A partir de la versión 37.70 del ELISTARA de hoy, pasamos a controlar esta nueva variante de malware Queda residente hasta el siguiente reinicio

A partir del ELISTARA 37.70 de hoy pasamos a controlar las nuevas variantes de este cazapassword bancario que esta siendo descargado de Doc de solo 14 kB (SIN MACROS) que llegan anexados a mails masivos, utilizando la plataforma del PowerShell para ello. Resumen de los ficheros anexados a los mails que resultan ser estos downloaders […]

Lo pasamos a controlar a partir del ELISTARA 37.49 DE HOY Llega en un ZIP adjunto a un EMail El Zip contiene un Documento de Word com Macros A abrirlo con la proteccion de Macros desactivada (macro habilitada), descarga, desencripta y ejecuta el EXE   – Queda residente (proceso no visible) – Utiliza un RootKit […]

En un mail de este tipo:   MAIL MALICIOSO: ________________ Asunto: TT copy for your confirmation De: “Kang shanyuan”<kangshanyuan@hotmail.com> Fecha: 19/07/2017 2:16 Para: kangshanyuan@hotmail.com FYI Dear Our bank has transferred payment to your Company Account Attached is TT copy for your confirmation and necessary actions. Thanks and Best Regards, —– Kang Shanyuan Assistance account Officer ROLLPLAN […]

En un mail con remitente de Dubai se ha recibido un ejecutable de armas tomar, ya que tras quedar residente (y robar contraseñas), desaparece dejando un pariente, pero que no es llamado desde el registro en nuevos reinicios, aunque puede que el usuario lo ejecute sin querer… A pesar de haber pocos indicios, nuestro ELISTARA […]

Otro malware password steal pasamos a controlarlo con la version 36.57 del ELISTARA de hoy El preanalisis de virustotal ofrece el siguiente informe: MD5 b71cb80396c311a1e5216685ade351da SHA1 5b37ebc1acdaf3ecbc38ea982475435db47043a4 Tamaño del fichero 488.0 KB ( 499712 bytes ) SHA256: 4f74d7303c01aea8908f77183596887cf33513214a76d4a9c8ca58c9cf3fab84 Nombre: sharp.exe Detecciones: 50 / 62 Fecha de análisis: 2017-04-03 04:27:25 UTC ( hace 11 horas, 8 […]

Afortunadamente en España acentuamos, que si no, no nos enteraríamos de que tenemos residente esta familia de cazapasswords bancarios… Gracias a la interceptación del tecleado de digitos, lo cual provoca el doble acento, los usuarios se enteran de que tienen gato encerrado en memoria, y al analizar las claves de registro (con el listado del […]

Una nueva variante de esta familia de espías que captura contraseñas entradas por teclado, por lo que crea dobles acentos, pasa a ser controlada a partir del ELISTARA 36.42 de hoy A uno de los ficheros que usa le llema SCHVOST.EXE, que es facilmente confundible por el SVCHOST.EXE del sistema …, ojo ! Usa llamadas […]

Este espía es dificilmente detectable, pues cambia el nombre del fichero, asi como el de la carpeta donde se instala y la clave del registro que lo lanza, de manera que las nuevas variantes solo las pillamos por el doble acento que causa su keylogger en las palabras acentuadas, lo cual no pasa en idioma […]

Otro cazapaswords que causa doble acento en las palabras acentuadas, pasa a ser controlado a partir del ELISTARA 36.06 de hoy Los ficheros que nos ha creado en la monitorización, han sido: %Datos de Programa%\ oougw.exe %Datos de Programa% (All Users)\ Browsers.txt %Datos de Programa% (All Users)\ Mails.txt Y el preanalisis de viristotal ofrece el […]

A partir del ELISTARA 35.18 de hoy, pasamos a controlar esta nueva variante de cazapasswords PWS PAPRAS El preanalisis de virustotal ofrece el siguiente informe: MD5 d3de32089b31c8606aeca2f13055ba21 SHA1 054491c480cd69487df2037b3f331d8bc15a81c7 File size 217.5 KB ( 222683 bytes ) SHA256:  3d8993b7468e6994c4a2a973a02a27f83571731df2df6841a4bca0312aa5a8f7 File name:  FancElceb.gxe Detection ratio:  24 / 56 Analysis date:  2016-09-09 06:52:32 UTC ( 1 hour, […]

El fichero inicial instala otro y el primero desaparece, pero el segundo queda residente, cuyo proceso activo no es visible Se debe eliminar arrancando en “Modo Seguro”, de lo contrario se regenera. El preanalisis de virustotal ofrece el siguiente informe: MD5 d1aeb94f70ee8a001eab7cf7d4be5880 SHA1 5256df7f2faa5cd49ae2b5369022451fdbe6029d Tamaño del fichero 378.5 KB ( 387584 bytes ) SHA256:  63816ae5b6ddd7f85367bbc92f10cb045d2f996bda74f5f0e5c176e168bbf277 […]