Aun tras ya ser conocido, detectado y eliminado por la mayoria de antivirus, y controlarlo nosotros con nuestra utilidad EliNetsa desde antaño, siguen llegando mails de remitentes falsos (spoofing) anexando fichero infectado, esta vez con doble extension, para que el usuario no vea la real y se crea que es un DOC, cuando realmente es un EXE:
details05.doc.exe
El preanalisis de virustotal de dicha muestra, actualmente ofrece el siguiente informe:
MD5 3018e99857f31a59e0777396ae634a8f
SHA1 7031cfe76ee7b2c925f2c00372fb9ef7f983f60c
Tamaño del fichero 28.9 KB ( 29568 bytes )
SHA256: c8fffb2e737514c551b2d7bcaf8baa459564b059cab1a35a3cec4b3c270d4525
Nombre: details05.doc.exe
Detecciones: 51 / 54
Fecha de análisis: 2014-07-31 09:58:04 UTC ( hace 0 minutos )
1 24
Antivirus Resultado Actualización
AVG I-Worm/Netsky 20140731
AVware Email-Worm.Win32.NetSky.q 20140731
Ad-Aware Win32.Generic.497472 20140731
Agnitum I-Worm.NetSky!4NWvXC1SwiU 20140730
AhnLab-V3 Win-Trojan/Fsg.29568 20140731
AntiVir Worm/Netsky.AP 20140730
Antiy-AVL Worm/Win32.NetSky 20140731
Avast Win32:Netsky-AF 20140731
Baidu-International Worm.Win32.NetSky.az 20140731
BitDefender Win32.Generic.497472 20140731
Bkav W32.SkyNetP.Worm 20140730
CAT-QuickHeal W32.NetSky.P 20140731
CMC Generic.Win32.3018e99857!MD 20140731
ClamAV Worm.NetSky-14 20140731
Commtouch W32/Netsky.P@mm 20140731
Comodo Worm.Win32.Netsky.Q 20140731
DrWeb Win32.HLLM.Netsky.18401 20140731
ESET-NOD32 Win32/Netsky.Q 20140731
Emsisoft Win32.Generic.497472 (B) 20140731
F-Prot W32/Netsky.P@mm 20140731
F-Secure Win32.Generic.497472 20140731
Fortinet W32/Netsky.P@mm 20140731
GData Win32.Generic.497472 20140731
Ikarus Virus.Win32.Netsky 20140731
K7AntiVirus EmailWorm ( 000043641 ) 20140730
K7GW EmailWorm ( 000043641 ) 20140730
Kaspersky Email-Worm.Win32.NetSky.q 20140731
Kingsoft Worm.NetSky.r.(kcloud) 20140731
Malwarebytes Worm.Netsky 20140731
McAfee W32/Netsky.p@MM 20140731
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-PKR.G 20140730
MicroWorld-eScan Win32.Generic.497472 20140731
Microsoft Worm:Win32/Netsky.P@mm 20140731
NANO-Antivirus Trojan.Win32.NetSky.idzx 20140731
Norman Netsky.P 20140731
Panda W32/Netsky.AE.worm 20140730
Qihoo-360 Win32/Worm.d2e 20140731
Rising PE:Trojan.Win32.Generic.129CEE65!312274533 20140730
SUPERAntiSpyware Worm.Netsky-P 20140731
Sophos W32/Netsky-P 20140731
Symantec W32.Netsky.P@mm 20140731
Tencent Worm.Win32.Netsky.aa 20140731
TheHacker W32/Netsky(2).gen@MM 20140728
TotalDefense Win32/Netsky.P 20140731
TrendMicro WORM_NETSKY.P 20140731
TrendMicro-HouseCall WORM_NETSKY.P 20140731
VBA32 Worm.NetSky.q 20140731
VIPRE Email-Worm.Win32.NetSky.q 20140731
ViRobot I-Worm.Win32.Netsky.29568.K 20140731
Zoner I-Worm.Netsky.Q 20140729
nProtect Worm/W32.NetSky.29568 20140730
AegisLab 20140731 - NO LO DETECTA
ByteHero 20140731 - NO LO DETECTA
Jiangmin 20140725 - NO LO DETECTA
El motivo de que aun se siga propagando es porque lo ejecuta algun usuario que no tiene instalado un antivirus de los que lo detectan, y al ser enviado con métodos de spoofing (falseo de remitente), los que lo reciben avisan al falso remitente, que no tiene otra culpa que estar su direccion en el ordenador infectado, sin tener nada que ver con el virus.
Ya hemos indicado muchas veces que no se debe ejeuctar nigun fichero anexado a un mail no solicitado (si sobre sus links ni fotos), pero es una batalla perdida...
saludos
ms, 31-7-2014
details05.doc.exe
El preanalisis de virustotal de dicha muestra, actualmente ofrece el siguiente informe:
MD5 3018e99857f31a59e0777396ae634a8f
SHA1 7031cfe76ee7b2c925f2c00372fb9ef7f983f60c
Tamaño del fichero 28.9 KB ( 29568 bytes )
SHA256: c8fffb2e737514c551b2d7bcaf8baa459564b059cab1a35a3cec4b3c270d4525
Nombre: details05.doc.exe
Detecciones: 51 / 54
Fecha de análisis: 2014-07-31 09:58:04 UTC ( hace 0 minutos )
1 24
Antivirus Resultado Actualización
AVG I-Worm/Netsky 20140731
AVware Email-Worm.Win32.NetSky.q 20140731
Ad-Aware Win32.Generic.497472 20140731
Agnitum I-Worm.NetSky!4NWvXC1SwiU 20140730
AhnLab-V3 Win-Trojan/Fsg.29568 20140731
AntiVir Worm/Netsky.AP 20140730
Antiy-AVL Worm/Win32.NetSky 20140731
Avast Win32:Netsky-AF 20140731
Baidu-International Worm.Win32.NetSky.az 20140731
BitDefender Win32.Generic.497472 20140731
Bkav W32.SkyNetP.Worm 20140730
CAT-QuickHeal W32.NetSky.P 20140731
CMC Generic.Win32.3018e99857!MD 20140731
ClamAV Worm.NetSky-14 20140731
Commtouch W32/Netsky.P@mm 20140731
Comodo Worm.Win32.Netsky.Q 20140731
DrWeb Win32.HLLM.Netsky.18401 20140731
ESET-NOD32 Win32/Netsky.Q 20140731
Emsisoft Win32.Generic.497472 (B) 20140731
F-Prot W32/Netsky.P@mm 20140731
F-Secure Win32.Generic.497472 20140731
Fortinet W32/Netsky.P@mm 20140731
GData Win32.Generic.497472 20140731
Ikarus Virus.Win32.Netsky 20140731
K7AntiVirus EmailWorm ( 000043641 ) 20140730
K7GW EmailWorm ( 000043641 ) 20140730
Kaspersky Email-Worm.Win32.NetSky.q 20140731
Kingsoft Worm.NetSky.r.(kcloud) 20140731
Malwarebytes Worm.Netsky 20140731
McAfee W32/Netsky.p@MM 20140731
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-PKR.G 20140730
MicroWorld-eScan Win32.Generic.497472 20140731
Microsoft Worm:Win32/Netsky.P@mm 20140731
NANO-Antivirus Trojan.Win32.NetSky.idzx 20140731
Norman Netsky.P 20140731
Panda W32/Netsky.AE.worm 20140730
Qihoo-360 Win32/Worm.d2e 20140731
Rising PE:Trojan.Win32.Generic.129CEE65!312274533 20140730
SUPERAntiSpyware Worm.Netsky-P 20140731
Sophos W32/Netsky-P 20140731
Symantec W32.Netsky.P@mm 20140731
Tencent Worm.Win32.Netsky.aa 20140731
TheHacker W32/Netsky(2).gen@MM 20140728
TotalDefense Win32/Netsky.P 20140731
TrendMicro WORM_NETSKY.P 20140731
TrendMicro-HouseCall WORM_NETSKY.P 20140731
VBA32 Worm.NetSky.q 20140731
VIPRE Email-Worm.Win32.NetSky.q 20140731
ViRobot I-Worm.Win32.Netsky.29568.K 20140731
Zoner I-Worm.Netsky.Q 20140729
nProtect Worm/W32.NetSky.29568 20140730
AegisLab 20140731 - NO LO DETECTA
ByteHero 20140731 - NO LO DETECTA
Jiangmin 20140725 - NO LO DETECTA
El motivo de que aun se siga propagando es porque lo ejecuta algun usuario que no tiene instalado un antivirus de los que lo detectan, y al ser enviado con métodos de spoofing (falseo de remitente), los que lo reciben avisan al falso remitente, que no tiene otra culpa que estar su direccion en el ordenador infectado, sin tener nada que ver con el virus.
Ya hemos indicado muchas veces que no se debe ejeuctar nigun fichero anexado a un mail no solicitado (si sobre sus links ni fotos), pero es una batalla perdida...
saludos
ms, 31-7-2014