Nuevas variantes de BANLOAD descargadas por el reciente downloader relativo a “Maradona”, del ppdo viernes.
Desde SANTIAGO DE Chile nos llegan muestras de los ficheros descargados por el downloader del “Maradona”, (BANLOAD) ya controlado por el actual ELISTARA, como informamos el ppdo viernes.
El mismo ELISTARA 21.34 ha pedido dichas muestras de sospechosos derivados (descargados) por el BANLOAD en cuestion, resultando ser totalmente diferentes entre sí:
Scanned time : 2010/07/12 10:07:42 (CEST)
Scanner results: 36% Escaner (13/36) encontró infección
File Name : CTTFMON.EXE.Muestra EliStartPage v21.34
File Size : 633856 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 8de0e407d6e57e01132a99448ec04f1a
SHA1 : 78d1a2bf2e63e272bcc5b488e10215b3a1135050
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.0.0.13 20100710031939 2010-07-10 15.13 Trojan.Win32.Agent!IK
AhnLab V3 2010.07.10.00 2010.07.10 2010-07-10 2.19 –
AntiVir 8.2.4.10 7.10.9.57 2010-07-11 0.29 TR/Agent.633856
Antiy 2.0.18 20100704.4829244 2010-07-04 0.02 –
Arcavir 2009 201006281601 2010-06-28 0.00 –
Authentium 5.1.1 201007111701 2010-07-11 1.47 –
AVAST! 4.7.4 100711-1 2010-07-11 0.03 Win32:Malware-gen
AVG 8.5.793 271.1.1/2997 2010-07-12 0.23 Generic18.AAOH
BitDefender 7.90123.6493190 7.32754 2010-07-12 4.02 –
ClamAV 0.96.1 11327 2010-07-06 0.00 –
Comodo 4.0 5399 2010-07-12 1.82 Heur.Pck.PKLITE32
CP Secure 1.3.0.5 2010.07.12 2010-07-12 0.10 –
Dr.Web 5.0.2.3300 2010.07.12 2010-07-12 9.22 –
F-Prot 4.4.4.56 20100711 2010-07-11 1.42 –
F-Secure 7.02.73807 2010.07.12.02 2010-07-12 5.46 Trojan.Win32.Agent.ejey [AVP]
Fortinet 4.1.143 12.145 2010-07-11 1.42 –
GData 21.500/21.183 20100712 2010-07-12 10.24 Trojan.Win32.Agent.ejey [Engine:A]
ViRobot 20100710 2010.07.10 2010-07-10 0.38 –
Ikarus T3.1.01.84 2010.07.12.76243 2010-07-12 7.08 Trojan.Win32.Agent
JiangMin 13.0.900 2010.07.12 2010-07-12 1.44 Trojan/Agent.eces
Kaspersky 5.5.10 2010.07.11 2010-07-11 0.17 Trojan.Win32.Agent.ejey
KingSoft 2009.2.5.15 2010.7.11.7 2010-07-11 3.64 –
McAfee 5400.1158 6040 2010-07-11 17.20 Generic.dx!tdc
Microsoft 1.5902 2010.07.12 2010-07-12 8.60 Trojan:Win32/Comroki
Norman 6.05.11 6.05.00 2010-07-11 6.02 W32/Agent.UVVF
Panda 9.05.01 2010.07.11 2010-07-11 11.77 –
Trend Micro 9.120-1004 7.302.02 2010-07-11 1.48 –
Quick Heal 11.00 2010.07.12 2010-07-12 2.22 –
Rising 20.0 22.56.00.03 2010-07-12 1.15 –
Sophos 3.09.0 4.55 2010-07-12 4.08 –
Sunbelt 3.9.2428.2 6566 2010-07-09 0.54 –
Symantec 1.3.0.24 20100711.002 2010-07-11 0.09 –
nProtect 20100711.01 9040494 2010-07-11 12.83 –
The Hacker 6.5.2.1 v00312 2010-07-11 1.09 –
VBA32 3.12.12.6 20100710.2122 2010-07-10 4.05 –
VirusBuster 4.5.11.10 10.127.1/2023590 2010-07-12 2.57 –
y otra muestra:
Scanned time : 2010/07/12 10:11:58 (CEST)
Scanner results: 31% Escaner (11/36) encontró infección
File Name : WAKELUAN3.EXE.Muestra EliStartPage v21.34
File Size : 513536 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 9dd79e3153eb082a218692e1e0508595
SHA1 : 98843dcb6862bff91590bdf2915919eefc59f962
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.0.0.13 20100710031939 2010-07-10 5.82 Trojan.Win32.Swisyn!IK
AhnLab V3 2010.07.10.00 2010.07.10 2010-07-10 1.32 –
AntiVir 8.2.4.10 7.10.9.57 2010-07-11 0.70 TR/Dldr.Agen.513536
Antiy 2.0.18 20100704.4829244 2010-07-04 0.04 –
Arcavir 2009 201006281601 2010-06-28 0.02 –
Authentium 5.1.1 201007111701 2010-07-11 2.32 –
AVAST! 4.7.4 100711-1 2010-07-11 0.02 Win32:Swisyn-DJ [Trj]
AVG 8.5.793 271.1.1/2997 2010-07-12 0.25 SHeur3.AHIH
BitDefender 7.90123.6493190 7.32754 2010-07-12 4.07 –
ClamAV 0.96.1 11327 2010-07-06 0.00 –
Comodo 4.0 5399 2010-07-12 1.18 Heur.Pck.PKLITE32
CP Secure 1.3.0.5 2010.07.12 2010-07-12 0.09 –
Dr.Web 5.0.2.3300 2010.07.12 2010-07-12 9.36 –
F-Prot 4.4.4.56 20100711 2010-07-11 1.44 –
F-Secure 7.02.73807 2010.07.12.02 2010-07-12 3.60 Trojan.Win32.Swisyn.aifi [AVP]
Fortinet 4.1.143 12.145 2010-07-11 0.33 –
GData 21.500/21.183 20100712 2010-07-12 5.84 Trojan.Win32.Swisyn.aifi [Engine:A]
ViRobot 20100710 2010.07.10 2010-07-10 0.38 –
Ikarus T3.1.01.84 2010.07.12.76243 2010-07-12 7.15 Trojan.Win32.Swisyn
JiangMin 13.0.900 2010.07.12 2010-07-12 1.48 –
Kaspersky 5.5.10 2010.07.11 2010-07-11 0.07 Trojan.Win32.Swisyn.aifi
KingSoft 2009.2.5.15 2010.7.12.7 2010-07-12 8.28 –
McAfee 5400.1158 6040 2010-07-11 17.12 –
Microsoft 1.5902 2010.07.12 2010-07-12 29.96 –
Norman 6.05.11 6.05.00 2010-07-11 8.01 –
Panda 9.05.01 2010.07.11 2010-07-11 40.09 –
Trend Micro 9.120-1004 7.302.02 2010-07-11 1.48 –
Quick Heal 11.00 2010.07.12 2010-07-12 3.46 –
Rising 20.0 22.56.00.03 2010-07-12 3.69 –
Sophos 3.09.0 4.55 2010-07-12 3.63 Mal/Generic-L
Sunbelt 3.9.2428.2 6566 2010-07-09 2.77 –
Symantec 1.3.0.24 20100711.002 2010-07-11 0.32 –
nProtect 20100711.01 9040494 2010-07-11 9.83 Trojan/W32.Swisyn.513536
The Hacker 6.5.2.1 v00312 2010-07-11 0.38 –
VBA32 3.12.12.6 20100710.2122 2010-07-10 3.16 –
VirusBuster 4.5.11.10 10.127.1/2023590 2010-07-12 2.51 –
Vemos que algunos antivirus no detectan ninguno de los dos, como estos seis: Symantec, Trend, Panda, F-prot, Dr Web, BitDefender , por lo que los usuarios de los mismos conviene que tengan especial cuidado al no detectarlo.
El ELISTARA 21.35 de hoy ya detectará y elimina por cadenas dichas nuevas variantes, y pedirá muestras heuristicamente de derivados cuyas pistas los delaten. A partir de las 15 horas estará disponible en nuestra web.
saludos
ms, 12-7-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.