Seguimiento de detección de un fichero sospechoso

Esta semana, en el curro, entró por mail el típico spam con un fichero adjunto sospechoso, muy fácil de detectar, por cualquier técnico, que se trata de un fichero ilícito, pero donde muchos usuarios, sobre todo los que se dedican llevar la facturación, pueden llegar a picar.

El mail, muy clásico, tenía el siguiente contenido:

Asunto: Fwd: New_Factura!!!

Cuerpo:

Buenos dias, xxxxxx@dominiodelaempresa.es.

La factura que debe ser abonada antes de la semana siguiente.

Los detalles estan dentro del archivo.

--

Con los mejores votos,

Departamento              mailto:canduxo@otrodominio.com

Fichero adjunto: 56_Factura.zip

Hasta aquí todo muy claro de detectar, sin ni si quiera tener que abrir el archivo:

• No saben como nos llamamos, resulta que nuestro nombre es la dirección de mail, sin dignarse a quitar el dominio.
• Resulta que nos lo envía un tal yyyyy@dominodelspam.com pero que si queremos contactar con alguien que tiene un mail en otro dominio, con un nombre más legítimo canduxo@otrodominio.com y encima nos ponen mailto tal cual, no es el mailto de un enlace.
• Y, claro esta que lo más normal del mundo en España es despedirse diciendo: "Con los mejores votos".

En esta ocasión el usuario, fue precabido y me acabó llamando para que le asegurará si realmente era un spam; aunque estaba claro, por esas cosas que tiene la curiosidad, decidí jugar un poco, a un juego fácil, que no voy sobrado de tiempo, con el fichero adjunto. 

1. Analicé el fichero con nuestro antivirus corporativo; el resultado fue un falso negativo, es decir no detecto nada.
2. Lo abrí con un descompresor desde una maquina virtual, por si acaso. El zip estaba bien formado; en su interior había un fichero .exe con un icono de MS Word y con el mismo nombre que el zip pero en vez de .zip, era .doc y a continuación unos cuantos guiones bajos para que no se viese que el fichero terminaba con la extensión .exe.
   
   
     
   Contenido del fichero zip
3. Bueno visto lo visto en el paso 1 y 2, me decidí a subir a Virus Total (podéis encontrar explicación del servicio ofrecido por Virus Total al principio del siguiente post) y aquí empezó lo que me hizo gracia, porque al subirlo, de los 41 motores de análisis que utiliza Virus Total, solo lo detectaba uno; en vista de esto y que al día siguiente nuestro antivirus corporativo me lo detecto como un troyano me enredé durante los siguientes días a subirlo varias veces de nuevo a Virus Total y hacer un seguimiento de detección.
   El resultado de este seguimiento lo podéis ver en la siguiente tabla y gráfico:

Tabla de valores de la evolución de la detección

Gráfica de evolución de la detección

Pasados más de 4 días, de los 41 motores, solo lo detectan 17; realmente ya no sé si se trata de un troyano o no, porque a raíz de la gran noticia que saltó durante el mes de febrero de este año uno ya no sabe que pensar, la noticia que me refiero es la que se puede ver en el mismo link que he dejado más arriba donde he mencionado que se hace una breve explicación del servició ofrecido por Virus Total.

A continuación os dejo los enlaces a los diez análisis, por orden cronológico, que he realizado de la misma muestra.

1. http://www.virustotal.com/es/analisis/0818...174895
2. http://www.virustotal.com/es/analisis/0818...269705
3. http://www.virustotal.com/es/analisis/0818...285975
4. http://www.virustotal.com/es/analisis/0818...293558
5. http://www.virustotal.com/es/analisis/0818...337572
6. http://www.virustotal.com/es/analisis/0818...355766
7. http://www.virustotal.com/es/analisis/0818...382462
8. http://www.virustotal.com/es/analisis/0818...426420
9. http://www.virustotal.com/es/analisis/0818...473799
10. http://www.virustotal.com/es/analisis/0818...541009

Hasta la próxima enfermos.