Vírus Trojan-Downloader.Win32.Murlo!IK

Question

Estava navegando, procurando o video do O Assassino Terrivelmente Lento Com A Arma Extremamente Ineficiente

E me deparei com um site que  me encaminha para um v&iacute;rus. Resolvi baixa-lo e o Avira n&atilde;o detectou. Resolvi execut&aacute;-lo, e tamb&eacute;m nada.

Claro que, ao execut&aacute;-lo meu COMODO o isola para sandbox. :sarcastico: nada escapa do COMODO :sarcastico:

Upei hoje cedo no v&iacute;rus scan Jotti, e  deu esse resultado:

http://virusscan.jotti.org/pt-br/scanresult/cf2c1a327762945f7cc346d5b91863dbb0c6ee53

Upei agora no VirusTotal e alguns outros j&aacute; est&atilde;o detectando:

https://www.virustotal.com/file/6cebb02febf25ce567e042dc5dba3b91a93db8c816a01e27bb92395b7c230aa4/analysis/

Reupei no Jotti e est&aacute; na mesma:

http://virusscan.jotti.org/pt-br/scanresult/cf2c1a327762945f7cc346d5b91863dbb0c6ee53/802149f56fff6a25d3c6cfee4930c1a7a7b62d58

O nome do arquivo &eacute; 6u31-windows-i586.exe e tenta se passar como um flash player.

Depois irei reup&aacute;-lo e monitorar se os AV est&atilde;o espertos.

Abra&ccedil;os

T+

Answer

To vendo que eu vou ter que trocar de AV...
J&aacute; achei, vou verificar agora... O Avast! n&atilde;o acusa nada... Vou rodar na VM pra ver o que ele faz...
EDIT: Apareceu bem r&aacute;pido, uma coisa com t&iacute;tulo Universal The... e reiniciou... O v&iacute;rus parece ser um script em .vbs ou .js...

Answer

Boa Diogo! 

Meyer! Nem adianta ficar trocando de antivirus. Os melhores antivirus as vezes demoram para atualizar, j&aacute; passei por isso com quase todos.

Answer

[quote=Djoni Filho, post: 5895801]Boa Diogo!

Meyer! Nem adianta ficar trocando de antivirus. Os melhores antivirus as vezes demoram para atualizar, j&aacute; passei por isso com quase todos.[/quote]

Principalmente se tratando de vers&otilde;es free,mas o que realmente podemos fazer e ficar de olhos abertos:confuso:

Answer

[quote=YTSCMD, post: 5895877]Principalmente se tratando de vers&otilde;es free,mas o que realmente podemos fazer e ficar de olhos abertos:confuso:[/QUOTE]

Concordo! E no caso de quem j&aacute; tem experi&ecirc;ncia com m&aacute;quinas virtuais, baixar esses arquivos de e-mail, por exemplo, que s&atilde;o as novidades em virus, e reportar as empresas de antivirus. Abra&ccedil;os!

Answer

Reupei no VirusTotal:

https://www.virustotal.com/file/6cebb02febf25ce567e042dc5dba3b91a93db8c816a01e27bb92395b7c230aa4/analysis/

Reupei no Jotti e o resultado &eacute; o mesmo:

http://virusscan.jotti.org/pt-br/scanresult/802149f56fff6a25d3c6cfee4930c1a7a7b62d58/9c5c3b5ffa6522ecbd432907f03688ea8e951150

N&atilde;o descreio que seja malware, mas n&atilde;o houve evolu&ccedil;&atilde;o nenhuma nesse tempo.

Quem quiser o arquivo para enviar as empresas me manda MP. Pois ultimamente estou meio ocupado.

Abra&ccedil;os

T+

Answer

Djoni Filho

Amigo, quando voc&ecirc; obtiver resultados das empresas de anti virus sobre esse arquivo, poste por favor.

Obg..^^

T+

Answer

Ol&aacute; amigo Diogo

Vou pedir que envie-me o arquivo, caso ainda esteja em posse do mesmo, para que eu submeta-o aos peritos do Malwarebytes e ComboFix.

Acho que o report para agentes dessas ferramentas, assim como de empresas antivirais, tamb&eacute;m &eacute; importante.

Abra&ccedil;os

Answer

swampedman e Diogo R.

J&aacute; comuniquei e enviei o arquivo para as seguintes empresas: Malwarebytes, Eset, Kaspersky, Avira, Avast e Bleeping Computer.

Estou no aguardo de resposta deles. Abra&ccedil;os :isso_ai:

Answer

[quote=Djoni Filho, post: 5899677]swampedman e Diogo R.

J&aacute; comuniquei e enviei o arquivo para as seguintes empresas: Malwarebytes, Eset, Kaspersky, Avira, Avast e Bleeping Computer.

Estou no aguardo de resposta deles. Abra&ccedil;os :isso_ai:[/QUOTE]
Show de bola, amigo Djoni.

Mas voc&ecirc; submeteu o arquivo atrav&eacute;s do canal de report do MBAM e ComboFix? O canal do MBAM &eacute; p&uacute;blico, mas o do ComboFix &eacute; privado, embora a maioria dos peritos de ambas as ferramentas atuem no Bleeping Computer (o qual voc&ecirc; j&aacute; notificou) e GeeksToGo.

Abra&ccedil;os

Answer

No MBAM foi. Na Bleeping Computer pedi um e-mail para enviar o arquivo infectado.

No GeeksToGo n&atilde;o encontrei contato, procurei, mas n&atilde;o achei nada. Eu posto no f&oacute;rum mesmo?

Abra&ccedil;os

Answer

[quote=Djoni Filho, post: 5899715]No MBAM foi. Na Bleeping Computer pedi um e-mail para enviar o arquivo infectado. 

No GeeksToGo n&atilde;o encontrei contato, procurei, mas n&atilde;o achei nada. Eu posto no f&oacute;rum mesmo?

Abra&ccedil;os[/QUOTE]
N&atilde;o h&aacute; necessidade postar no GeeksToGo tamb&eacute;m amigo. Como j&aacute; foi notificado no Bleeping Computer, est&aacute; ok. Mas, respondendo a sua pergunta, n&atilde;o pode postar no f&oacute;rum, voc&ecirc; deve enviar uma MP aos admins ou moderadores globais (como OldTimer, Rorschach112, etc). 

Para o ComboFix, quem n&atilde;o tem acesso ao canal privado, a submiss&atilde;o pode ser feita enviando uma MP ao pr&oacute;prio sUBs (desenvolvedor da mesma) no f&oacute;rum Tech Support, ou atrav&eacute;s do Bleeping Computer ou GeeksToGo.

J&aacute; para o MBAM, no pr&oacute;prio f&oacute;rum deles h&aacute; uma &aacute;rea de report de arquivos suspeitos.

Abra&ccedil;&atilde;o

Answer

Acabei de receber dois e-mails. Um do mbam e o outro do bleeping computer, informando os procedimentos, e acabei de enviar os arquivos para eles tamb&eacute;m. 
At&eacute; agora, o Jotti acusa a mesma coisa. Nenhuma evolu&ccedil;&atilde;o. Abra&ccedil;os

Editado

Acabei de receber da ESET:
Este e-mail &eacute; uma resposta autom&aacute;tica para informar-lhe que finalizamos a
an&aacute;lise do arquivo enviado por voc&ecirc; no 2012-04-11 12:10:01.

O arquivo [6u31-windows-i586.exe] [MD5: 7ef93162809c560a3517464ffea078ca]
foi detectado como [Win32/Delf.QRH trojan] pela
atualiza&ccedil;&atilde;o [7047] do ESET NOD32 ou ESET Smart Security.

Para mais informa&ccedil;&otilde;es sobre Malware, consulte a Plataforma Educativa
da ESET Am&eacute;rica Latina: http://edu.eset-la.com/
e o Blog do Laborat&oacute;rio: http://blogs.eset-la.com/laboratorio/

Em caso de consulta administrativa ou comercial, por favor envie um
e-mail para: vendas @ br.eset.com

Em caso de consulta sobre suporte de um produto ESET, por favor envie
um e-mail para: suporte @ br.eset.com

Enviei tamb&eacute;m o arquivo para an&aacute;lise do bankerfix (linha defensiva)

Answer

H&Aacute;AAAAAAAAAleluia

Avira na atual atualiza&ccedil;&atilde;o est&aacute; detectando o malware. Estou sempre olhando as atualiza&ccedil;&otilde;es para ver se ele detecta...j&aacute; estava pensando se era mesmo malware...

---

VirusTotal e Jotti ainda n&atilde;o detecta...tem que atualizar o banco de dados.

-----------

Se passaram  11 dias desde que eu postei o t&oacute;pico...em minha opini&atilde;o...essa foi lenta...n&atilde;o sei se &eacute; caso a parte, mas ....

Ab&ccedil;

T+

Answer

Bem, para finalizar sobre esse malware..vou postar o link dos resultados do v&iacute;rus total e jotti

https://www.virustotal.com/file/cc3629d52fda69eb40947b60879b4cfb878830a7d7d19c6658a36236c1142c98/analysis/1334867151/

http://virusscan.jotti.org/pt-br/scanresult/f890f1f7c81b51b40977e85b08507c81214523bb

Ab&ccedil;

T+

Ferramentas

Mover Tópico