Nueva variante de ZBOT DEtelah, que usa fichero con nombre NVCPL.EXE
Es muy normal la DLL de Nvidia denominada NVCPL.DLL, y es dicho nombre el que utiliza este malware en su .EXE, intentandp pasar desapercibido y pensar que es de dicha aplicacion.
El ELISTARA actual ya lo ha visto sospechoso y pedido muestra para analizar, la cual en el preanalisis con el VirusTotal, han sido 35 de 41 los antivrius que lo conocen:
File name: NVCPL.EXE.Muestra EliStartPage v21.19
Submission date: 2010-09-02 08:09:10 (UTC)
Current status: queued (#7) queued (#7) analysing finished
Result: 35/ 41 (85.4%)
VT Community
not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.09.02.00 2010.09.02 Dropper/Detelah.74752.B
AntiVir 8.2.4.46 2010.09.01 TR/PSW.Zbot.74752.R.1
Antiy-AVL 2.0.3.7 2010.09.02 Trojan/Win32.Detelah.gen
Authentium 5.2.0.5 2010.09.02 –
Avast 4.8.1351.0 2010.09.01 Win32:Agent-AKQU
Avast5 5.0.594.0 2010.09.01 Win32:Agent-AKQU
AVG 9.0.0.851 2010.09.01 Crypt.UMG
BitDefender 7.2 2010.09.02 Trojan.Generic.3850254
CAT-QuickHeal 11.00 2010.09.02 TrojanDropper.Detelah.f
ClamAV 0.96.2.0-git 2010.09.02 –
Comodo 5939 2010.09.02 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.09.02 –
eSafe 7.0.17.0 2010.09.01 Win32.TRPSW.Zbot.R
eTrust-Vet 36.1.7831 2010.09.01 –
F-Prot 4.6.1.107 2010.09.01 –
F-Secure 9.0.15370.0 2010.09.02 Trojan.Generic.3850254
Fortinet 4.1.143.0 2010.09.01 –
GData 21 2010.09.02 Trojan.Generic.3850254
Ikarus T3.1.1.88.0 2010.09.02 PWS.Win32
Jiangmin 13.0.900 2010.08.30 TrojanDropper.Detelah.a
K7AntiVirus 9.63.2416 2010.09.02 Trojan
Kaspersky 7.0.0.125 2010.09.02 Trojan-Dropper.Win32.Detelah.f
McAfee 5.400.0.1158 2010.09.02 Artemis!E2B7E08B6219
McAfee-GW-Edition 2010.1B 2010.09.02 Artemis!E2B7E08B6219
Microsoft 1.6103 2010.09.02 PWS:Win32/Zbot.gen!R
NOD32 5416 2010.09.01 a variant of Win32/TrojanDropper.Agent.ORS
Norman 6.05.11 2010.09.02 W32/Obfuscated.J
nProtect 2010-09-01.01 2010.09.02 Trojan.Generic.3850254
Panda 10.0.2.7 2010.09.01 Trj/Dropper.WF
PCTools 7.0.3.5 2010.09.02 Trojan-Spy.Zbot!sd5
Prevx 3.0 2010.09.02 Medium Risk Malware
Rising 22.63.02.04 2010.09.01 Trojan.Win32.Generic.5201F290
Sophos 4.56.0 2010.09.02 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2010.09.02 Trojan.Agent/Gen
Symantec 20101.1.1.7 2010.09.02 Trojan.Gen
TheHacker 6.5.2.1.361 2010.09.02 Trojan/Dropper.Agent.ors
TrendMicro 9.120.0.1004 2010.09.02 TSPY_ZBOT.MCS
TrendMicro-HouseCall 9.120.0.1004 2010.09.02 TSPY_ZBOT.MCS
VBA32 3.12.14.0 2010.09.01 Trojan-Dropper.Win32.Detelah.c
ViRobot 2010.8.31.4017 2010.09.02 Dropper.Detelah.75264
VirusBuster 12.64.13.0 2010.09.01 Trojan.DR.Detelah.A
Additional informationShow all
MD5 : e2b7e08b6219ea8559a6af8c10ddd02b
SHA1 : f8fb28c6162cd8420a7d9f8df1f9ea661765753a
Con la version del ELISTARA 21.53 de hoy pasaremos a controlar especificamente dicho malware, si bien con el actual ya lo “aparcabamos” en C:\muestras, dejandolo fuera de circulacion a partoir del siguienteb reinicio.
A partir de las 19 horas de hoy, el ELISTARA 21.53, estará disponible en nuestra web.
saludos
ms, 2-9-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.