- El ID-03/16 y el ID-05/16 están disponibles en la parte pública de su portal web
- Una variante del código dañino “Ponmocup” cuya botnet está considerada como una de las mayores descubiertas hasta el momento y otra de “Gamarue” diseñada para formar parte de una botnet y dificultar su detección, protagonistas de sendos informes.
- El CERT Gubernamental Nacional publica estos documentos con sus reglas SNORT, YARA e IOCs correspondientes.
El CCN-CERT ha publicado en la parte pública del portal dos nuevos Informes de Código Dañino:
-CCN-CERT ID-03/16 Ponmocup: recoge el análisis de una variante de este código dañino con capacidad para comprometer y controlar equipos, de forma que pasan a ser nuevos nodos de una red botnet. Además, es capaz de detectar cómo y dónde está siendo ejecutado, cambiando su comportamiento y actuando como un simple dropper o descargando y ejecutando otros códigos dañinos.
Ponmocup utiliza diversas técnicas para garantizar con éxito su persistencia en los sistemas ya comprometidos y la botnet a la que pertenece está considerada como una de las mayores descubiertas hasta el momento.
-CCN-CERT ID-05/16 “Gamarue”: una variante diseñada para formar una botnet, conectada a su servidor de Mando y Control (C2), desde donde es capaz de robar información y distribuirse. Se trata de una botnet modular que puede añadir nuevas características maliciosas, propias o externas, por medio de módulos o librerías (vendidas por separado).
Los informes, recogidos en la parte pública del portal del CCN-CERT, recogen las siguientes secciones:
- Características del código dañino
- Detalles generales
- Procedimiento de infección
- Características técnicas
- Persistencia en el sistema
- Conexiones de red
- Archivos relacionados
- Detección
- Desinfección
Además, se incluyen diversos Anexos con regla SNORT, Indicadores de Compromiso (IOC) y Regla Yara.
Comunicado CCN-CERT (25-02-2016)
Acceso a Informes