Recibidas dos muestras pedidas por el ELISTARA 40.30, que ofrecen estos informes en virustotal: La primera, de un falso EXPLORER.EXE recibida del mismo usuario, que tambien añadimos su control>   Los pasamos a controlar como TROJAN TASKER y TROJAN FSYSNA, respectivamente, a partir del ELISTARA 40.31 de hoy De todas formas, con la actual versión […]

Una nueva muestra de este troyano nos ha llegado para analizar, pudiendo haber sido descargada por un downloader o instalada por un dropper que al ejecutarlo lo instala y se conecta a internet sin permiso, mostrando pantallas emergentes con anuncios comerciales y ofreciendo falsas alertas de programas de seguridad: Ver una detección como Zpevdo: Como […]

Como particularidad significativa es que se instala con el nombre de MICROSOFT.EXE en %Datos de Programa%\ WindowsX64\ microsoft.exe y crea un fichero con extension .lnk añadida a dicho exe: %Datos de Programa%\ WindowsX64\ microsoft.exe.lnk %WinIni%\ microsoft.exe.lnk E instala una clave con un LOAD para la carga al reiniciar: [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] “Load”=”%Datos de Programa%\ WindowsX64\ microsoft.exe.lnk”

Un nuevo malware se instala en Carpeta de Inicio tras su paso por Archivos de Programa de un INI con la sugerente marca ” [Fuck_life] “, quedando residente como es típico en los backdoors.

Un malware poco usual nos ha sido enviado para analizar, siendo sobresaliente que utilice el conocido nombre de SVCHOST.EXE para su ejecutable, además de : – Quedar residente. – Infectar PenDrives – Ocultar ficheros del sistema. – Deshabilitar el Editor del Registro y las Opciones de Carpeta. – Con conexión descarga y ejecuta un HTML […]

Investigadores de seguridad han descubierto un nuevo troyano bancario llamado BackSwap que utiliza técnicas nunca antes vistas para facilitar el robo de fondos en línea.   Las técnicas que utiliza el troyano no se han observado con otra familia de malware, y pueden eludir la detección de software antivirus y las protecciones de seguridad establecidas […]

A partir del ELISTARA 38.78 pasamos a controlar esta nueva variante de malware Llega un ZIP adjunto a un EMail El ZIP contiene una URL que apunta a un JS o un WSF Al Ejecutar el Script descarga y ejecuta un EXE

A partir del ELISTARA 38.74 de hoy, pasamos a controlar esta nueva variante de cazapasswords TROJAN SPY (PWS) YAKBEEX Cabe indicar que queda residente y crea %Datos de Programa% (All Users)\ Browsers.txt %Datos de Programa% (All Users)\ Mails.txt

El conocido de antaño backdoor Kirts, que ya en su día descargaba viejos conocidos como CERBER , BOAXE, CUTWAIL y demás, ha vuelto a aparecer, y lo pasamos a controlar a partir del ELISTARA 38.71 de hoy. sobre el fichero SVCHOSTX64.exe descargado por el Kirts: Ambos los pasamos a controlar a partir del ELISTARA 38.71 […]

Recibimos nueva variante de este malware que captura pantalla y la guarda en la carpeta ScreenShot que cuelga de Program Data Lo pasamos a controlar a partir del ELISTARA 38.66 de hoy

Estan llegando mails con estos textos: Asunto: COPY0000684948 De: “Hiram” <Hiram@dominio destinatario> Fecha: 13/03/2018 12:31 Para: destinatario Sent from my Samsung device ANEXANDO: COPY0000684948.zip ->CONTIENE EL ENLACE INDICADO EN EL TITULO __________ y este otro similar: Asunto: CP0000110 De: “Zelma” <Zelma@DOMINIO DESTINATARIO> Fecha: 13/03/2018 12:02 Para: DESTINATARIO Sent from my Samsung device ANEXANDO CP0000110.ZIP — […]

Otra historia para no dormir: el troyano Scarsi que queda residente. (proceso activo “EXPLORER.EXE”) y, con conexión, descarga y ejecuta un RiskTool.BitCoinMiner.AX, lo cual, en nuestras pruebas, ha sido con el fichero: %Datos de Programa%\ t7dUEn2zPFhsZJNZlXIAgg1zPwgM.exe dejando una clave RUN, para su relanzamiento en sus proximos reinicios: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] “Audio GD System Panel”=”%Datos de Programa%\ t7dUEn2zPFhsZJNZlXIAgg1zPwgM.exe” […]