 20141119
McAfee Artemis!37E11A960003 20141119
McAfee-GW-Edition BehavesLike.Win32.BadFile.hh 20141119
MicroWorld-eScan Gen:Variant.Zusy.115131 20141119
Symantec Infostealer.Limitail 20141119
TrendMicro-HouseCall Suspicious_GEN.F47V1118 20141119
VIPRE Trojan.Win32.Generic!BT 20141119
Dicha version del ELISTARA 31.05 que lo detecta y elimina, estará disponible en nuestra web a
partir de las 19 h CEST de hoy

Cabe indicar que la monitorizacion de dicho fichero crea un VBS en la carpeta de inicio, que se
lanza en cada arranque, que ejecuta un BAT de nombre YEQW, que lanza un EXE del mismo nombre YEQW de la carpeta DDDR, que desaparece tras ser creado inicialmente, por lo que solo aparece el ERROR de que no encuentra el fichero en cuestión, sin otras consecuencias.

Con el ELISTARA 31.05 eliminamos el VBS indicado y la carpeta DDDR en cuestion, con lo cual
evitamos la aparicion de dicho ERROR, aparte de eliminar el SCR extraido del mail

saludos

ms, 19-11-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies