Avalancha diaria de mails maliciosos con ingenioso sistema de descarga/ejecución.

---

La moda de los mails con malware, bien por el fichero anexado o por contener enlaces maliciosos (links) a web de descarga o a ejecución de PHP remoto, que consiguen instalar un virus en el ordenador, asi como el ingenio utilizado para que el usuario se infecte "sin querer", hace que consideremos MUY IMPORTANTE la recomendacion estrella ante ordenadores con correo electrónico, esto es, que "no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias." Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.





Ayer descubrimos un nuevo engendro que bautizamos como malware RAPPA, el cual empieza por llegar en un mail con tecnicas "MIME", y que, solo por abrirlo, ya ejecuta el fichero anexado, con lo que ya se empieza a organizar la infección, que en aquel caso descarga un cazapassword bancario, de la gama BANLOAD / SPYBANKER, pero que no acaba aquí, sino que a través de descargar ficheros con extension .JPG, en los que, a diferencia de los .EXE los navegadores no avisan de su entrada, consiguen colarse e infectar el ordenador.





Pues hoy mas de lo mismo, con un método parecido aunque diferente: Aparentando ser un mensaje de voz, se recibe un mail con un enlace que no es operativo:





Asunto: Baixe Seu Recado De Voz !!!

De: virtualturbos <virtualturbos@yahoo.com.br>

Fecha: 26/11/2014 19:19

Para: <destinatario>

http://bit.ly/1vkyxK3" border="0" hspace="10" vspace="10"/>

https://pt-br.facebook.com/dirrectory/peoople/comentarios-de-voz?=fda54654fda94fa546da=gfs98he8gs9g8fsgfs098









enlace que aparece en el mail, pero que no es el que ejecuta, que es el realmente vírico, a saber:



http://<dominio malicioso>.net/visual/comenti/gfs90gfs0983j4l32kjoiufsd908fsd87.php?089gfsd897bvcx76da876rew





el cual descarga un fichero malicioso, de nombre "comentario.cpl" , que pasamos a controlar a partir del ELISTARA 31.11 de hoy





El preanalisis de virustotal ofrece el siguiente informe:





MD5 0bf3b822a50ee81f941237762ca43b01

SHA1 2b5b4c9e8039e76c4d00c903222c6c521471b6b9

Tamaño del fichero 678.5 KB ( 694784 bytes )

SHA256: 7becf9ca7124d4c0a3f57a613a9c9edb57c2ca21e8d6b6fc44323716da67eddc

Nombre: comentario.cpl

Detecciones: 25 / 56

Fecha de análisis: 2014-11-27 10:20:49 UTC ( hace 20 minutos )



0 1





Antivirus Resultado Actualización

ALYac Gen:Variant.Barys.3546 20141127

Ad-Aware Gen:Variant.Barys.3546 20141127

AhnLab-V3 Trojan/Win32.Banker 20141126

Antiy-AVL Trojan/Win32.AGeneric 20141127

Avast Win32:Malware-gen 20141127

Avira TR/Barys.vsraz 20141127

Baidu-International Trojan.Win32.Banload.bRXB 20141127

BitDefender Gen:Variant.Barys.3546 20141127

ESET-NOD32 a variant of Win32/TrojanDownloader.Banload.RXB 20141127

Emsisoft Gen:Variant.Barys.3546 (B) 20141127

F-Secure Gen:Variant.Barys.3546 20141127

Fortinet W32/Banload.AJ!tr 20141127

GData Gen:Variant.Barys.3546 20141127

Ikarus Trojan.Win32.ChePro 20141127

Kaspersky HEUR:Trojan.Win32.Generic 20141126

McAfee GenericR-CHP!0BF3B822A50E 20141127

McAfee-GW-Edition BehavesLike.Win32.Obfuscated.jh 20141127

MicroWorld-eScan Gen:Variant.Barys.3546 20141127

Microsoft TrojanDownloader:Win32/Banload.AWL 20141127

NANO-Antivirus Trojan.Win32.Barys.djhwrk 20141127

Qihoo-360 HEUR/QVM25.0.Malware.Gen 20141127

SUPERAntiSpyware Trojan.Agent/Gen-Banload 20141127

Sophos Mal/Banload-AB 20141127

VBA32 suspected of Trojan.Downloader.gen.h 20141126

VIPRE Trojan.Win32.Banload.rxb (v) 20141127











Su ejecución descarga un ZIP (aneis.zip) con password, que contiene varios ficheros, entre ellos el gbdesystemainteliigado.exe, el cual es instalado y ejecutado, dejando residente el cazapasswors.





Tambien este segundo fichero lo pasamos a controar con el ELISTARA 31.11 de hoy





El preanalisis de virustotal ofrece el siguiente informe:





D5 ab76c37234cc442887bbe5894da16a19

SHA1 79f69b8875f7286c310f7d7c2b258c71a7359d23

Tamaño del fichero 7.3 MB ( 7700480 bytes )



SHA256: 83bd7a7d573f3cf37fc25f1d7fafcb1df321cff92cd5d5303aa9970f53110389

Nombre: gbdesystemainteliigado.exe

Detecciones: 19 / 56

Fecha de análisis: 2014-11-27 10:52:54 UTC ( hace 2 minutos )





0 1





Antivirus Resultado Actualización

AVG PSW.Banker6.BVCY 20141127

Ad-Aware Trojan.GenericKD.1995632 20141127

Baidu-International Trojan.Win32.Banker.BABMP 20141127

BitDefender Trojan.GenericKD.1995632 20141127

Comodo UnclassifiedMalware 20141127

ESET-NOD32 a variant of Win32/Spy.Banker.ABMP 20141127

Emsisoft Trojan.GenericKD.1995632 (B) 20141127

F-Secure Trojan.GenericKD.1995632 20141127

GData Trojan.GenericKD.1995632 20141127

Ikarus Trojan-Spy.Agent 20141127

Kaspersky Trojan.Win32.Badur.ljcd 20141126

McAfee Artemis!AB76C37234CC 20141127

McAfee-GW-Edition Artemis 20141127

MicroWorld-eScan Trojan.GenericKD.1995632 20141127

NANO-Antivirus Trojan.Win32.Banker.djignh 20141127

Sophos Mal/Generic-S 20141127

Symantec WS.Reputation.1 20141127

TrendMicro-HouseCall Suspicious_GEN.F47V1126 20141127

nProtect Trojan.GenericKD.1995632 20141127







Y otro fichero contenido en dicho ZIP con password, es el libmysql.dll, que tambien pasamos a controlar a partir del ELISTARA 31.11. de hoy, y cuyo preanalisis de virustotal ofrece el siguiente informe:





MD5 7b0f826a1ca9933366fc4a1ea4b5dc88

SHA1 93644aa6bfce7514c3199d4bc4e2423b4fd63293

Tamaño del fichero 3.8 MB ( 4003840 bytes )

SHA256: 7e8443cdb6edb51457ca8885b1774bc16ba395f7c0763d04f644a2d5183416d8

Nombre: libmysql.dll

Detecciones: 16 / 56

Fecha de análisis: 2014-11-26 19:39:01 UTC ( hace 15 horas, 25 minutos )



0 2





Antivirus Resultado Actualización

AVware Trojan.Win32.Generic!BT 20141121

Agnitum Trojan.Rogue!MOuCmUDlN48 20141126

Avira TR/Rogue.KD.809649 20141126

Comodo UnclassifiedMalware 20141126

Fortinet W32/Rouge.KD!tr 20141126

Ikarus Trojan.Rogue 20141126

Malwarebytes Trojan.Banker 20141126

McAfee Artemis!7B0F826A1CA9 20141126

McAfee-GW-Edition Artemis 20141126

Norman Troj_Generic.GWTYQ 20141126

Qihoo-360 Win32/Trojan.346 20141126

Symantec WS.Reputation.1 20141126

TrendMicro JOKE_CODIS 20141126

TrendMicro-HouseCall JOKE_CODIS 20141126

VIPRE Trojan.Win32.Generic!BT 20141126

ViRobot JS.A.Iframe.4003840 20141126





Dicha version del ELISTARA 31.11 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy











NOTA AL RESPECTO: Como se ve, bien por ficheros anexados a mails recibidos, o por enlaces contenidos en los mismos, es muy facil infectarse si no se vigila y se evitan abrir mails no solicitados, lo cual cada día es mas dificil al llegar muchos de ellos aparentando ser relativos pedidos, o a impagados, o a envios por Agencia, mails cuyo remitente es suplantando utilizando tecnicas Spoofing, si bien los que llegan en iidoma no habitual pueden delatarse, pero muchas veces es gracias al sentido comun del usuario lo que evita dicha infección, que puede ocasiona, desde robo de contraseñas bancarias como estos últimos SPYBANKER, hasta el cifrado de todos los ficheros de datos del servidor, como en el caso de las tropecientas varuiantes del Cryptolocker. asi que mucho cuidado con lo que se recibe por correo electrónico ... !!!





saludos



ms, 27-11-2014







saludos



ms, 27-11-2014