Una nueva variante de malware, en este caso downloader de troyano bancario, se recibe por mail con fichero ZIP anexado, que muy pocos antivirus controlan actualmente (21,96%) según preanalisis con el VirusTotal:

File conviten.exe received on 2009.10.23 07:25:41 (UTC)

Result: 9/41 (21.96%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.23 –
AhnLab-V3 5.0.0.2 2009.10.22 –
AntiVir 7.9.1.44 2009.10.22 –
Antiy-AVL 2.0.3.7 2009.10.23 –
Authentium 5.1.2.4 2009.10.23 –
Avast 4.8.1351.0 2009.10.22 –
AVG 8.5.0.423 2009.10.22 –
BitDefender 7.2 2009.10.23 –
CAT-QuickHeal 10.00 2009.10.23 Win32.VirTool.DelfInject.gen!K.8
ClamAV 0.94.1 2009.10.23 Trojan.Downloader.Adload-130
Comodo 2700 2009.10.23 –
DrWeb 5.0.0.12182 2009.10.23 –
eSafe 7.0.17.0 2009.10.22 –
eTrust-Vet 35.1.7081 2009.10.23 –
F-Prot 4.5.1.85 2009.10.22 –
F-Secure 9.0.15370.0 2009.10.22 –
Fortinet 3.120.0.0 2009.10.22 –
GData 19 2009.10.23 –
Ikarus T3.1.1.72.0 2009.10.23 Trojan-Downloader.Win32.Banload
Jiangmin 11.0.800 2009.10.23 –
K7AntiVirus 7.10.877 2009.10.22 –
Kaspersky 7.0.0.125 2009.10.23 –
McAfee 5779 2009.10.22 –
McAfee+Artemis 5779 2009.10.22 Artemis!3D1C1DB528F2
McAfee-GW-Edition 6.8.5 2009.10.23 –
Microsoft 1.5202 2009.10.23 TrojanDownloader:Win32/Banload.IU
NOD32 4535 2009.10.23 –
Norman 6.03.02 2009.10.22 W32/Malware
nProtect 2009.1.8.0 2009.10.23 –
Panda 10.0.2.2 2009.10.22 Generic Malware
PCTools 4.4.2.0 2009.10.19 –
Prevx 3.0 2009.10.23 –
Rising 21.52.41.00 2009.10.23 –
Sophos 4.46.0 2009.10.23 –
Sunbelt 3.2.1858.2 2009.10.23 –
Symantec 1.4.4.12 2009.10.23 Downloader
TheHacker 6.5.0.2.051 2009.10.22 –
TrendMicro 8.950.0.1094 2009.10.22 –
VBA32 3.12.10.11 2009.10.22 suspected of Win32.Trojan.Downloader (http://…)
ViRobot 2009.10.23.2002 2009.10.23 –
VirusBuster 4.6.5.0 2009.10.22 –
Additional information
File size: 82773 bytes
MD5…: 39b5e6bb6a8b8c1f00f9a02e58aa3637
SHA1..: 5403ca9fb917cade08130802bbf0da58fce09842

Tal y como se presenta es una invitación en portuguías, aunque muy distinta de todo lo conocido hasta la fecha:

Convite

Al pulsar sobre cualquiera de los tres botones descarga un fichero ZIP que al desempaquetarlo genera el CONVITEN.EXE que es un RAR que genera un PROYECTO.EXE que se copia en la carpeta C:Winnt_ (que no es la C:Winnt del Windows2000, sino otra paralela) y que resulta ser el downloader indicado

A partir del ELISTARA de hoy, 19.53, pasamos a detectarlo y eliminarlo, pero se recuerda que la mayoría de los antivirus no lo controlan, y que se está recibiendo masivamente, pues aparte de las muestras de clientes, lo hemos recibido tambien nosotros a las cuentas directas , por lo que podemos indicar que en este caso se ve el remitente real que lo envia, asi como la lista de direcciones a quienes lo ha enviado, posiblemente cogida de la libreta de direcciones del cliente de correo que se usa.

Si alguien lo recibe, que avise al respecto a todos los que vea en la lista, ya que son usuarios que recibirán el mismo mail y que lo mas probable es que se infecten al no controlarlo su antivirus.

FUENTE