Comunicados CCN-CERT

El CCN-CERT analiza la familia de botnets Torpig

  • Se publica el Informe de Código Dañino ID-19/17 Trojan.Torpig en la parte privada de su portal.
  • El documento analiza la familia de botnets identificada como “Torpig”, “Sinowal” o “Anserin“ diseñada para infectar sistemas mediante la utilización del rootkit “Mebroot“.
  • El objetivo principal de este troyano es tomar el control de los sistemas infectados y ocultar sus acciones.

El CCN-CERT ha publicado en la parte privada de su portal un nuevo Informe de Código Dañino: CCN-CERT ID-19/17 Trojan.Torpig. En él se recoge el análisis de este troyano cuyo objetivo principal es tomar el control de los sistemas infectados y ocultar sus acciones. La infección en el equipo se produce al ejecutar el fichero que contiene el código dañino realizando las siguientes acciones en el equipo de la víctima: descifra el código malicioso original en memoria, comprueba los controladores instalados en el sistema, recupera información sobre la geometría del disco duro, aplica métodos de persistencia, ejecuta el controlador tras el arranque del sistema y realiza conexiones a Internet.

Dicho código dañino modifica el Master Boot Record (MBR) para arrancar al inicio del sistema el controlador que instala en el disco. El sistema es reiniciado de manera forzosa por el código dañino para realizar conexiones a Internet para tratar de descargar Torpig.

El informe incluye información sobre las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Ofuscación
  • Permanencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección
  • Desinfección
  • Información del atacante

Además, se incluye una sección sobre las reglas de detección SNORT, YARA e indicador de compromiso – IOC.

Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.

Acceso a Informe CCN-CERT ID-19/17 Trojan.Torpig

CCN-CERT (04/08/2017)

Ministerio de Defensa
CNI
CCN
CCN-CERT