Ficheros de SPY BANKER descargados por BANLOAD SPY BANKER-YOD (Downloader del Banker)
Tras la ejecucion del Banload que llega en el fichero “Fatura_Atualizada.exe” del cual hablabamos ayer en la Noticia del BANLOAd spy banker, se generan e instalan un EXE (de algo mas de 6 MB) que controlamos con el actual ELISTARA 26.37 y cuyos preanalisis de virustotal ofrecen los siguientes informes:
SHA256: dcc0cfa93f036fa1dd58cd03c2dc76949a33ca758e4e4478b895c7e60b0bd7bf
SHA1: 5bea1ea62b316f55e8c4c5b57c993e7d95ab2cf0
MD5: 59c43d9774d22dd2fafd991ada054f88
Tamaño: 6.1 MB ( 6350336 bytes )
Nombre: dvqcr6zend1x.exe
Tipo: Win32 EXE
Detecciones: 7 / 43
Fecha de análisis: 2012-10-19 07:04:24 UTC ( hace 0 minutos )
Antivirus Resultado Actualización
Agnitum – 20121018
AhnLab-V3 – 20121018
AntiVir – 20121019
Antiy-AVL – 20121018
Avast – 20121019
AVG – 20121019
BitDefender – 20121019
ByteHero Trojan.Malware.Obscu.Gen.001 20121016
CAT-QuickHeal – 20121018
ClamAV – 20121019
Commtouch – 20121019
Comodo UnclassifiedMalware 20121019
DrWeb – 20121019
eSafe – 20121017
ESET-NOD32 a variant of Win32/Spy.Banker.YOD 20121018
F-Prot – 20121019
F-Secure – 20121019
Fortinet – 20121019
GData – 20121019
Ikarus – 20121019
Jiangmin – 20121019
K7AntiVirus – 20121018
Kaspersky UDS:DangerousObject.Multi.Generic 20121019
Kingsoft Win32.Malware.Generic.a.(kcloud) 20121008
McAfee – 20121019
McAfee-GW-Edition – 20121019
Microsoft – 20121019
MicroWorld-eScan – 20121019
Norman – 20121018
nProtect – 20121019
Panda – 20121018
PCTools – 20121019
Rising – 20121019
Sophos Mal/Banker-DB 20121019
SUPERAntiSpyware – 20121019
Symantec – 20121019
TheHacker – 20121018
TotalDefense – 20121018
TrendMicro – 20121019
TrendMicro-HouseCall TROJ_GEN.R47H1JI 20121019
VBA32 – 20121018
VIPRE – 20121019
ViRobot – 20121019
que ayer solo controlaban 3 AV y hoy ya lo hacen 7 de 43, y genera ademas una DLL, libmysql41 dll , que no se considera virica sino propia del MYSQL, por lo cual la dejamos estar.
Aparte cabe decir que tras la ejecucion de dicho fichero “Fatura_Atualizada.exe” se genera en carpeta temporal de %Datos de Programa% (Config Local)\Temp\ el fichero hosthot.exe, el cual se autoborra, visualizando este falso mensaje de error, parece que en portugúes, típico de los virus SPY BANKER del Brasil
“O Word nao pode abrir ‘%nombre%.doc’ porque nao ha soporte a esse tipo
de arquivo ou ele foi danificado (por exemplo, foi enviado como anexo
de e-mail e nao foi decodificado corretamente).”
[ Aceptar ]
El preanalisis de dicho fichero hosthot.exe ofrece el siguiente informe:
SHA256: d7ca03eaee2f8d32138f65650268343e2c996939f677461dddb8ee4e7bfb4a2a
SHA1: 8dd4e23ae0e66754190d908687f50601d24f0492
MD5: 0ac156fc010507a381cbb5af9c4230c2
Tamaño: 395.5 KB ( 404992 bytes )
Nombre: hosthot.exe
Tipo: Win32 EXE
Detecciones: 23 / 43
Fecha de análisis: 2012-10-19 07:19:53 UTC ( hace 0 minutos )
Antivirus Resultado Actualización
Agnitum – 20121018
AhnLab-V3 Downloader/Win32.Bancos 20121018
AntiVir TR/Crypt.Delf.X.155 20121019
Antiy-AVL – 20121018
Avast Win32:Trojan-gen 20121019
AVG Suspicion: unknown virus 20121019
BitDefender Trojan.Crypt.Delf.X 20121019
ByteHero – 20121016
CAT-QuickHeal – 20121018
ClamAV – 20121019
Commtouch – 20121019
Comodo UnclassifiedMalware 20121019
DrWeb DLOADER.Trojan 20121019
eSafe – 20121017
ESET-NOD32 a variant of Win32/TrojanDownloader.Banload.RNU 20121018
F-Prot – 20121019
F-Secure Trojan.Crypt.Delf.X 20121019
Fortinet W32/Bancos.BTB!tr 20121019
GData Trojan.Crypt.Delf.X 20121019
Ikarus Trojan.Crypt 20121019
Jiangmin – 20121019
K7AntiVirus – 20121018
Kaspersky HEUR:Trojan-Downloader.Win32.Generic 20121019
Kingsoft Win32.Troj.Undef.(kcloud) 20121008
McAfee PWS-Banker!hf3 20121019
McAfee-GW-Edition Artemis!0AC156FC0105 20121019
Microsoft – 20121019
MicroWorld-eScan Trojan.Crypt.Delf.X 20121019
Norman – 20121018
nProtect – 20121019
Panda Suspicious file 20121018
PCTools Downloader.Bancos 20121019
Rising – 20121019
Sophos Troj/Bancos-BTB 20121019
SUPERAntiSpyware – 20121019
Symantec Downloader.Bancos!gen 20121019
TheHacker – 20121018
TotalDefense – 20121018
TrendMicro – 20121019
TrendMicro-HouseCall TROJ_GEN.R47H1JI 20121019
VBA32 – 20121018
VIPRE Trojan.Win32.Generic!BT 20121019
ViRobot
Aunque como ya decimos, se autoborra tras su ejecución.
Si bien son de temer estos troyanos bancarios por poder facilitar entrada a nuestra cuenta a los ciberdelincuentes, si el usuario toma las mínimas medidas de no abrir fichero anexados a mails no solicitados, y no pulsar en links o imagenes de los mismos, se minimiza el riesgo, además dle control que enseguida hacemos con herramientas y utilidades antivirus al respecto, pero sobre todo siempre se recomienda MUCHO CUIDADO POR PARTE DEL USUARIO !!!
saludos
ms, 19-10-2012
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.