VUELVEN LOS VIRUS DE MACRO !!!msc hotline sat Thursday, October 30, 2014 Nos llega un mail recibido por un cliente, que anexa fichero .DOC que es detectado como W97M... El mail en el que se anexa dicho documento ES SIMILAR A ESTE: MAIL MALICIOSO: _______________ De: Enviado el: jueves, 30 de octubre de 2014 12:27 Para: <destinatario> Asunto: Industrial Invoices Attached are accounting documents from Humber Merchants Humber Merchants Group Head Office: Parkinson Avenue Scunthorpe North Lincolnshire DN15 7JX Tel: 01724 860331 Fax: 01724 281326 Email: _____________ FIN MAIL MALICIOSO El preanalisis de virustotal ofrece el siguiente informe: MD5 5332700431809cc8f4c916dfb16194bc Tamaño del fichero 100.0 KB ( 102400 bytes ) SHA256: 2ab1ca0dc689e4923780d7b33274a15f529a4f32a56ddd0b8b5edcd25f71d6aa Nombre: INVOICE217991.doc Detecciones: 5 / 43 Fecha de análisis: 2014-10-30 16:33:12 UTC ( hace 1 minuto ) 0 11 Antivirus Resultado Actualización CAT-QuickHeal W97M.Dropper.AD 20141030 Cyren W97M/Downloader.Y 20141030 F-Prot W97M/Downloader.Y 20141030 K7AntiVirus Trojan ( 0001140e1 ) 20141030 K7GW Trojan ( 0001140e1 ) 20141030 Solucion al respecto: eliminar normal.dot (si no se ha creado voluntariamente) luego abrir sin macros y salvar los ficheros en cuestion, que estaran limpios. Comprobar que los ficheros asi salvados ya no sean detectados por los antivirus de viristotal (http://www.virustotal.com) Enviamos muestra del especimen a McAfee para su control en proximos DAT. saludos ms, 30-10-2014 _____________ NOTA IMPORTANTE: Buscando mas informacion en el Google, vemos que dicho virus de macro descarga o crea un fichero 1.EXE que ya es detectado por McAfee y algun que otro antivirus: Antivirus Resultado Actualización Baidu-Internacional Trojan.Win32.Generik.bNSXTLNF 20141019 DrWeb Trojan.Mayachok.18888 20141021 ESET NOD32- Win32 / Dridex.C 20141021 A-squared Backdoor.Win32.Agent (A) 20141021 Ikarus Trojan-Spy.Agent 20141021 Malwarebytes Backdoor.Bot 20141021 McAfee RDN / Generic.dx! Dgk 20141021 McAfee-GW-Edición BehavesLike.Win32.Trojan.qh 20141021 Creciente PE: Malware.XPACK-LNR / Heur 1.5594 20141021 Sophos Troj / Cridex-EJ 20141021 Symantec Caballo de Troya 20141021 Es cuestion de que quien haya recibido y ejecutado el .DOC malicioso, aparte de corregir el NORMAL.DOT y las macros, luego lance un escaneo con el VirusScan para detectar y elimina el posible malware creado por la ejecucion de dicha macro. Ver mas informacion al respecto en http://blog.dynamoo.com/2014/10/fake-humber-merchants-group.html ms, |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |