Nuevo downloader de Banker que aun detectan muy pocos antivirus (7 de 41)
Se trata de una variante de una familia de downloaders que identificamos como SPYBANKERUPD , que cada variante usa diferente nombre de fichero malware, y que instala una copia del downloader en una ruta diferente cada version, pero aiempre lo llama UPD.EXE
Típicamente vienen en mails en portugúes,desde Brasil, de donde probablemente es original:
____________
Asunto: Favor responder até 05/09/2010
De: Pedido de orçamento.
Fecha: Wed, 25 Aug 2010 05:43:48 -0300
Para: <destinatario>
1 anexo:
…..Orçamento.zip (23,8KB)
Olá, estamos fazendo uma pesquisa de preços,
e gostaria de saber o valor deste orçamento.
Obs.: (Favor encaminhar resposta para orcamento@fixavisual.com.br até dia 05/09/2010)
Aguardo Resposta.
Atenciosamente,
…
3619-2342/ 9131-5223
<remitente>@terra.com.br
_______________
El analisis con el VirusTotal ofrece actualmente este resultado:
File name:
orcamento.exe Submission date:
2010-08-25 11:06:57 (UTC) Current status:
finished Result:
7 /41 (17.1%) |
VT Community
Compact
y lo pasamos a controlar como SPYBANKERUPD, como una variante mas (ya van 7) de las que hacen lo mismo, pero con otra ruta de carga y diferentes detalles, propios de cada version. A partir del ELISTARA 21.47 QUE ESTARÁ DISPONIBLE A LAS 15 H, ya controlaremos y eliminaremos este malware Mucho cuidado que se trata de un descargador de BANKER, de los que quedan residentes y capturan claves bancarias que envian a los autores del malware… saludos ms, 25-8-2010 __________
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es __________ Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo. Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados. |
Los comentarios están cerrados.