Entradas con la etiqueta ‘elistara’

NUEVA VARIANTE DE RISKTOOL BITCOINMINER.DP QUE USA VARIOS FICHEROS EN SU PROCESO

Una nueva variante de este minero utiliza varios ficheros que usa en su proceso, empezando por un HeIper.exe y siguiendo por un ByHunter.exe y por otros de nombre parecido (pero con mas o menos “s” en dicho nombre, SVSSHOST.EXE y SVSSSHOST-EXE) Los preanalisis de dichos ficheros son los siguientes: Respecto al HeIper.exe:   Y respecto […]

Leer el resto de esta entrada »

Y UN ULTIMO MAIL MALICIOSO QUE NOS LLEGA A PUNTO DE TERMINAR POR HOY

Esta vez aparenta venir de una dirección de Chile,  (icomex@dan.cl) si bien la IP es de un servidor de California y tambien anexa un .ISO que contiene un .EXE malicioso: ____________ Asunto: FW: Balance Payment 112917 De: Romy Frago <icomex@dan.cl> Fecha: 20/07/2018 13:13 Para: “destinatario” Hi, Find the attached payment slip as instructed by my […]

Leer el resto de esta entrada »

NUEVA VARIANTE RISKTOOL BITCOINMINER.BP

A partir del ELISTARA 39.52 de hoy pasamos a controlar esta nueva variante de RISKTOOL BITCOINMINER, Al ejecutarlo se instala en… %WinDir%\ HeIpPane.exe (+s+h) cuyo preanalisis de virustotal ofrece el siguiente informe: fichero que descarga y ejecuta este otro fichero: “http://ddwa.top/svssshost.exe” ejecutandolo desde: %WinDir%\ svssshost.exe (+s+h) cuyo preanalisis de virustotal ofrece este otro informe:   […]

Leer el resto de esta entrada »

NUEVO MAIL ANEXANDO FICHERO .ISO DICIENDO SER DE FILIPINAS (Aunque por la IP, el servidor utilizado es de California)

De nuevo llegan mails anexando fichero empaquetado .ISO que contiene un .EXE malicioso. El indicado mail contiene el siguiente texto: _____________ Asunto: Request for quotation 25618.. De: JABBAR SHEKHAWATI <JABBAR.SHEKHAWATI@shapoorji.com> Fecha: 19/07/2018 14:56 Para: “DESTINATARIO” Could you please advise if you already have a unit here in Philippines. If not Could you please quote stock […]

Leer el resto de esta entrada »

NUEVA VARIANTE DE RANSOM SHRUG QUE AÑADE .SHRUG2 A LOS CIFRADOS

Descubierta ayer la primera versión de este ransomware, hoy ya tenemos una variante que añade un 2 al consabido añadido del .SHRUG , quedando los ficheros cifrados con un añadido de .SHRUG2, y ofreciendo el siguiente informe en el preanalisis de virustotal Con el actual ELISTARA ya controlamos esta variante, que ofrece esta información en […]

Leer el resto de esta entrada »

NUEVO RANSOMWARE SHRUG AÑADE SU NOMBRE EN LA EXTENSION DE LOS CIFRADOS

A partir del ELISTARA 39.49 de hoy, pasamos a controlar este nuevo ransomware, cuyo preanalisis de virus total ofrece el siguiente informe: Y el texto que presenta en los ordenadores infectados es similar al siguiente T Ante todo, para quitarlo de memoria residente, es importante arrancar en MODO SEGURO y lanzar el ELISTARA > 39.49 […]

Leer el resto de esta entrada »

NUEVO MAIL MALICIOSO QUE ADJUNTA FICHERO .PDF.TAR

Aparentando contener un “confirming” (confirmación de un pago) se recibe un mail conteniendo un fichero TAR (empaquetado similar a los 7ZIP) con el siguiente texto: ___________________ Date sent: Wed, 17 Jul 2018 10:05:14 +0300 From: Confirming.bbva@bbva.com To: Notification@bbva.com Subject: BBVA-Confirming Cesión de Créditos Muy Sres. Nuestros: Nos complace adjuntarles información relativa a Cesión de Créditos. […]

Leer el resto de esta entrada »

NUEVO MAIL CON FICHERO ANEXADO MALWARE QUE SE ESTA RECIBIENDO HOY

Está llegando un mail con el siguiente texto: Asunto: pagamento bollettino De: <giacomi_callisto@yyuwl.191.it> Fecha: 16/07/2018 12:18 Para: DESTINATARIO Buon pomeriggio, ricevuta di pagamento(2018-07-16) Cordiali saluti Lodovico De Angelis ANEXADO : Scansione_1_F24_2018_07.ZIP —> fichero conteniendo worm kasidet ___________ El fichero ZIP anexado contiene este fichero EXE: Scansione_F24_2018_07.JPG.EXE EL cual como se ve, intenta confundir al usuario […]

Leer el resto de esta entrada »

Informes de los Preanalisis de VirusTotal sobre nuevas muestras que pasaremos a controlar con EliStarA 39.40 de hoy

Extracto de los analisis de nuevas muestras de malware que añadiremos al control del EliStarA 39.40     CUTWAIL-BE   RANSOM SAGE   TROJAN EMOTET   WORM KASIDET   RANSOM GANCRAB-B (KRAB)   RANSOM HERMES   RANSOM CLOXER   PWS AUTOIT-ASO         saludos ms, 4-7-2018

Leer el resto de esta entrada »

NUEVA VARIANTE DE RANSOM GANDCRAB QUE AHORA AÑADE KRAB CON K A LOS CIFRADOS

Una nueva variante del ransomware GANDCRAB, que pasamos a controlar como GANDCRAB-B, está cifrando ficheros al estilo del anterior GANDCRAB pero ahora añadiendo KRAB en lugar de CRAB los ficheros cifrados. Se presenta con este texto (acortado respecto al original eliminando los datos del KEY) —= GANDCRAB V4 =— Attention! All your files, documents, photos, […]

Leer el resto de esta entrada »

NUEVO MALWARE RISKTOOL SHELLSTART QUE INTERCEPTA LA EJECUCION DE DETERMINADOS EXE

Se trata de un nuevo malware que bloquea la red, cuando está conectado a la misma, por interceptar la ejecución de EXEs concretos Al ejecutarlo visualiza: “sethc.exe” “Enter password” [ ] [ OK ] [ Cancel ] Recibimos la muestra pedida por por el EliStarA, segun se pide en el Infosat.txt: Lista de Acciones (por […]

Leer el resto de esta entrada »

NUEVA VARIANTE DE MALWARE FOISDIU

Se trata de un VBS que apunta a un EXE que se autobarra tras ejecutarlo … el preanalisis de virustotal ofrece el siguiente informe: Varios antivirus lo consideran un PWS, como: DrWeb : Trojan.PWS.Stealer.24156 Kaspersky : HEUR:Trojan-PSW.Win32.Agent.gen ZoneAlarm by Check Point : HEUR:Trojan-PSW.Win32.Agent.gen etc…, por lo que cabe considerarlo como tal Lo pasamos a controlar […]

Leer el resto de esta entrada »
 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies