Una nueva variante de este malware de tamaño 66,3 Mb que afecta a los dispositivos de almacenamiento masivo USB (pendrives, memorias, discos dures, etc), escondiendo las carpetas y creando en su lugar links (enlaces) con su mismo icono pero lanzando el malware, que en la muestra recibida se llamaba ITUNESHELPER.VBE, lo pasamos a controlar a partir del ELISTARA 28.87 de hoy.
Cabe pensar que lo que pretende el hacker en este caso, es que los antivirus no lo detecten si se han configurado excluyendo ficheros mayores de 60 MB en su análisis por ejemplo, y así pasar desapercibido.
El preanálisis de VirusTotal ofrece este informe:
MD5 b26aa0b9579bb542e1727c3adf5ae9df
SHA1 c7d19fa4e3596ab832fdfc25bede451b6f4f76d4
File size: 66,3 MB (67.928 KB)
SHA256: a0542ac91a01ef46b61974e1de2cedb7b7d3ea8356adfbcdb3d9e7298b6b5ec1
Nombre: ituneshelper.vbe
Detecciones: 17 / 47
Fecha de análisis: 2013-11-28 09:06:00 UTC
Antivirus Resultado Actualización
Ad-Aware Trojan.Script.Agent.ER 20131128
Agnitum 20131127
AhnLab-V3 20131127
AntiVir 20131128
Antiy-AVL 20131128
Avast 20131128
AVG BackDoor.Generic_c.MYX 20131128
Baidu-International 20131128
BitDefender Trojan.Script.Agent.ER 20131128
Bkav 20131128
ByteHero 20131127
CAT-QuickHeal 20131128
ClamAV 20131128
Commtouch 20131128
Comodo UnclassifiedMalware 20131128
DrWeb VBS.Autoruner.166 20131128
Emsisoft Trojan.Script.Agent.ER (B) 20131128
ESET-NOD32 VBS/Agent.NDH 20131128
F-Prot 20131128
F-Secure Trojan.Script.Agent.ER 20131128
Fortinet 20131128
Gdata Trojan.Script.Agent.ER 20131128
Ikarus 20131128
Jiangmin 20131128
K7AntiVirus 20131127
K7GW 20131127
Kaspersky Worm.VBS.Dinihou.g 20131128
Kingsoft 20130829
Malwarebytes 20131128
McAfee VBS/Autorun.worm.aape 20131128
McAfee-GW-Edition VBS/Autorun.worm.aape 20131127
Microsoft 20131128
MicroWorld-eScan Trojan.Script.Agent.ER 20131128
NANO-Antivirus 20131128
Norman 20131127
nProtect 20131128
Panda 20131128
Rising 20131128
Sophos VBS/Dinihou-A 20131128
SUPERAntiSpyware 20131127
Symantec Backdoor.Trojan 20131128
TheHacker 20131127
TotalDefense 20131128
TrendMicro VBS_BACKSHELL.A 20131128
TrendMicro-HouseCall VBS_BACKSHELL.A 20131128
VBA32 20131127
VIPRE 20131128
ViRobot 20131128
El código del virus VBSRUNNER C insertado en medio del fichero de 68 MB de un ITUNESHELPER.VBE
Tras mas de 30 MB de códigos 0D0A (que sirven para engrosar el fichero) aparecen 380 KB de código vírico seguidos de otros 30 MB de mas códigos 0D0A.
Dicho código del malware “puro” también pasa a ser controlado a partir del ELISTARA 28.87 de hoy
El preanálisis de VirusTotal ofrece este informe:
MD5 ab7c75d28c17da7cde899c1d53963fe2
SHA1 c6fc8c7e26b3bd552be9ae63c3aadf13a0c31701
File size 377.9 KB ( 387002 bytes )
SHA256: 68ea0062509e337c452accbe1bc909fdbacecbb0bf003b113dcfc6b116f8f372
Nombre: ituneshelper vbe
Detecciones: 10 / 48
Fecha de análisis: 2013-11-28 12:02:22 UTC
Antivirus Resultado Actualización
Ad-Aware Trojan.VBS.TYJ 20131128
Agnitum 20131127
AhnLab-V3 20131127
AntiVir 20131128
Antiy-AVL 20131128
Avast VBS:Downloader-KW [Trj] 20131128
AVG 20131128
Baidu-International 20131128
BitDefender Trojan.VBS.TYJ 20131128
Bkav 20131128
ByteHero 20131127
CAT-QuickHeal 20131128
ClamAV 20131128
Commtouch 20131128
Comodo 20131128
DrWeb 20131128
Emsisoft Trojan.VBS.TYJ (B) 20131128
ESET-NOD32 20131128
F-Prot 20131128
F-Secure Trojan.VBS.TYJ 20131128
Fortinet 20131128
Gdata Trojan.VBS.TYJ 20131128
Ikarus 20131128
Jiangmin 20131128
K7AntiVirus 20131127
K7GW 20131127
Kaspersky Worm.VBS.Dinihou.g 20131128
Kingsoft 20130829
Malwarebytes 20131128
McAfee 20131128
McAfee-GW-Edition 20131127
Microsoft 20131128
MicroWorld-eScan Trojan.VBS.TYJ 20131128
NANO-Antivirus 20131128
Norman 20131128
nProtect Trojan.VBS.TYJ 20131128
Panda 20131128
Rising 20131128
Sophos VBS/Dinihou-A 20131128
SUPER AntiSpyware 20131127
Symantec 20131128
TheHacker 20131127
TotalDefense 20131128
TrendMicro 20131128
TrendMicro-HouseCall 20131128
VBA32 20131127
VIPRE 20131128
ViRobot 20131128
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA28de Noviembrede 2013