Nuevo troyano Downloader que se descarga del link anexado a un e-mail enviado por un conocido

Mail de un amigo anexando link que aparenta ser la descarga de una foto:

“http://<interceptado>DOWNLOAD.JPG?ID=FOTOS?<interceptado>”

pero que realmente descarga un troyano, en cuyas Propiedades indica falsamente ser de Microsoft:

publisher….: Microsoft Corporation
copyright….:
product……:
description..: Arquivo de Som do Windows

con texto en portugués… posiblemente de Brasil.
Recibida muestra que llega en mail enviado por usuarios conocidos, anexa un link que descarga un Downloader posiblemente de un Banker  (Banload):

File name:
hVT3pZ.exe
Submission date:
2011-03-18 02:59:41 (UTC)
Current status:
finished
Result:
20 /43 (46.5%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.03.18.01 2011.03.18 –
AntiVir 7.11.4.248 2011.03.17 TR/Dldr.Delphi.Gen
Antiy-AVL 2.0.3.7 2011.03.18 –
Avast 4.8.1351.0 2011.03.17 –
Avast5 5.0.677.0 2011.03.17 –
AVG 10.0.0.1190 2011.03.17 –
BitDefender 7.2 2011.03.18 DeepScan:Generic.Malware.P!Pk!.48A3079C
CAT-QuickHeal 11.00 2011.03.17 –
ClamAV 0.96.4.0 2011.03.17 –
Commtouch 5.2.11.5 2011.03.17 W32/Threat-SysVenFak-based!Maximus
Comodo 8019 2011.03.18 TrojWare.Win32.TrojanDownloader.Delf.gen
DrWeb 5.0.2.03300 2011.03.18 Trojan.DownLoad2.22072
Emsisoft 5.1.0.2 2011.03.18 Trojan-Downloader.Win32.Banload!IK
eSafe 7.0.17.0 2011.03.17 –
eTrust-Vet 36.1.8221 2011.03.17 –
F-Prot 4.6.2.117 2011.03.17 W32/Threat-SysVenFak-based!Maximus
F-Secure 9.0.16440.0 2011.03.17 DeepScan:Generic.Malware.P!Pk!.48A3079C
Fortinet 4.2.254.0 2011.03.18 –
GData 21 2011.03.18 DeepScan:Generic.Malware.P!Pk!.48A3079C
Ikarus T3.1.1.97.0 2011.03.18 Trojan-Downloader.Win32.Banload
Jiangmin 13.0.900 2011.03.17 Trojan/Generic.dyej
K7AntiVirus 9.93.4136 2011.03.17 Trojan
Kaspersky 7.0.0.125 2011.03.18 Heur.Trojan.Generic
McAfee 5.400.0.1158 2011.03.18 Suspect-AK!63C3DD4F2C9C
McAfee-GW-Edition 2010.1C 2011.03.17 Heuristic.BehavesLike.Win32.Keylogger.J
Microsoft 1.6603 2011.03.17 –
NOD32 5964 2011.03.17 a variant of Win32/TrojanDownloader.Banload.PZM
Norman 6.07.03 2011.03.17 W32/Malware
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.03.17 –
PCTools 7.0.3.5 2011.03.17 –
Prevx 3.0 2011.03.18 –
Rising 23.49.02.06 2011.03.16 –
Sophos 4.63.0 2011.03.18 –
SUPERAntiSpyware 4.40.0.1006 2011.03.18 –
Symantec 20101.3.0.103 2011.03.18 –
TheHacker 6.7.0.1.151 2011.03.18 –
TrendMicro 9.200.0.1012 2011.03.17 Mal_Banld-7
TrendMicro-HouseCall 9.200.0.1012 2011.03.18 Mal_Banld-7
VBA32 3.12.14.3 2011.03.16 –
VIPRE 8738 2011.03.18 Trojan-Downloader.Win32.Banload.anow (v)
ViRobot 2011.3.17.4362 2011.03.17 –
VirusBuster 13.6.254.0 2011.03.17 –
Additional information
Show all
MD5 : 63c3dd4f2c9c69a1dc9e1854cf284ca4
SHA1 : 786a6f1375eac1a2bdac7bbb80f894e0f4e37fc9

File size : 128512 bytes

sigcheck:
publisher….: Microsoft Corporation
copyright….:
product……:
description..: Arquivo de Som do Windows
original name:
internal name:
file version.: 7.22.1800.2
comments…..:
signers……: –
signing date.: –
verified…..: Unsigned

Al parecer se trata de un Downloader de Banker, de los que roban contraseñas bancarias, y en portugués, típico de Brasil, de donde vienen tantos similares.

Actualmente se puede detectar con  el ELIMD5.EXE indicando el hash correspondiente, que en este caso es 63c3dd4f2c9c69a1dc9e1854cf284ca4

y el lunes, de vuelta al trabajo en SATINFO, lo analizaremos e implementaremos su control y eliminacion en la siguiente version del ELISTARA, de lo cual informaremos

saludos

ms, 18-3-2011