- El ID-01/16 y el ID-02/16 están disponibles en la parte pública de su portal web
- El CERT Gubernamental Nacional publica ambos informes con sus reglas SNORT, YARA e IOCs correspondientes
El CCN-CERT ha publicado en la parte pública del portal dos nuevos Informes de Código Dañino:
- CCN-CERT ID-01/16 Elex: recoge el análisis de una variante del código dañino "Elex", cuya principal característica es la de redirigir la URL de la página de inicio de los navegadores de Internet a otra que está incrustada en el propio código. Además, lleva a cabo la instalación en el sistema del servicio “SFFK”, que será el encargado de ejecutar el binario que hace esta redirección y de permanecer a la escucha del servidor de mando y control (C&C) a la espera de recibir la orden para realizar descargas adicionales y ejecutarlas en el sistema.
“Elex” es un tipo de “Adware” capaz de mostrar al usuario publicidad mientras éste navega por páginas de Internet. - CCN-CERT ID-02/16 “Gozi”: recoge el análisis de la familia de troyanos identificada como “Win32.Gozi”, que ha sido diseñada para la obtención de información del equipo infectado y su envío a un servidor de Mando y Control (C2) controlado por los atacantes.
El código dañino tiene embebida una librería DLL que se encuentra ofuscada en el interior de la aplicación, siendo esta librería la que contiene realmente la carga dañina y la aplicación ejecutable.
Los informes recogen las siguientes secciones:
Características del código dañino
Detalles generales
Procedimiento de infección
Características técnicas
Persistencia en el sistema
Conexiones de red
Archivos relacionados
Detección
Desinfección
Información del atacante
Además, se incluyen diversos Anexos con regla SNORT, Indicadores de Compromiso (IOC) y Regla Yara.
Comunicado CCN-CERT (10-02-2016)
Acceso a Informes de Código Dañino
