La monitorizacion de los ficheros descargados por los link del mail en cuestion (en portugúes del Brasil, pero que lo descargan de servidores de descarga de Holanda, nos ha proporcionado muestras de ficheros .CPL que es un BANLOAD inicial, que descargan finalmente y ejecutan un EXE, que es el que queda residente y es un temible SPY BANKER (cazapasswords bancario)
Aun muy poco detectado por los actuales AV (solo 2 de 43), lo pasamos a controlar especificamente a partir del ElistarA 29.29 de hoy
El preanalisis de virustotal ofrece este informe:
MD5 7bfabd1a711aeea96895130d43fbc724
SHA1 730bd533a6320537d1cfcb5a45b27f416bcb51fc
SHA256 3650adc5220556a5bab47342a8115337b9cbb525592a9e8fbd49a36099d05e95
ssdeep49152:Skwkn9IMHea6TaPCSNRtWdu0/wZtqp/EqUsfNX+pokx3OcDBQbYlvSior7zltdPc:RdnVRPCljwaFlUskjxhSio7hvwMA
File size 3.6 MB ( 3754504 bytes )
SHA256: 3650adc5220556a5bab47342a8115337b9cbb525592a9e8fbd49a36099d05e95
Nombre: mrs.exe
Detecciones: 2 / 43
Fecha de análisis: 2014-02-04 15:51:43 UTC ( hace 1 minuto )
0 1
Antivirus Resultado Actualización
Jiangmin Trojan/MSIL.bfsx 20140204
Kaspersky Trojan.Win32.Agent.aehji 20140204
Dicha version del ElistarA 29.29 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 4-2-2014
NOTA: Esta última descarga la hace desde un dominio de Brasil, con servidor en Holanda, desde distinta IP que los padres y abuelo de la criatura...:
IP: xxx.xxx.30.236
Hostname: host.desertoms.com.br
ISP: Digital Ocean
Organization: Digital Ocean
Services: None detected
Type:
Assignment: Static IP
Blacklist:
Geolocation Information
Country: Netherlands
Latitude: 52.5 (52° 30' 0.00? N)
Longitude: 5.75 (5° 45' 0.00? E)
http://www.satinfo.es/blog/wp-content/uploads/2014/02/servidor-spybanker-en-Holanda1.jpg
ms.
Aun muy poco detectado por los actuales AV (solo 2 de 43), lo pasamos a controlar especificamente a partir del ElistarA 29.29 de hoy
El preanalisis de virustotal ofrece este informe:
MD5 7bfabd1a711aeea96895130d43fbc724
SHA1 730bd533a6320537d1cfcb5a45b27f416bcb51fc
SHA256 3650adc5220556a5bab47342a8115337b9cbb525592a9e8fbd49a36099d05e95
ssdeep49152:Skwkn9IMHea6TaPCSNRtWdu0/wZtqp/EqUsfNX+pokx3OcDBQbYlvSior7zltdPc:RdnVRPCljwaFlUskjxhSio7hvwMA
File size 3.6 MB ( 3754504 bytes )
SHA256: 3650adc5220556a5bab47342a8115337b9cbb525592a9e8fbd49a36099d05e95
Nombre: mrs.exe
Detecciones: 2 / 43
Fecha de análisis: 2014-02-04 15:51:43 UTC ( hace 1 minuto )
0 1
Antivirus Resultado Actualización
Jiangmin Trojan/MSIL.bfsx 20140204
Kaspersky Trojan.Win32.Agent.aehji 20140204
Dicha version del ElistarA 29.29 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 4-2-2014
NOTA: Esta última descarga la hace desde un dominio de Brasil, con servidor en Holanda, desde distinta IP que los padres y abuelo de la criatura...:
IP: xxx.xxx.30.236
Hostname: host.desertoms.com.br
ISP: Digital Ocean
Organization: Digital Ocean
Services: None detected
Type:
Assignment: Static IP
Blacklist:
Geolocation Information
Country: Netherlands
Latitude: 52.5 (52° 30' 0.00? N)
Longitude: 5.75 (5° 45' 0.00? E)
http://www.satinfo.es/blog/wp-content/uploads/2014/02/servidor-spybanker-en-Holanda1.jpg
ms.