A través de un servidor de Cheyenne (EE.UU.) recibimos una muestra de un fichero pedido por el ELISTARA, el WIDJXMG32.EXE.Muestra EliStartPage v41.47, que resulta ser una copia del WSCRIPT.EXE del sistema, y es que algunos virus como el CRISAS falsean el fichero utilizado para el malware, copiando además uno del sistema con otro nombre, como […]

Ya hacía tiempo que no veíamos malwares de dicho tipo, pero ahí vuelven: Evidentemente queda residente y su eliminación con el ELISTARA necesita un reinicio para que deje de estarlo, sino persiste su captura y el doble acento. Pero tras pasar el ELISTARA y reinicar, se acabó lo que se daba !

Cuando ya hacia tiempo que nos había dejado en paz, ayer empezó a dar de nuevo señales de vida, y hoy vielve a las andadas este dichoso ransomware que cifra los ficheros y les modifica su nombre y extension, quedando **********.****” (10 caracteres alfanuméricos aleatorios para el nombre y un nº hexadecimal de 4 cifras […]

Pedida muestra por el analisis heuristico del ELISTARA, hemos recibido fichero infectado con virus W32/Swisyn que ya está controlado por muchos antivirus con este mismo nombre, como McAfee

Pues tras probar una muestra recibida para analizar, nos encontramos con todos los ficheros, menos los que cuelgan de windows, cifrados y con una extension añadida .DOCM, pero es que TODOS-TODOS, sea cual fuere su extension ! Lo pasamos a controlar a partir del ELISTARA 41.43 de hoy, si bien los cifrados… ahí ofrece el […]

Si bien no hay que confiar en ellos, la verdad es que yo tambien me lo pensaría despues de cobrar “mas de dos mil millones de dólares y un promedio de dos millones y medio por semana de sus víctimas” … Aunque hoy hemos pasado a conocer otra variante de este ransomware, que pasamos a […]

Información sobre nueva gama de malwares que quedan residentes utilizando ficheros del sistema En este caso pasamos a detectar a partir del ELISTARA 41.42 de hoy, como MALWARE MICROMANAGER, a un congenere que tiene estas caracteristicas: Ha suplantado al “RegAsm.exe” de las .NET de Microsoft, con el nombre de MicroManager.exe Queda residente. (proceso activo “REGASM.EXE”) […]

Tras analizar los tres ficheros recibidos en ZIP, ofrecemos los tres analisis de virustotal obtenidos una vez desempaquetados dichos ficheros: FLASH.ZIP->flash.exe

Otra familia de troyanos que va apareciendo diariamente con nuevas variantes es el TROJAN SCAR , a saber: Queda residente. Se oculta con atributos de Sistema y Oculto (+s +h) variando el nombre del fichero que instala para su ejecución en el siguiente reinicio: %Datos de Programa% (All Users)\ wow64_microsoft-windows-installer-executable_31bf3856ad364e35_10.0.17134.228_none_3599108e107a76b5\ KBDNE.exe (+s+h) El preanalisis de […]

De los cientos de TROJAN EMOTET que nos llegan a diario, y que vamos controlado en lo posible con las nuevas versiones diarias del ELISTARA, nos encontramos hoy con una nueva gama que cambia los nombres que utiliza para los ficheros que instala y utiliza en los siguientes reinicios. El %nombre% cambia según sistema y […]

Un nuevo mail anexandpo un fichero .7z está llegando profusivamente por Internet EL texto del mail es el siguiente: TEXTO DEL MAIL ______________ Asunto: 201900000025-CONSIGNMENT-DOCUMENTS-FOR-SHIPPING-GOODS-2019-05-24 De: Fernando Lao Barreriros <fernandolaobarreriros05@hotmail.com> Fecha: 24/05/2019 10:34 Para: destinatario Hello, Good day. Find attachments to your shipping documents for your reference. Thanks. Best Regards, Dispatch Manager Fernando Lao Barreriros […]

No es normal que los malwares se aseguren tanto de volver a cargarse en el siguiente reinicio en cuatro claves del registro, posiblemente para asegurar el tiro, pero este lo hace en las siguientes claves: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] y [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] “Windows32KernelStart”=””%Datos de Programa%\ wks.exe”” Por lo demás vemos que queda residente y que es considerado […]