Entradas con la etiqueta ‘elistara’

Una historia interminable: Trojan.Jackservn, un Downloader que descarga un dropper que instala un exe… cuyo proceso no es visible

Nos ha llegado una muestra digna de mención ! Se trata de un downloader, que llega en un downloader (dldr) eacac366.exe, que descarga un dropper (dr) 5243fa11.exe, el cual instala un malware, con nombre fijo, como varias DLL que le acompañan, userplus.exe y Extensionm dll, toda una joya. El dropper es el mas grande y […]

Leer el resto de esta entrada »

UN ROOTKIT DIFICIL DE DETECTAR : ROOTKIT SHIOTOB tambien conocido como BEBLOH

Nos ha llegado muestra de una variante de la familia SHIOTOB, rootkit que una vez arrancado el ordenador y activado su funcionamiento, se oculta de mala manera, y solo arrancando en MODO SEGURO o lanzando el antivirus inmediatamente tras arrancar,(sirve el ELISTARA tambien) es visible. El preanalisis de virustotal ofrece el siguiente informe:> Llega en […]

Leer el resto de esta entrada »

RANSOMWARE LIGHTNING QUE PASAMOS A CONTROLAR CON ELISTARA 40.81 DE HOY

Otro especimen de ransomware cifrador de ficheros y con chantaje de pago para “descifrarlos” (no recomendable), es este RANSOM LIGHTNING cuyo preanalisis con virustotal ofrece el siguiente informe> El texto que ofrece en las carpetas donde se han cifrado documentos, es el siguiente: ___________ !=How_to_decrypt_files=!.txt: Hello ! All your files have been encrypted ! Don’t […]

Leer el resto de esta entrada »

NUEVA VARIANTE DE KEYLOGGER IMMINENT TAMBIEN CONOCIDO COMO TROJAN ZPEVDO

Una nueva muestra de este troyano nos ha llegado para analizar, pudiendo haber sido descargada por un downloader o instalada por un dropper que al ejecutarlo lo instala y se conecta a internet sin permiso, mostrando pantallas emergentes con anuncios comerciales y ofreciendo falsas alertas de programas de seguridad: Ver una detección como Zpevdo: Como […]

Leer el resto de esta entrada »

NUEVA VARIANTE DEL RANSOM PPTX QUE NOS HA LLEGADO HOY

Otra variante de este ransomware que codifica los ficheros de todas las unidades mapeadas (respetando %WinDir%), añadiendoles la extensión “.pptx” Es derivado de los ya conocidos como Ransom.DOC, Ransom.DOCX, Ransom.RTF y/o Ransom.Lock Se instala en %Datos de Programa% (Conf.Local)\ %nombre%.exe %WinIni%\ stst.vbs -> apuntando al EXE ejecutado y donde ha cifrado algún fichero deja las […]

Leer el resto de esta entrada »

FALSO MAIL QUE APARENTA LLEGAR DE DHL ANEXANDO UN FICHERO MALICIOSO (PWS)

Se está recibiendo un falso mail de DHL que anexa fichero RAR malicioso conteniendo un EXE con PWS (pasword stealer) El TEXTO de dicho mail es el siguiente: ________________ Asunto: DHL Failed Delivery (Ref: GOT/4300965) De: DHL EXPRESS <DHL-Express.Export@dhl.com> Fecha: 27/11/2018 9:39 Para: undisclosed-recipients:; Arrival Notice Our Ref: GOT / 731104 Bill of Lading: TAO184053 […]

Leer el resto de esta entrada »

SPY GOLROTED, GUSANO BACKDOOR TAMBIEN CONOCIDO COMO trojan Nanocore

Como particularidad significativa es que se instala con el nombre de MICROSOFT.EXE en %Datos de Programa%\ WindowsX64\ microsoft.exe y crea un fichero con extension .lnk añadida a dicho exe: %Datos de Programa%\ WindowsX64\ microsoft.exe.lnk %WinIni%\ microsoft.exe.lnk E instala una clave con un LOAD para la carga al reiniciar: [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] “Load”=”%Datos de Programa%\ WindowsX64\ microsoft.exe.lnk” […]

Leer el resto de esta entrada »

NUEVA VARIANTE DE Malware.MSOneDrive, QUE UTILIZA NOMBRES DE FICHEROS DEL SISTEMA OPERATIVO COMO “systray”, “tasklist”, etc.

Se trata de un cazapasswords que queda residente y captura los datos del usuario afectado. Se instala normalmente en : %Datos de Programa% (Config.Local)\ Chrome\ %nombre%.exe Y crea una clave para cargarse al reiniciar, del siguiente tipo: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] “Microsoft OneDrive”=”%Datos de Programa% (Config.Local)\ Chrome\ %nombre%.exe” donde %nombre% varia en cada reinicio pudiedo ser el nombre […]

Leer el resto de esta entrada »

NUEVO TROYANO TASKER QUE PASAMOS A CONTROLAR A PARTIR DE ELISTARA 40.15 DE HOY

Un nuevo malware que se oculta diferente segun sea el sistema operativo, se instala con el nombre de lsm.exe con atributos +s +h en una carpeta que cuelga de Datos de Programa. Tras ser ejecutado, queda residente con características de backdoor. Por otra parte crea una clave en %WinSys%\ Tasks\ Microsoft LocalManager[%SistemaOperativo%] -> apuntando al […]

Leer el resto de esta entrada »

NUEVO MAIL MALICIOSO QUE ANEXA FICHERO CON EXTENSION .R00 QUE ES UN RAR QUE CONTIENE UN EXE CONTROLADO COMO FUERBOOS

NUEVO MAIL MALICIOSO QUE ANEXA FICHERO R00 QUE ES UN RAR QUE CONTIENE UN EXE CONTROLADO COMO FUERBOOS El texto del mail en cuestión es el siguiente: ____________ Asunto: Project Quotation De: “Marleen Crauwels” <marleen@alphadistribution.be> Fecha: 20/11/2018 14:43 Para: “Marleen Crauwels” <marleen.alphadistribution@dr.com> Good greetings, Hope you this email finds you well. My name is Marleen, […]

Leer el resto de esta entrada »

NUEVA VARIANTE DE MALWARE DHCPMON

Se trata de un malware backdoor/PSW que tambien es conocido como Trojan.Backdoor.MSIL.NanoBot.gen por algunos AV como Kaspersky o ZA by Check Point . Queda residente. (proceso activo “REGASM.EXE”) Guarda los siguientes datos en ordenadores donde se ejecuta: %Datos de Programa%\ ********-****-****-****-************\ catalog.dat (de datos) ¿¿¿??? %Datos de Programa%\ ********-****-****-****-************\ run.dat (de datos) ¿¿¿??? %Datos de […]

Leer el resto de esta entrada »

OTRO MALWARE PWS QUE PASAMOS A CONTROLAR COMO Malware.Doterings4 a partir del ELISTARA 40.12 de hoy

  Al monitorizarlo observamos que crea la siguiente tarea %WinDir%\Tasks\Betvingelsernes7.job y deja programada la siguiente clave para instalarse al reiniciar: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Betvingelsernes7″=”%WinTmp%\ Doterings4.exe” Y algunos AV como KASPERKY Y ZA lo controlan como TROJAN SPY STEALER: Kaspersky Trojan-Spy.Win32.Stealer.dnb ZoneAlarm by Check Point Trojan-Spy.Win32.Stealer.dnb El preanalisis de virustotal de la muestra recibida ofrece el siguiente informe> […]

Leer el resto de esta entrada »
 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies