Hoy hemos recibido un mensaje de spam enviado en nombre de DHL que se pretende solicitar para imprimir un documento vinculado en el correo electrónico (por supuesto) con el fin de recibir un paquete enviado a nosotros… sí 
Así, con la ayuda de @ B0gi_ vamos a comprobarlo, tan:
El enlace se informa en este correo electrónico es probablemente hace referencia a un sitio web hackeado:
hxxp://ministerioriodedios.com / ZNOMEAQXQV.php?recibo = 651_1xxxxxx
Al hacer clic en este enlace podrás descargar un archivo zip que contiene un archivo malicioso ejecutable, which is masquerating as a Microsoft Word document.
El nombre del ejecutable es DHL_IT_ID652372_234.exe y se releved como un malware sólo por unas pocas compañías antivirus:
https://www.virustotal.com/file/5a2cc978b52208464f0984cece8040d23a0d7464fe48fa41681b7c97e0220057/analysis/
Detección relación: 6 / 46
Análisis fecha: 2013-01-23 09:24:56 UTC
SHA256: 5a2cc978b52208464f0984cece8040d23a0d7464fe48fa41681b7c97e0220057http://www.threatexpert.com / report.aspx?md5 = 355fda99177a295688c5a0e558f020e9
Archivo MD5: 0x355FDA99177A295688C5A0E558F020E9
Archivo SHA-1: 0xA3AEA2D5756366111E88963E72E725F2805D1381
Tamaño: 108.544 bytes
Cuando se ejecuta, guarda y muestra un archivo txt que contiene algo de información al azar:
Sin embargo,, en realidad, funciona como un gotero y está tratando de ponerse en contacto con los siguientes hosts:
hxxp://81.93.248.152:8080
hxxp://109.75.184.192:8080
hxxp://85.214.22.38:8080
hxxp://66.232.145.174:6667
hxxp://82.113.204.228:8080
hxxp://46.4.178.174:8080
hxxp://85.214.50.161:8080
hxxp://88.40.201.187:8080
hxxp://85.197.78.70:8080
hxxp://173.255.203.178:8080
hxxp://72.29.84.159:60000
hxxp://217.11.63.194:8080
hxxp://202.169.224.202:8080
hxxp://80.90.198.43:8080
hxxp://46.163.77.229:8080
hxxp://66.84.10.68:8080
hxxp://190.111.176.13:8080
enviando la siguiente cadena como un parámetro:
/640039097CF2191E622C4BA5F4E03998EE58D58FDEE1EE4C17E6
0F4AB1B84952E4F2A7637006CCA1B98A70EF33EEBB9DA74E47AA5
9C04844222DAC151FC8C5724555E87E7D99905979A2E01F1A75F7
con el fin de descargar en el ordenador infectado un archivo ejecutable malicioso y algunos archivos DLL relacionados:
9ac68f053ceebdf18993a540ce4ac76b.exe
sb215.dll.crp
lite.dll.crp
Este ejecutable malicioso se reconoce como un malware genérico de 5 empresas antivirus:
https://www.virustotal.com/file/871f0213c9e9e2b40f4a1d188a6d2615e6a0f4fa20df3c021bc364455b724350/analysis/1358937002/
Detección relación: 5 / 46
Análisis fecha: 2013-01-23 10:30:02 UTC
SHA256: 871f0213c9e9e2b40f4a1d188a6d2615e6a0f4fa20df3c021bc364455b724350http://www.threatexpert.com / report.aspx?md5 = c08baf89f755d40fac488e4811d5977e
Archivo MD5: 0xC08BAF89F755D40FAC488E4811D5977E
Archivo SHA-1: 0x8BEE9D756DE27C35406496920B37FF5F68C17E58
Tamaño: 42.488 bytes
y tratar de ponerse en contacto con los siguientes hosts:
http://whifflepufffournight.net / api / test
http://latestarguments.org / api / test
que están relacionados con el dominio wikimediasticky.asia que presentará una página de formulario de inicio de sesión en la página principal:
y de que está conectado como se muestra en la siguiente imagen robtex:
hxxp://cnet.robtex.com/31.184.244.html
Este tipo de actividades se han detectado ya tiempo diferente en ThreatExpert:
http://threatexpert.com / reports.aspx?encontrar = api / test&x = 0&y=0
También, modifying the parameter passed to the malicious hosts listed before it seems that these hosts are hosting various kind of other malwares. A research on the internet confirmed our thesis.
De hecho, también encontramos el siguiente archivo ejecutable y archivos maliciosos:
9ac68f053ceebdf18993a540ce4ac76b.exe
MD5: c08baf89f755d40fac488e4811d5977e
67ad970fbbc4f9b29bfeca40b0b4a54f.exe
MD5: cdc780117ee7a06be3cdfb51c0fff9c0
b2f7e9141eb124ce3152352c5df520f7.exe
MD5: 5b81e4a28dc01ee7635fb70951d0ac14
8138138143481348.exe
MD5: f8b22e6b7aa80ccd13556c3c3a9cdbf2
faa91cf5e79a76602f094ed38fad5872.exe
MD5: 44df1e7f9651ea8acbb060599a4fd945
64cfb0f235abac25d837b660f3e3549b.exe
MD5: 836a2177aa594998130995d817308309
793f1a748b84f99d2b768df44e86a1d1.exe
MD5: ccd264f780f13c1eefd6ca74cc37cc8b
The post Italiano SPAM DHL appeared first on .
