Si bien a partir del EliStarA 19.53 ya controlábamos y eliminamos el “CONVITE” que llegaba anexado a un mail en portugués, hoy nos reportan nueva incidencia variante del mismo, que no se controla todavía, y que pasamos a controlar a partir del EliStarA de hoy 19.84

Se recuerda que es un cazapasswords bancario y como tal es muy peligroso por la captura de passwords y cuentas bancarias y por las posibles transferencias de nuestros “dineros” a cuentas lejanas de Rusia y China, a través de “muleros” para que se pierda la pista…

En esta ocasión, deja de usar la carpeta winntsystem32 que usaba aunque no fuera W2k, y pasa a guardarlo en la de sistema, normalmente C:windowssystem32

Lógicamente cambia nombre de ficheros y el contenido de los mismos, con el diferente checksum que los diferencia:

MD5 del ya conocido 39b5e6bb6a8b8c1f00f9a02e58aa3637

MD5 del nuevo de hoy c8b74ad032339342d42375ecbedb4bb1

El preanalisis con el VirusTotal ofrece:

File mydpla.exe.vir received on 2009.12.04 10:42:33 (UTC)

Result: 17/40 (42.5%)

Antivirus Version Last Update Result
a-squared 4.5.0.43 2009.12.04 Trojan-Banker.Win32.Banker!IK
AhnLab-V3 5.0.0.2 2009.12.04 –
AntiVir 7.9.1.92 2009.12.04 TR/Crypt.CFI.Gen
Antiy-AVL 2.0.3.7 2009.12.04 Trojan/Win32.Banker
Authentium 5.2.0.5 2009.12.02 –
Avast 4.8.1351.0 2009.12.03 –
AVG 8.5.0.426 2009.12.04 PSW.Banker5.AKEQ
BitDefender 7.2 2009.12.04 Trojan.Generic.2812127
CAT-QuickHeal 10.00 2009.12.04 –
ClamAV 0.94.1 2009.12.04 –
Comodo 3103 2009.12.01 –
DrWeb 5.0.0.12182 2009.12.04 –
eSafe 7.0.17.0 2009.12.03 Win32.TRCrypt.Cfi
eTrust-Vet 35.1.7156 2009.12.03 –
F-Prot 4.5.1.85 2009.12.03 –
F-Secure 9.0.15370.0 2009.12.03 Suspicious:W32/Malware!Gemini
Fortinet 4.0.14.0 2009.12.04 –
GData 19 2009.12.04 Trojan.Generic.2812127
Ikarus T3.1.1.74.0 2009.12.04 Trojan-Banker.Win32.Banker
Jiangmin 13.0.900 2009.12.02 –
K7AntiVirus 7.10.910 2009.12.03 –
Kaspersky 7.0.0.125 2009.12.04 Trojan-Banker.Win32.Banker.aptk
McAfee 5821 2009.12.03 –
McAfee+Artemis 5821 2009.12.03 Artemis!C8B74AD03233
McAfee-GW-Edition 6.8.5 2009.12.04 Heuristic.BehavesLike.Win32.ModifiedUPX.A!90
Microsoft 1.5302 2009.12.04 –
NOD32 4659 2009.12.04 a variant of Win32/Spy.Bancos.NOG
Norman 6.03.02 2009.12.04 –
nProtect 2009.1.8.0 2009.12.04 –
Panda 10.0.2.2 2009.12.04 Suspicious file
PCTools 7.0.3.5 2009.12.04 Trojan.Generic
Rising 22.24.04.08 2009.12.04 –
Sophos 4.48.0 2009.12.04 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.12.04 –
Symantec 1.4.4.12 2009.12.04 Trojan Horse
TheHacker 6.5.0.2.084 2009.12.03 –
TrendMicro 9.100.0.1001 2009.12.04 –
VBA32 3.12.12.0 2009.12.03 –
ViRobot 2009.12.4.2072 2009.12.04 –
VirusBuster 5.0.21.0 2009.12.03 –
Additional information
File size: 36352 bytes
MD5…: c8b74ad032339342d42375ecbedb4bb1
SHA1..: 72e727bc66e1b843a37341c53372ac155a3cf28b

Notar que NO LO DETECTAN ACTUALMENTE ni Avast, ni Dr Web, ni Microsoft, ni Trend, por nombrar 4 antivirus conocidos, así que, los usuarios de los mismos, tener especial cuidado !
Y lo pasamos a monitorizar para añadir su control y eliminación en el EliStarA que estamos haciendo, 19.84, que estará disponible a partir de las 15 horas de hoy.

Por supuesto que no se infectaría aun recibiendo el mail, si no ejecutara el fichero anexado, pero… NO SE DEBEN EJECUTAR FICHEROS ANEXADOS A MAILS NO SOLICITADOS (NI PULSAR EN IMAGENES NI EN LINKS !!!)

FUENTE