Analizando el gusano BUNDPIL – Parte III

Bienvenidos a la tercera y última entrega del análisis a este interesante gusano, en la pasada entrada vimos gran parte del comportamiento de este malware una vez se ha ejecutado en la PC cliente, analizamos los dos principales ejecutables creados sobre los que se basa el gusano para desplegar toda su rutina de infección y una parte de su payload. En este escrito concluiremos con el ciclo de vida de este gusano, veremos que trae el proceso del SO lanzado y modificado por él mismo para realizar otro grupo de acciones maliciosas sobre el host, continuemos.

Sigue leyendo

Analizando el gusano BUNDPIL – Parte II

En la entrada pasada estuvimos viendo las primeras impresiones sobre este gusano, vimos el método sutil que usa para engañar al usuario además de sus primeras acciones al caer en la trampa y ejecutar el acceso directo. En esta entrada seguiremos analizando el recorrido de este gusano, veremos como se instala en el Host y las primeras acciones maliciosas que realiza una vez ha garantizado su estancia en la PC infestada, continuemos

Sigue leyendo

Analizando el gusano BUNDPIL – Parte I

Esta será la primera entrada de una serie en la que estaremos analizando un malware algo curioso, bien pensado y programado además, que sale de los ya trillados métodos de propagación mediante dispositivos extraíbles, estaremos viendo los métodos usados por este gusano tanto para su difusión como para su estancia y desarrollo en la PC infectada. Veamos de qué se trata

Sigue leyendo

Analizando stealer malware ‘conhost.exe’

Hace unos días me encontré con este dispositivo extraíble lleno de carpetas ocultas, (las cuales no se suponía que estuvieran en ese estado y se pensaban eliminadas por su dueño) junto con las carpetas estaban un grupo de ejecutables simulando ser cada una de las carpetas en cuestión, mismo nombre y mismo icono, la única diferencia radicaba en la descripción del tipo de fichero, en el que se advertía su verdadera naturaleza. En su momento el antivirus de guardia no se dio ni por enterado, por lo que me decidí a mirar un poco dentro del engendro para ver que sorpresas traía…esto fue lo que encontré.
Sigue leyendo

Analizando el malware MUGEN.VBS

En estos dias se ha infiltrado en mi centro de trabajo un pequeño pero eficaz script malware. Se trata de un script .vbs (visual basic script) que ha estado congestionando las redes y por consiguiente haciendo más lento el uso de los servicios (navegación, correo, etc). El script se protege a si mismo con una triple capa de cifrado para evadir su detección y de esta forma pasar desapercibido por la mayoría de AV’s. Sin embargo, una vez removidas estas protecciones y dejado al descubierto, la tarea se hace más sencilla

Sigue leyendo