El siguiente análisis corresponde a la muestra “12-02-14.exe” que tiene por firma md5 “662c88a83f170cc138881b5dc1711a4f”. Era propagada mediante enlaces en correos electrónicos que una vez consultados descargaban el archivo malicioso alojado en un sitio web de Chile. El software malicioso es un bot IRC, los cuales esperan pasivamente las ordenes del C&C (Command and Control). Ver […]

Otra muestra pedida por el ELISTARA pasa a ser controlada especificamente a partir del ELISTARA 29.82 de hoy. El preanalisis de virustotal ofrece este informe: SHA256: bf2a4a8b4b42f3b8e522cb2cf5f67be2511ed70bdad058e8dcebca9ff34358fb Nombre: EPSASE.EXE.Muestra EliStartPage v29.43 Detecciones: 41 / 50 Fecha de análisis: 2014-04-22 08:44:17 UTC ( hace 0 minutos ) 0 1 Antivirus  Resultado  Actualización AVG  BackDoor.Generic14.BVLO  20140421 Ad-Aware  […]

Una nueva muestra recibida para analizar pasa a ser controlada especificamente a partir del ELISTARA 28.24 de hoy El preanalisis de virustotal ofrece este informe: SHA256: fe8ae332875ae384ea57d9ca51bc0112aa6ee4bc3faddd74b0b5e7bc681a47f5 SHA1: 0df743aa20f61bb5b0818c82c2ce92989cd38f22 MD5: 75012cc44100dfe056aa9a4b494ae268 Tamaño: 192.0 KB ( 196608 bytes ) Nombre: PXDCDR.EXE.Muestra EliStartPage v28.20 Tipo: Win32 EXE Detecciones: 27 / 46 Fecha de análisis: 2013-08-29 10:19:17 UTC […]

Como sea que el DORKBOT se oculta de mala manera si está en memoria, hay que arrancar en MODO SEGURO COMO ADMINISTRADOR o como cualquier usuario no infectado, o de otra forma no puede detectarse mas que por sus efectos, de ocultar carpetas de los pendrives y crear en su lugar accesos directos a ellas […]

Esta vez ya mas detectado (26 de 44) por los antivirus, siempre y cuando no se encuentre en memoria. Esta nueva variante la pasamos a controlar específicamente a partir del ELISTARA 23.87 de hoy   File name: FAPKPP.EXE.Muestra EliStartPage v23.86 Submission date: 2011-09-14 08:30:08 (UTC) Current status: finished Result: 26 /44 (59.1%) VT Community malware […]

Nueva gama de ROOTKIT DORKBOT potenciada respecto los que recibimos ayer, ya que además de lo que ya vimos de crear links en los pendrives para lanzar el malware, en este caso además usa la tecnica tipica de propagacion de los virus de poendrive a través del AUTORUN.INF Aparte modifica varias claves del registro que […]

Otra variante de este peligroso ROOTKIT que se oculta cuando está en memoria y solo se ve por la aparicion del prefetch del malware y por la modificacion en los pendrives, ocultando las carpètas que hubiera y creando links a ellas, previa carga del malware, pasa a ser controlada a partir de la version 23.29 […]

Recibimos fichero para analizar que lleva por título POSTAL_CON_AMOR y aparente extension SWF (flash), pero realmente tiene doble extensión y la real es la .EXE que figura en último lugar (Con ello engañan al usuario) :Liar: Es un worm Dorkbot con propiedades de RootKit… y, cuando está en uso, oculta sus procesos, ficheros y usa nombre variable, […]

Esta muestra de DORKBOT, aun no controlada por AV COMO DRWEB, F-PROT, Kaspersky, nod32, sophos y sYMANTEC, entre otros conocidos, cazada por la heuristica del ELISTARA, pasa a estar controlada a partirv del ELISTARA 22.85 de hoy: File name: DWPYPB.EXE.Muestra EliStartPage v22.84 Submission date: 2011-03-21 14:19:18 (UTC) Current status: finished Result: 20 /43 (46.5%) VT […]