Acabo de recibir un email con este asunto Aviso de transferencia y la verdad es que estoy esperando algunas transferencias por lo que ha captado mi atención.

Primer malrollo, no conozco el email del que viene ([email protected]) y encima es de hotmail.es (spain really?…primeras sospechas serias)!!

email_trans

Además el importe no me suena pero el resto de datos podrían ser reales, la factura 63/2015 puede ser real (si yo fuese una empresa) y la fecha es de hoy pero no concreta nada lo que te insta a abrir el fichero adjunto (que es lo que quieren los emisores de esta putada electrónica)

Como veo que es un fichero ZIP y yo no tengo miedo al maligno he abierto el fichero para ver que contenía, al ser una transferencia lo que nos podríamos esperar será un fichero de documento, tipo DOC (Word <= 2003, DOCX >= 2007, PDF o ODF Open Office Document) pero la sorpresa es que al abrirlo contiene un fichero ejecutable .EXE al mas puro estilo te enchufo un virusaco de los años 90.

fichero_transferencia_spam

El fichero en cuestion tiene el mismo nombre que el fichero zip original pero tiene extensión EXE, nunca nunca nunca nunca abráis un fichero .EXE, .COM o cualquier otro formato ejecutable de un email que no conocéis (sino estáis seguros google te dijce que tipo de fichero es)

Como me ha entrado la curiosidad lo he descomprimido para ver si mi antivirus Norman actualizado lo detecta como algo malicioso y no…supongo que estará bien ofuscado para evitar las firmas del antivirus pero yo sigo mosqueado asique lo he probado en “el antivirus de antivirus” y se llama https://www.virustotal.com.

Virus Total es un sitio web que nos permite subir cualquier tipo de fichero para que sea analizado por un montón de antivirus por lo que he subido el archivito en cuestión y ….sorpresa!!! alguien ya lo ha recbido exactamente igual que yo y ademas lo ha analizado:

resultado_virus_total

Al ver el últmo analisis vemos que ha sido detectado como MALWARE por varios antivirus (por otros muchos no, entre ellos el mío Norman.)

virustotal

más abajo os dejo el listado completo de todos los antivirus que se habrían comido este petardazo que son muchos, entre ellos el mío.

MORALEJA: si alguien te envia pasta que no esperas sospecha y mucho y si trae un fichero adjunto antes de aventurarte a abrilo, pásalo por https://virustotal.com

MORALEJA2: era demasiado bonito para ser verdad.. 🙁

 

Aquí podemos ver el analisis completo en la página web de virustotal:

https://www.virustotal.com/es/file/d4008f616ef13ef2f48eb6f333905c7478c0d8cab6425d221c776f3969b4a819/analysis/

CAPTURA COMPLETA DEL ANÁLISIS (haz click):

FireShot Screen Capture #029 - 'Antivirus scan for d4008f616ef13ef2f48eb6f333905c7478c0d8cab6425d221c776f3969b4a819 at 2015-05-27 09_55_21 UTC - VirusTotal' - www_viru