Recientemente han estado llegando correos con un nuevo virus, el archivo esta comprimido en upx y como métodos de reproducción usa el envío de correos, supongo que el virus se ha originado en brasil pues los mensajes que pululan en la red son en portugués
el link de descarga del ejecutable es el siguiente:
http://queria2009.blogspot.com/feeds/posts/default
primero lo descomprimí con upx
luego lo abrimos con un editor hexadecimal
analizando el ejecutable mas a fondo podemos apreciar la ruta c:\documents and settings\juliet\desktop\atualizacoes\trovao\trovao.vbp
podemos detectar que fue programado en visual basic
se ve que hace uso de las llamadas al api de acceso al registro , posiblemente para ejecutarse al inicio en el prximo arranque´y garantizar su existencia, tambien realiza una conexion a internet
el reporte de virustotal es
http://www.virustotal.com/analisis/5f55beba939a436b837bd343d47c881110d63d48b7c84c6cc07e579744b4f5f0-1261164244
a-squared 4.5.0.43 2009.12.18 Trojan-Dropper.Win32.VB!IK
Ikarus T3.1.1.79.0 2009.12.18 Trojan-Dropper.Win32.VB
McAfee-GW-Edition 6.8.5 2009.12.18 Heuristic.BehavesLike.Win32.Rootkit.B
NOD32 4700 2009.12.18 a variant of Win32/Spy.Bancos.NOG
Panda 10.0.2.2 2009.12.15 Suspicious file
Sophos 4.49.0 2009.12.18 Mal/Generic-A
yo no he ejecutado el archivo para hacer más pruebas, quizas tú te animas?
Actualización 23 diciembre 2009
y sigue llegando de mas y variadas formas, contiene el siguiente texto:
CONVITE
Oi, tudo bem?
Estou lhe mandando o convite, e todos os detalhes (endereço, horário e etc...) estão no anexo.
1º Obs: Favor imprimir o convite anexado a esse E-Mail, pois é indispensável a apresentação do mesmo.
2º Obs: Convite com direito a acompanhante.
3º Obs: Só sera permitida a entrada com o convite em mãos.
4º Obs: Não deixar de ir...
Abraços!
Entradas
