Comunicados CCN-CERT

Publicado el informe de código dañino sobre la familia de virus ‘PE_Wapomi’

  • El documento se encuentra disponible en la parte privada del portal del CCN-CERT.
  • El informe ‘CCN-CERT ID-01/19’ recoge el análisis de la familia de virus identificada como “PE_Wapomi”.
  • Procedimiento de infección, características técnicas, ofuscación, persistencia en el sistema, detección y desinfección son los principales puntos tratados en el documento.

El Informe Código Dañino CCN-CERT ID-01/19 “PE-Wapomi” ha sido recientemente publicado en la parte privada del portal del CERT del Centro Criptológico Nacional (CCN-CERT). Este documento recoge el análisis de la familia de virus identificada como “PE_Wapomi”, involucrados en la instalación de troyanos bancarios. Estos se propagan mediante la infección de otros ejecutables y se encargan de dar funcionalidades de downloader, con el objetivo de dar entrada en el sistema a otros códigos dañinos.

Entre los principales puntos tratados en el informe se encuentra el que resume las principales características del código dañino. En este sentido, el informe explica que la infección en el equipo se produce al ejecutar el fichero que contiene el código dañino, un binario generado desde Python con formato PE (Portable Executable). Es decir, se trata de un ejecutable para arquitecturas de 32 bits en sistemas operativos Windows.

Igualmente, el documento recoge otra serie de apartados de interés para conocer esta familia de virus: procedimiento de infección, características técnicas, ofuscación, persistencia en el sistema, conexiones de red, detección, desinfección, informe del atacante, referencias y reglas de detección.

En cuanto al procedimiento de infección, este consiste en la utilización de un empaquetado basado en una utilidad Py2exe, cuyo objetivo principal es ocultar su código ante un análisis estático, permitiéndole pasar desapercibido ante aplicaciones de desinfección y dificultar el proceso de debugging por parte de analistas. Para ello, deposita en disco un segundo ejecutable empaquetado con una aplicación comercial.

Para la desinfección del equipo de forma automática se recomienda la utilización de herramientas antivirus actualizadas. Además, se aconseja el formateo y la reinstalación completa del sistema informático (siguiendo lo indicado en las guías CCN-STIC correspondientes) de todos aquellos equipos en los que se haya detectado algún indicador de compromiso o encontrado algún archivo o clave de registro indicados.

CCN-CERT (07/02/2019)

Informe Código Dañino CCN-CERT ID-01/19 “PE-Wapomi”

Ministerio de Defensa
CNI
CCN
CCN-CERT