Un nuevo malware nos ha llegado por dos caminos, un fichero XLS con macros maliicosas y un EXE downloader, que al parecer coinciden en ser detectados como RANSOMWARE AMNESIA, por lo que avisamos de que NO SE DEBEN ABRIR LAS MACROS de los ficheros DOC, XLS, PDF por poder ser maliciosas y descargar o instalar […]

A partir del ELISTARA 36.91 de hoy, pasamos a controlar esta nieva variante de malware El preanalisis de virustotal ofrece el siguiente informe: MD5 03e6e9668f7bce966e7fced120f50d79 SHA1 5da7d525eae223bddaed663e02efef98830338cd Tamaño del fichero 8.5 KB ( 8704 bytes ) SHA256: baebc938c010fc8cfc2b579292c0bb9c8cee0172de8bd737654a92ccb4eda159 Nombre: pfa9.exe Detecciones: 22 / 58 Fecha de análisis: 2017-05-25 09:48:55 UTC ( hace 5 minutos )

Anexado a un mail llega un EXE que resulta ser un autoextraible, cuya ejecución instala este downloader, que pasamos a controlar a partir del ELISTARA 36.79 de hoy Tras proceder segun indicado, el EXE se autoborra. El preanalisis de virustotal ofrece el siguiente informe: MD5 669199b28f315f89b76d83859b761fa0 SHA1 4d7f736d6c77c0f08f537e8d588ce973010ab2cc Tamaño del fichero 632.0 KB ( 647168 […]

Otro malware que se va autoactualizando es el OUTBREAK, que se lanza en cada reinicio a través de un link que lanza el EXE malware (de nombre variable) desde el %WinIni%. Con la versión 36.75 del ELISTARA de hoy, ya controlamos 19 variantes de este malware. El preanalisis de virustotal ofrece el siguiente informe: MD5 […]

Una nueva familia de troyanos crea varios ficheros y queda residente, pudiendo actuar de backdoor al estilo del Keylogger Bladabindi. Los ficheros que nos ha creado han sido: %Mis Documentos%\ cvf.exe (+s+h) %Datos de Programa%\ cvh.exe (+s+h) %WinIni%\ bgt.exe (+s+h) y ha instalado un link que apunta al primero de los ficheros indicados %WinIni%\ nhju.lnk […]

Dada la continua actualización de este malware, es dificil su detección y eliminación, al cambiar de MD5 cuando se dispone de la nueva version del ELISTARA que conoce la muestra. De todas formas,en base a la clave de registro, se aparca el sospechoso y se pide dicha muestra para que se pueda controlar en siguientes […]

A partir del ELISTARA 36.54 de hoy, pasamos a controlar esta nueva variante de malware vemos que queda residente por lo que se supone que tendrá funciones de backdoor El preanalisis de virustotal ofrece el siguiente informe: MD5 f76ee0ed1b14d9592d327a56d3a3e0f5 SHA1 79318165ffda0fba708660999afe5dd76e7fa34a SHA256 c45e530b389db22a8fdf4ba09bc453a9249e79645140aa5b297bbaaba4416fe8 ssdeep3072:H7qoP+9BTj4h/Q3BjPSBBRaHUNFLmOrA2+rldbooo8cQPQYYKiTJ7xippA8dK:H7qoP+9BTjrFMfsrldbNvYxPf8 authentihash 2b15965b1cd307d1baa62a608287c929a541a75cd04eda812d83f4b03052eb30 imphash f34d5f2d4577ed6d9ceec516c1f5a744 Tamaño del fichero 232.0 KB ( 237568 […]

A partir del ELISTARA 36.43 de hoy pasamos a controlar por cadeas este nuevo troyano, que va cambiando de nombre y de clave de lanzamiento, por lo que solo lo podemos detectar por cadenas una vez conocido, y que debe ser eliminado pues de lo contrario sería lanzado en el siguiente reinicio. El preanalisis de […]

Utilidades Kaspersky para descrifrar ficheros afectados por algunos Ransomware Kaspersky desarrolla y pública una serie de herramientas para descifrar archivos después de una infección por los conocidos Ransomware. Entre las herramientas más utilizadas estarían RakhniDecryptor y RannohDecryptor. La herramienta RannohDecryptor está destinada a desinfectar archivos infectados por: Trojan-Ransom.Win32.Polyglot Trojan-Ransom.Win32.Rannoh Trojan-Ransom.Win32.AutoIt Trojan-Ransom.Win32.Fury Trojan-Ransom.Win32.Crybola Trojan-Ransom.Win32.Cryakl или Trojan-Ransom.Win32.CryptXXX […]

En un mail que aparenta venir de DHL se recibe un empaquetado JAR malicioso. Dicho mail contuiene el siguiente texto: MAIL MASIVO MALICIOSO: ______________________ Asunto: eDelivery: DHL/DB0011739002/02/17 (Final Notification) De: DHL EXPRESS <dhlexpressdelivery405@gmail.com> Fecha: 27/02/2017 11:32 Para: undisclosed-recipients:; Dear customer, We attempted to deliver your item at 13:50PM on Friday FEB 24th, 2017. (Read enclosed […]

Un nuevo especimen ha aparecido hoy, de los que al usar extensión PIF, no es visible bajo windows, como los link (LNK) y URL por ejemplo. AL subir a virus total el fichero sospechoso en cuestión (taskhost8pzxc) sí que le ha visto el plumero y lo ha analizado como .PIF que es Queda residente y […]

A partir del ELISTARA 36.28 de hoy pasamos a controlar esta nueva variante de downloader El preanalisis de virustotal ofrece el siguiente informe: MD5 6c68d064fbe177c66643558d233f2573 SHA1 e1d7ebc5d52b9d7c906c7176d8511a592e6ce23b File size 225.5 KB ( 230912 bytes ) SHA256: 57cdd8567440e69b04a6257a3c69f399cc06a27436c6ec08a7cb85157115dbc9 File name: 6c68d064.exe Detection ratio: 25 / 59 Analysis date: 2017-02-22 09:57:50 UTC ( 21 minutes ago )