[en] Malicious email Spam campaign : some new? tricks

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher.

Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet.

Got this email - wow a .gadget..
usually we got a zip with a double extension file inside to trick users : .jpg.exe - .pdf.exe etc

Spam_email_tricks3

That is a zip :

Spam_email_tricks2it works at least for Windows Vista - You got a the usal Windows popup : "Are you Sure?".

Spam_email_tricks4
if you accept the binary is launch...
Spam_email_tricks5

I notice an other trick.. there is a fake line in the header to trick antispam system.
Fake send from intranet.

Received: from 2-228-80-226.ip190.fastwebnet.it (2.228.80.226)
by mail-xxxxxx with SMTP; 16 May 2014 07:05:54 +0200
Received: from 9142.malekal.com (10.64.103.62) by malekal.com (10.0.0.177) with Microsoft SMTP Server id 6ABW5E1J; Wed, 14 May 2014 09:54:74 GMT
Date: Wed, 14 May 2014 09:94:45 GMT
From: "[email protected]" <[email protected]>
Message-ID: <[email protected]>

 

Spam_email_tricks

About detection; Malwarebytes rocks - he is the only to detect the dropper :

https://www.virustotal.com/fr/file/0c21e1f4baa85a34134a94128edef8273a0b2432b4311a619c9de51074f06414/analysis/1400236728/

SHA256: 0c21e1f4baa85a34134a94128edef8273a0b2432b4311a619c9de51074f06414
Nom du fichier : main.exe
Ratio de détection : 1 / 52
Date d'analyse : 2014-05-16 10:38:48 UTC (il y a 5 minutes)

Malwarebytes Trojan.Downloader 20140516

~~

https://www.virustotal.com/fr/file/9ba38b877e9f7eac7abc6dd740748e635e2c5730e90fa860dd7ae74ec86b8f9e/analysis/1400237089/

 

SHA256: 9ba38b877e9f7eac7abc6dd740748e635e2c5730e90fa860dd7ae74ec86b8f9e
Nom du fichier : ycare.exe
Ratio de détection : 1 / 53
Date d'analyse : 2014-05-16 10:44:49 UTC (il y a 1 minute)

Malwarebytes Trojan.Downloader 20140516

 

then probably a Trojan.Zbot : https://www.virustotal.com/fr/file/307d16acd85f370c16f88144e3ae863155f2888360085b0ec2342d73c981f755/analysis/1400237103/

SHA256: 307d16acd85f370c16f88144e3ae863155f2888360085b0ec2342d73c981f755
Nom du fichier : buodi.exe
Ratio de détection : 3 / 53
Date d'analyse : 2014-05-16 10:45:03 UTC (il y a 0 minute)

 

AntiVir TR/Dropper.Gen 20140516
Bkav HW32.CDB.335a 20140515
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 20140507

 

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article [en] Malicious email Spam campaign : some new? tricks mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum