A raíz la información leída en el blog: blog.dynamoo.com/2015/10/malware-spam-your-invoices-incident.html.
Comentar tal y como marca la entrada, MD5 a
bloquear:
87B01608B8170029816DF5EED11CD9C5
CE94C036DAC774B3CB8C7A07FF333C7F
29B56DDFAB41F92B0447783E1EF6CCD8
CE94C036DAC774B3CB8C7A07FF333C7F
29B56DDFAB41F92B0447783E1EF6CCD8
URLs a bloquear:
agridiotiko.com/432/4535.exe
poncho-zwerfkatten.be/432/4535.exe
IPs:
84.246.226.211
Por mi parte añado.
Tras ejecutar el archivo 4535.exe, podemos ver que:
Tras ejecutar el archivo 4535.exe, podemos ver que:
Las comuniciones tras comprobar que el servidor se
encuentra a la escucha por el puerto 448,
intenta establecer un túnel basado en GPRS. Más concretamente, se intenta
utilizar el protocolo GTP, que es un grupo de protocolos de comunicaciones basados en IP que se usan
para portar el servicio GPRS dentro de las redes GSM y UMTS.
(Más información en Wikipedia)
Intentos de montar un túnel
GTP
Si realizamos una petición mediante una comunicación telnet, podemos
ver que las comunicaciones se establecen contra un servidor “nginx/1.0.15”.
Prueba de conexión
Se realiza una petición HTTP, pero avisa que nos estamos
intentando conectar con un puerto configurado para escuchar protocolo HTTPS.
Petición HTTP
Si realizamos la petición mediante HTTPS,
obtenemos:
Petición HTTPS
No hay comentarios:
Publicar un comentario