Nos últimos dias corre uma campanha de phishing contra vários domínios de mail da Internet portuguesa com especial foco em organizações privadas.

A campanha utiliza o trojan W32/MSIL_Kryptik.HJO.gen!Eldorado.

O malware copia para o disco algumas réplicas de si próprio para:

%AppData%\<ficheiro>.exe
%UserProfile%\<ficheiro>.exe
%AppData%\System.exe
%ProgramFiles%\agp service\agpsvc.exe
%Temp%\<8 números ou letras aleatórias>.dll
sendo que, neste caso, a detecção aponta para que se trate do MSIL/Kryptik.NLA!tr.
%Startup%\42f9bbbeb372df1642d8cb5491f7e711.exe
sendo esta a cópia que vem acima quando o sistema arranca
%Startup%\<letras aleatórias>.url:
este é o ficheiro que executa o malware quando o sistema vem acima.

Sabe-se que, em algumas circunstâncias, o malware se apaga a si próprio depois de executar uma vez (talvez por receber um comando do C&C)

O malware tenta ligar-se subdomains dos
.ddns.net
.dyndns.org
.duckdns.org
.publicvm.com

Tenha em conta que o malware altera as configurações da firewall local.
E que no registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
42f9bbbeb372df1642d8cb5491f7e711 = %AppData%\System.exe
AGP Service = %ProgramFiles%\agp service\agpsvc.exe

Por forma a arrancar a cada user logon

Proteções:
1) Se usa o Sotware Restriction Policies numa Group Policy da sua AD
barre como Additional Rules em Disallowed:
%AppData%\System.exe
%ProgramFiles%\agp service\agpsvc.exe
%Startup%\42f9bbbeb372df1642d8cb5491f7e711.exe

e bloqueie no proxy ou na consola do antivirus os domains:
.ddns.net
.dyndns.org
.duckdns.org
.publicvm.com