Otra variante de malware cazapassword bancario llega anexado a un mail de estas caracteristicas:
MAIL MALICIOSO
______________
De: <remitente que puede ser SPOOFING>
Enviado el: lunes, 24 de marzo de 2014 5:33
Para: <DESTINATARIO>
Asunto: Enc: 2º via de boleto vencido
Conforme contato feito anteriormente, nao consegui prolongar muito o vencimento do boleto, e ficou para 25/03/2014. Mais consegui tirar todos os juros e multa, mais só ate dia 25 que o valor vai ser o inicial sem acrecimos!! Ta me devendo essa... rsss
Anexo..: http://xxx.xxx.30.159/cobr/Boleto_Vencido.zip <--- link malicioso que descarga malware
O boleto segue em anexo, aproveita, pois não posso garantir que esse desconto possa ser prorrogado.
Atenciosamente
______________________
FIN DEL MAIL MALICIOSO
El link de descarga de "Boleto_Vencido.zip" procede de un servidor atípico de Georgia (USA):
Georgia:
xxx.xxx.30.159 US Smarr,
Georgia,
United States,
North America 31086 32.9854,
-83.8821
Dicho fichero pasamos a controlarlo como BANLOAD a partir del ElistarA 29.63 de hoy
El preanalisis de virustotal ofrece este informe:
MD5 f78bffb5b8a30ef5a6a4bdf66afda477
SHA1 8e92836d70d6c68ae35bd446cfb060cea2f73749
Tamaño del fichero 550.8 KB ( 564027 bytes )
SHA256: 8f87a69342643bcbe149b27b25fdf76370988b3e3bcfe00796487a354eea9e84
Nombre: Boleto_Vencido.zip
Detecciones: 9 / 51
Fecha de análisis: 2014-03-24 08:33:26 UTC ( hace 1 hora, 19 minutos )
0 2
Antivirus Resultado Actualización
Ad-Aware Gen:Variant.Symmi.37082 20140324
BitDefender Gen:Variant.Symmi.37082 20140324
Emsisoft Gen:Variant.Symmi.37082 (B) 20140324
F-Secure Gen:Variant.Symmi.37082 20140323
Fortinet W32/Banload.AI!tr 20140324
GData Gen:Variant.Symmi.37082 20140324
Ikarus Trojan-Downloader.Banload2 20140324
MicroWorld-eScan Gen:Variant.Symmi.37082 20140324
Panda Suspicious file 20140323
Dicha version del ElistarA 29,63 que lo detecta y elimina, estará disponoible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 24-3-2014
MAIL MALICIOSO
______________
De: <remitente que puede ser SPOOFING>
Enviado el: lunes, 24 de marzo de 2014 5:33
Para: <DESTINATARIO>
Asunto: Enc: 2º via de boleto vencido
Conforme contato feito anteriormente, nao consegui prolongar muito o vencimento do boleto, e ficou para 25/03/2014. Mais consegui tirar todos os juros e multa, mais só ate dia 25 que o valor vai ser o inicial sem acrecimos!! Ta me devendo essa... rsss
Anexo..: http://xxx.xxx.30.159/cobr/Boleto_Vencido.zip <--- link malicioso que descarga malware
O boleto segue em anexo, aproveita, pois não posso garantir que esse desconto possa ser prorrogado.
Atenciosamente
______________________
FIN DEL MAIL MALICIOSO
El link de descarga de "Boleto_Vencido.zip" procede de un servidor atípico de Georgia (USA):
Georgia:
xxx.xxx.30.159 US Smarr,
Georgia,
United States,
North America 31086 32.9854,
-83.8821
Dicho fichero pasamos a controlarlo como BANLOAD a partir del ElistarA 29.63 de hoy
El preanalisis de virustotal ofrece este informe:
MD5 f78bffb5b8a30ef5a6a4bdf66afda477
SHA1 8e92836d70d6c68ae35bd446cfb060cea2f73749
Tamaño del fichero 550.8 KB ( 564027 bytes )
SHA256: 8f87a69342643bcbe149b27b25fdf76370988b3e3bcfe00796487a354eea9e84
Nombre: Boleto_Vencido.zip
Detecciones: 9 / 51
Fecha de análisis: 2014-03-24 08:33:26 UTC ( hace 1 hora, 19 minutos )
0 2
Antivirus Resultado Actualización
Ad-Aware Gen:Variant.Symmi.37082 20140324
BitDefender Gen:Variant.Symmi.37082 20140324
Emsisoft Gen:Variant.Symmi.37082 (B) 20140324
F-Secure Gen:Variant.Symmi.37082 20140323
Fortinet W32/Banload.AI!tr 20140324
GData Gen:Variant.Symmi.37082 20140324
Ikarus Trojan-Downloader.Banload2 20140324
MicroWorld-eScan Gen:Variant.Symmi.37082 20140324
Panda Suspicious file 20140323
Dicha version del ElistarA 29,63 que lo detecta y elimina, estará disponoible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 24-3-2014