Nuevo malware .EXE con icono de carpeta

---

De entre las muchas muestras recibidas hoy, destaco una por su malicia dentro de la picaresca dado que es un .EXE que se esconde oculto con icono de carpeta, lo cual lo hace muy peligroso si no se tiene configurado que se vean las extensiones ya que al verlo con apariencia de carpeta, al dar doble click sobre él, para entrar en ella, se ejecuta el fichero malware con lo que se infecta el ordenador, salvo que el antivirus lo conozca y lo impida.



Además el nombre que utiliza es el de NOTEPAD, que acostumbramos a identificar como Bloc de Notas, muy normal de utilizar...

http://www.satinfo.es/zonavirus/notepad.jpg" border="0" hspace="10" vspace="10"/>

Una vez analizada resulta ser identificada con un nombre diferente por casi cada antivirus:



File NOTEPAD.EXE received on 2009.06.29 11:58:04 (UTC)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED



Result: 31/41 (75.61%)



Antivirus Version Last Update Result

a-squared 4.5.0.18 2009.06.29 Trojan.Peed!IK

AhnLab-V3 5.0.0.2 2009.06.29 -

AntiVir 7.9.0.199 2009.06.29 TR/Dropper.Gen

Antiy-AVL 2.0.3.1 2009.06.29 -

Authentium 5.1.2.4 2009.06.29 W32/Nuj.A.gen!Eldorado

Avast 4.8.1335.0 2009.06.28 Win32:Spyware-gen

AVG 8.5.0.339 2009.06.29 SHeur2.MIH

BitDefender 7.2 2009.06.29 Trojan.Spy.Agent.NXS

CAT-QuickHeal 10.00 2009.06.29 Win32.Worm.Autorun.DM.5

ClamAV 0.94.1 2009.06.29 -

Comodo 1485 2009.06.29 Unclassified Malware

DrWeb 5.0.0.12182 2009.06.29 Win32.HLLW.Autoruner.6234

eSafe 7.0.17.0 2009.06.28 Win32.Autorun.worm.d

eTrust-Vet 31.6.6588 2009.06.29 -

F-Prot 4.4.4.56 2009.06.29 W32/Nuj.A.gen!Eldorado

F-Secure 8.0.14470.0 2009.06.29 Trojan-Downloader.Win32.VB.ked

Fortinet 3.117.0.0 2009.06.29 W32/AutoRun.DQ!worm

GData 19 2009.06.29 Trojan.Spy.Agent.NXS

Ikarus T3.1.1.64.0 2009.06.29 Trojan.Peed

Jiangmin 11.0.706 2009.06.29 -

K7AntiVirus 7.10.768 2009.06.19 Trojan-Downloader.Win32.VB

Kaspersky 7.0.0.125 2009.06.29 Trojan-Downloader.Win32.VB.ked

McAfee 5660 2009.06.28 W32/Autorun.worm.dq.gen

McAfee+Artemis 5660 2009.06.28 W32/Autorun.worm.dq.gen

McAfee-GW-Edition 6.7.6 2009.06.29 Trojan.Dropper.Gen

Microsoft 1.4803 2009.06.29 Worm:Win32/Regul.B

NOD32 4195 2009.06.29 probably a variant of Win32/Agent

Norman 6.01.09 2009.06.26 -

nProtect 2009.1.8.0 2009.06.29 -

Panda 10.0.0.14 2009.06.29 Adware/AccesMembre

PCTools 4.4.2.0 2009.06.28 -

Prevx 3.0 2009.06.29 -

Rising 21.36.02.00 2009.06.29 Worm.Win32.Autorun.eyr

Sophos 4.43.0 2009.06.29 Mal/EncPk-GF

Sunbelt 3.2.1858.2 2009.06.28 Bulk Trojan

Symantec 1.4.4.12 2009.06.29 W32.SillyFDC

TheHacker 6.3.4.3.356 2009.06.27 Trojan/Downloader.VB.ked

TrendMicro 8.950.0.1094 2009.06.29 TROJ_VB.ITI

VBA32 3.12.10.7 2009.06.29 Worm.Win32.AutoRun.tbb

ViRobot 2009.6.29.1810 2009.06.29 Trojan.Win32.Downloader.1513455

VirusBuster 4.6.5.0 2009.06.28 -

Additional information

File size: 1513455 bytes

MD5...: 4316af56fabb8c130b76884a7b47d716

SHA1..: 32f4138d324ab0cecfb7c9786ad021f0d438bcbc





Afortunadamente mas de un 75 % ya lo controlan, pero algunos conocidos como e-Trust, Norman, nProtect, VirusBuster, entre otros, les pasa desapercibido.



Como siempre, mucho cuidado ahí fuera !



saludos



ms, 29-6-2009





NOTA: Aparte que se puede detectar y eliminar con el ELIMD5 entrando indistintamente las cadenas del MD5 o SHA1 indicadas em el analisis: MD5...: 4316af56fabb8c130b76884a7b47d716 o SHA1..: 32f4138d324ab0cecfb7c9786ad021f0d438bcbc

a partir del ELISTARA de hoy>18.91 lo pasamos a controlar como AUTORUN.DQ y añadimos que es de los virus que se propagan por pendrive. (Recomendamos vacunar con el ELIPEN ordenadores y pendrives)