SIGUEN LOS PROBLEMATICOS RANSOMWARE CERBER4, QUE RESISTEN A METODOS DE DETECCIÓN HEURISTICAmsc hotline sat Monday, April 24, 2017 Como ya indicamos en https://blog.satinfo.es/2017/las-nuevas-tecnicas-del-ransomware-cerber-4-eluden-las-detecciones-del-machine-learning/ los CERBER4 son ransomwares que eluden los algoritmos de la detección heuristica logrando separar las diferentes etapas del malware en múltiples archivos que inyecta dinámicamente en un proceso en ejecución, con lo que “Esto ayuda a ocultarlos de varios métodos de detección.” Y el sistema de infección a través de un mail que contiene un enlace a un archivo autoextraíble almacenado en una cuenta de Dropbox controlada por los atacantes utiliza tres archivos: uno que contiene un script de Visual Basic, el segundo un archivo DLL y el tercero, un archivo binario. El script está diseñado para cargar la DLL, que luego lee el archivo binario y lo ejecuta. El archivo binario contiene un nuevo loader para Cerber y también los ajustes de configuración para el malware. Con todo ello las últimas variantes de los CERBER 4 son mas dificiles de evitar en la nube, antes de llegar a los ordenadores, como esta última que nos acaba de llegar hace 5 minutos: MD5 157ab43dac43ce7c02367a307455a3a6 SHA1 ad5d87d7a28a0330bb39b356bac436b2baedf6f8 Tamaño del fichero 284.0 KB ( 290866 bytes ) SHA256: 2a61ffe503521445c608325816d72c1ecf02a8a2f1d7422b03991e1c2d0b5f91 Nombre: 157ab43d.exe Detecciones: 17 / 60 Fecha de análisis: 2017-04-24 13:49:48 UTC ( hace 5 minutos ) Informe actual del virustotal: https://www.virustotal.com/es/file/2a61ffe503521445c608325816d72c1ecf02a8a2f1d7422b03991e1c2d0b5f91/analysis/1493041788/ Como se ve, una vez conocida y analizada, ya la controlan tanto McAfee como Kaspersky, si bien son solo 17 de los 60 antivirus del virustotal los que la detectan. Dicha versión del ELISTARA 36.69 que lo detecta y elimina, estará disponible en nuestra web a partir del 25-4 prox saludos ms, 24-4-2017 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |