Publicados cinco nuevos Informes de Código Dañino

El CCN-CERT ha publicado en la parte privada del portal (de acceso restringido a los miembros de su Comunidad) cinco nuevos Informes de Código Dañino:

  • CCN-CERT ID-15/15 Spybot: recoge el análisis de una variante del código dañino "SpyBot", que ha sido diseñado para la obtención de información, control del sistema infectado y remisión de la información a su servidor de mando y control (C&C).
  • CCN-CERT ID-16/15 “Trojan:Win32/Ramnit”: recoge el análisis de una variante del código dañino "Trojan:win32/Ramnit". Esta variante ha sido diseñada para formar una red de equipos zombies (botnet) manejados desde su servidor de mando y control (C&C), a través del cual se puede robar información y distribuir su código dañino. Además, con el objetivo de garantizar la mayor captura posible de equipos para su botnet, implementa técnicas de diferentes códigos dañinos como: infección de ficheros en el equipo (virus) y de dispositivos extraíbles (gusano).
  • CCN-CERT ID-17/15 Double Fantasy: recoge el análisis de una variante de código dañino denominada "Double Fantasy". Este malware pertenece al grupo Equation Group, revelado por Kaspersky Labs en febrero de 2015 y que lleva operando desde 2001. Este código dañino se utiliza en ataques dirigidos a organizaciones y empresas.  Ha sido diseñado para la obtención de información básica del equipo, que es enviada posteriormente al servidor de mando y control (C&C). Con esta información los atacantes identifican si el sistema infectado es de su interés, y en caso de que lo deseen pueden cargar en el sistema malware adicional.
  • CCN-CERT ID-19/15 Ransom_Cryptear.A: recoge el análisis del código dañino "Ransom_Cryptear.A", el cual ha sido diseñado para la obtención de información, el envío de dicha información a un servidor remoto y el cifrado de todos los archivos encontrados en el sistema dependiendo de su extensión. Su comportamiento es el del clásico ransomware.
  • CCN-CERT ID-20/15 Worm.Hybris: El presente documento recoge el análisis realizado a la familia de código dañino “Worm.Hybris”. Las aplicaciones relacionadas con esta familia han sido diseñadas utilizando la herramienta de programación AutoIT1 que es conocida por su sencillez al incluir funciones pre-diseñadas y un lenguaje de muy alto nivel que permite un fácil aprendizaje.

Los informes detallan los análisis técnicos de estas últimas amenazas, describiendo los diversos mecanismos de detección que ayudan a identificar si un equipo ha sido comprometido por estas amenazas y las acciones correctivas para su desinfección.

Además, se recogen las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección
  • Detección en dispositivos móviles
  • Desinfección
  • Reglas de detección

Puede acceder al informe en la sección de Informes de Código Dañino del portal del CCN-CERT.

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT