Troyano que llega al correo a nombre de Unicef

Hoy me llego un correo  el cual me causo mucha curiosidad y quise leerlo, el remitente aparentemente era UNICEFy tenia como asunto “CAMPAÑA DE AYUDA PARA NIÑOS” al ver los detalles claramente se ve que es un fraude y que algo no esta bien:

Desde ese momento ya sabia que era un correo malintencionado para infectarme con algun  bicho raro, pero como la curiosidad mato al gato, quise saber que era exactamente. El cuerpo del mensaje era una imagen que enlazaba a la descarga de un  archivo .exe, Esta era la imagen:

Y el enlace a la descarga es este:

http://unicef.gratiscolombia.com/campana/julio2009/descarga_instructivo_412FCP000001AC612313=validar

Este enlace descarga un archivo llamado haste socio.exe. Al ver que era un archivo .exe,  quise descargarlo  y hacerle un analisis basico sobre lo que era y  lo que debia hacer este archivo infectado. Asi que entre a virustotal una web que nos ayuda a examinar todos esos archivos que nosotros creemos que son sospechosos. El resultado fue este:

Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.18 2009.06.25
AhnLab-V3 5.0.0.2 2009.06.25 Win-Trojan/Xema.variant
AntiVir 7.9.0.196 2009.06.25 DR/Delphi.Gen
Antiy-AVL 2.0.3.1 2009.06.25 Trojan/Win32.Buzus.gen
Authentium 5.1.2.4 2009.06.25 W32/Trojan2.GBSV
Avast 4.8.1335.0 2009.06.24 Win32:Trojan-gen {Other}
AVG 8.5.0.339 2009.06.25 Generic12.ADJL
BitDefender 7.2 2009.06.25 Trojan.Generic.1264392
CAT-QuickHeal 10.00 2009.06.25
ClamAV 0.94.1 2009.06.25 Trojan.Delf-7771
Comodo 1415 2009.06.25
DrWeb 5.0.0.12182 2009.06.25
eSafe 7.0.17.0 2009.06.25 Win32.DRDelphi
eTrust-Vet 31.6.6579 2009.06.25
F-Prot 4.4.4.56 2009.06.25 W32/Trojan2.GBSV
F-Secure 8.0.14470.0 2009.06.25 Trojan.Win32.Buzus.bgif
Fortinet 3.117.0.0 2009.06.25 W32/Delf.KHO!tr
GData 19 2009.06.25 Trojan.Generic.1264392
Ikarus T3.1.1.59.0 2009.06.25 VirTool.Win32.DelfInject
Jiangmin 11.0.706 2009.06.25 Trojan/Delf.hed
K7AntiVirus 7.10.768 2009.06.19
Kaspersky 7.0.0.125 2009.06.25 Trojan.Win32.Buzus.bgif
McAfee 5656 2009.06.24 Generic.dx!nf
McAfee+Artemis 5656 2009.06.24 Generic.dx!nf
McAfee-GW-Edition 6.7.6 2009.06.25 Trojan.Dropper.Delphi.Gen
Microsoft 1.4803 2009.06.25 VirTool:Win32/DelfInject.gen!AC
NOD32 4188 2009.06.25
Norman 6.01.09 2009.06.25 W32/Malware
nProtect 2009.1.8.0 2009.06.25
Panda 10.0.0.16 2009.06.24
PCTools 4.4.2.0 2009.06.25
Prevx 3.0 2009.06.25
Rising 21.35.34.00 2009.06.25
Sophos 4.43.0 2009.06.25 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.06.25
Symantec 1.4.4.12 2009.06.25
TheHacker 6.3.4.3.353 2009.06.24
TrendMicro 8.950.0.1094 2009.06.25 Cryp_Neb
VBA32 3.12.10.7 2009.06.25 Win32.Spy.Bancos.NKO
ViRobot 2009.6.25.1804 2009.06.25
VirusBuster 4.6.5.0 2009.06.25
Información adicional
File size: 150681 bytes
MD5   : 7afb9d17631a49eb628869fc99b865f6
SHA1  : 13c23fb59d95684c22479b94565ded9cc282e180
SHA256: bb80f4f984dbd7b8245d1f318a2bd829d5ad02f4ea50d8884cd60bbfb963466a
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp…..: 0x465278A2 (Tue May 22 06:59:14 2007)
machinetype…….: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14000 0x13600 6.44 c5df2bcf4cb444a9ce3abf40dc2ae79f
.data 0x15000 0x7000 0xA00 4.92 fe3e541d125dbe299f892385c2f9e9c8
.idata 0x1C000 0x1000 0x1000 5.12 37eade5359d82bcd800d9cf089c501ff
.rsrc 0x1D000 0x5D73 0x5E00 5.30 6c823c47c9050c805afaa84997f5e249

( 8 imports )

> advapi32.dll: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW
> comctl32.dll: –
> comdlg32.dll: CommDlgExtendedError, GetOpenFileNameA, GetSaveFileNameA
> gdi32.dll: DeleteObject
> kernel32.dll: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA
> ole32.dll: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize
> shell32.dll: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA
> user32.dll: CharToOemA, CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA

( 0 exports )

TrID  : File type identification
WinRAR Self Extracting archive (96.2%)
Win32 Executable Generic (1.5%)
Win32 Dynamic Link Library (generic) (1.4%)
Generic Win/DOS Executable (0.3%)
DOS Executable Generic (0.3%)
ssdeep: 3072:28U2yJN5f661xRZbALxB1Ojdgx8GYRsPlVO8aG1Ux5oUC:28U2qy6rRZb7jxGYRsXOzG2x5pC
PEiD  : –
packers (F-Prot): RAR
packers (Authentium): RAR
RDS   : NSRL Reference Data Set

Nuestra sospecha era correcta, al parecer es un trojano que infecta nuestra PC . Es impresionante como  en estos ataques usan causas sociales, para  atrapar a la victima e infectarla. con troyanos y virus con diversos fines, spam, red zombies etc

En conclusion, debemos estar pendientes de cualquier correo que llega a nuestro buzon, cerciorarse que el remitente sea el verdadero, y  mantener nuestro antivirus actualizado contra las nuevas amenazas

2 Comments