Troyano de pendrive que lanza el AUTORUN.INF ejecutando fichero malware, que tiene icono de carpeta

Se trata de una variante de la familia VBNA  que pasamos a controlar a partir de la version 21.8 del ELIVBNA.EXE

Se trata de un virus polimorfico que borra los EXE del pendrive, y los PDF y carpetas les pone atributo de oculto, y crea copia del troyano con el nombre de dicho PDF o carpeta

Aparte, se propaga por pendrive como hemos indicado en el título

En lugar de ELISTARA, usar para este troyano el ELVBNA.EXE

El preanalisis con VirusTotal ofrece actualmente este informe:

File name:
Reune.exe
Submission date:
2011-09-05 08:22:16 (UTC)
Current status:
finished
Result:
17 /44 (38.6%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3  2011.09.04.00  2011.09.04  –
AntiVir  7.11.14.92  2011.09.04  –
Antiy-AVL  2.0.3.7  2011.09.05  –
Avast  4.8.1351.0  2011.09.04  Win32:AutoRun-CHF [Trj]
Avast5  5.0.677.0  2011.09.04  Win32:AutoRun-CHF [Trj]
AVG  10.0.0.1190  2011.09.05  SHeur4.AVD
BitDefender  7.2  2011.09.05  Gen:Trojan.Heur.VP2.jm0@aqK9sqki
ByteHero  1.0.0.1  2011.09.03  –
CAT-QuickHeal  11.00  2011.09.05  –
ClamAV  0.97.0.0  2011.09.05  –
Commtouch  5.3.2.6  2011.09.04  –
Comodo  9997  2011.09.05  –
DrWeb  5.0.2.03300  2011.09.05  Trojan.VbCrypt.24
Emsisoft  5.1.0.11  2011.09.05  Worm.Win32.Vobfus!IK
eSafe  7.0.17.0  2011.09.04  –
eTrust-Vet  36.1.8537  2011.09.02  Win32/Changeup.A!generic
F-Prot  4.6.2.117  2011.09.04  –
F-Secure  9.0.16440.0  2011.09.05  Gen:Trojan.Heur.VP2.jm0@aqK9sqki
Fortinet  4.3.370.0  2011.09.05  –
GData  22  2011.09.05  Gen:Trojan.Heur.VP2.jm0@aqK9sqki
Ikarus  T3.1.1.107.0  2011.09.05  Worm.Win32.Vobfus
Jiangmin  13.0.900  2011.09.04  –
K7AntiVirus  9.111.5083  2011.09.02  Virus
Kaspersky  9.0.0.837  2011.09.05  –
McAfee  5.400.0.1158  2011.09.05  –
McAfee-GW-Edition  2010.1D  2011.09.05  –
Microsoft  1.7604  2011.09.05  Worm:Win32/Vobfus.gen!N
NOD32  6436  2011.09.05  Win32/AutoRun.VB.AKW
Norman  6.07.11  2011.09.04  –
nProtect  2011-09-05.01  2011.09.05  –
Panda  10.0.3.5  2011.09.04  Suspicious file
PCTools  8.0.0.5  2011.09.05  –
Prevx  3.0  2011.09.05  –
Rising  23.73.01.03  2011.08.30  –
Sophos  4.69.0  2011.09.05  –
SUPERAntiSpyware  4.40.0.1006  2011.09.04  Trojan.Agent/Gen-MultiSrc
Symantec  20111.2.0.82  2011.09.05  –
TheHacker  6.7.0.1.290  2011.09.03  –
TrendMicro  9.500.0.1008  2011.09.03  WORM_VOBFUS.SMHE
TrendMicro-HouseCall  9.500.0.1008  2011.09.05  WORM_VOBFUS.SMHE
VBA32  3.12.16.4  2011.09.05  –
VIPRE  10376  2011.09.05  –
ViRobot  2011.9.5.4656  2011.09.05  –
VirusBuster  14.0.200.0  2011.09.03  –
Additional information
MD5   : 6c577fb0935bc23879dbb0725b739c09
SHA1  : 02d1dbcbac521fe7a6202900ba5d508cb660ac09

File size : 147456 bytes
publisher….: n/a
copyright….: n/a
product……: ivHBhvsAcWHELzWnl
description..: n/a
original name: xRvntBVFyQgI.exe
internal name: xRvntBVFyQgI
file version.: 1.00

Dicha version  2.18 del ELIVBNA.EXE que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

Se recuerda que con el ELIPEN.EXE se evita la propagacion de los virus que se transmiten a traves del AUTORUN.INF del pendrive, como en este caso.

saludos

ms, 5-9-2011