Nuevo Banker que se está propagando por mail masivo con la picaresca de ofrecer una FOTO solicitada

Se recibe un mail anexando una supuesta FOTO, pero pinchando en ella, lleva a una web de Brasil

200.150.201.246 BR Brazil     -10.0000 -55.0000 BSA Brasil Comércio e Serviços de Informática Ltda BSA Brasil Comércio e Serviços de Informática Ltda

en la que accede a un PHP que descarga un EXE
DCxxxxxxxx_jpg.EXE  (734kb)
http://200.150.201.246/class/mime/.manager/<interceptado>.php

el texto del mail malicioso es:

_____________________

Tenga cuidado al abrir
mi foto que usted solicitó
pequeño secreto

besos amor…

_____________________
el acceso al link descarga este fichero:
 “DCS825392_jpg.exe”

Al ejecutarlo conecta al Facebook de Shamila Gunawardana

y el analisis del mismo con el VirusTotal es:

File DCS825392_jpg.gxe received on 2010.06.07 08:36:07 (UTC)
Current status: finished

Result: 18/41 (43.90%)
 Compact Print results  Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.07 Trojan-Spy.Win32.Banker.anv!IK
AhnLab-V3 2010.06.06.00 2010.06.06 Malware/Win32.Generic
AntiVir 8.2.2.6 2010.06.07 TR/Crypt.CFI.Gen
Antiy-AVL 2.0.3.7 2010.06.04 –
Authentium 5.2.0.5 2010.06.06 W32/Trojan-juke-based!Maximus
Avast 4.8.1351.0 2010.06.07 –
Avast5 5.0.332.0 2010.06.07 –
AVG 9.0.0.787 2010.06.06 –
BitDefender 7.2 2010.06.07 Gen:Trojan.Heur.TSW@rTSA4KkG
CAT-QuickHeal 10.00 2010.06.07 –
ClamAV 0.96.0.3-git 2010.06.07 –
Comodo 5015 2010.06.07 Heur.Pck.Enigma
DrWeb 5.0.2.03300 2010.06.07 –
eSafe 7.0.17.0 2010.06.06 –
eTrust-Vet 35.2.7528 2010.06.04 –
F-Prot 4.6.0.103 2010.06.06 W32/Trojan-juke-based!Maximus
F-Secure 9.0.15370.0 2010.06.07 Gen:Trojan.Heur.TSW@rTSA4KkG
Fortinet 4.1.133.0 2010.06.06 –
GData 21 2010.06.07 Gen:Trojan.Heur.TSW@rTSA4KkG
Ikarus T3.1.1.84.0 2010.06.07 Trojan-Spy.Win32.Banker.anv
Jiangmin 13.0.900 2010.06.07 –
Kaspersky 7.0.0.125 2010.06.07 –
McAfee 5.400.0.1158 2010.06.07 Generic.dx!sxp
McAfee-GW-Edition 2010.1 2010.06.07 Heuristic.LooksLike.Win32.Suspicious.F
Microsoft 1.5802 2010.06.07 –
NOD32 5178 2010.06.07 –
Norman 6.04.12 2010.06.06 W32/Obfuscated.A!genr
nProtect 2010-06-07.01 2010.06.07 –
Panda 10.0.2.7 2010.06.06 Suspicious file
PCTools 7.0.3.5 2010.06.07 –
Prevx 3.0 2010.06.07 –
Rising 22.51.00.04 2010.06.07 Trojan.DL.Win32.Undef.qef
Sophos 4.53.0 2010.06.07 Mal/Behav-103
Sunbelt 6414 2010.06.07 Trojan.Win32.Packer.EnigmaProtector1.1X-1.3X (v)
Symantec 20101.1.0.89 2010.06.07 –
TheHacker 6.5.2.0.292 2010.06.04 –
TrendMicro 9.120.0.1004 2010.06.07 PAK_Generic.009
TrendMicro-HouseCall 9.120.0.1004 2010.06.07 –
VBA32 3.12.12.5 2010.06.07 –
ViRobot 2010.6.7.2340 2010.06.07 –
VirusBuster 5.0.27.0 2010.06.06 –
Additional information
File size: 747008 bytes
MD5   : 5c15fbed2d3163355fb5ee63d615ecb1
SHA1  : 3174f5f818981f9f21eed79820a2c8dbbeba5f6c

El ELISTARA actual ya pide muestras del mismo, pero además con la versión de hoy, 21.10 ya lo controlará por cadenas, asi como los que descargaa el mismo, K1.EXE, K2.EXE y K3.EXE

El ELISTARA actual ya pide muestras del mismo, pero además con la versión de hoy, 21.10 ya lo controlará por cadenas, asi como los que descargaa el mismo, K1.EXE, K2.EXE y K3.EXE

Si se recibe dicho mail, no ejecutar el link de descarga, claro, pero si ya se ha hecho, con el indicado ELISTARA 21.10 se detectán y eliminarán dichos ficheros creados y se eliminarán las claves de carga de los mismos.

Como se ve, muchos antivirus conocidos aun no lo detectan, por lo cual conviene aumentar la vigilancia !!!

Entre otros, todavía no lo detectan estos 10 siguientes :

Avast5 5.0.332.0 2010.06.07 –
AVG 9.0.0.787 2010.06.06 –
DrWeb 5.0.2.03300 2010.06.07 –
eSafe 7.0.17.0 2010.06.06 –
eTrust-Vet 35.2.7528 2010.06.04 –

Fortinet 4.1.133.0 2010.06.06 –

Kaspersky 7.0.0.125 2010.06.07 –

Microsoft 1.5802 2010.06.07 –
NOD32 5178 2010.06.07 –

Symantec 20101.1.0.89 2010.06.07 –

Cuidado especialmente quienes usen dichos antivirus !

saludos

ms, 7-6-2010