DVD-IMAGEN003.JPEG_www.galeriadefotos.com : fichero malware que simula ser direccion web

---

Nueva variante de malware que llega por messenger, en un mensaje de un conocido que no sabe que lo ha enviado





Ya son muchas las variantes que conocemos y vamos controlando, siendo esta la última y apenas controlada.



Llega en un mensaje del MSN de un conocido, (que está infectado por él), y que no es consciente de que lo ha enviado, en un fichero ZIP, cuya descompresion parece ofrecer un link a una imagen de una direccion de internet, si bien es un fichero .COM que al pulsar en él se ejecuta el virus:



DVD-IMAGEN003.JPEG_www.galeriadefotos.com



Al ejecutarlo da un mensaje de "Nytemare says: Your Kungfu is not good"





Pasamos a controlarlo como Malware Nytemare a partir del ELISTARA 20.12 de hoy





Llamamos la atencion sobre estos ficheros .COM que a través de un nombre apropiado los hacen pasar por supuestos links, a través de "ingeniería social":



*.JPEG_www.galeriadefotos.com , lo cual es un fichero puro y duro, no un link aunque lo parezca



Mucho cuidado con ello, además de recordar que NO DEBE EJECUTARSE NINGUN FICHERO RECIBIDO POR MAIL, MSN o cualquier otro medio, si este no ha sido solicitado !!!





Datos al respecto de este fichero malware:







File DVD-IMAGEN003.JPEG_www.galeriadef received on 2010.01.15 11:58:45 (UTC)





Result: 17/40 (42.5%)





Antivirus Version Last Update Result

a-squared 4.5.0.50 2010.01.15 Riskware.Win32.VBInject!IK

AhnLab-V3 5.0.0.2 2010.01.14 -

AntiVir 7.9.1.142 2010.01.15 -

Antiy-AVL 2.0.3.7 2010.01.12 -

Authentium 5.2.0.5 2010.01.15 -

Avast 4.8.1351.0 2010.01.15 Win32:Trojan-gen

AVG 9.0.0.730 2010.01.15 -

BitDefender 7.2 2010.01.15 Trojan.Agent.AOGL

CAT-QuickHeal 10.00 2010.01.15 -

Comodo 3592 2010.01.15 UnclassifiedMalware

DrWeb 5.0.1.12222 2010.01.15 Trojan.Inject.3631

eSafe 7.0.17.0 2010.01.14 Win32.Injector.Apo

eTrust-Vet 35.2.7237 2010.01.15 -

F-Prot 4.5.1.85 2010.01.14 -

F-Secure 9.0.15370.0 2010.01.15 Trojan.Agent.AOGL

Fortinet 4.0.14.0 2010.01.15 -

GData 19 2010.01.15 Trojan.Agent.AOGL

Ikarus T3.1.1.80.0 2010.01.15 VirTool.Win32.VBInject

Jiangmin 13.0.900 2010.01.15 -

K7AntiVirus 7.10.946 2010.01.13 -

Kaspersky 7.0.0.125 2010.01.15 -

McAfee 5861 2010.01.14 -

McAfee+Artemis 5861 2010.01.14 Artemis!53FE91826FDB

McAfee-GW-Edition 6.8.5 2010.01.15 -

Microsoft 1.5302 2010.01.14 VirTool:Win32/VBInject.gen!CN

NOD32 4774 2010.01.15 a variant of Win32/Injector.APO

Norman 6.04.03 2010.01.14 -

nProtect 2009.1.8.0 2010.01.15 -

Panda 10.0.2.2 2010.01.14 Trj/CI.A

PCTools 7.0.3.5 2010.01.15 Trojan.IRCBot

Prevx 3.0 2010.01.15 Medium Risk Malware Dropper

Rising 22.30.04.04 2010.01.15 -

Sophos 4.49.0 2010.01.15 Mal/Nyrate-B

Sunbelt 3.2.1858.2 2010.01.15 -

Symantec 20091.2.0.41 2010.01.15 W32.IRCBot

TheHacker 6.5.0.4.151 2010.01.15 -

TrendMicro 9.120.0.1004 2010.01.15 -

VBA32 3.12.12.1 2010.01.15 -

ViRobot 2010.1.15.2138 2010.01.15 -

VirusBuster 5.0.21.0 2010.01.14 -

Additional information

File size: 208896 bytes

MD5...: 53fe91826fdb1d02bf5ce42308538b21

SHA1..: f4c8f79da7afd266cf16c523f0d53bdc059d967d





Cabe resaltar que actualmente lo controlan menos de la mitad de los antivirus, y AVG, F-Prot, Fortinet, Kaspersky, Norman o Trend, por decir media docena de los mas conocidos, aun lo lo controlan ni heuristicamente



MUCHO CUIDADO !!!



Y si se sospecha que se tiene, ver con el ELISTARA >20.12 si se detecta y en tal caso, se eliminará.



saludos



ms, 14-1-2010