INFORMACION SOBRE CARACTERISTICAS TROJAN BAYROB (ABRE PUERTA TRASERA RESIDENTE)

Publicado el 12 mayo 2016 ¬ 15:03 pmh.mscComentarios desactivados en INFORMACION SOBRE CARACTERISTICAS TROJAN BAYROB (ABRE PUERTA TRASERA RESIDENTE)

Dado que estamos recibiendo bastantes incidencias sobre el intento de intrusión de este troyano, hemos procedido a editar esta Noticia para información de los usuarios que pueda interesar:

Dicho malware llega normalmente anexado a un mail, como el siguiente:

____________
Asunto: Se envía el formulario
De: “remitente al azar”
Fecha: 11/05/2016 18:56
Para: <avisos.bocyl@jcyl.es>

¿Cómo está usted?

También se envía la documentación adjunta en relación con su propuesta.
Si podemos brindarle nuestro apoyo, sírvase a contactarnos.

Hasta pronto

____________
El fichero anexado es un ZIP que contiene un EXE de diferente nombre, por ejemplo en el caso que indicamos, anexa fichero 79shelby.zip (contiene fichero roland.exe infectado con BAYROB)

Puede verse analisis de virustotal sobre este caso en:

NUEVOS MAILS MASIVOS MALICIOSOS QUE LLEGAN ANEXANDO MALWARE BAYROB

asi como otros varios, de la misma familia de troyanos BAYROB, de ayer y de hoy.

Una vez ejecutado el EXE contenido en el ZIP, el troyano captura la siguiente información:

versión del sistema operativo
nombre del ordenador
dirección IP del ordenador
información sobre el sistema operativo y configuración del sistema
ruta de acceso a carpetas específicas
lista de servicios en ejecución

 

Y envía la información capturada a una máquina remota, utilizando el protocolo HTTP.

El troyano adquiere dichos datos desde un equipo remoto que puede ser via Internet.

El troyano puede ejecutar las siguientes operaciones:

enviar la información capturada
enviar la lista de procesos en ejecución a un equipo remoto
descargar archivos desde un ordenador remoto y / o Internet
ejecutar archivos ejecutables

El troyano muestra un falso mensaje de error:

mensaje error TROJAN BAYROB

Falso Mensaje de error Troyano BAYROB.jpg
Evidentemente el proceso en cuestión está permanentemente en memoria, lo cual puede ser visto desde el Administrador de Tareas, observando en Procesos la presencia de uno desconocido, como roland.exe, thwaite.exe, tansy.exe, allison.exe, deeann.exe, por ejemplo, que son los últimos nombres con los que nos ha llegado empaquetado en un ZIP al respecto.

Confiamos que lo indicado les será de utilidad.

saludos

ms 12-5-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Spam, Virus, , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies