Otro mail malicioso en portugués con destino a los departamentos de contabilidad de los destinatarios, incluye dos links que descargan ficheros ZIP que contienen malware de la familia BANLOAD (DESCARGADOR DE SPY BANKER)
Dicho mail malicioso tiene este contenido:
MAIL MALICIOSO:
_______________
From: "Roberto - RC Engenharia" <luciana@tricom.eng.br>
Subject: Att finançeiro: Fiz o DOC ontem (10/02/2014), o
comprovante está disponível p/
visualização.
To: contabilidad@<DOMINIO DESTINATARIO>
Send reply to: luciana@tricom.eng.br
Date sent: Wed, 12 Feb 2014 02:39:39 -0200
Bom dia,
Fiz o DOC ontem (10/02/2014), o comprovante está no anexo
segue tambem a planilha dos itens que vai gerar a nota fiscal.
OBS: me envie a Nfe ainda hoje, pois preciso fazer a entrada fiscal em meu sistema,
obrigado pela agilidade na entrega.
Att:
Roberto de Castro
Diretor Finançeiro
Anexo 1: http://xxx.xxx.51.105/Anexo/DOC.zip
Anexo 2: http://xxx.xxx.51.105/Anexo/Planilha.zip
_____________________
FIN DE MAIL MALICIOSO
Recibido en mail en portugués, ofrece links de descarga de servidor de Canada:
xxx.xxx.51.105 CA Halifax Regional Municipality,
Nova Scotia,
Canada,
North America B3S 44.6408,
-63.6723 Dynamic ASP
Ambos links llevan empaquetado fichero con igual contenido, que resulta ser una varianted e BANLOAD, la cual genera un cazapassword bancario, "Spy Banker"
A partir del ElistarA 29.35 de hoy pasamos a controlar tanto el CPL que contiene el ZIP como el EXE final que genera éste.
El preanalisis de dicho fichero final, subido a virustotal, ofrece este informe:
MD5 f428e5558ce101f27af5402edbc44b9b
SHA1 92e931c91ebf63e56ff9aebb17684d6f61f16a63
Tamaño del fichero 7.0 MB ( 7293952 bytes )
SHA256: 9f8dead9cb26582d5adf19f70badbc6a03b53c43bf35d71aa0fc7b60a9009887
Nombre: Samihutez755.exe
Detecciones: 11 / 48
Fecha de análisis: 2014-02-12 14:34:02 UTC ( hace 3 minutos )
0 1
Antivirus Resultado Actualización
Ad-Aware Gen:Variant.Strictor.51147 20140212
Avast Win32:Malware-gen 20140212
BitDefender Gen:Variant.Strictor.51147 20140212
Comodo TrojWare.Win32.Spy.Banker.Gen 20140212
Emsisoft Gen:Variant.Strictor.51147 (B) 20140212
F-Secure Gen:Variant.Strictor.51147 20140212
GData Gen:Variant.Strictor.51147 20140212
Ikarus Win32.SuspectCrc 20140212
MicroWorld-eScan Gen:Variant.Strictor.51147 20140212
TotalDefense Win32/FakeIE_i 20140212
VBA32 TScope.Trojan.Delf 20140212
Dicha version del ElistarA 29.35 que los detecta y elimina,e stará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 13-2-2014
Dicho mail malicioso tiene este contenido:
MAIL MALICIOSO:
_______________
From: "Roberto - RC Engenharia" <luciana@tricom.eng.br>
Subject: Att finançeiro: Fiz o DOC ontem (10/02/2014), o
comprovante está disponível p/
visualização.
To: contabilidad@<DOMINIO DESTINATARIO>
Send reply to: luciana@tricom.eng.br
Date sent: Wed, 12 Feb 2014 02:39:39 -0200
Bom dia,
Fiz o DOC ontem (10/02/2014), o comprovante está no anexo
segue tambem a planilha dos itens que vai gerar a nota fiscal.
OBS: me envie a Nfe ainda hoje, pois preciso fazer a entrada fiscal em meu sistema,
obrigado pela agilidade na entrega.
Att:
Roberto de Castro
Diretor Finançeiro
Anexo 1: http://xxx.xxx.51.105/Anexo/DOC.zip
Anexo 2: http://xxx.xxx.51.105/Anexo/Planilha.zip
_____________________
FIN DE MAIL MALICIOSO
Recibido en mail en portugués, ofrece links de descarga de servidor de Canada:
xxx.xxx.51.105 CA Halifax Regional Municipality,
Nova Scotia,
Canada,
North America B3S 44.6408,
-63.6723 Dynamic ASP
Ambos links llevan empaquetado fichero con igual contenido, que resulta ser una varianted e BANLOAD, la cual genera un cazapassword bancario, "Spy Banker"
A partir del ElistarA 29.35 de hoy pasamos a controlar tanto el CPL que contiene el ZIP como el EXE final que genera éste.
El preanalisis de dicho fichero final, subido a virustotal, ofrece este informe:
MD5 f428e5558ce101f27af5402edbc44b9b
SHA1 92e931c91ebf63e56ff9aebb17684d6f61f16a63
Tamaño del fichero 7.0 MB ( 7293952 bytes )
SHA256: 9f8dead9cb26582d5adf19f70badbc6a03b53c43bf35d71aa0fc7b60a9009887
Nombre: Samihutez755.exe
Detecciones: 11 / 48
Fecha de análisis: 2014-02-12 14:34:02 UTC ( hace 3 minutos )
0 1
Antivirus Resultado Actualización
Ad-Aware Gen:Variant.Strictor.51147 20140212
Avast Win32:Malware-gen 20140212
BitDefender Gen:Variant.Strictor.51147 20140212
Comodo TrojWare.Win32.Spy.Banker.Gen 20140212
Emsisoft Gen:Variant.Strictor.51147 (B) 20140212
F-Secure Gen:Variant.Strictor.51147 20140212
GData Gen:Variant.Strictor.51147 20140212
Ikarus Win32.SuspectCrc 20140212
MicroWorld-eScan Gen:Variant.Strictor.51147 20140212
TotalDefense Win32/FakeIE_i 20140212
VBA32 TScope.Trojan.Delf 20140212
Dicha version del ElistarA 29.35 que los detecta y elimina,e stará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 13-2-2014