Se está recibiendo nuevo mail anexando fichero RAR que contiene el fichero EXE del mismo nombre, que pasamos a controlar como KEYLOGGER STACK a partir del ELISTARA 42.54 de hoy TEXTO DEL MAIL ______________ Asunto: Re:AW: Payment De: Merchan Sanchez <adminbenidorm@dextraweb.com> Fecha: 13/12/2019 10:44 Para: undisclosed-recipients:; Buenos días, Hicimos la transferencia de pago hoy como […]

Un nuevo malware TEMPFUD, que es el nombre del fichero que instala, también conocido como “Trojan:Win32/Occamy.C” se caracteriza por : Queda residente. Y crea : %Datos de Programa% (Conf.Local)\ TempFUD.exe %Datos de Programa% (Conf.Local)\ Tempbypass.vbs El VBS descarga y ejecuta http://4.top4top.net/m_14270cbru1.mp3 -> (es un VBS)  

A partir del ELISTARA 42.52 de hoy pasaremos a controlar este nuevo malware que queda residente y se instala como una tarea programada en : %Datos de Programa% (All Users)\ %carpeta%\ %nombre%.exe %WinSys%\ Tasks\ %nombre% %WinDir%\ Tasks\ %nombre%.job (donde %carpeta% y %nombre% varian en cada instalación) Y según datos obtenidos con informes al respecto: Inicia […]

Un fichero cuya ejecución provoca un reset nos ha sido enviada desde Bolivia

Es una nueva variante de la familia de ransomwares Phobos, Ransom.Adame y/o Ransom.Bot   Cifra ficheros, incluyendo EXEs y DLLs (respetando %WinDir% y %Archivos de Programa%) añadiendoles la extension “.id-********.[admin@datastex.club].ROGER”, tras lo cual queda preparado para relanzarze en el próximo reinicio, según queda en el registro de sistema: %WinSys%\ %nombre%.exe (como el del EXE ejecutado […]

En un fichero empaquetado Mail.Ru.ZIP nos envian varios ficheros, de los cuales tres de ellos corresponden a un conocido adware MAILROOT, con una DLL que ya controlamos con el actual ELISTARA:

Desde Wichita, EE.UU., nos envian una muestra de un PUP pedida por el ELISTARA:   SIMPLENOTEAPP.EXE.Muestra EliStartPage v42.exe  

Llega un mail con el siguiente texto: TEXTO DEL MAIL ______________ Asunto: IBAN es incorrecto De: pedidos@turronessirvent.com Fecha: 04/12/2019 7:44 Para: undisclosed-recipients:; Buenos días, Quiero hacer el pago de la factura adjunta pero parece que el IBAN es incorrecto, faltan dos números. Por favor revise los detalles y contácteme lo antes posible. Atentamente. Garcia Junta […]

Una nueva variante de ransomware, queda residente y cifra los ficheros incluyendo EXEs y DLLs (respetando %WinDir% y %Archivos de Programa%) añadiendoles la extension “.id-********.[admin@sectex.net].bot”     En las carpetas donde ha cifrado ficheros, deja este mensaje: “all your data has been locked us You want to return? write email admin@sectex.net or admin@sectex.world” Como sea […]

Un nuevo PWS que logicamente queda residente tras su ejecución, y se instala en %Datos de Programa%\ eLFxKPP\ MIlNf.exe nombre con el que lo pasamos a controlar,

Como indican algunos AV en el analisis de virustotal, se trata de varios ficheros que constituyen un conjunto de programas que añadimos al ELISTARA como variantes del RELEVANTKNOWLEDGE PUA:Win32/RelevantKnowledge

Se está recibiendo mail malicioso que anexa fichero ZIP con primera extension PDF, o sea : Shipment of H20191119-pdf.zip que contiene malware NLUGF Desempaquetandolo se extrae un EXE malicioso, como ofrece el analisis de virustotal que ofrecemos al final. TEXTO DEL MAIL _______________ Asunto: RE: Shipment of H20191119 De: administracion@gallardogarcia.es Fecha: 26/11/2019 23:34 Para: DESTINATARIO […]