Nueva variante de gusano polimorfico VBNA

Muestra recibida desde Perú, es de la familia VBNA, se propaga por pendrive y va cambiando en cada infeccion (polimorfico)

Esta nueva variante la controlamos a partir del ELIVBNA 2.6 de hoy
File name: ruovunx.exe
Submission date: 2011-03-08 12:30:28 (UTC)
Current status: finished
Result: 20 /43 (46.5%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.03.08.00 2011.03.08 Trojan/Win32.VBKrypt
AntiVir 7.11.4.119 2011.03.08 Worm/VB.A.48
Antiy-AVL 2.0.3.7 2011.03.06 –
Avast 4.8.1351.0 2011.03.08 Win32:VB-RSN
Avast5 5.0.677.0 2011.03.08 Win32:VB-RSN
AVG 10.0.0.1190 2011.03.08 SHeur3.BQUV
BitDefender 7.2 2011.03.08 Gen:Variant.Kazy.14392
CAT-QuickHeal 11.00 2011.03.08 –
ClamAV 0.96.4.0 2011.03.07 –
Commtouch 5.2.11.5 2011.03.08 –
Comodo 7914 2011.03.08 –
DrWeb 5.0.2.03300 2011.03.08 Win32.HLLW.Autoruner.46775
Emsisoft 5.1.0.2 2011.03.08 Trojan.Win32.SuspectCRC!IK
eSafe 7.0.17.0 2011.03.07 –
eTrust-Vet 36.1.8201 2011.03.08 –
F-Prot 4.6.2.117 2011.03.08 –
F-Secure 9.0.16440.0 2011.03.08 Gen:Variant.Kazy.14392
Fortinet 4.2.254.0 2011.03.08 –
GData 21 2011.03.08 Gen:Variant.Kazy.14392
Ikarus T3.1.1.97.0 2011.03.08 Trojan.Win32.SuspectCRC
Jiangmin 13.0.900 2011.03.08 –
K7AntiVirus 9.92.4054 2011.03.08 –
Kaspersky 7.0.0.125 2011.03.08 Trojan.Win32.VBKrypt.bzdk
McAfee 5.400.0.1158 2011.03.08 Artemis!DC46DCA632B9
McAfee-GW-Edition 2010.1C 2011.03.08 Artemis!DC46DCA632B9
Microsoft 1.6603 2011.03.08 Worm:Win32/VB
NOD32 5936 2011.03.08 Win32/AutoRun.VB.ACA
Norman 6.07.03 2011.03.08 –
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.03.07 Trj/CI.A
PCTools 7.0.3.5 2011.03.08 –
Prevx 3.0 2011.03.08 High Risk Cloaked Malware
Rising 23.48.01.06 2011.03.08 –
Sophos 4.63.0 2011.03.08 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2011.03.08 –
Symantec 20101.3.0.103 2011.03.08 –
TheHacker 6.7.0.1.145 2011.03.08 –
TrendMicro 9.200.0.1012 2011.03.08 –
TrendMicro-HouseCall 9.200.0.1012 2011.03.08 –
VBA32 3.12.14.3 2011.03.04 –
VIPRE 8635 2011.03.08 Trojan.Win32.Generic!BT
ViRobot 2011.3.8.4347 2011.03.08 –
VirusBuster 13.6.239.0 2011.03.07 –
Additional informationShow all
MD5   : dc46dca632b9efb2cc537ac1a5168519
SHA1  : 5d8ea2e8c03737badbdafe16f5552215bb4cd15a
File size : 233472 bytes
publisher….: n/a
copyright….: n/a
product……: QvfcHLhflmSAvCmsBKZjOJramMhr
description..: n/a
original name: vlHSxxx.exe
internal name: vlHSxxx
file version.: 3.70

De entre los AV que no lo detectan actualmente, destacan algunos como eSafe, eTrust, F-Prot, Sophos, Symantec y Trend, entre otros conocidos

Borra los EXE del pendrive y las carpetas las oculta creando link que carga el malware y luego accede a la carpeta deseada

Ejemplo de link creado en un pendrive: __________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.