NUEVA VARIANTE DE BANLOAD SVM DESCARGADO DE LINK ANEXADO A EMAIL MASIVO ESCRITO EN PORTUGUES:
Una nueva variante de malware que llega al descargar fichero de un link anexado a un mail escrito en portugués, con apariencia de PDF pero con doble extension, .PDF.CPL , con lo cual es ejecutable su codigo malicioso, pasa a ser controlado como BANLOAD (downloader de SPYBANKER), a partir del ELISTARA 29.00 de hoy
El preanalisis de virustotal ofrece este informe:
MD5 fe2b9f8abebdcc5fc08e4f1caf671690
SHA1 dbf67e814eb18e4ccf5bdebfeb3532b14a970529
File size 101.0 KB ( 103424 bytes )
SHA256: 84de9d1f7459e3e792bff30828a44b17f4f11bb8f48c43c5d4d041757d4db304
Nombre: Anexo_NTF-e.PDF.cpl
Detecciones: 15 / 49
Fecha de análisis: 2013-12-18 09:31:15 UTC ( hace 0 minutos )
0 1
Antivirus Resultado Actualización
Ad-Aware Gen:Variant.Barys.2535 20131211
Agnitum 20131217
AhnLab-V3 Trojan/Win32.Agent 20131217
AntiVir 20131218
Antiy-AVL 20131218
Avast 20131218
AVG Delf 20131218
Baidu-International Trojan.Win32.Banload.SVM 20131213
BitDefender Gen:Variant.Barys.2535 20131211
Bkav 20131217
ByteHero 20130613
CAT-QuickHeal 20131218
ClamAV 20131218
CMC 20131217
Commtouch 20131217
Comodo 20131218
DrWeb 20131218
Emsisoft 20131218
ESET-NOD32 a variant of Win32/TrojanDownloader.Banload.SVM 20131218
F-Prot 20131217
F-Secure Gen:Variant.Barys.2535 20131218
Fortinet 20131218
GData Gen:Variant.Barys.2535 20131218
Ikarus 20131218
Jiangmin 20131218
K7AntiVirus 20131217
K7GW 20131217
Kaspersky UDS:DangerousObject.Multi.Generic 20131218
Kingsoft 20130829
Malwarebytes 20131218
McAfee 20131218
McAfee-GW-Edition 20131218
Microsoft 20131218
MicroWorld-eScan Gen:Variant.Barys.2535 20131218
NANO-Antivirus 20131218
Norman 20131218
nProtect 20131218
Panda Trj/Genetic.gen 20131217
Rising 20131218
Sophos Troj/DwnLdr-LEG 20131218
SUPERAntiSpyware Trojan.Agent/Gen-Barys 20131218
Symantec Trojan.Gen.2 20131218
TheHacker 20131217
TotalDefense 20131217
TrendMicro 20131218
TrendMicro-HouseCall TROJ_GEN.R0C1H08LH13 20131218
VBA32 20131218
VIPRE 20131218
ViRobot 20131218
Dicha version del ELISTARA 29.00 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy, recomendando mientras tanto reiniciar los ordenadores donde se haya desempaquetado dicho ZIP, asi como eliminar el mail y dicho fichero ZIP descargado, asi como el ejecutable .CPL, si han desempaquetado el .ZIP
NOTA IMPORTANTE:
No vemos que actualmente este malware descargue los ejecutables propios del SPYBANKER, como las demas muestras que tenemos de Banloads, lo cual es posible que sea por no estar actualmente activa la web de la que descargan los dos ficheros típicos de Spybanker, si bien podrían volver a activarla y ser operativo dicho Banload, razon por la que pasamos a controlarlo y eliminarlo a partir del ELISTARA 29.00
Nuestra recomendacion es que se reinicen los ordenadores en los que se haya descargado dicho ZIP, pues la ejecucion del CPL desempaquetado, mantiene residente el RUNDLL32 con el cual lo ejecuta, hasta que se reinicie el ordenador, en cuyo momento ya no se lanzará de nuevo, salvo que vuelvan a ejecutarlo manualmente o a desempaquetar el ZIP, por lo que conviene eliminar dicho mail, y el ZIP que hayan descargado del mismo, además del fichero desempaquetado, cuidandose de esto último el ELISTARA 29.00, y, si se marca la casilla de explorar ZIP, tambien el fichero ZIP en cuestión.
saludos
ms, 18-12-2103
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.