Mail que aparenta venir de POLICIA NACIONAL notificando una citación de LA AUDIENCIA anexando malware
La Policía Nacional, a través de su Brigada de Investigación Tecnológica, alerta de la proliferación de un correo spam que simula provenir de este
cuerpo de seguridad y que, en realidad, contiene un virus.
Así pues, si recibe un mensaje desde la dirección policia@goberno.es o policianacional@policia .es con el asunto “entimación”, se recomienda no abrirlo.
Este mensaje lleva un texto que presuntamente notifica al usuario su deber de asistir a un juicio (“NOTIFICACIÓN DE ASISTENCIA EN LA AUDIENCIA en el procedimiento de investigación de que se trata
en esta conducta regional”) y un enlace denominado “notificación-mpf.scr” que, al pulsarlo, descarga un troyano de procedencia brasileña que infecta la máquina del usuario.
La Policía Nacional recomienda eliminar directamente este correo y no pulsar sobre los links que se adjuntan en él. Además, ofrece una serie de consejos si el usuario
cree que su equipo ha sido infectado por este malware y recuerda que cualquier ciudadano puede consultar el servicio gratuito de gestión de incidentes de la Oficina de Seguridad del
Internauta (OSI) que, gestionado desde el Instituto Nacional de
Tecnologías de la Comunicación (INTECO), ofrece diferentes herramientas y consejos para la desinfección de sus equipos informáticos.
Además, la Policía también recuerda que es “fundamental que los ciudadanos colaboren no solo poniendo en conocimiento de la policía los incidentes que detectan, sino también impidiendo la
infección de sus ordenadores”.
Se recibe por mail uno similar a este:
______________
De: policianacional@policia.es [mailto:policianacional@policia.es]
Enviado el: <fecha envio>
Para: <destinatario>
Asunto: intimacion
PROCEDIMENTO INVESTIGATÓRIO N.º 363.234/2010Dirección General de la Policía y de la Guardia Civil
Assunto:NOTIFICACIÓN DE ASISTENCIA EN LA AUDIENCIA en el procedimiento de investigación de que se trata en esta conducta regional
Para que se adjunta.
1 ANEXO: NOTIFICACIÓN-MPF.SCR (32k) <es un link malicioso que descarga malware>
_______________
el link conduce a : http://lajefa.fm/<interceptado>/intimacion.scr
conectando con una web de San Antonio (Texas):
lajefa.fm. US United States TX Texas San Antonio 78218 29.4889 -98.3987 Rackspace Hosting
El analisis del VT sobre el fichero descargado es el siguiente:
File name:
intimacion.scr
Submission date:
2011-06-16 07:21:47 (UTC)
Current status:
finished
Result:
18 /42 (42.9%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.06.16.00 2011.06.15 Trojan/Win32.CSon
AntiVir 7.11.9.228 2011.06.16 -
Antiy-AVL 2.0.3.7 2011.06.15 -
Avast 4.8.1351.0 2011.06.15 -
Avast5 5.0.677.0 2011.06.15 -
AVG 10.0.0.1190 2011.06.15 -
BitDefender 7.2 2011.06.16 Gen:Trojan.Heur.tmGfr5RSn9fO
CAT-QuickHeal 11.00 2011.06.16 -
ClamAV 0.97.0.0 2011.06.16 BC.Heuristic.Trojan.SusPacked.BF-6.A
Commtouch 5.3.2.6 2011.06.16 W32/Trojan-juke-based!Maximus
Comodo 9084 2011.06.16 TrojWare.Win32.Downloader.VB.RAB
DrWeb 5.0.2.03300 2011.06.16 -
eSafe 7.0.17.0 2011.06.15 -
eTrust-Vet 36.1.8389 2011.06.15 -
F-Prot 4.6.2.117 2011.06.15 W32/Trojan-juke-based!Maximus
F-Secure 9.0.16440.0 2011.06.16 Gen:Trojan.Heur.tmGfr5RSn9fO
Fortinet 4.2.257.0 2011.06.16 -
GData 22 2011.06.16 Gen:Trojan.Heur.tmGfr5RSn9fO
Ikarus T3.1.1.104.0 2011.06.16 Trojan-Spy.Win32.Banker.anv
Jiangmin 13.0.900 2011.06.15 -
K7AntiVirus 9.106.4812 2011.06.14 Trojan
Kaspersky 9.0.0.837 2011.06.16 Trojan-Downloader.Win32.Banload.blii
McAfee 5.400.0.1158 2011.06.16 -
McAfee-GW-Edition 2010.1D 2011.06.16 -
Microsoft 1.6903 2011.06.13 -
NOD32 6212 2011.06.16 -
Norman 6.07.10 2011.06.15 W32/Obfuscated.A!genr
nProtect 2011-06-15.02 2011.06.16 -
Panda 10.0.3.5 2011.06.15 Suspicious file
PCTools 7.0.3.5 2011.06.16 -
Prevx 3.0 2011.06.16 -
Rising 23.62.02.05 2011.06.15 Trojan.DL.Win32.Undef.qef
Sophos 4.66.0 2011.06.16 Mal/Behav-103
SUPERAntiSpyware 4.40.0.1006 2011.06.16 -
Symantec 20111.1.0.186 2011.06.16 -
TheHacker 6.7.0.1.230 2011.06.14 -
TrendMicro 9.200.0.1012 2011.06.16 Mal_Banker11
TrendMicro-HouseCall 9.200.0.1012 2011.06.16 Mal_Banker11
VBA32 3.12.16.1 2011.06.15 -
VIPRE 9595 2011.06.16 Trojan.Win32.Generic.pak!cobra
ViRobot 2011.6.16.4516 2011.06.16 -
VirusBuster 14.0.82.0 2011.06.15 -
Additional information
MD5 : edff021c651e6b03bdffdbfcdde2ae28
SHA1 : 44599d6997f26eb7be20ab3e81669e7cc4da28b3
File size : 316416 bytes
A partir del ELISTARA 23,44 de hoy pasamos a controlar este downloader como variante de SPYBANKER.BLII (dldr)
y la ejecucion de este downloader, descarga otro fichero google-img.exe en la carpeta C:\TMP\ y lo ejecuta en cada reinicio desde clave HKLM [APPLICATTION] . De este fichero ningun antivirus detecta nada actualmente:
File name:
google-img.exe
Submission date:
2011-06-16 09:34:45 (UTC)
Current status:
finished
Result:
0 /42 (0.0%)
MD5 : 9436583b5cba37a3714e72d3f8343b2f
SHA1 : 82611084882141174804a8b0888f0f2049d7d1fb
File size : 2029056 bytes
A este descargado por el SPYBANKER.BLII (dldr) lo pasamos a controlar simplemente SPYBANKER.BLII
Dicha version del ELISTARA 23.44 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 16-6-2011
Escribir comentario
Alex (miércoles, 20 julio 2011 11:05)
Lo que no entiendo es que haya sido denunciado por la Guardia Civil por posesión de drogas y 3 dias despues reciba este email. Pero que pasa? que la Policia o la Guardia Civil venden las listas de las personas que han sido estafadas a personas para que envien virus? Porque me parece demasiada casualidad
LETI (viernes, 13 enero 2012 13:53)
Yo no he cometido ningun delito y tambien me llegó eso. Me quedé asustada. Si yo no había hecho nada. ¿?Cómo puedo arreglar ahora el ordenador¿?
andy (viernes, 27 abril 2012 00:07)
aaaaaaaaaaaaaaaaaaaaaaggggggggggggggggggggggggggguuuuuuuuuuuuuuuuuuuuuuuuueeeeeeeeeeeeeeeeeeeeevvvvvvvvvvvvvvvvoooooooooooo
o
c
u
p
o
e
l
e
m
a
i
l
p
o
r
f
a
v
o
r