NUEVO MAIL MASIVO QUE SE ESTA RECIBIENDO ANEXANDO FICHERO MALICIOSO, esta vez desempaquetando fichero EXE con icono de word

---

Otro envio de mails anexando fichero malicioso, que resulta ser otra variante de Downloader UPATRE, se recibe con el fichero "Order Schinner-Hand_WExnBcexb1hv.zip" que desempaqueta el "order id448526107_Lane Gusikowski.exe", con icono de Word, en mails con este contenido:





MAIL MALICIOSO:

_______________









Asunto: Order #ELNp3WjfYihbwY3QM

De: "Benton Blick" <steve.nash@lexautolease.co.uk>

Fecha: 20/08/2015 12:42

Para: <destinatario>





Good afternoon,



We are sorry but the product you've ordered is not avaliable now. Please fill up the attached form of refund and choose a gift as a token of our apology for the inconvenience.



Order #WExnBcexb1hv

Date sent: Thu, 20 Aug 2015 11:42:15 +0100



Benton Blick

403-460-6870

steve.nash@lexautolease.co.uk

National Web Consultant

Schinner-Hand





--------------------------------------------------------------------------

We thank you for staying with us, our team is working to improve the service quality. Our slogan - always fast and qualified.

Our slogan - always qualified and fast.





______________________



FIN DEL MAIL MALICIOSO





El preanalisis de virustotal ofrece el siguiente informe:





MD5 8ae7478407aff0ff3395dbafc1227c51

SHA1 1c59366f21f49e67a0f53ba935c2dd691ef6010b

Tamaño del fichero 23.0 KB ( 23552 bytes )



SHA256: 01f887591ce23772a0e62715dc7784b79236f83ddc6e8fb79ad21c592d8d1eee

Nombre: order id448526107_Lane Gusikowski.exe

Detecciones: 40 / 56

Fecha de análisis: 2015-08-28 10:29:44 UTC ( hace 0 minutos )



0 1





Antivirus Resultado Actualización

ALYac Trojan.GenericKD.2663300 20150828

AVG Inject3.BWP 20150828

AVware Trojan.Win32.Generic!BT 20150828

Ad-Aware Trojan.GenericKD.2663300 20150828

Agnitum Trojan.Injector!BVLb26qAiPw 20150827

AhnLab-V3 Trojan/Win32.Upatre 20150828

Antiy-AVL Trojan/Win32.TSGeneric 20150828

Arcabit Trojan.Generic.D28A384 20150828

Avast Win32:MalOb-LT 20150828

Avira TR/Dldr.Upatre.OW 20150828

Baidu-International Trojan.Win32.Injector.CHDD 20150828

BitDefender Trojan.GenericKD.2663300 20150828

Cyren W32/Trojan.AQOE-6674 20150828

DrWeb Trojan.DownLoader15.53326 20150828

ESET-NOD32 a variant of Win32/Injector.CHDD 20150828

Emsisoft Trojan.GenericKD.2663300 (B) 20150828

F-Prot W32/Trojan3.RGV 20150828

F-Secure Trojan.GenericKD.2663300 20150828

Fortinet W32/Felix.B!tr 20150828

GData Trojan.GenericKD.2663300 20150828

Ikarus Trojan.Injector 20150828

K7AntiVirus Trojan ( 004cd8521 ) 20150828

K7GW Trojan ( 004cd8521 ) 20150828

Kaspersky HEUR:Trojan.Win32.Generic 20150828

Malwarebytes Trojan.Upatre 20150828

McAfee RDN/Downloader-FAHF 20150828

McAfee-GW-Edition RDN/Downloader-FAHF 20150828

MicroWorld-eScan Trojan.GenericKD.2663300 20150828

Microsoft TrojanDownloader:Win32/Upatre 20150827

NANO-Antivirus Trojan.Win32.DownLoader15.dvmmjj 20150828

Panda Trj/Genetic.gen 20150828

Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150828

Sophos Troj/Dyreza-HF 20150828

Symantec Suspicious.Cloud.2 20150827

Tencent Win32.Trojan.Inject.Auto 20150828

TrendMicro TROJ_GEN.R00WC0DHO15 20150828

TrendMicro-HouseCall TROJ_UPATRE.SMX32 20150828

VIPRE Trojan.Win32.Generic!BT 20150828

Zillya Trojan.Injector.Win32.309891 20150828

nProtect Trojan.GenericKD.2663300 20150827



Como puede verse, tanto McAfee como Kaspersky ya lo controlan, y con el ELISTARA lo pasaremos a controlar a partir de la version 32.85





saludos



ms, 28-8-2015