Comunicados CCN-CERT

El CCN-CERT analiza el troyano identificado como “Downeks”

  • El CCN-CERT publica en la parte privada de su portal el Informe ID-23/17 “Downeks”.
  • El documento analiza este troyano que ha sido diseñado para tomar el control de sistemas infectados.
  • El código dañino utiliza como procedimiento de infección la apertura de un archivo adjunto en un correo electrónico.

El CCN-CERT ha publicado en la parte privada de su portal un nuevo Informe de Código Dañino: CCN-CERT ID-24/17 “Downeks”. En él se recoge el análisis de este troyano de puerta trasera cuyo objetivo principal es tomar el control de las máquinas infectadas desde las cuales realiza la extracción de credenciales y la obtención de las teclas presionadas.

La infección en el equipo se produce al ejecutar el fichero que contiene el código dañino realizando las siguientes acciones en el equipo de la víctima: El binario se copia a sí mismo en la ruta de inicio del usuario. Necesita de al menos un reinicio del sistema operativo para completar su instalación. El binario se descifra en memoria. Crea un mutex. Crea una carpeta para su instalación. El binario se vuelve a copiar, esta vez en el directorio de datos de aplicación. Si se ejecuta con privilegios elevados, crea una tarea programada para asegurar su ejecución en cada inicio del sistema.

El informe incluye información sobre las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección
  • Desinfección
  • Información del atacante

Además, se incluye una sección sobre las reglas de detección SNORT, YARA e indicador de compromiso – IOC.

Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.

Acceso a Informe

CCN-CERT (20/12/2017)

 

Ministerio de Defensa
CNI
CCN
CCN-CERT