[en] Malicious email Spam campaign : some new? tricks

Got this email - wow a .gadget..
usually we got a zip with a double extension file inside to trick users : .jpg.exe - .pdf.exe etc

Spam_email_tricks3

That is a zip :

Spam_email_tricks2it works at least for Windows Vista - You got a the usal Windows popup : "Are you Sure?".

Spam_email_tricks4
if you accept the binary is launch...
Spam_email_tricks5

I notice an other trick.. there is a fake line in the header to trick antispam system.
Fake send from intranet.

Received: from 2-228-80-226.ip190.fastwebnet.it (2.228.80.226)
by mail-xxxxxx with SMTP; 16 May 2014 07:05:54 +0200
Received: from 9142.malekal.com (10.64.103.62) by malekal.com (10.0.0.177) with Microsoft SMTP Server id 6ABW5E1J; Wed, 14 May 2014 09:54:74 GMT
Date: Wed, 14 May 2014 09:94:45 GMT
From: "[email protected]" <[email protected]>
Message-ID: <[email protected]>

 

Spam_email_tricks

About detection; Malwarebytes rocks - he is the only to detect the dropper :

https://www.virustotal.com/fr/file/0c21e1f4baa85a34134a94128edef8273a0b2432b4311a619c9de51074f06414/analysis/1400236728/

SHA256: 0c21e1f4baa85a34134a94128edef8273a0b2432b4311a619c9de51074f06414
Nom du fichier : main.exe
Ratio de détection : 1 / 52
Date d'analyse : 2014-05-16 10:38:48 UTC (il y a 5 minutes)

Malwarebytes Trojan.Downloader 20140516

~~

https://www.virustotal.com/fr/file/9ba38b877e9f7eac7abc6dd740748e635e2c5730e90fa860dd7ae74ec86b8f9e/analysis/1400237089/

 

SHA256: 9ba38b877e9f7eac7abc6dd740748e635e2c5730e90fa860dd7ae74ec86b8f9e
Nom du fichier : ycare.exe
Ratio de détection : 1 / 53
Date d'analyse : 2014-05-16 10:44:49 UTC (il y a 1 minute)

Malwarebytes Trojan.Downloader 20140516

 

then probably a Trojan.Zbot : https://www.virustotal.com/fr/file/307d16acd85f370c16f88144e3ae863155f2888360085b0ec2342d73c981f755/analysis/1400237103/

SHA256: 307d16acd85f370c16f88144e3ae863155f2888360085b0ec2342d73c981f755
Nom du fichier : buodi.exe
Ratio de détection : 3 / 53
Date d'analyse : 2014-05-16 10:45:03 UTC (il y a 0 minute)

 

AntiVir TR/Dropper.Gen 20140516
Bkav HW32.CDB.335a 20140515
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 20140507

 

Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article [en] Malicious email Spam campaign : some new? tricks mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum