Otro mail, que firma venir de Australia, con un fichero .ISO anexado al mismo, nos llega hoy con el siguiente texto: ___________ Asunto: Remittance Advice De: Isabella Thambudorai <I.Thamtebdorai@searcherseismic.com> Fecha: 31/10/2018 7:37 Para: tecnic@destinatario To Supplier Please find attached a remittance advice for payment date 31/10/2018. We were instructed to remit payment to your bank […]

  Se está recibiendo un mail con este texto: ______ Asunto: FW: Payment Slip – Payment remitted 31/08/2018 De: “Gabriel Martine M.”<gabriel.martine@philips.com> Fecha: 03/09/2018 20:35 Para: DESTINATARIO Hi, Good Morning Kindly check the attached payment slip from our bank. Our client requested we remit payment on his behalf to your company for your invoice issued […]

Se está recibiendo un mail masivo con estas caracteristicas: Asunto: Swift Payment Documents – Paid Invoices Attached De: office@jpenerqy.com Fecha: 31/01/2018 11:30 Para: DESTINATARIO Good Day, We have tranferred the due amount to your bank. We have cleared all pending payments. Kindly confirm when you receive payment to your account. I await your reply. Best […]

Queda residente. (proceso activo “DLLHOST.EXE”)

Como ayer, seguimos recibiendo mails anexando fichero ISO que pasamos a controlar a partir del ELISTARA 38.16 de hoy

A partir del ELISTARA 38.15 de hoy pasamos a controlar esta nueva variante de backdoor que llega empaquetado en fichero .7Z anexado a este mail: Asunto: File_24532740 De: Jefferey <jefferey.Windsor2698@UCESFinancial.com> Fecha: 27/12/2017 18:23 Para: “destinatario” anexado: File_24532740.7z —> conteniendo malware en File_21819165.js

A partir del ELISTARA 37.96 de hoy, pasamos a controlar esta nueva variante de Backdoor Como es propio de las puertas traseras, queda residente y en este caso genera un fichero diferente segun sistema operativo El preanalisis de virustotal ofrece el siguiente informe: https://www.virustotal.com/es/file/900d5f9390d0c8e4c6c85a8639e31d770f5fd7abb39542f4fc184efb8f1a94a2/analysis/1511883934/ Dicha versión del ELISTARA 37.96 que lo detecta y elimina, estará […]

Se está recibiendo un e-mail con el siguiente texto, que anexa fichero ZIP malicioso:   Asunto: Our Ref: DC TSE841866 Counterparty: SXXXXXXXXX CO., LTD. – Ref:[TRDA18724768] De: “HSBC Advising Service”<advising.service@hsbc.com> Fecha: 14/11/2017 22:08 Para: undisclosed-recipients:; HSBC BANK TRADE SERVICES We attach an Import/Export Trade Services advice (T01) and a copy of the relative DC/Amendment Content […]

A partir del ELISTARA 37.84 de hoy pasamos a controlar esta nueva variante de malware Al lanzarlo quedó residente, pero no modificó ninguna clave del Registro para lanzarse en el siguiente reinicio (???)  

Como caracteristica propia (normal para los backdoors) queda residente tras ser lanzado Lo pasamos a controlar a partir del ELISTARA 37.81 de hoy

Una nueva variante de este malware queda residente y se relanza en el siguiente reinicio desde una tarea programada A partir del ELISTARA 37.80 de hoy lo pasamos a controlar, pero debe arrancarse en MODO SEGURO para evitar que se regenere por lo arriba indicado.

Otra variante de este Backdoor con caracteristicas singulares: 1- Queda residente. (Proceso activo “SVCHOST.EXE”) 2- El EXE ejecutado inicialmente se autoborra 3- Es Necesario Arrancar en “Modo Seguro” para eliminarlo sin que se relance de nuevo(se relanza por tarea programada %WinDir%\ Tasks\ {3E100DE9-7A34-BC0C-1777-4E50C1A607BC}.job antes que los RUNONCE de eliminación por reinicio con ELISTARA) El preanalisis […]