Nueva variante del troyano CONVITE del que ya anunciamos su control en Noticia del 23 Octubre ppdosmsc hotline sat Friday, December 4, 2009 Si bien a partir del ELISTARA 19.53 ya controlabamos y eliminamos el "CONVITE" que llegaba anexado a un mail en portugués, hoy nos reportan nueva incidencia variante del mismo, que no se controla todavía, y que pasamos a controlar a partir del ELISTARA de hoy 19.84 Se recuerda que es un cazapasswords bancario y como tal es muy peligroso por la captura de passwords y cuentas bancarias y por las posibles transferencias de nuestros "dineros" a cuentas lejanas de Rusia y China, a través de "muleros" para que se pierda la pista... En esta ocasion, deja de usar la carpeta \winnt\system32\ que usaba aunque no fuera W2k, y pasa a guardarlo en la de sistema, normalmente C:\windows\system32 Logicamente cambia nombre de ficheros y el contenido de los mismos, con el diferente checksum que los diferencia: MD5 del ya conocido 39b5e6bb6a8b8c1f00f9a02e58aa3637 MD5 del nuevo de hoy c8b74ad032339342d42375ecbedb4bb1 El preanalisis con el VirusTotal ofrece: File mydpla.exe.vir received on 2009.12.04 10:42:33 (UTC) Result: 17/40 (42.5%) Antivirus Version Last Update Result a-squared 4.5.0.43 2009.12.04 Trojan-Banker.Win32.Banker!IK AhnLab-V3 5.0.0.2 2009.12.04 - AntiVir 7.9.1.92 2009.12.04 TR/Crypt.CFI.Gen Antiy-AVL 2.0.3.7 2009.12.04 Trojan/Win32.Banker Authentium 5.2.0.5 2009.12.02 - Avast 4.8.1351.0 2009.12.03 - AVG 8.5.0.426 2009.12.04 PSW.Banker5.AKEQ BitDefender 7.2 2009.12.04 Trojan.Generic.2812127 CAT-QuickHeal 10.00 2009.12.04 - ClamAV 0.94.1 2009.12.04 - Comodo 3103 2009.12.01 - DrWeb 5.0.0.12182 2009.12.04 - eSafe 7.0.17.0 2009.12.03 Win32.TRCrypt.Cfi eTrust-Vet 35.1.7156 2009.12.03 - F-Prot 4.5.1.85 2009.12.03 - F-Secure 9.0.15370.0 2009.12.03 Suspicious:W32/Malware!Gemini Fortinet 4.0.14.0 2009.12.04 - GData 19 2009.12.04 Trojan.Generic.2812127 Ikarus T3.1.1.74.0 2009.12.04 Trojan-Banker.Win32.Banker Jiangmin 13.0.900 2009.12.02 - K7AntiVirus 7.10.910 2009.12.03 - Kaspersky 7.0.0.125 2009.12.04 Trojan-Banker.Win32.Banker.aptk McAfee 5821 2009.12.03 - McAfee+Artemis 5821 2009.12.03 Artemis!C8B74AD03233 McAfee-GW-Edition 6.8.5 2009.12.04 Heuristic.BehavesLike.Win32.ModifiedUPX.A!90 Microsoft 1.5302 2009.12.04 - NOD32 4659 2009.12.04 a variant of Win32/Spy.Bancos.NOG Norman 6.03.02 2009.12.04 - nProtect 2009.1.8.0 2009.12.04 - Panda 10.0.2.2 2009.12.04 Suspicious file PCTools 7.0.3.5 2009.12.04 Trojan.Generic Rising 22.24.04.08 2009.12.04 - Sophos 4.48.0 2009.12.04 Mal/Generic-A Sunbelt 3.2.1858.2 2009.12.04 - Symantec 1.4.4.12 2009.12.04 Trojan Horse TheHacker 6.5.0.2.084 2009.12.03 - TrendMicro 9.100.0.1001 2009.12.04 - VBA32 3.12.12.0 2009.12.03 - ViRobot 2009.12.4.2072 2009.12.04 - VirusBuster 5.0.21.0 2009.12.03 - Additional information File size: 36352 bytes MD5...: c8b74ad032339342d42375ecbedb4bb1 SHA1..: 72e727bc66e1b843a37341c53372ac155a3cf28b Notar que NO LO DETECTAN ACTUALMENTE ni Avast, ni Dr Web, ni Microsoft, ni Trend, por nombrar 4 antivirus conocidos, asi que, los usuarios de los mismos, tener especial cuidado ! y lo pasamos a monitorizar para añadir su control y eliminacion en el ELISTARA que estamos haciendo, 19.84, que estará disponible a partir de las 15 horas de hoy. Por supuesto que no se infectaría aun recibiendo el mail, si no ejecutara el fichero anexado, pero... NO SE DEBEN EJECUTAR FICHEROS ANEXADOS A MAILS NO SOLICITADOS (NI PULSAR EN IMAGENES NI EN LINKS !!!) saludos ms, 4-12-2009 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |