- El documento se ha publicado en la parte privada del portal del CCN-CERT.
- El informe ‘CCN-CERT ID-18/18 Código Dañino “Kovter”’ recoge el análisis de la familia de troyanos Kovter.
- Características y detalles generales, procedimiento de infección, ofuscación, persistencia en el sistema, detección o desinfección, son algunos de los apartados más destacados del informe.
Bajo el nombre de CCN-CERT ID-18/18 Código Dañino “Kovter”, el documento publicado en la parte privada del portal del CCN-CERT, recoge el análisis de la familia de troyanos identificada como “Kovter”, diseñada para realizar clics fraudulentos. Así, el documento cuenta con los siguientes apartados destacados: características del código dañino, detalles generales, procedimiento de infección, características técnicas, ofuscación, persistencia en el sistema, conexiones de Red, archivos relacionados, detección, desinfección, información del atacante y reglas de detección.
Esta familia de troyanos utiliza técnicas inusuales con las que evita la creación de archivos en el disco, escribiendo los contenidos necesarios en el registro. Además, realiza inyecciones en procesos desde los que conecta a internet y cuenta con técnicas evasivas para evitar su análisis además de multitud de Sleep que duermen su ejecución.
El código dañino también realiza las acciones como el cambio de permisos de las secciones en ejecución, el descifrado del binario de Kovter, la ejecución del código original, la reconstrucción de la tabla de importación o la identificación de ejecuciones JavaScript ocultas, entre otras.
CCN-CERT (26/06/2018)
CCN-CERT ID-18/18 Código Dañino “Kovter”
