Nueva variante de malware que llega por mail masivo con una invitacion en portugués : “CONVITE”

Una nueva variante de malware, en este caso downloader de troyano bancario, se recibe por mail con fichero ZIP anexado, que muy pocos antivirus controlan actualmente (21,96%) segun preanalisis con el VirusTotal:

File conviten.exe received on 2009.10.23 07:25:41 (UTC)
Result: 9/41 (21.96%)
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.23 –
AhnLab-V3 5.0.0.2 2009.10.22 –
AntiVir 7.9.1.44 2009.10.22 –
Antiy-AVL 2.0.3.7 2009.10.23 –
Authentium 5.1.2.4 2009.10.23 –
Avast 4.8.1351.0 2009.10.22 –
AVG 8.5.0.423 2009.10.22 –
BitDefender 7.2 2009.10.23 –
CAT-QuickHeal 10.00 2009.10.23 Win32.VirTool.DelfInject.gen!K.8
ClamAV 0.94.1 2009.10.23 Trojan.Downloader.Adload-130
Comodo 2700 2009.10.23 –
DrWeb 5.0.0.12182 2009.10.23 –
eSafe 7.0.17.0 2009.10.22 –
eTrust-Vet 35.1.7081 2009.10.23 –
F-Prot 4.5.1.85 2009.10.22 –
F-Secure 9.0.15370.0 2009.10.22 –
Fortinet 3.120.0.0 2009.10.22 –
GData 19 2009.10.23 –
Ikarus T3.1.1.72.0 2009.10.23 Trojan-Downloader.Win32.Banload
Jiangmin 11.0.800 2009.10.23 –
K7AntiVirus 7.10.877 2009.10.22 –
Kaspersky 7.0.0.125 2009.10.23 –
McAfee 5779 2009.10.22 –
McAfee+Artemis 5779 2009.10.22 Artemis!3D1C1DB528F2
McAfee-GW-Edition 6.8.5 2009.10.23 –
Microsoft 1.5202 2009.10.23 TrojanDownloader:Win32/Banload.IU
NOD32 4535 2009.10.23 –
Norman 6.03.02 2009.10.22 W32/Malware
nProtect 2009.1.8.0 2009.10.23 –
Panda 10.0.2.2 2009.10.22 Generic Malware
PCTools 4.4.2.0 2009.10.19 –
Prevx 3.0 2009.10.23 –
Rising 21.52.41.00 2009.10.23 –
Sophos 4.46.0 2009.10.23 –
Sunbelt 3.2.1858.2 2009.10.23 –
Symantec 1.4.4.12 2009.10.23 Downloader
TheHacker 6.5.0.2.051 2009.10.22 –
TrendMicro 8.950.0.1094 2009.10.22 –
VBA32 3.12.10.11 2009.10.22 suspected of Win32.Trojan.Downloader (http://…)
ViRobot 2009.10.23.2002 2009.10.23 –
VirusBuster 4.6.5.0 2009.10.22 –
Additional information
File size: 82773 bytes
MD5…: 39b5e6bb6a8b8c1f00f9a02e58aa3637
SHA1..: 5403ca9fb917cade08130802bbf0da58fce09842
Tal y como se presenta es una invitación en portugués, aunque muy distinta de todo lo conocido hasta la fecha:

Al pulsar sobre cualquiera de los tres botones descarga un fichero ZIP que  al desempaquetarlo genera el CONVITEN.EXE  que es un RAR que genera un PROYECTO.EXE que se copia en la carpeta C:\Winnt_ (que no es la  C:\Winnt del Windows2000, sino otra paralela) y que resulta ser el downloader indicado

A partir del ELISTARA de hoy, 19.53, pasamos a detectarlo y eliminarlo, pero se recuerda que la mayoría de los antivirus no lo controlan, y que se está recibiendo masivamente, pues aparte de las muestras de clientes, lo hemos recibido tambien nosotros a las cuentas directas , por lo que podemos indicar que en este caso se ve el remitente real que lo envia, asi como la lista de direcciones a quienes lo ha enviado, posiblemente cogida de la libreta de direcciones del cliente de correo que se usa.

Si alguien lo recibe, que avise al respecto a todos los que vea en la lista, ya que son usuarios que recibirán el mismo mail y que lo mas probable es que se infecten al no controlarlo su antivirus.

saludos

ms,  23-10-2009

Y COMO SIEMPRE, RECORDAR NUESTRO CONSEJO DE NO EJECUTAR NI PULSAR SOBRE LINKS, IMAGENES O FICHEROS RECIBIDOS EN E-MAILS NO SOLICITADOS.