Nuevo downloader de Banker, cuyo link llega anexado a un mail relativo a Maradona, poco controlado por los antivirus actuales

Nos llega el aviso de que se está propagando un mail masivo, que con el Asunto Subject: Maradona mesmo nao ganhando cumpre sua promessa… Strepppp.. hhahaha , anexa link de acceso a su descarga…

El link ofrecido descarga un downloader que ya es controlado por McAfee y he tenido que desactivarlo para poderlo bajar …

El preanalisis con VirusTotal indica:

 File el_maradona_satisface_su_promesa.  received on 2010.07.07 17:55:41 (UTC)

Result: 11/41 (26.83%)

 
Antivirus  Version  Last Update  Result
a-squared 5.0.0.31 2010.07.07 Trojan-Downloader.Win32.Banload!IK
AhnLab-V3 2010.07.07.01 2010.07.07 –
AntiVir 8.2.4.10 2010.07.07 –
Antiy-AVL 2.0.3.7 2010.07.07 –
Authentium 5.2.0.5 2010.07.07 –
Avast 4.8.1351.0 2010.07.07 –
Avast5 5.0.332.0 2010.07.07 –
AVG 9.0.0.836 2010.07.07 –
BitDefender 7.2 2010.07.07 –
CAT-QuickHeal 11.00 2010.07.07 –
ClamAV 0.96.0.3-git 2010.07.07 –
Comodo 5351 2010.07.07 Heur.Pck.PKLITE32
DrWeb 5.0.2.03300 2010.07.07 –
eSafe 7.0.17.0 2010.07.07 –
eTrust-Vet 36.1.7690 2010.07.07 –
F-Prot 4.6.1.107 2010.07.07 –
F-Secure 9.0.15370.0 2010.07.07 –
Fortinet 4.1.133.0 2010.07.07 –
GData 21 2010.07.07 –
Ikarus T3.1.1.84.0 2010.07.07 Trojan-Downloader.Win32.Banload
Jiangmin 13.0.900 2010.07.07 –
Kaspersky 7.0.0.125 2010.07.07 Trojan-Downloader.Win32.Banload.aysx
McAfee 5.400.0.1158 2010.07.07 Generic Downloader.x!eac
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.BehavesLike.Win32.Dropper.H
Microsoft 1.5902 2010.07.07 TrojanDownloader:Win32/Banload
NOD32 5260 2010.07.07 a variant of Win32/TrojanDownloader.Banload.OJG
Norman 6.05.11 2010.07.07 –
nProtect 2010-07-07.02 2010.07.07 Trojan/W32.Agent.230400.AO
Panda 10.0.2.7 2010.07.07 Suspicious file
PCTools 7.0.3.5 2010.07.07 –
Prevx 3.0 2010.07.07 –
Rising 22.55.02.04 2010.07.07 –
Sophos 4.54.0 2010.07.07 –
Sunbelt 6556 2010.07.07 –
Symantec 20101.1.0.89 2010.07.07 –
TheHacker 6.5.2.1.309 2010.07.07 –
TrendMicro 9.120.0.1004 2010.07.07 –
TrendMicro-HouseCall 9.120.0.1004 2010.07.07 –
VBA32 3.12.12.6 2010.07.07 Trojan-Downloader.Win32.Banload.aymu
ViRobot 2010.6.29.3912 2010.07.07 –
VirusBuster 5.0.27.0 2010.07.06 –
Additional information
File size: 230400 bytes
MD5…: 96d8202cc97117a8e8baf5a3378761ac
SHA1..: 487d95cf1d485db20b0d58a6461b180eba74c654

Al parecer se trata de un downloader de una variante del Banker (cazapasswords bancarios)

Como que solo una cuarta parte de los antivirus mas usados lo detecta, mañana lo monitorizaremos e implementaremos su control y eliminacion en el ELISTARA 21.33 de mañana 8-7-2010

Mientras tanto, quien quiera ver si lo tiene, con cualquier nombre, puede  probar el ELIMD5 entrando cualquiera de los dos hashes indicados al final del informe, como por ejemplo 96d8202cc97117a8e8baf5a3378761ac

saludos

ms, 7-7-2010
NOTA: Cabe señalar que ninguno de los siguientes antivirus, actualizados al dia de hoy, lo controla:

Avast 4.8.1351.0 2010.07.07 –
Avast5 5.0.332.0 2010.07.07 –
AVG 9.0.0.836 2010.07.07 –
BitDefender 7.2 2010.07.07 –
DrWeb 5.0.2.03300 2010.07.07 –
eSafe 7.0.17.0 2010.07.07 –
eTrust-Vet 36.1.7690 2010.07.07 –
F-Prot 4.6.1.107 2010.07.07 –
F-Secure 9.0.15370.0 2010.07.07 –
Fortinet 4.1.133.0 2010.07.07 –
GData 21 2010.07.07 –
Norman 6.05.11 2010.07.07 –
Sophos 4.54.0 2010.07.07 –
Sunbelt 6556 2010.07.07 –
Symantec 20101.1.0.89 2010.07.07 –
TheHacker 6.5.2.1.309 2010.07.07 –
TrendMicro 9.120.0.1004 2010.07.07 –
TrendMicro-HouseCall 9.120.0.1004 2010.07.07 –

Los usuarios de los mismos, especial cuidado si reciben dicho mail, ya que no lo controlan.

ms.