Nueva variante del troyano CONVITE del que ya anunciamos su control en Noticia del 23 Octubre ppdo
Si bien a partir del ELISTARA 19.53 ya controlabamos y eliminamos el “CONVITE” que llegaba anexado a un mail en portugués, hoy nos reportan nueva incidencia variante del mismo, que no se controla todavía, y que pasamos a controlar a partir del ELISTARA de hoy 19.84
Se recuerda que es un cazapasswords bancario y como tal es muy peligroso por la captura de password y cuentas bancarias y las posibles transferencias de nuestros dineros a cuentas lejanas de Rusia y China…
En esta ocasion deja de usar la carpeta \winnt\system32\ que usaba aunque no fuera W2k, y pasa a guardarlo en la de sistema, normalmente C:\windows\system32
Logicamente cambia nombre de ficheros y el contenido de los mismos, con el diferente checksum que los diferencia:
MD5 del ya conocido 39b5e6bb6a8b8c1f00f9a02e58aa3637
MD5 del nuevo de hoy c8b74ad032339342d42375ecbedb4bb1
El preanalisis con el VirusTotal ofrece:
File mydpla.exe.vir received on 2009.12.04 10:42:33 (UTC)
Result: 17/40 (42.5%)
Antivirus Version Last Update Result
a-squared 4.5.0.43 2009.12.04 Trojan-Banker.Win32.Banker!IK
AhnLab-V3 5.0.0.2 2009.12.04 –
AntiVir 7.9.1.92 2009.12.04 TR/Crypt.CFI.Gen
Antiy-AVL 2.0.3.7 2009.12.04 Trojan/Win32.Banker
Authentium 5.2.0.5 2009.12.02 –
Avast 4.8.1351.0 2009.12.03 –
AVG 8.5.0.426 2009.12.04 PSW.Banker5.AKEQ
BitDefender 7.2 2009.12.04 Trojan.Generic.2812127
CAT-QuickHeal 10.00 2009.12.04 –
ClamAV 0.94.1 2009.12.04 –
Comodo 3103 2009.12.01 –
DrWeb 5.0.0.12182 2009.12.04 –
eSafe 7.0.17.0 2009.12.03 Win32.TRCrypt.Cfi
eTrust-Vet 35.1.7156 2009.12.03 –
F-Prot 4.5.1.85 2009.12.03 –
F-Secure 9.0.15370.0 2009.12.03 Suspicious:W32/Malware!Gemini
Fortinet 4.0.14.0 2009.12.04 –
GData 19 2009.12.04 Trojan.Generic.2812127
Ikarus T3.1.1.74.0 2009.12.04 Trojan-Banker.Win32.Banker
Jiangmin 13.0.900 2009.12.02 –
K7AntiVirus 7.10.910 2009.12.03 –
Kaspersky 7.0.0.125 2009.12.04 Trojan-Banker.Win32.Banker.aptk
McAfee 5821 2009.12.03 –
McAfee+Artemis 5821 2009.12.03 Artemis!C8B74AD03233
McAfee-GW-Edition 6.8.5 2009.12.04 Heuristic.BehavesLike.Win32.ModifiedUPX.A!90
Microsoft 1.5302 2009.12.04 –
NOD32 4659 2009.12.04 a variant of Win32/Spy.Bancos.NOG
Norman 6.03.02 2009.12.04 –
nProtect 2009.1.8.0 2009.12.04 –
Panda 10.0.2.2 2009.12.04 Suspicious file
PCTools 7.0.3.5 2009.12.04 Trojan.Generic
Rising 22.24.04.08 2009.12.04 –
Sophos 4.48.0 2009.12.04 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.12.04 –
Symantec 1.4.4.12 2009.12.04 Trojan Horse
TheHacker 6.5.0.2.084 2009.12.03 –
TrendMicro 9.100.0.1001 2009.12.04 –
VBA32 3.12.12.0 2009.12.03 –
ViRobot 2009.12.4.2072 2009.12.04 –
VirusBuster 5.0.21.0 2009.12.03 –
Additional information
File size: 36352 bytes
MD5…: c8b74ad032339342d42375ecbedb4bb1
SHA1..: 72e727bc66e1b843a37341c53372ac155a3cf28b
y lo pasamos a monitorizar para añadir su control y eliminacion en el ELISTARA que estamos haciendo, 19.84, que estará disponible a partir de las 15 horas de hoy.
Por supuesto que no se infectaría aun recibiendo el mail, si no ejecutara el fichero anexado, pero… (NO SE DEBEN EJECUTAR FICHEROS ANEXADOS A MAILS NO SOLICITADOS, NI PULSAR EN IMAGENES O EN LINKS !!!)
saludos
ms, 4-12-2009
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.