VARIANTE DE SPYBANKER generado por BANLOAD

De la monitorización de un BANLOAD que se descargaba desde un link de un mail, hemos obtenido este fichero que es el propio SPYBANKER (cazapasswords bancario) y que al instalarse en la carpeta de ADOBE y llamarse READER.EXE es fácil que pase desapercibido.

A partir del ELISTARA 32.03 de hoy pasamos a controlarlo especificamente

El preanalisis de virustotal ofrece el siguiente informe:

MD5 85eaedcff79fe7283917839ab71198c2
SHA1 026263b589d4b5416f62e8e2d5516be53b43306f
Tamaño del fichero 3.4 MB ( 3522812 bytes )
SHA256: 0366a18b4843989b6a9728492d79c9a98b16c1822583b335555639eaf347ebf6
Nombre: Reader.exe
Detecciones: 8 / 56
Fecha de análisis: 2015-04-09 09:32:46 UTC ( hace 7 minutos )

0 1

Antivirus Resultado Actualización
AVG Autoit_c.BVDO 20150409
K7AntiVirus Spyware ( 004bc9151 ) 20150409
K7GW Spyware ( 004bc9151 ) 20150409
Kaspersky not-a-virus:RiskTool.Win32.BitCoinMiner.xzb 20150409
Panda Generic Suspicious 20150408
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20150409
Sophos Troj/HkAutoIt-C 20150409
VBA32 Trojan.Autoit.F 20150408

Si bien el ELISTARA ya lo detecta y elimina, tanto el fichero como la clave que lo lanza, ofrecemos para mas información la clave de carga donde se aprecia la ubicación del fichero en cuestión:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“Reader”=”%Datos de Programa%\ Adobe\ Reader.exe”

Y como que el AV de McAfee aun no lo conoce, ya hemos enviado muestra McAfee AVERT LABS para su analisis y control en siguientes versiond el VirusScan.

La versión del ELISTARA 32.03 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 9-4-2015