Detectado a través de un correo electrónico el siguiente archivo:
Nombre: ticket_11022015-33788993.doc
MD5: 2F0222A86166A602B14E3DACD556C9D0
VT: 18/54
Por la macro de dicho archivo, que ya es bastante conocida, al menos su
funcionamiento. Se crea un archivo de:
Nombre: s1ks.pm2.exe
MD5: 429eb39728f227ce94404499f8f0963d
VT: N/A
Procedimiento detectado en la macro.
Este último archivo, realiza comunicaciones hacía Internet.
Entre las peticiones DNS que se han detectado están los siguientes
dominios:
EEXTENSIONS.CO
THETEDRENRE.RU
UNLACCOTHE.RU
WICYTERGO.RU
WWW.10203040.AT
WWW.ESHTARI.ME
Solicitudes de resolución DNS de los dominios detectados al ejecutar: s1ks.pm2.exe
Las URLs detectadas son:
wicytergo.ru/gate.php
(peticion POST)
unlaccothe.ru/gate.php
(peticion POST)
EEXTENSIONS.CO/gate.php (peticion
POST)
THETEDRENRE.RU/gate.php
(peticion POST)
WWW.10203040.AT/gate.php
(peticion POST)
WWW.ESHTARI.ME/gate.php
(peticion POST)
Petición detectada por nuestro servidor fantasma - 1
Petición detectada por nuestro servidor fantasma - 2
Conclusiones
Se debería detectar/bloquear en nuestros sistemas de seguridad los
siguientes datos:
Nombre: ticket_11022015-33788993.doc
MD5: 2F0222A86166A602B14E3DACD556C9D0
Nombre: s1ks.pm2.exe
MD5: 429eb39728f227ce94404499f8f0963d
URLs: wicytergo.ru/gate.php
(peticion POST)
unlaccothe.ru/gate.php (peticion POST)
EEXTENSIONS.CO/gate.php (peticion POST)
THETEDRENRE.RU/gate.php (peticion POST)
WWW.10203040.AT/gate.php (peticion
POST)
WWW.ESHTARI.ME/gate.php (peticion POST)
Mutex: local\mtxlog meinig nition.ig
nitionmutex
No hay comentarios:
Publicar un comentario