Nueva variante de BANLOAD.YA que se está recibiendo por mail

Recibido en un mail con un link, que descarga de una web de Chile el “fichero carta-id-384275.pdf.exe”  con el pretexto de ser una carta extraviada, y ofreciendo un nuevo servicio de Correos ONLINE …

Nótese que el fichero que descarga es de coble extension, y si bien el usuario ve aparentemente extension .PDF, realmente es un .EXE, aunque ésta normalmente está oculta.

Dicho malware es un cazapasswords bancario, redirigiendo al usuario a una web “ohishing” en lugar de la autentica del banco, cuando entra la URL del mismo, debido a una redirección en el HOSTS que ha sido modificado por el troyano.

A partir del ELISTARA  23.59 controlamos esta nueva variate de BANLOAD, eliminando el fichero y restaurando el HOSTS al valor por defecto, salvo que el usuario deniegue tal acción.

el preanalisis con el VirusTotal nos ofrece el siguiente informe:

ile name:
CSRCS.EXE.Muestra EliStartPage v23.58
Submission date:
2011-07-08 11:04:48 (UTC)
Current status:
finished
Result:
29/ 43 (67.4%)

VT Community

not reviewed
Safety score: –
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3 2011.07.08.01 2011.07.08 Win-Trojan/Qhost.69632.C
AntiVir 7.11.11.39 2011.07.08 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2011.07.08 Trojan/win32.agent.gen
Avast 4.8.1351.0 2011.07.08 Win32:Malware-gen
Avast5 5.0.677.0 2011.07.08 Win32:Malware-gen
AVG 10.0.0.1190 2011.07.08 VB.BEEA
BitDefender 7.2 2011.07.08 Gen:Trojan.Heur.VB.em0@cOf0HXUi
CAT-QuickHeal 11.00 2011.07.08 –
ClamAV 0.97.0.0 2011.07.08 –
Commtouch 5.3.2.6 2011.07.08 –
Comodo 9318 2011.07.08 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.07.08 BackDoor.Siggen.31356
Emsisoft 5.1.0.8 2011.07.08 Trojan.VB!IK
eSafe 7.0.17.0 2011.07.07 Win32.TRDropper
eTrust-Vet 36.1.8433 2011.07.08 –
F-Prot 4.6.2.117 2011.07.08 –
F-Secure 9.0.16440.0 2011.07.08 Gen:Trojan.Heur.VB.em0@cOf0HXUi
Fortinet 4.2.257.0 2011.07.08 –
GData 22 2011.07.08 Gen:Trojan.Heur.VB.em0@cOf0HXUi
Ikarus T3.1.1.104.0 2011.07.08 Trojan.VB
Jiangmin 13.0.900 2011.07.07 –
K7AntiVirus 9.107.4883 2011.07.07 Riskware
Kaspersky 9.0.0.837 2011.07.08 Backdoor.Win32.VB.nsx
McAfee 5.400.0.1158 2011.07.08 Generic.tfr!d
McAfee-GW-Edition 2010.1D 2011.07.08 Generic.tfr!d
Microsoft 1.7000 2011.07.08 Trojan:Win32/Msposer.A
NOD32 6276 2011.07.08 a variant of Win32/VB.PYN
Norman 6.07.10 2011.07.08 W32/Smalldoor.QJVK
nProtect 2011-07-08.01 2011.07.08 Backdoor/W32.Agent.69632.EA
Panda 10.0.3.5 2011.07.07 Trj/Banker.MOG
PCTools 8.0.0.5 2011.07.08 Trojan.Gen
Prevx 3.0 2011.07.08 –
Rising 23.65.04.03 2011.07.08 –
Sophos 4.67.0 2011.07.08 –
SUPERAntiSpyware 4.40.0.1006 2011.07.07 –
Symantec 20111.1.0.186 2011.07.08 Trojan.Gen.2
TheHacker 6.7.0.1.250 2011.07.08 –
TrendMicro 9.200.0.1012 2011.07.08 TROJ_MSPOSER.BA
TrendMicro-HouseCall 9.200.0.1012 2011.07.08 TROJ_MSPOSER.BA
VBA32 3.12.16.4 2011.07.07 –
VIPRE 9802 2011.07.08 Trojan.Win32.Generic!BT
ViRobot 2011.7.8.4558 2011.07.08 Trojan.Win32.Qhost.69632.C
VirusBuster 14.0.114.0 2011.07.07 –
Additional information
MD5   : af28599a5eba2835ea47971811d4c32f
SHA1  : 9045916b54aa992fe821db84351d42352af616c5

File size : 69632 bytes
publisher….: Microsoft
copyright….: n/a
product……: MediaPlayer
description..: n/a
original name: mifud.exe
internal name: mifud
file version.: 1.00
Dicha version del ELISTARA 23.59 que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 horas CEST de hoy

Mucho cuidado con estos troyanoz cazapasswords bancarios, que intentan capturar los números de cuenta y passwords, para nada bueno…

saludos

ms, 8-7-2011