A través de mail masivo está recibiendose un mail con sililares caracteristicas a este:
MAIL MALICIOSO:
________________
Asunto: Scanned Image from a Xerox WorkCentre
De: Xerox WorkCentre <xerox.device2@dominio destinatario>
Fecha: 10/01/2013 17:49
Para: <destinatario>, <segunda cuenta destinatario>
Reply to: scanner@dominio destinatario
Device Name: Not Set
Device Model: MX-1709N
Location: Not Set
File Format: PDF (Medium)
File Name: Scan_01-09-2013-7238.zip
Resolution: 200dpi x 200dpi
Attached file is scanned image in PDF format.
Adobe(R)Reader(R) can be downloaded from the following URL: http://www.adobe.com/
______________________
FIN DEL MAIL MALICIOSO
El fichero que anexan, Scan_01-09-2013-7238.zip contiene un falso fichero PDF que realmente es un EXE, con icono de Adobe:
http://www.satinfo.es/blog/wp-content/uploads/2013/01/falso-PDF-de-mail-falso-XEROX.bmp
imagen del icono del fichero desempaquetado
La ejecucion de dicho fichero infecta el ordenador con un malware TEPFER, que es un downloader que descarga otros malwares.
Dicha variuante del TEPFER la pasamos a controlar a partoir del ElistarA 26-85 de hoy
El preanalsiis de viristotal ofrece este informe:
SHA256: 88ce7f8cefe38ff5e6a7d6ba11211b0441a8b93848e737dee5fbbc1f60832abc
SHA1: 2f6b4b46eab8c9e224b453ad3bbef6f12136e922
MD5: 561db559259337c3f1dedca1109eef93
Tamaño: 194.3 KB ( 198920 bytes )
Nombre: Scan_01-09-2013.exe
Tipo: Win32 EXE
Detecciones: 28 / 46
Fecha de análisis: 2013-01-10 15:50:18 UTC ( hace 0 minutos )
011Más detallesAnálisis
Comentarios
Votos
Información adicional
Antivirus Resultado Actualización
Agnitum - 20130110
AhnLab-V3 Spyware/Win32.Zbot 20130110
AntiVir - 20130107
Antiy-AVL - 20130110
Avast - 20130110
AVG Generic30.COCI 20130110
BitDefender Backdoor.Zbot.G 20130110
ByteHero - 20130108
CAT-QuickHeal - 20130110
ClamAV - 20130110
Commtouch W32/Trojan3.EPJ 20130110
Comodo UnclassifiedMalware 20130110
DrWeb Trojan.Packed.23728 20130110
Emsisoft - 20130110
eSafe - 20130110
ESET-NOD32 Win32/PSW.Fareit.A 20130110
F-Prot W32/Trojan3.EPJ 20130110
F-Secure Backdoor.Zbot.G 20130110
Fortinet W32/Kryptik.ARMF!tr 20130110
GData Backdoor.Zbot.G 20130110
Ikarus Trojan.Signed 20130110
Jiangmin - 20121221
K7AntiVirus - 20130109
Kaspersky Trojan-PSW.Win32.Tepfer.eetk 20130110
Kingsoft - 20130107
Malwarebytes Trojan.Zbot 20130110
McAfee PWS-Zbot.gen.aua 20130110
McAfee-GW-Edition Artemis!561DB5592593 20130110
Microsoft PWS:Win32/Fareit.gen!H 20130110
MicroWorld-eScan Backdoor.Zbot.G 20130110
NANO-Antivirus - 20130110
Norman - 20130109
nProtect Backdoor.Zbot.G 20130110
Panda Trj/Genetic.gen 20130110
PCTools Trojan.Zbot 20130110
Rising Trojan.Suuware!4DFA 20130110
Sophos Troj/Mdrop-ETD 20130110
SUPERAntiSpyware - 20130110
Symantec Trojan.Zbot 20130110
TheHacker - 20130109
TotalDefense - 20130108
TrendMicro TSPY_TEPFER.VE 20130110
TrendMicro-HouseCall TSPY_TEPFER.VE 20130110
VBA32 - 20130109
VIPRE Trojan-PWS.Win32.Zbot.aql (v) 20130110
ViRobot Trojan.Win32.A.PSW-Tepfer.198920 20130110
Dicha version del ElistarA que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 10-1-2013
MAIL MALICIOSO:
________________
Asunto: Scanned Image from a Xerox WorkCentre
De: Xerox WorkCentre <xerox.device2@dominio destinatario>
Fecha: 10/01/2013 17:49
Para: <destinatario>, <segunda cuenta destinatario>
Reply to: scanner@dominio destinatario
Device Name: Not Set
Device Model: MX-1709N
Location: Not Set
File Format: PDF (Medium)
File Name: Scan_01-09-2013-7238.zip
Resolution: 200dpi x 200dpi
Attached file is scanned image in PDF format.
Adobe(R)Reader(R) can be downloaded from the following URL: http://www.adobe.com/
______________________
FIN DEL MAIL MALICIOSO
El fichero que anexan, Scan_01-09-2013-7238.zip contiene un falso fichero PDF que realmente es un EXE, con icono de Adobe:
http://www.satinfo.es/blog/wp-content/uploads/2013/01/falso-PDF-de-mail-falso-XEROX.bmp
imagen del icono del fichero desempaquetado
La ejecucion de dicho fichero infecta el ordenador con un malware TEPFER, que es un downloader que descarga otros malwares.
Dicha variuante del TEPFER la pasamos a controlar a partoir del ElistarA 26-85 de hoy
El preanalsiis de viristotal ofrece este informe:
SHA256: 88ce7f8cefe38ff5e6a7d6ba11211b0441a8b93848e737dee5fbbc1f60832abc
SHA1: 2f6b4b46eab8c9e224b453ad3bbef6f12136e922
MD5: 561db559259337c3f1dedca1109eef93
Tamaño: 194.3 KB ( 198920 bytes )
Nombre: Scan_01-09-2013.exe
Tipo: Win32 EXE
Detecciones: 28 / 46
Fecha de análisis: 2013-01-10 15:50:18 UTC ( hace 0 minutos )
011Más detallesAnálisis
Comentarios
Votos
Información adicional
Antivirus Resultado Actualización
Agnitum - 20130110
AhnLab-V3 Spyware/Win32.Zbot 20130110
AntiVir - 20130107
Antiy-AVL - 20130110
Avast - 20130110
AVG Generic30.COCI 20130110
BitDefender Backdoor.Zbot.G 20130110
ByteHero - 20130108
CAT-QuickHeal - 20130110
ClamAV - 20130110
Commtouch W32/Trojan3.EPJ 20130110
Comodo UnclassifiedMalware 20130110
DrWeb Trojan.Packed.23728 20130110
Emsisoft - 20130110
eSafe - 20130110
ESET-NOD32 Win32/PSW.Fareit.A 20130110
F-Prot W32/Trojan3.EPJ 20130110
F-Secure Backdoor.Zbot.G 20130110
Fortinet W32/Kryptik.ARMF!tr 20130110
GData Backdoor.Zbot.G 20130110
Ikarus Trojan.Signed 20130110
Jiangmin - 20121221
K7AntiVirus - 20130109
Kaspersky Trojan-PSW.Win32.Tepfer.eetk 20130110
Kingsoft - 20130107
Malwarebytes Trojan.Zbot 20130110
McAfee PWS-Zbot.gen.aua 20130110
McAfee-GW-Edition Artemis!561DB5592593 20130110
Microsoft PWS:Win32/Fareit.gen!H 20130110
MicroWorld-eScan Backdoor.Zbot.G 20130110
NANO-Antivirus - 20130110
Norman - 20130109
nProtect Backdoor.Zbot.G 20130110
Panda Trj/Genetic.gen 20130110
PCTools Trojan.Zbot 20130110
Rising Trojan.Suuware!4DFA 20130110
Sophos Troj/Mdrop-ETD 20130110
SUPERAntiSpyware - 20130110
Symantec Trojan.Zbot 20130110
TheHacker - 20130109
TotalDefense - 20130108
TrendMicro TSPY_TEPFER.VE 20130110
TrendMicro-HouseCall TSPY_TEPFER.VE 20130110
VBA32 - 20130109
VIPRE Trojan-PWS.Win32.Zbot.aql (v) 20130110
ViRobot Trojan.Win32.A.PSW-Tepfer.198920 20130110
Dicha version del ElistarA que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 10-1-2013