Otro sofisticado virus, que además de gusano, es infector de EXE y se propaga tambien por pendrive, lo pasamos a controlar a partir del ELISTARA 40.11 de hoy Esta nueva variante realiza los siguientes procesos: – Queda residente (2 procesos activos) – Oculta ficheros del sistema. – Desactiva el Servicio del Cortafuegos de Windows. – […]

En otro mail recibido hoy, aparece este texto: ________________ Asunto: Re::Proforma Invoice_SFAT000734_ALT1900034+STC1900009 De: Wilhelm Kurt<wilhelm.k@agrartechnik-sachsen.de> Fecha: 15/04/2019 22:49 Para: destinatario Good Morning, I didn’t get your respone for my previous mail and you didn’t pick up my calls either? Pls I want to you to know that the buyer and the delivery address all should […]

Hemos pasado hoy a controlar una nueva variante que nos ha llegado de ransomware FRENCH, que añade FRENCH.101 a los ficheros cifrados Es una especie del anterior RANSOM.RAPIDO que esperabo 1 dia a la fecha de entrada para actuar, mientras que este nuevo FRENCH lo hace tan pronto como se instala en el ordenador Dicho […]

Un nuevo malware-backdoor está apareciendo desde hoy en el parque informático nacional, caracterizandose por acceder maliciosamente y sin permiso a los PC de la Red. El preanalisis de virustotal ofrece el siguiente informe: Malware.LimeRat Como es propio en los backdoors, trras ejecutarlo queda residente y se instala en %WinTmp%\ host\ host.exe creando una clave en […]

Ya son varios los nombres de los ficheros que usa el TROJAN EMOTET, pero hoy se incrementan con los sIguientes: “gluemheg” (en Windows 7) o “keyprompt” (en windows 8 64bits) y a título de información, ofrecemos los nombres de fichero que utilizaban hasta ahora variantes anteriores: “unicodeboldina” (en Windows 7) o “wsmfacts” (en windows 8 […]

Está llegando un escueto mail anexando un fichero .7z que contiene un fichero malicioso de nombre scanned.exe El texto del mail es el siguiente: _________________ Asunto: Your payment has been returned De: “ALPHA EXCHANGE COMPANY”<samersh@gmail.com> Fecha: 28/03/2019 13:57 Para: undisclosed-recipients:; Please check the attached as it is your payment instructed in your favour by our […]

tro mail malicioso nos ha llegado con el siguiente texto __________ Asunto: facturas pendientes De: “Pablo Pousa (Wurth)” <PABLO_POUSA@wurth.es> Fecha: 27/03/2019 13:19 Para: tienda <tiendawurth@wurth.es> CC: Sede Agoncillo <sede.agoncillo@wurth.es> Buenos días, Por favor, cuando puedas gestiona las facturas que te adjunto las cuales ya están vencidas. Muchas gracias. Pablo Pousa Vázquez Gestor Técnico Comercial cid:80BF0997-8C36-4C0A-9D8D-CA088CD43C7E […]

Se está recibiendo mail masivo malicioso con un ISO que contiene fichero .COM con MALWARE OBJECT El texto del mail es el siguiente: _______________ Asunto: FW:Purch Order 3009546415-Long Boom Excavator De: Servizi Daniel<servizi.daniel@bachettisrl.com> Fecha: 27/03/2019 17:03 Para: destinatario Good Morning, Hope everything is OK. I want to update the offer attached. We have a project […]

Sobre la última muestra recibida de un CROME.EXE (sin H), del que ofrecemos información: Se trata de un TROYANO que queda residente y se lanza en cada reinicio Crea el fichero CROME.EXE oculto : %PathUsuario%\ Crome.exe (+s+h) (con atributos de sistema y de oculto) y lo instala en la siguiente clave para su ejecución en […]

Se están recibiendo mails con el dominio arriba indicado (eucov.com) El texto del mail es el siguiente: _________________ Asunto: RE: Outstanding Statement // SOA 26.03.19 De: Tomislav Passols <direccion@eucov.com> Fecha: 26/03/2019 10:28 Hello, Please find the invoices and updated statement of your account attached for your reference. Kindly arrange to settle the due invoices at […]

Se está recibieno mail con fichero anexado .ZIP: SKMBT_9511903971590715.pdf.ZIP que contiene un .EXE con doble extensión (.PDF.EXE) para que el usuario que no ve las extensiones, vea solo la primera y se crea que es un simple PDF, mientras que se ejecutará el .EXE que está en al final, oculto si no se ven dichas […]

Descripción del keylogger Remcos de hoy Se trata de un modificador del HOSTS que cambia las URL de muchos bancos de manera que cuando se quiere acceder a uno, lleva a una URL maliciosa que es un phishing del banco donde pretendemos apuntar El causante del estropicio es este malware, que modifica el HOSTS, es […]