Un malware con contraseña

Los ciberdelincuentes están continuamente ingeniandose la manera de mandar malware por correo electrónico para intentar infectarnos sin que el AntiSpam se active.

Una de estas maneras podría ser enviando un enlace HTML que nos descargue un ZIP con un EXE para infectar al usuario. Otro sistema parecido podría ser mandar un archivo RAR con password, y poner la contraseña para descomprimir el archivo en el mismo correo. Además lo que hacen es cifrar el tipo de archivo para que el antivirus no sepa que el archivo es un .EXE.
El email decía:

Cuando descomprimimos el archivo Rar con password, se ve un archivo de tipo pdf que al ejecutarlo vemos los siguiente: 

Si miramos de nuevo el binario:

    File Name:    ticket.exe
    File Size:    57344 byte
    Compile Time:    1992-06-20 00:22:17
    DLL:        False
    Sections:    8
    MD5   hash:    b1892ab8aec93f3b1ac731cd4ff20064
    SHA-1 hash:    8918e0389c9af18a120ffc5966672615596f7a17
    Packer:        Borland Delphi 3.0 (???)
    Anti Debug:    Yes
    Anti VM:    None

    File and URL:
    FILE:        kernel32.dll
    FILE:        user32.dll
    FILE:        advapi32.dll
    FILE:        kernel32.dll
    FILE:        kernel32.dll
    FILE:        user32.dll
    FILE:        shell32.dll
    FILE:        comdlg32.dll
    URL:        None

    Suspicious API Functions:
    Func. Name:    VirtualAlloc
    Func. Name:    GetStartupInfoA
    Func. Name:    GetCommandLineA
    Func. Name:    WriteFile
    Func. Name:    UnhandledExceptionFilter
    Func. Name:    RegOpenKeyExA
    Func. Name:    RegCloseKey
    Func. Name:    GetModuleHandleA
    Func. Name:    SleepEx
    Func. Name:    GetModuleHandleA
    Func. Name:    GetModuleFileNameA

    Suspicious API Anti-Debug:
    Anti Debug:    UnhandledExceptionFilter

    Suspicious Sections:
    Sect. Name:    BSS
    MD5   hash:    d41d8cd98f00b204e9800998ecf8427e
    SHA-1 hash:    da39a3ee5e6b4b0d3255bfef95601890afd80709
    Sect. Name:    .tls
    MD5   hash:    d41d8cd98f00b204e9800998ecf8427e
    SHA-1 hash:    da39a3ee5e6b4b0d3255bfef95601890afd80709
    Sect. Name:    .rdata
    MD5   hash:    e9c180e3bd96a2915f8139e61ccb8355
    SHA-1 hash:    d3665eb1c011549b7842e20de489c82872a0228c

Está en Delphi, y contiene funciones antidebug.

Fuente: Seifreed