Nos ha llegado una muestra digna de mención ! Se trata de un downloader, que llega en un downloader (dldr) eacac366.exe, que descarga un dropper (dr) 5243fa11.exe, el cual instala un malware, con nombre fijo, como varias DLL que le acompañan, userplus.exe y Extensionm dll, toda una joya. El dropper es el mas grande y […]

Nos ha llegado muestra de una variante de la familia SHIOTOB, rootkit que una vez arrancado el ordenador y activado su funcionamiento, se oculta de mala manera, y solo arrancando en MODO SEGURO o lanzando el antivirus inmediatamente tras arrancar,(sirve el ELISTARA tambien) es visible. El preanalisis de virustotal ofrece el siguiente informe:> Llega en […]

Otro especimen de ransomware cifrador de ficheros y con chantaje de pago para “descifrarlos” (no recomendable), es este RANSOM LIGHTNING cuyo preanalisis con virustotal ofrece el siguiente informe> El texto que ofrece en las carpetas donde se han cifrado documentos, es el siguiente: ___________ !=How_to_decrypt_files=!.txt: Hello ! All your files have been encrypted ! Don’t […]

Una nueva muestra de este troyano nos ha llegado para analizar, pudiendo haber sido descargada por un downloader o instalada por un dropper que al ejecutarlo lo instala y se conecta a internet sin permiso, mostrando pantallas emergentes con anuncios comerciales y ofreciendo falsas alertas de programas de seguridad: Ver una detección como Zpevdo: Como […]

Otra variante de este ransomware que codifica los ficheros de todas las unidades mapeadas (respetando %WinDir%), añadiendoles la extensión “.pptx” Es derivado de los ya conocidos como Ransom.DOC, Ransom.DOCX, Ransom.RTF y/o Ransom.Lock Se instala en %Datos de Programa% (Conf.Local)\ %nombre%.exe %WinIni%\ stst.vbs -> apuntando al EXE ejecutado y donde ha cifrado algún fichero deja las […]

Se está recibiendo un falso mail de DHL que anexa fichero RAR malicioso conteniendo un EXE con PWS (pasword stealer) El TEXTO de dicho mail es el siguiente: ________________ Asunto: DHL Failed Delivery (Ref: GOT/4300965) De: DHL EXPRESS <DHL-Express.Export@dhl.com> Fecha: 27/11/2018 9:39 Para: undisclosed-recipients:; Arrival Notice Our Ref: GOT / 731104 Bill of Lading: TAO184053 […]

Como particularidad significativa es que se instala con el nombre de MICROSOFT.EXE en %Datos de Programa%\ WindowsX64\ microsoft.exe y crea un fichero con extension .lnk añadida a dicho exe: %Datos de Programa%\ WindowsX64\ microsoft.exe.lnk %WinIni%\ microsoft.exe.lnk E instala una clave con un LOAD para la carga al reiniciar: [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] “Load”=”%Datos de Programa%\ WindowsX64\ microsoft.exe.lnk” […]

Se trata de un cazapasswords que queda residente y captura los datos del usuario afectado. Se instala normalmente en : %Datos de Programa% (Config.Local)\ Chrome\ %nombre%.exe Y crea una clave para cargarse al reiniciar, del siguiente tipo: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] “Microsoft OneDrive”=”%Datos de Programa% (Config.Local)\ Chrome\ %nombre%.exe” donde %nombre% varia en cada reinicio pudiedo ser el nombre […]

Un nuevo malware que se oculta diferente segun sea el sistema operativo, se instala con el nombre de lsm.exe con atributos +s +h en una carpeta que cuelga de Datos de Programa. Tras ser ejecutado, queda residente con características de backdoor. Por otra parte crea una clave en %WinSys%\ Tasks\ Microsoft LocalManager[%SistemaOperativo%] -> apuntando al […]

NUEVO MAIL MALICIOSO QUE ANEXA FICHERO R00 QUE ES UN RAR QUE CONTIENE UN EXE CONTROLADO COMO FUERBOOS El texto del mail en cuestión es el siguiente: ____________ Asunto: Project Quotation De: “Marleen Crauwels” <marleen@alphadistribution.be> Fecha: 20/11/2018 14:43 Para: “Marleen Crauwels” <marleen.alphadistribution@dr.com> Good greetings, Hope you this email finds you well. My name is Marleen, […]

Se trata de un malware backdoor/PSW que tambien es conocido como Trojan.Backdoor.MSIL.NanoBot.gen por algunos AV como Kaspersky o ZA by Check Point . Queda residente. (proceso activo “REGASM.EXE”) Guarda los siguientes datos en ordenadores donde se ejecuta: %Datos de Programa%\ ********-****-****-****-************\ catalog.dat (de datos) ¿¿¿??? %Datos de Programa%\ ********-****-****-****-************\ run.dat (de datos) ¿¿¿??? %Datos de […]

  Al monitorizarlo observamos que crea la siguiente tarea %WinDir%\Tasks\Betvingelsernes7.job y deja programada la siguiente clave para instalarse al reiniciar: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Betvingelsernes7″=”%WinTmp%\ Doterings4.exe” Y algunos AV como KASPERKY Y ZA lo controlan como TROJAN SPY STEALER: Kaspersky Trojan-Spy.Win32.Stealer.dnb ZoneAlarm by Check Point Trojan-Spy.Win32.Stealer.dnb El preanalisis de virustotal de la muestra recibida ofrece el siguiente informe> […]