Inicio de zonavirus, antivirus

URGENTE: Nuevo mail masivo malicioso que se recibe aparentando venir de "CORREOS" y aun es muy poco detectado por los AV actuales

msc hotline sat
Thursday, September 22, 2011

Se está recibiendo masivamente un falso mail de CORREOS referente a la recogida de un paquete postal:





FALSO MAIL DE CORREOS:

______________________





------- Forwarded message follows -------

From: "Correos" <servir.id45358@correos.es>

To: <destinatario>>

Subject: Tiene que recoger un paquete postal

Date sent: Thu, 22 Sep 2011 10:10:39 +0200





Estimado cliente.



El alcance de nuestra compania no pudo enviar el paquete a su direccion.

Causa: Error en la direccion de envio

Usted puede por si mismo recoger el paquete en su oficina de correos.

Una etiqueta postal es adjuntada a esta carta.

Tiene que imprimir la etiqueta para recoger el paquete en su oficina de correos.



Muchas gracias.

Sociedad Estatal Correos y Telegrafos.







Ficheros adjuntos:



- 0.6 k Descargar

- 1 k Descargar

Correo Etiqueta_#18987.zip 1.2 k Descargar



____________

FIN DEL MAIL







Del ZIP se extrae el fichero Correo Etiqueta.EXE, que si se ejecuta instala un DOWNLOADER en el ordenador, que pasamos a controlar a partir de la version 23.93 del ELISTARA 23.93 de hoy





El preanalisis de VirusTotal ofrece el siguiente informe:



File name: Correo Etiqueta.exe

Submission date: 2011-09-22 09:07:12 (UTC)

Current status: queued queued analysing finished





Result: 6/ 44 (13.6%)

VT Community



malware

Safety score: 0.0%

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2011.09.21.02 2011.09.21 -

AntiVir 7.11.15.4 2011.09.22 -

Antiy-AVL 2.0.3.7 2011.09.22 -

Avast 4.8.1351.0 2011.09.22 -

Avast5 5.0.677.0 2011.09.22 -

AVG 10.0.0.1190 2011.09.21 -

BitDefender 7.2 2011.09.22 -

ByteHero 1.0.0.1 2011.09.13 -

CAT-QuickHeal 11.00 2011.09.22 -

ClamAV 0.97.0.0 2011.09.22 -

Commtouch 5.3.2.6 2011.09.22 -

Comodo 10200 2011.09.22 -

DrWeb 5.0.2.03300 2011.09.22 -

Emsisoft 5.1.0.11 2011.09.22 -

eSafe 7.0.17.0 2011.09.20 -

eTrust-Vet 36.1.8575 2011.09.22 -

F-Prot 4.6.2.117 2011.09.22 -

F-Secure 9.0.16440.0 2011.09.22 -

Fortinet 4.3.370.0 2011.09.22 W32/Yakes.B!tr

GData 22 2011.09.22 -

Ikarus T3.1.1.107.0 2011.09.22 -

Jiangmin 13.0.900 2011.09.21 -

K7AntiVirus 9.113.5173 2011.09.21 -

Kaspersky 9.0.0.837 2011.09.22 -

McAfee 5.400.0.1158 2011.09.22 Suspect-AO!86B023DBB537

McAfee-GW-Edition 2010.1D 2011.09.21 New Malware.fa

Microsoft 1.7702 2011.09.22 -

NOD32 6484 2011.09.22 a variant of Win32/Kryptik.TBD

Norman 6.07.11 2011.09.21 -

nProtect 2011-09-22.01 2011.09.22 -

Panda 10.0.3.5 2011.09.21 -

PCTools 8.0.0.5 2011.09.22 -

Prevx 3.0 2011.09.22 -

Rising 23.76.03.01 2011.09.22 -

Sophos 4.69.0 2011.09.22 -

SUPERAntiSpyware 4.40.0.1006 2011.09.21 -

Symantec 20111.2.0.82 2011.09.22 -

TheHacker 6.7.0.1.305 2011.09.21 -

TrendMicro 9.500.0.1008 2011.09.22 PAK_Generic.001

TrendMicro-HouseCall 9.500.0.1008 2011.09.22 PAK_Generic.001

VBA32 3.12.16.4 2011.09.21 -

VIPRE 10547 2011.09.22 -

ViRobot 2011.9.22.4682 2011.09.22 -

VirusBuster 14.0.225.0 2011.09.21 -



Additional informationShow all

MD5 : 86b023dbb537bda45e4b90f6dec9b79d D

SHA1 : 9c4cf9960bc27104806d3507c0c6022e6cf0dc6e



File size : 44544 bytes



Dicho Downloader será controlado por el ELISTARA 23.93 de hoy, igual que los ficheros que descarga actualmente, que si bien uno de ellos es un FAKE AV PERSONAL SHIELD polimorfico, y hay algo mas que modifica el MBR, por lo que estamos ante un downloader como el Bredolab, que posiblemente descargará diferentes ficheros a medida que su autor quiera...



Los iremos controlando a medida que vayan apareciendo.



De momento el codigo del MBR modificado lo detectamos como ALUREON, tambien con el ELISTARA



A título de informacion, la primera ejecucion del fichero anexado al mail de Correos, accede a este servidor de Minks, en Bielorusia:



178.168.174.147 BY Belarus 04 Minsk Minsk 53.9000 27.5667 Mobile TeleSystems JLLC Mobile TeleSystems JLLC



sigue en http://www.zonavirus.com/noticias/2011/codigo-del-alureon-con-el-que-infecta-el-mbr-el-falso-mail-de-correos.asp



y en http://www.zonavirus.com/noticias/2011/dropper-que-se-lanza-tras-descargar-las-variantes-del-downloader-dx-diag-que-instala-el-anexado-al-mail-de-correos.asp




saludos



ms, 22/9/2011

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto