El archiconocido virus NETSKY, aun sigue propagandose masivamente, anexandose a los mails con diferentes técnicas en los ficheros, la de doble extension .TXT.EXE que para windows aparenta ser un TXT cuando realmente es un EXE, y otra, con extension .SCR (igualmente ejecutable) y en ambos casos con icono de documento de texto (WORDPAD)
Hemos recibido hoy dos mails (uno de cada) con dicho virus:
PRIMER MAIL MALICIOSO:
______________________
Asunto: Important m$6h?3p
De: <falso remitente> SPOOFING
Fecha: 07/03/2014 09:45
Para: <destinatario>
Please r564g!he4a56a3haafdogu#mfn3o
<SMTP Error #201>
+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - http://www.bitdefender.com
ANEXADO : important.txt.exe (con icono de wordpad)
FIN DEL PRIMER MAIL MALICIOSO.
_____________________________
Y el otro mail tambien con el NETSKY, es mas sofisticado, ofrece un enlace para acceder al fichero malware:
SEGUNDO MAIL MALICIOSO:
_____________________
If the message will not displayed automatically,
follow the link to read the delivered message.
Received message is available at:
www. ->(enlace malicioso)
y en este caso descarga este fichero:
message.scr (tambien con icono de wordpad)
______________________________
FIN DEL SEGUNDO MAIL MALICIOSO
en ambos casos los ficheros tienen el mismo MD5, y el preanalisis de virustotal ofrece el siguiente informe:
MD5 3018e99857f31a59e0777396ae634a8f
SHA1 7031cfe76ee7b2c925f2c00372fb9ef7f983f60c
Tamaño del fichero 28.9 KB ( 29568 bytes )
SHA256: c8fffb2e737514c551b2d7bcaf8baa459564b059cab1a35a3cec4b3c270d4525
Nombre: important.txt.exe.vir
Detecciones: 48 / 50
Fecha de análisis: 2014-03-07 09:49:01 UTC ( hace 0 minutos )
1 17
Antivirus Resultado Actualización
AVG I-Worm/Netsky 20140306
Ad-Aware Win32.Generic.497472 20140307
Agnitum I-Worm.NetSky!4NWvXC1SwiU 20140307
AhnLab-V3 Win-Trojan/Fsg.29568 20140307
AntiVir Worm/Netsky.AP 20140307
Antiy-AVL Worm/Win32.NetSky 20140307
Avast Win32:Netsky-AF 20140307
Baidu-International Worm.Win32.NetSky.AtcC 20140307
BitDefender Win32.Generic.497472 20140307
Bkav W32.SkyNetP.Worm 20140306
CAT-QuickHeal W32.NetSky.P 20140307
CMC Generic.Win32.3018e99857!MD 20140307
ClamAV Worm.NetSky-14 20140307
Commtouch W32/Netsky.P@mm 20140307
Comodo Worm.Win32.Netsky.Q 20140307
DrWeb Win32.HLLM.Netsky.18401 20140307
ESET-NOD32 Win32/Netsky.Q 20140307
Emsisoft Win32.Generic.497472 (B) 20140307
F-Prot W32/Netsky.P@mm 20140307
F-Secure Win32.Generic.497472 20140307
Fortinet W32/Netsky.P@mm 20140307
GData Win32.Generic.497472 20140307
Ikarus Virus.Win32.Netsky 20140307
K7AntiVirus EmailWorm ( 000043641 ) 20140306
K7GW EmailWorm ( 000043641 ) 20140306
Kaspersky Email-Worm.Win32.NetSky.q 20140307
Kingsoft Worm.NetSky.r.(kcloud) 20140307
Malwarebytes Worm.Netsky 20140307
McAfee W32/Netsky.p@MM 20140307
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-PKR.G 20140307
MicroWorld-eScan Win32.Generic.497472 20140307
Microsoft Worm:Win32/Netsky.P@mm 20140307
NANO-Antivirus Trojan.Win32.NetSky.idzx 20140307
Norman Netsky.P 20140307
Panda W32/Netsky.AE.worm 20140307
Qihoo-360 Win32/Worm.d2e 20140307
Rising PE:Trojan.Win32.Generic.129CEE65!312274533 20140306
SUPERAntiSpyware Worm.Netsky-P 20140307
Sophos W32/Netsky-P 20140307
Symantec W32.Netsky.P@mm 20140307
TheHacker W32/Netsky(2).gen@MM 20140305
TotalDefense Win32/Netsky.P 20140306
TrendMicro WORM_NETSKY.P 20140307
TrendMicro-HouseCall WORM_NETSKY.P 20140307
VBA32 Worm.NetSky.q 20140307
VIPRE Email-Worm.Win32.NetSky.q 20140307
ViRobot I-Worm.Win32.Netsky.29568.K 20140307
nProtect Worm/W32.NetSky.29568 20140307
Se recuerda que dicho virus se propaga enviandose por mail a todas las direcciones falseando el remitente y utilizando una de las direcciones de la lista como si fuera el remitente real, sin serlo, claro (SPOOFING), con lo que dicho falso remitente recibe las devoluciones o quejas de los usuarios a los que se les ha enviado el virus, mientras que el que realmente lo ha hecho por estar infectado, no se entera.
Actualmente lo controlan casi todos los antivirus, por lo que la infección/propagacion será efectuada por alguien que no tenga instalado uno de dichos antivirus o que no lo tenga residente.
En cualquier caso nuestro EliNetsa actual ya controla y elimina dicho virus, por lo que incluso en ordenadores sin antivirus lo detectaría y eliminaría.
Pero como en cada oleada de propagacion de dicho virus, habrá infectados y afectados, aun sin estar infectados, por la devolucion de mails y quejas de quien habrá recibido "su" mail.
saludos
ms, 7-3-2014
Hemos recibido hoy dos mails (uno de cada) con dicho virus:
PRIMER MAIL MALICIOSO:
______________________
Asunto: Important m$6h?3p
De: <falso remitente> SPOOFING
Fecha: 07/03/2014 09:45
Para: <destinatario>
Please r564g!he4a56a3haafdogu#mfn3o
<SMTP Error #201>
+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - http://www.bitdefender.com
ANEXADO : important.txt.exe (con icono de wordpad)
FIN DEL PRIMER MAIL MALICIOSO.
_____________________________
Y el otro mail tambien con el NETSKY, es mas sofisticado, ofrece un enlace para acceder al fichero malware:
SEGUNDO MAIL MALICIOSO:
_____________________
If the message will not displayed automatically,
follow the link to read the delivered message.
Received message is available at:
www. ->(enlace malicioso)
y en este caso descarga este fichero:
message.scr (tambien con icono de wordpad)
______________________________
FIN DEL SEGUNDO MAIL MALICIOSO
en ambos casos los ficheros tienen el mismo MD5, y el preanalisis de virustotal ofrece el siguiente informe:
MD5 3018e99857f31a59e0777396ae634a8f
SHA1 7031cfe76ee7b2c925f2c00372fb9ef7f983f60c
Tamaño del fichero 28.9 KB ( 29568 bytes )
SHA256: c8fffb2e737514c551b2d7bcaf8baa459564b059cab1a35a3cec4b3c270d4525
Nombre: important.txt.exe.vir
Detecciones: 48 / 50
Fecha de análisis: 2014-03-07 09:49:01 UTC ( hace 0 minutos )
1 17
Antivirus Resultado Actualización
AVG I-Worm/Netsky 20140306
Ad-Aware Win32.Generic.497472 20140307
Agnitum I-Worm.NetSky!4NWvXC1SwiU 20140307
AhnLab-V3 Win-Trojan/Fsg.29568 20140307
AntiVir Worm/Netsky.AP 20140307
Antiy-AVL Worm/Win32.NetSky 20140307
Avast Win32:Netsky-AF 20140307
Baidu-International Worm.Win32.NetSky.AtcC 20140307
BitDefender Win32.Generic.497472 20140307
Bkav W32.SkyNetP.Worm 20140306
CAT-QuickHeal W32.NetSky.P 20140307
CMC Generic.Win32.3018e99857!MD 20140307
ClamAV Worm.NetSky-14 20140307
Commtouch W32/Netsky.P@mm 20140307
Comodo Worm.Win32.Netsky.Q 20140307
DrWeb Win32.HLLM.Netsky.18401 20140307
ESET-NOD32 Win32/Netsky.Q 20140307
Emsisoft Win32.Generic.497472 (B) 20140307
F-Prot W32/Netsky.P@mm 20140307
F-Secure Win32.Generic.497472 20140307
Fortinet W32/Netsky.P@mm 20140307
GData Win32.Generic.497472 20140307
Ikarus Virus.Win32.Netsky 20140307
K7AntiVirus EmailWorm ( 000043641 ) 20140306
K7GW EmailWorm ( 000043641 ) 20140306
Kaspersky Email-Worm.Win32.NetSky.q 20140307
Kingsoft Worm.NetSky.r.(kcloud) 20140307
Malwarebytes Worm.Netsky 20140307
McAfee W32/Netsky.p@MM 20140307
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-PKR.G 20140307
MicroWorld-eScan Win32.Generic.497472 20140307
Microsoft Worm:Win32/Netsky.P@mm 20140307
NANO-Antivirus Trojan.Win32.NetSky.idzx 20140307
Norman Netsky.P 20140307
Panda W32/Netsky.AE.worm 20140307
Qihoo-360 Win32/Worm.d2e 20140307
Rising PE:Trojan.Win32.Generic.129CEE65!312274533 20140306
SUPERAntiSpyware Worm.Netsky-P 20140307
Sophos W32/Netsky-P 20140307
Symantec W32.Netsky.P@mm 20140307
TheHacker W32/Netsky(2).gen@MM 20140305
TotalDefense Win32/Netsky.P 20140306
TrendMicro WORM_NETSKY.P 20140307
TrendMicro-HouseCall WORM_NETSKY.P 20140307
VBA32 Worm.NetSky.q 20140307
VIPRE Email-Worm.Win32.NetSky.q 20140307
ViRobot I-Worm.Win32.Netsky.29568.K 20140307
nProtect Worm/W32.NetSky.29568 20140307
Se recuerda que dicho virus se propaga enviandose por mail a todas las direcciones falseando el remitente y utilizando una de las direcciones de la lista como si fuera el remitente real, sin serlo, claro (SPOOFING), con lo que dicho falso remitente recibe las devoluciones o quejas de los usuarios a los que se les ha enviado el virus, mientras que el que realmente lo ha hecho por estar infectado, no se entera.
Actualmente lo controlan casi todos los antivirus, por lo que la infección/propagacion será efectuada por alguien que no tenga instalado uno de dichos antivirus o que no lo tenga residente.
En cualquier caso nuestro EliNetsa actual ya controla y elimina dicho virus, por lo que incluso en ordenadores sin antivirus lo detectaría y eliminaría.
Pero como en cada oleada de propagacion de dicho virus, habrá infectados y afectados, aun sin estar infectados, por la devolucion de mails y quejas de quien habrá recibido "su" mail.
saludos
ms, 7-3-2014