Comunicados CCN-CERT

El CCN-CERT analiza la familia de troyanos Sharik

  • El CCN-CERT publica en la parte privada de su portal el Informe de Código Dañino ID-24/17 Trojan.Sharik.
  • El documento analiza la familia de troyanos identificada como “Trojan.Sharik” que ha sido diseñada para infectar sistemas y tomar su control.
  • El código dañino, con el objetivo de ponerse en contacto con los servidores de Mando y Control, utiliza métodos de ofuscación hasta su ejecución final.

El CCN-CERT ha publicado en la parte privada de su portal un nuevo Informe de Código Dañino: CCN-CERT ID-24/17 Trojan.Sharik. En él se recoge el análisis de este troyano cuyo objetivo principal es tomar el control de los sistemas infectados y ocultar sus acciones. La infección en el equipo se produce al ejecutar el fichero que contiene el código dañino realizando las siguientes acciones en el equipo de la víctima: carga el código dañino en el sistema, descifra y ejecuta en memoria un binario ejecutable que contiene técnicas Anti-debug y descifra una librería sin cabecera PE. Crea un proceso suspendido donde inyecta la librería, la cual contiene técnicas Anti-debug y Anti-sandbox, descifra un archivo de configuración y aplica métodos de persistencia.

Dicho código dañino utiliza multitud de métodos de ofuscación hasta su ejecución final, se copia a sí mismo en el sistema, crea una instancia de explorer.exe e inyecta código en él para salir a Internet, con el objetivo de ponerse en contacto con los servidores de Mando y Control.

El informe incluye información sobre las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección
  • Desinfección
  • Información del atacante

Además, se incluye una sección sobre las reglas de detección SNORT, YARA e indicador de compromiso – IOC.

Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.

Acceso a Informe

Ministerio de Defensa
CNI
CCN
CCN-CERT