- El documento ID-016/16 Volgmer está disponible en la parte privada del portal del CCN-CERT.
- Este malware puede utilizarse para obtener información, cambiar datos de configuración de la víctima o instalar otras aplicaciones con las que llevar a cabo acciones dirigidas específicamente al sistema afectado.
- El CERT Gubernamental Nacional publica el informe con su regla SNORT, YARA e IOC correspondiente, a las que ha añadido las rutinas de descifrado de textos y rutinas de cifrado envío/recepción.
El CCN-CERT ha actualizado el Informe de Código Dañino: CCN-CERT ID-16/16 Volgmer, un malware cuya principal característica es instalar en el sistema de la víctima una aplicación capaz de comunicarse con su servidor de mando y control (C&C) para recibir órdenes. Estas órdenes comprenden diversos cometidos, desde permitir al operador obtener información (nombre del equipo, archivos instalados, espacio disponible en disco, etc.) hasta cambiar datos de configuración e instalar otras aplicaciones con las que llevar a cabo acciones dirigidas específicamente al sistema afectado.
El informe recoge el análisis de este malware que no utiliza nombres de dominio para establecer la conexión contra su C&C, las conexiones son realizadas directamente contra direcciones IP.
El documento incluye además las siguientes secciones:
- Características
- Procedimiento de infección
- Persistencia en el sistema
- Conexiones de red
- Detección
- Desinfección
- Reglas de detección (Reglas Yara, regla Snort e IOC)
- Rutina descifrado de textos y rutinas cifrado envío/recepción
Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.
CCN-CERT (05-09-2016)
