- El CCN-CERT publica en la parte privada de su portal el Informe de Código Dañino ID-24/17 Trojan.Sharik.
- El documento analiza la familia de troyanos identificada como “Trojan.Sharik” que ha sido diseñada para infectar sistemas y tomar su control.
- El código dañino, con el objetivo de ponerse en contacto con los servidores de Mando y Control, utiliza métodos de ofuscación hasta su ejecución final.
El CCN-CERT ha publicado en la parte privada de su portal un nuevo Informe de Código Dañino: CCN-CERT ID-24/17 Trojan.Sharik. En él se recoge el análisis de este troyano cuyo objetivo principal es tomar el control de los sistemas infectados y ocultar sus acciones. La infección en el equipo se produce al ejecutar el fichero que contiene el código dañino realizando las siguientes acciones en el equipo de la víctima: carga el código dañino en el sistema, descifra y ejecuta en memoria un binario ejecutable que contiene técnicas Anti-debug y descifra una librería sin cabecera PE. Crea un proceso suspendido donde inyecta la librería, la cual contiene técnicas Anti-debug y Anti-sandbox, descifra un archivo de configuración y aplica métodos de persistencia.
Dicho código dañino utiliza multitud de métodos de ofuscación hasta su ejecución final, se copia a sí mismo en el sistema, crea una instancia de explorer.exe e inyecta código en él para salir a Internet, con el objetivo de ponerse en contacto con los servidores de Mando y Control.
El informe incluye información sobre las siguientes secciones:
- Características del código dañino
- Detalles generales
- Procedimiento de infección
- Características técnicas
- Ofuscación
- Persistencia en el sistema
- Conexiones de red
- Archivos relacionados
- Detección
- Desinfección
- Información del atacante
Además, se incluye una sección sobre las reglas de detección SNORT, YARA e indicador de compromiso – IOC.
Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.