/*-------------------------------------------------*/ /*--------------------------------------------------*/

viernes, 18 de diciembre de 2009

Virus en portugués




Recientemente han estado llegando correos con un nuevo virus, el archivo esta comprimido en upx y como métodos de reproducción usa el envío de correos, supongo que el virus se ha originado en brasil pues los mensajes que pululan en la red son en portugués

el link de descarga del ejecutable es el siguiente:
http://queria2009.blogspot.com/feeds/posts/default

primero lo descomprimí con upx



luego lo abrimos con un editor hexadecimal

analizando el ejecutable mas a fondo podemos apreciar la ruta c:\documents and settings\juliet\desktop\atualizacoes\trovao\trovao.vbp

podemos detectar que fue programado en visual basic

se ve que hace uso de las llamadas al api de acceso al registro , posiblemente para ejecutarse al inicio en el prximo arranque´y garantizar su existencia, tambien realiza una conexion a internet


el reporte de virustotal es
http://www.virustotal.com/analisis/5f55beba939a436b837bd343d47c881110d63d48b7c84c6cc07e579744b4f5f0-1261164244

a-squared 4.5.0.43 2009.12.18 Trojan-Dropper.Win32.VB!IK
Ikarus T3.1.1.79.0 2009.12.18 Trojan-Dropper.Win32.VB
McAfee-GW-Edition 6.8.5 2009.12.18 Heuristic.BehavesLike.Win32.Rootkit.B
NOD32 4700 2009.12.18 a variant of Win32/Spy.Bancos.NOG
Panda 10.0.2.2 2009.12.15 Suspicious file
Sophos 4.49.0 2009.12.18 Mal/Generic-A

yo no he ejecutado el archivo para hacer más pruebas, quizas tú te animas?

Actualización 23 diciembre 2009



y sigue llegando de mas y variadas formas, contiene el siguiente texto:


CONVITE
Oi, tudo bem?
Estou lhe mandando o convite, e todos os detalhes (endereço, horário e etc...) estão no anexo.
1º Obs: Favor imprimir o convite anexado a esse E-Mail, pois é indispensável a apresentação do mesmo.
2º Obs: Convite com direito a acompanhante.
3º Obs: Só sera permitida a entrada com o convite em mãos.
4º Obs: Não deixar de ir...
Abraços!