Publicado el 2 abril 2013 ¬ 17:44 pmh.mscComentarios desactivados en Nueva variante de BANLOAD YA cazada por la heuristica del ELISTARA
Otra muestra pedida por el ELISTARA pasa a ser controlada especificamente a partir del ELISTARA 27.38 de hoy El preanalisis de viristotal ofrece este informe: SHA256: 8625f533fe9cc4f0c4a9a8839c4ec55cd8475233be2c7597291f16c3846ae20b SHA1: 7ed5fbb6847f2fc841e5cefbe6358deac8238656 MD5: 735ef6588636b2ed195fbae827052ae0 Tamaño: 136.0 KB ( 139264 bytes ) Nombre: CSRCS.EXE.Muestra EliStartPage v27.37 Tipo: Win32 EXE Etiquetas: peexe Detecciones: 33 / 45 Fecha de análisis: 2013-04-02 […]
Leer el resto de esta entrada »
Publicado el 16 febrero 2013 ¬ 17:59 pmh.mscComentarios desactivados en Acceso a 1000 equipos infectados por 200 dólares en el mercado negro
Un investigador llamado Dancho Danchev informó sobre un nuevo servicio que ofrece acceso parcial a computadoras infectadas por malware por diferentes montos de dinero. En repetidas oportunidades hemos informados sobre casos de botnets, tal como anunciamos los más de 80.000 bots en Latinoamérica de Dorkbot. Debido a la gran cantidad de equipos infectados, los cibercriminales […]
Leer el resto de esta entrada »
Publicado el 18 diciembre 2012 ¬ 11:00 amh.mscComentarios desactivados en Nueva variante de malware BPROTECTOR, aun muy poco detectado (solo 7 AV de 44)
Una nueva variante de este conocido DORKBOT, que afecta especialmente a los pendrives, pasa a ser controlado a partir del ELISTARA 26.75 de hoy El preanalisis de virustotal ofrece el siguiente informe: SHA256: 86708821c428a781777a81e494de03481c33291b135052c0f7e67a3db4d6789e SHA1: ed7b059ac4b248e7d2a5ff83b4d3f3fd9007c392 MD5: da4eda990b887e7629c7d65af6bbff4b Tamaño: 2.1 MB ( 2158104 bytes ) Nombre: BROWSE~1.DLL.Muestra EliStartPage v26.74 Tipo: Win32 DLL Detecciones: 7 / […]
Leer el resto de esta entrada »
Publicado el 10 octubre 2012 ¬ 12:14 pmh.mscComentarios desactivados en Utilizan Skype para distribuir un troyano para Windows
Denuncian el uso del sistema de mensajería instantánea de Skype para la propagación de un gusano entre los usuarios. Los responsables podrían hacerse con el control de los equipos gracias a este gusano, que es una variante de Dorkbot. En Skype han confirmado la incidencia y han asegurado que trabajan para solucionarla lo antes posible. […]
Leer el resto de esta entrada »
Publicado el 23 marzo 2012 ¬ 11:51 amh.mscComentarios desactivados en Nueva muestra de CRAWLER cazada por el ELISTARA
Una nueva muestra pedida por el ELISTARA pasa a ser controlada especificamente a partir de la version 25.16 de hoy de dciha utilidad El preanalisis de virustotal ofrece el siguiente informe: SHA256: 8d67141b710c4b0f8a4c45a91fbf86d5f366dbf9bb86f6a2deb53bfe4eac41e3 SHA1: 3d2ab38431af94c4eb0c55c878a695b4aa62ea68 MD5: de6e3af6a50d58593599f0eed3e0870a Tamaño: 164.0 KB ( 167936 bytes ) Nombre: CSKQKS.EXE.Muestra EliStartPage v25.04 Tipo: Win32 EXE Detecciones: 30 / 43 […]
Leer el resto de esta entrada »
Publicado el 8 noviembre 2011 ¬ 13:15 pmh.mscComentarios desactivados en Mas RootKit SIREFEF (ZERO ACCESS) cazado por la heuristica del ELISIREF
El Sirefef se está convirtiendo en el RootKit de moda, como lo ha sido (y aun persiste) el DORKBOT y antes el Conficker… Este RootKit se esconde de mala manera cuando está en memoria, mostrando en su lugar el fichero del que coge el nombre, que acostumbra a ser un driver del sistema operativo, aunque […]
Leer el resto de esta entrada »
Publicado el 4 noviembre 2011 ¬ 15:38 pmh.mscComentarios desactivados en Sobre las ultimas novedades del SIREFEF y su deteccion y control con las nuevas versiones de SPROCES / ELISTARA / ELISIREF
Llegandonos cada día nuevas variantes del SIREFEF (ZERO ACCESS) , A CUAL PEOR, si bien hasta ahora lo identificabamos con el proceso del junction sobre fichero de cero bytes en C:\windows, con otro en carpeta inaccesible simulando la de una desinstalacion de parches de Microsoft, que con el SPROCES veiamos algo similar a Proceso extraño […]
Leer el resto de esta entrada »
Publicado el 28 septiembre 2011 ¬ 17:51 pmh.mscComentarios desactivados en Los virus tipo singletons son responsables de la mayoría de los ataques de red
Creados para infectar a uno o como mucho dos ordenadores en todo el mundo, los virus tipo singletons han proliferado tanto que están involucrados en el 60 o 70 por ciento de los cerca de 200 millones de ataques de red que se detectan cada año. En los últimos meses hemos sido testigos del aumento […]
Leer el resto de esta entrada »
Publicado el 28 junio 2011 ¬ 10:31 amh.mscComentarios desactivados en NUEVA VARIANTE DE FAKE AV MS.EA – “WINDOWS AV COMPONENT”
Instalándose como WINDOWS AV COMPONENT, esta variante de la familia FAKE AV MS.EA impide lanzar cualquier aplicación, requiriendo renombrar el ELISTARA.EXE por EXPLORER.EXE para poder ejecutarlo Gracias a la heurística del ELISTARA hemos podido detectar el fichero malware y pedir muestra para analizar y controlar. Lo controlamos a partir de la version 23.51 del ELISTARA […]
Leer el resto de esta entrada »
Publicado el 23 junio 2011 ¬ 11:03 amh.mscComentarios desactivados en Nueva variante de PALEVO relativamente poco controlada (14 de 42)
Nueva variante que se pasa a controlar a partir de ELIPALEVO 2,52 File name: SYITM.EXE (Taskman).vir Submission date: 2011-06-23 08:40:03 (UTC) Current status: finished Result: 14/ 42 (33.3%) VT Community not reviewed Safety score: – Compact Print results Antivirus Version Last Update Result AhnLab-V3 2011.06.23.01 2011.06.23 – AntiVir 7.11.10.79 2011.06.23 – Antiy-AVL 2.0.3.7 2011.06.22 – Avast 4.8.1351.0 2011.06.23 Win32:Downloader-ICH Avast5 5.0.677.0 2011.06.22 – AVG 10.0.0.1190 2011.06.23 SHeur3.CFVM BitDefender 7.2 2011.06.23 – CAT-QuickHeal 11.00 2011.06.23 – ClamAV 0.97.0.0 2011.06.23 – Commtouch 5.3.2.6 2011.06.23 – Comodo 9160 2011.06.23 Heur.Suspicious DrWeb 5.0.2.03300 2011.06.23 Trojan.DownLoader3.37223 […]
Leer el resto de esta entrada »
Publicado el 12 abril 2011 ¬ 16:57 pmh.mscComentarios desactivados en Una POSTAL_CON_AMOR … maligna ! y muy poco detectado actualmente (por solo 6 de 40 AV)
Recibimos fichero para analizar que lleva por título POSTAL_CON_AMOR y aparente extension SWF (flash), pero realmente tiene doble extensión y la real es la .EXE que figura en último lugar (Con ello engañan al usuario) :Liar: Es un worm Dorkbot con propiedades de RootKit… y, cuando está en uso, oculta sus procesos, ficheros y usa nombre variable, […]
Leer el resto de esta entrada »