MUESTRA REAL DEL MALWARE “EXPTR” O “NOPETYA” CAUSANTE DEL CIBERATAQUE DE FINALES JUNIO 2017
Tras la busca y captura del causante del dichoso ciberataque, hemos encontrado dos posibles ficheros relacionados, que pasamos a controlar a partir del ELISTARA 37.16 de hoy
Por el tamaño de ambos pensamos que uno dropa al otro, siendo el informe del preanalisis del mayor el siguiente:
https://www.virustotal.com/es/file/e5c643f1d8ecc0fd739d0bbe4a1c6c7de2601d86ab0fff74fd89c40908654be5/analysis/1498807993/
y el dropado (de la mitad de tamaño) el preanalisis de virustotal nos ofrece este informe:
MD5 71b6a493388e7d0b40c83ce903bc6b04SHA1 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06dTamaño del fichero 353.9 KB ( 362360 bytes )SHA256: 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745Nombre: 027cc450ef5f8c5f653329641ec1fed9.exeDetecciones: 54 / 60Fecha de análisis: 2017-06-30 07:27:21 UTC ( hace 1 minuto )
informe global actual de virustotal
Darse cuenta que lo que indicabamos sobre dicho malware en
coincidia con el MD5 del fichero en cuestion, o sea:
71b6a493388e7d0b40c83ce903bc6b04
Así que realmente la muestra “dropada” es la que ocasiona el ciberataque actual, y el SVCHOST “dropper” resulta ser un winzip autoextraible que contiene y genera el malware final en cuestión.
Dicha versión del ELISTARA 37.16 que los detecta y elimina, estará disponible en nuestra web a partir del 1 de Julio 2017
saludos
ms, 30-6-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.