Downloader de la familia Bredolab que llega anexado a un falso mail en fichero Post_Express_Label_No.98377.zip
Desde Bogotá recibimos este ZIP que una vez desempaquetado es un fichero malware ejecutable, con el icono de WORD mientras que es un EXE : Post_Express_Label.exe
El preanalisis con VirusTotal nos ofrece este informe:
File name: Post_Express_Label.exe
Submission date: 2011-03-29 08:44:05 (UTC)
Current status: finished
Result: 16 /43 (37.2%)
VT Community
malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.03.29.01 2011.03.29 Trojan/Win32.Bredolab
AntiVir 7.11.5.102 2011.03.29 TR/Spy.ZBot.PV
Antiy-AVL 2.0.3.7 2011.03.29 –
Avast 4.8.1351.0 2011.03.28 –
Avast5 5.0.677.0 2011.03.28 –
AVG 10.0.0.1190 2011.03.28 –
BitDefender 7.2 2011.03.29 Trojan.Generic.KDV.171042
CAT-QuickHeal 11.00 2011.03.29 –
ClamAV 0.96.4.0 2011.03.29 BC.Heuristic.Trojan.SusPacked.BF-6.A
Commtouch 5.2.11.5 2011.03.24 –
Comodo 8145 2011.03.29 –
DrWeb 5.0.2.03300 2011.03.29 Trojan.DownLoader2.25347
Emsisoft 5.1.0.4 2011.03.29 Virus.Win32.Injector!IK
eSafe 7.0.17.0 2011.03.27 –
eTrust-Vet 36.1.8241 2011.03.29 Win32/Bredolab.ARL
F-Prot 4.6.2.117 2011.03.29 W32/Trojan2.NMXY
F-Secure 9.0.16440.0 2011.03.23 –
Fortinet 4.2.254.0 2011.03.29 –
GData 21 2011.03.29 Trojan.Generic.KDV.171042
Ikarus T3.1.1.97.0 2011.03.29 Virus.Win32.Injector
Jiangmin 13.0.900 2011.03.29 –
K7AntiVirus 9.94.4235 2011.03.28 –
Kaspersky 7.0.0.125 2011.03.29 Trojan.Win32.Diple.jhn
McAfee 5.400.0.1158 2011.03.29 –
McAfee-GW-Edition 2010.1C 2011.03.28 –
Microsoft 1.6702 2011.03.29 VirTool:Win32/Injector.gen!BB
NOD32 5995 2011.03.29 –
Norman 6.07.03 2011.03.29 –
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.03.28 Suspicious file
PCTools 7.0.3.5 2011.03.26 –
Prevx 3.0 2011.03.29 Medium Risk Malware Dropper
Rising 23.51.00.06 2011.03.28 –
Sophos 4.64.0 2011.03.29 Mal/FakeAV-IU
SUPERAntiSpyware 4.40.0.1006 2011.03.29 –
Symantec 20101.3.0.103 2011.03.29 Trojan.Sasfis
TheHacker 6.7.0.1.160 2011.03.29 –
TrendMicro 9.200.0.1012 2011.03.29 –
TrendMicro-HouseCall 9.200.0.1012 2011.03.29 –
VBA32 3.12.14.3 2011.03.28 –
VIPRE 8854 2011.03.29 –
ViRobot 2011.3.29.4381 2011.03.29 –
VirusBuster 13.6.274.0 2011.03.28 –
Additional informationShow all
MD5 : 6eecef1273434722c962aa8f2ad31643
SHA1 : f3b8008914ab45d13712c97373da02729c182316
File size : 26624 bytes
publisher….: Inqmwn Software
copyright….: Copyright (c) Inqmwn Software 2001-2009
product……: Inqmwn Mwvnwurbyd Pujgrhubfc
description..: Inqmwn Mwvnwurbyd Pujgrhubfc
original name: Inqmwn.exe
internal name: Inqmwn
file version.: 539
Donde vemos que solo 16 de los 43 AV lo controlan, precisando que NO LO DETECTAN actualmente ni Avast, ni AVG, ni e-Safe, ni F-secure, ni McAfee, ni NOD32, ni Norman, ni Trens, entre otros AV conocidos
Al ser un Downloader (de la familia Bredolab) y llegar anexado a un falso mail de una Agencia Conocida, es muy fácil que se ejecute siguiendo las instrucciones del mail, y al no ser actualmente controlado por la mayoria de los AV, facilmente logrará su propósito !
Lo hemos enviado urgentemente a McAfee para que pasen a controlarlo hoy mismo !
Con nuestra version 22.91 del ELISTARA de hoy ya controlamos y eliminamos esta nueva variante. Dicha version estará disponible en nuestra web a partir de las 19 h CET de hoy
saludos
ms, 29-3-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.