Avalancha diaria de mails maliciosos con ingenioso sistema de descarga/ejecución.msc hotline sat Thursday, November 27, 2014 La moda de los mails con malware, bien por el fichero anexado o por contener enlaces maliciosos (links) a web de descarga o a ejecución de PHP remoto, que consiguen instalar un virus en el ordenador, asi como el ingenio utilizado para que el usuario se infecte "sin querer", hace que consideremos MUY IMPORTANTE la recomendacion estrella ante ordenadores con correo electrónico, esto es, que "no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias." Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos. Ayer descubrimos un nuevo engendro que bautizamos como malware RAPPA, el cual empieza por llegar en un mail con tecnicas "MIME", y que, solo por abrirlo, ya ejecuta el fichero anexado, con lo que ya se empieza a organizar la infección, que en aquel caso descarga un cazapassword bancario, de la gama BANLOAD / SPYBANKER, pero que no acaba aquí, sino que a través de descargar ficheros con extension .JPG, en los que, a diferencia de los .EXE los navegadores no avisan de su entrada, consiguen colarse e infectar el ordenador. Pues hoy mas de lo mismo, con un método parecido aunque diferente: Aparentando ser un mensaje de voz, se recibe un mail con un enlace que no es operativo: Asunto: Baixe Seu Recado De Voz !!! De: virtualturbos < Fecha: 26/11/2014 19:19 Para: <destinatario> http://bit.ly/1vkyxK3 https://pt-br.facebook.com/dirrectory/peoople/comentarios-de-voz?=fda54654fda94fa546da=gfs98he8gs9g8fsgfs098 enlace que aparece en el mail, pero que no es el que ejecuta, que es el realmente vírico, a saber: http://<dominio malicioso>.net/visual/comenti/gfs90gfs0983j4l32kjoiufsd908fsd87.php?089gfsd897bvcx76da876rew el cual descarga un fichero malicioso, de nombre "comentario.cpl" , que pasamos a controlar a partir del ELISTARA 31.11 de hoy El preanalisis de virustotal ofrece el siguiente informe: MD5 0bf3b822a50ee81f941237762ca43b01 SHA1 2b5b4c9e8039e76c4d00c903222c6c521471b6b9 Tamaño del fichero 678.5 KB ( 694784 bytes ) SHA256: 7becf9ca7124d4c0a3f57a613a9c9edb57c2ca21e8d6b6fc44323716da67eddc Nombre: comentario.cpl Detecciones: 25 / 56 Fecha de análisis: 2014-11-27 10:20:49 UTC ( hace 20 minutos ) 0 1 Antivirus Resultado Actualización ALYac Gen:Variant.Barys.3546 20141127 Ad-Aware Gen:Variant.Barys.3546 20141127 AhnLab-V3 Trojan/Win32.Banker 20141126 Antiy-AVL Trojan/Win32.AGeneric 20141127 Avast Win32:Malware-gen 20141127 Avira TR/Barys.vsraz 20141127 Baidu-International Trojan.Win32.Banload.bRXB 20141127 BitDefender Gen:Variant.Barys.3546 20141127 ESET-NOD32 a variant of Win32/TrojanDownloader.Banload.RXB 20141127 Emsisoft Gen:Variant.Barys.3546 (B) 20141127 F-Secure Gen:Variant.Barys.3546 20141127 Fortinet W32/Banload.AJ!tr 20141127 GData Gen:Variant.Barys.3546 20141127 Ikarus Trojan.Win32.ChePro 20141127 Kaspersky HEUR:Trojan.Win32.Generic 20141126 McAfee GenericR-CHP!0BF3B822A50E 20141127 McAfee-GW-Edition BehavesLike.Win32.Obfuscated.jh 20141127 MicroWorld-eScan Gen:Variant.Barys.3546 20141127 Microsoft TrojanDownloader:Win32/Banload.AWL 20141127 NANO-Antivirus Trojan.Win32.Barys.djhwrk 20141127 Qihoo-360 HEUR/QVM25.0.Malware.Gen 20141127 SUPERAntiSpyware Trojan.Agent/Gen-Banload 20141127 Sophos Mal/Banload-AB 20141127 VBA32 suspected of Trojan.Downloader.gen.h 20141126 VIPRE Trojan.Win32.Banload.rxb (v) 20141127 Su ejecución descarga un ZIP (aneis.zip) con password, que contiene varios ficheros, entre ellos el gbdesystemainteliigado.exe, el cual es instalado y ejecutado, dejando residente el cazapasswors. Tambien este segundo fichero lo pasamos a controar con el ELISTARA 31.11 de hoy El preanalisis de virustotal ofrece el siguiente informe: D5 ab76c37234cc442887bbe5894da16a19 SHA1 79f69b8875f7286c310f7d7c2b258c71a7359d23 Tamaño del fichero 7.3 MB ( 7700480 bytes ) SHA256: 83bd7a7d573f3cf37fc25f1d7fafcb1df321cff92cd5d5303aa9970f53110389 Nombre: gbdesystemainteliigado.exe Detecciones: 19 / 56 Fecha de análisis: 2014-11-27 10:52:54 UTC ( hace 2 minutos ) 0 1 Antivirus Resultado Actualización AVG PSW.Banker6.BVCY 20141127 Ad-Aware Trojan.GenericKD.1995632 20141127 Baidu-International Trojan.Win32.Banker.BABMP 20141127 BitDefender Trojan.GenericKD.1995632 20141127 Comodo UnclassifiedMalware 20141127 ESET-NOD32 a variant of Win32/Spy.Banker.ABMP 20141127 Emsisoft Trojan.GenericKD.1995632 (B) 20141127 F-Secure Trojan.GenericKD.1995632 20141127 GData Trojan.GenericKD.1995632 20141127 Ikarus Trojan-Spy.Agent 20141127 Kaspersky Trojan.Win32.Badur.ljcd 20141126 McAfee Artemis!AB76C37234CC 20141127 McAfee-GW-Edition Artemis 20141127 MicroWorld-eScan Trojan.GenericKD.1995632 20141127 NANO-Antivirus Trojan.Win32.Banker.djignh 20141127 Sophos Mal/Generic-S 20141127 Symantec WS.Reputation.1 20141127 TrendMicro-HouseCall Suspicious_GEN.F47V1126 20141127 nProtect Trojan.GenericKD.1995632 20141127 Y otro fichero contenido en dicho ZIP con password, es el libmysql.dll, que tambien pasamos a controlar a partir del ELISTARA 31.11. de hoy, y cuyo preanalisis de virustotal ofrece el siguiente informe: MD5 7b0f826a1ca9933366fc4a1ea4b5dc88 SHA1 93644aa6bfce7514c3199d4bc4e2423b4fd63293 Tamaño del fichero 3.8 MB ( 4003840 bytes ) SHA256: 7e8443cdb6edb51457ca8885b1774bc16ba395f7c0763d04f644a2d5183416d8 Nombre: libmysql.dll Detecciones: 16 / 56 Fecha de análisis: 2014-11-26 19:39:01 UTC ( hace 15 horas, 25 minutos ) 0 2 Antivirus Resultado Actualización AVware Trojan.Win32.Generic!BT 20141121 Agnitum Trojan.Rogue!MOuCmUDlN48 20141126 Avira TR/Rogue.KD.809649 20141126 Comodo UnclassifiedMalware 20141126 Fortinet W32/Rouge.KD!tr 20141126 Ikarus Trojan.Rogue 20141126 Malwarebytes Trojan.Banker 20141126 McAfee Artemis!7B0F826A1CA9 20141126 McAfee-GW-Edition Artemis 20141126 Norman Troj_Generic.GWTYQ 20141126 Qihoo-360 Win32/Trojan.346 20141126 Symantec WS.Reputation.1 20141126 TrendMicro JOKE_CODIS 20141126 TrendMicro-HouseCall JOKE_CODIS 20141126 VIPRE Trojan.Win32.Generic!BT 20141126 ViRobot JS.A.Iframe.4003840 20141126 Dicha version del ELISTARA 31.11 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy NOTA AL RESPECTO: Como se ve, bien por ficheros anexados a mails recibidos, o por enlaces contenidos en los mismos, es muy facil infectarse si no se vigila y se evitan abrir mails no solicitados, lo cual cada día es mas dificil al llegar muchos de ellos aparentando ser relativos pedidos, o a impagados, o a envios por Agencia, mails cuyo remitente es suplantando utilizando tecnicas Spoofing, si bien los que llegan en iidoma no habitual pueden delatarse, pero muchas veces es gracias al sentido comun del usuario lo que evita dicha infección, que puede ocasiona, desde robo de contraseñas bancarias como estos últimos SPYBANKER, hasta el cifrado de todos los ficheros de datos del servidor, como en el caso de las tropecientas varuiantes del Cryptolocker. asi que mucho cuidado con lo que se recibe por correo electrónico ... !!! saludos ms, 27-11-2014 saludos ms, 27-11-2014 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |