A partir del ELISTARA 42.52 de hoy pasaremos a controlar este nuevo malware que queda residente y se instala como una tarea programada en : %Datos de Programa% (All Users)\ %carpeta%\ %nombre%.exe %WinSys%\ Tasks\ %nombre% %WinDir%\ Tasks\ %nombre%.job (donde %carpeta% y %nombre% varian en cada instalación) Y según datos obtenidos con informes al respecto: Inicia […]

Un fichero cuya ejecución provoca un reset nos ha sido enviada desde Bolivia

Es una nueva variante de la familia de ransomwares Phobos, Ransom.Adame y/o Ransom.Bot   Cifra ficheros, incluyendo EXEs y DLLs (respetando %WinDir% y %Archivos de Programa%) añadiendoles la extension “.id-********.[admin@datastex.club].ROGER”, tras lo cual queda preparado para relanzarze en el próximo reinicio, según queda en el registro de sistema: %WinSys%\ %nombre%.exe (como el del EXE ejecutado […]

En un fichero empaquetado Mail.Ru.ZIP nos envian varios ficheros, de los cuales tres de ellos corresponden a un conocido adware MAILROOT, con una DLL que ya controlamos con el actual ELISTARA:

Desde Wichita, EE.UU., nos envian una muestra de un PUP pedida por el ELISTARA:   SIMPLENOTEAPP.EXE.Muestra EliStartPage v42.exe  

Está llegando este nuevo mail anexando DOC con macros maliciosas: TEXTO DEL MAIL ______________ Asunto: Certificado médico oficial De: “EIVASA” <recepcion2@syglaaccidentes.com> Fecha: 05/12/2019 8:52 Para: “destinatario” Buenas tardes Le adjuntamos a continuación el Certificado Médico de Aptitud del trabajador solicitado. Un saludo, EIVASA eivasa@astun.com ANEXADO: CERTIFICADO.DOC —> FICHERO MALICIOSO CON UN DOC CON MACROS, POSIBLEMENTE […]

Está llegando por Internet un nuevo mail con el siguiente texto: TEXTO DEL MAIL ______________ Asunto: Payment Receipt De: José Ramos <info@kahrobagostar.com> Fecha: 04/12/2019 10:08 Buenos días. En el archivo adjunto encontrará la copia de la transferencia bancaria. Que tengas un buen día. José Ramos Managing Director ESPARLUS│23, Anastaseos str.GR-155 61 Holargos│MADRID- SPAIN│ TELEPHONE+34 4491 […]

Llega un mail con el siguiente texto: TEXTO DEL MAIL ______________ Asunto: IBAN es incorrecto De: pedidos@turronessirvent.com Fecha: 04/12/2019 7:44 Para: undisclosed-recipients:; Buenos días, Quiero hacer el pago de la factura adjunta pero parece que el IBAN es incorrecto, faltan dos números. Por favor revise los detalles y contácteme lo antes posible. Atentamente. Garcia Junta […]

Una nueva variante de ransomware, queda residente y cifra los ficheros incluyendo EXEs y DLLs (respetando %WinDir% y %Archivos de Programa%) añadiendoles la extension “.id-********.[admin@sectex.net].bot”     En las carpetas donde ha cifrado ficheros, deja este mensaje: “all your data has been locked us You want to return? write email admin@sectex.net or admin@sectex.world” Como sea […]

Un nuevo PWS que logicamente queda residente tras su ejecución, y se instala en %Datos de Programa%\ eLFxKPP\ MIlNf.exe nombre con el que lo pasamos a controlar,

Como indican algunos AV en el analisis de virustotal, se trata de varios ficheros que constituyen un conjunto de programas que añadimos al ELISTARA como variantes del RELEVANTKNOWLEDGE PUA:Win32/RelevantKnowledge

Recibido mail anexando fichero : “Doc_789426 invoice_Swift date_26_nov_2019.xls”, avisamos que se trata de un malware: TEXTO DEL MAIL ______________ Asunto: PAYMENT for . 81523 De: “IFK PVT LTD.” <ejs.generalstore@mac.com> Fecha: 27/11/2019 1:36 Para: DESTINATARIO Dear Partner, Please find attached herewith 1 attachments (total) Thanks & Regards, HEAD Office ANEXADO : Doc_789426 invoice_Swift date_26_nov_2019.XLS —> Fichero […]