Variante del VBNA cazada por la heuristica del ELISTARA

Desde las últimas versiones del ELISTARA 23.81 y del ELIVBNA 2.19, se detectan heuristicamente posibles variantes del VBNA para pedir muestra y controlarlo especificamente

En este caso el ELIVBNA ya no hubiera pedido muestra, sino que lo hubiera conocido y eliminado automaticamente, pero tambien el ELISTARA ha sospechado de él y aparcado en C:\muestras, pidiendo que se nos enviara, lo cual ha sido el caso.

Ahora simplemente lanzando el ELIVBNA.EXE se eliminarán las claves y hasta el fichero muestra al ser ya de los que conoce, y sino, se implementaría su control para el futuro.

El preanalisis del VirusTotal nos ofrece el siguiente informe:

File name:
WIEMAAC.EXE.Muestra EliStartPage v23.81
Submission date:
2011-09-08 08:56:37 (UTC)
Current status:
finished
Result:
39 /44 (88.6%)

VT Community

not reviewed
Safety score: –
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3  2011.09.07.02  2011.09.07  Win32/Vbna4.worm.Gen
AntiVir  7.11.14.135  2011.09.08  TR/Poly.Agent.C
Antiy-AVL  2.0.3.7  2011.09.08  –
Avast  4.8.1351.0  2011.09.08  Win32:VB-PTV [Wrm]
Avast5  5.0.677.0  2011.09.08  Win32:VB-PTV [Wrm]
AVG  10.0.0.1190  2011.09.07  Worm/VB.12.AG
BitDefender  7.2  2011.09.08  Win32.Worm.VB.NZJ
ByteHero  1.0.0.1  2011.08.22  –
CAT-QuickHeal  11.00  2011.09.08  Worm.VBNA.gen
ClamAV  0.97.0.0  2011.09.08  Worm.VB-1752
Commtouch  5.3.2.6  2011.09.08  W32/Vobfus.E.gen!Eldorado
Comodo  10035  2011.09.08  TrojWare.Win32.Downloader.VB.C
DrWeb  5.0.2.03300  2011.09.08  Win32.HLLW.Autoruner.25850
Emsisoft  5.1.0.11  2011.09.08  Worm.Win32.Vobfus!IK
eSafe  7.0.17.0  2011.09.07  –
eTrust-Vet  36.1.8546  2011.09.08  Win32/Vobfus.JF
F-Prot  4.6.2.117  2011.09.07  W32/Vobfus.E.gen!Eldorado
F-Secure  9.0.16440.0  2011.09.08  Win32.Worm.VB.NZJ
Fortinet  4.3.370.0  2011.09.08  W32/VBNA.D!tr
GData  22  2011.09.08  Win32.Worm.VB.NZJ
Ikarus  T3.1.1.107.0  2011.09.08  Worm.Win32.Vobfus
Jiangmin  13.0.900  2011.09.07  Worm/VBNA.xkz
K7AntiVirus  9.112.5100  2011.09.07  EmailWorm
Kaspersky  9.0.0.837  2011.09.08  Worm.Win32.VBNA.b
McAfee  5.400.0.1158  2011.09.08  Downloader-CJX.gen.g
McAfee-GW-Edition  2010.1D  2011.09.08  Downloader-CJX.gen.g
Microsoft  1.7604  2011.09.08  Worm:Win32/Vobfus.AC
NOD32  6445  2011.09.08  Win32/AutoRun.VB.RU
Norman  6.07.11  2011.09.08  W32/VBNA.CF
nProtect  2011-09-08.02  2011.09.08  Worm/W32.Agent.131072.AG
Panda  10.0.3.5  2011.09.07  W32/VobfusLNK.A
PCTools  8.0.0.5  2011.09.08  Malware.Changeup
Prevx  3.0  2011.09.08  –
Rising  23.74.02.03  2011.09.07  Trojan.Win32.VBCode.fjh
Sophos  4.69.0  2011.09.08  Mal/SillyFDC-D
SUPERAntiSpyware  4.40.0.1006  2011.09.08  Trojan.Agent/Gen-FakeAlert
Symantec  20111.2.0.82  2011.09.08  W32.Changeup.C
TheHacker  6.7.0.1.291  2011.09.08  –
TrendMicro  9.500.0.1008  2011.09.06  WORM_VB.SMRX
TrendMicro-HouseCall  9.500.0.1008  2011.09.08  WORM_VB.SMRX
VBA32  3.12.16.4  2011.09.07  Worm.VBNA.b
VIPRE  10407  2011.09.08  Trojan.Win32.Vobfus.a (v)
ViRobot  2011.9.8.4662  2011.09.08  Worm.Win32.VB.131072.C
VirusBuster  14.0.203.0  2011.09.07  Worm.VBNA.Gen.3
Additional information
MD5   : 2ef4e5109e7af4ea0ec42c9039fec298
SHA1  : e3c545fba85b7dc2f90ad8b8465c4ce8f8978bc8

File size : 131072 bytes

publisher….: n/a
copyright….: n/a
product……: ZuFCcuPm
description..: n/a
original name: ZuFCcuPm.exe
internal name: ZuFCcuPm
file version.: 9.77

Con la actual version 2.19 del ELIVBNA.EXE ya se detecta y elimina esta variante.

saludos

ms, 8-9-2011