NUEVA VARIANTE DE BANLOAD -> SPYBANKER RECIBIDO EN MAIL MASIVO EN PORTUGUES (Descargado desde Brasil : -10, -55)

Posted in 29 mayo 2014 ¬ 16:49 pmh.mscComentarios desactivados en NUEVA VARIANTE DE BANLOAD -> SPYBANKER RECIBIDO EN MAIL MASIVO EN PORTUGUES (Descargado desde Brasil : -10, -55)

Sobre mail en portugués con HTML que descarga fichero ZIP que instala SPYBANKER, desde servidores de Brasil (xxx.70.98.246 y xxx.188.2.70), aun poco detectado por los actuales AV (solo 6 de 53)

Recibido mail en portugues, ha resultado contener un ZIP con Banload, la ejecucion del cual instala un SPYBANKER, con la ejecucion de un EXE de nombre variable, desde la carpeta de Inicio y el lanzamiento de una DLL  cuyo nombre de fichero y extension son variables.

El EXE en cuestion, subido al virustotal, ofrece el siguiente informe:

MD5 fbbb136a4079928ce03ab5475e865bda
SHA1 08755cbf8ca47d1c2a5bd0ba3823248111f4ef6e
Tamaño del fichero 741.5 KB ( 759296 bytes )
SHA256: 593272aa7b037950786320122987f7654ad268bc0ce9e1ef00c9ebb0c1af2e48
Nombre: tlc77pj8.exe
Detecciones: 6 / 53
Fecha de análisis: 2014-05-29 13:14:55 UTC ( hace 0 minutos )

0 1

Antivirus  Resultado  Actualización
AVG  Downloader.Banload2.KPA  20140529
Fortinet  W32/Delf.IBLB!tr.dldr  20140529
Kaspersky  Trojan-Downloader.Win32.Delf.iblb  20140529
McAfee  Artemis!FBBB136A4079  20140529
McAfee-GW-Edition  Artemis!FBBB136A4079  20140529
Panda  Trj/Redirect.A  20140529

 

y la «DLL» (con nombre de fichero y extension raro), que en este caso es j7xo.oc5xm, la controlaremos por la class que lo ejecuta, ya que dichos nombres son variables.

Subido dicho fichero al virus total, ofrece el siguiente informe:

MD5 aac8e483fb294ddc9e54125ee26a6b48
SHA1 5dbc682c360cce54276e8d30bbaca9b11abce647
Tamaño del fichero 1.5 MB ( 1573376 bytes )
SHA256: 6f100284be40d5b2c31e669e65278f74e2c45830abf6fbd7bd0b82f187293748
Nombre: j7xo.oc5xm
Detecciones: 16 / 52
Fecha de análisis: 2014-05-29 11:30:48 UTC ( hace 0 minutos )

0 1

Antivirus  Resultado  Actualización
AVG  PSW.Banker6.BKZR  20140529
Ad-Aware  Gen:Variant.Symmi.26962  20140529
AhnLab-V3  Trojan/Win32.Banker  20140529
AntiVir  TR/ATRAPS.Gen  20140529
Antiy-AVL  Trojan/Win32.SGeneric  20140529
Baidu-International  Trojan.Win32.Banker.bAAWB  20140529
BitDefender  Gen:Variant.Symmi.26962  20140529
ESET-NOD32  a variant of Win32/Spy.Banker.AAWB  20140529
Emsisoft  Gen:Variant.Symmi.26962 (B)  20140529
F-Secure  Gen:Variant.Symmi.26962  20140529
GData  Gen:Variant.Symmi.26962  20140529
Ikarus  Hoax.Win32.ArchSMS  20140529
MicroWorld-eScan  Gen:Variant.Symmi.26962  20140529
Microsoft  TrojanSpy:Win32/Banker.ALU  20140529
Panda  Generic Malware  20140529
Symantec  Trojan.Gen  20140529

A partir del ELISTARA 30.06 de hoy estará controlada dicha nueva variante como SPYBANKER AVJK

Dicha version del ELISTARA 30.06 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy.

saludos

ms, 29-5-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Banker, Virus, , , , , , , , , , , , ,

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies