Ayer se recogió el documento word: "Order-SO00653333-1.doc" (MD5:
7A3524851F8A1175143F036CD75F7C4D), que contiene macros.
Entre otras
cosas, una función contenida en una de estas macros realiza una petición de
descarga del recurso: 1111.exe, desde el dominio: miastolomza.pl. Más
concretamente la dirección URL: miastolomza.pl/123/1111.exe
(MD5: 6F9EC4FFA07BCADE346B04317DFB6F1C)
En el día de ayer, la detección por parte de AVs, según VirusTotal
correspondia a:
Análisis suministrado por VirusTotal
En el día de hoy,
está detección se eleva a:
Análisis suministrado por VirusTotal
Este malware ya ha
sido detectado por más usuarios y se están publicando análisis del mismo.
Un ejemplo de
publicación: http://blog.dynamoo.com/2015/10/malware-spam-please-print-chelsee-gee.html
Conclusión
En vista de lo anterior, en nuestros sistemas deberemos mitigar las
visitas a las URLs:
hobby-hangar.net/123/1111.exe
miastolomza.pl/123/1111.exe
www.ifdcsanluis.edu.ar/123/1111.exe
www.norlabs.de/123/1111.exe
zahnrad-ruger.de/123/1111.exe
,y el archivo con MD5:
6F9EC4FFA07BCADE346B04317DFB6F1C
También habría que mitigar las visitas realizadas a la siguiente
dirección IP: 82.118.24.167:4483.
Ya que tras la ejecución del archivo
"11111.exe", se detectan comunicaciones hacía dicha dirección IP.
Comunicaciones
detectadas tras la ejecución del archivo "1111.exe"
No hay comentarios:
Publicar un comentario