Como es de costumbre, revisamos el reporte semanal otorgado por el grupo de investigación e inteligencia de Cisco, Talos, con los malwares más prevalentes de la semana. En esta ocasión, analizamos la semana desde el 18 al 25 de enero de 2019. En este reporte incluimos una pequeña descripción de los malwares junto a algunos […]
Como es de costumbre, revisamos el reporte semanal otorgado por el grupo de investigación e inteligencia de Cisco, Talos, con los malwares más prevalentes de la semana. En esta ocasión, analizamos la semana desde el 18 al 25 de enero de 2019.
Web threat
En este reporte incluimos una pequeña descripción de los malwares junto a algunos de sus Indicadores de Compromiso (IoC). Es importante destacar que el proceso de Threat Hunting o caza de vulnerabilidades es complejo y se deben tener en cuenta varios factores. La sola presencia de un IoC no bastará para asegurar la presencia del malware descrito, pero haciendo una combinación de estos hallazgos, podemos llegar a conclusiones más completas y certeras.
Happy Hunting! Los malwares más prevalentes de la semana fueron:
Emotet
Doc.Downloader.Emotet-6826494-0
Emotet es un troyano bancario, descargador o downloader, que se ha mantenido activo hace bastante tiempo. Sigue siendo relevante debido a su continua evolución para eludir los productos antivirus.
Indicadores de compromiso
Direcciones IP contactadas por el malware
52[.]31[.]99[.]185
47[.]52[.]19[.]221
91[.]209[.]78[.]110
46[.]30[.]213[.]132
Nombres de Domino contactados por el malware
www[.]seine-et-marne[.]fr
TLEXTREME[.]COM
vanherreweghen[.]be
www[.]tzen2[.]com
www[.]addthis[.]com
www[.]iledefrance[.]fr
www[.]stif[.]info
www[.]camenisch-software[.]ch
tlextreme[.]com
sh2017[.]chancemkt[.]com
Archivos o directorios creados por el malware
%LocalAppData%\Temp\736.exe
%LocalAppData%\Temp\j02khkb2.lmy.ps1
%LocalAppData%\Temp\q30h0dfn.q03.psm1
%LocalAppData%\Temp\CVR8B7E.tmp
Hashes
02961b9b1846411364a0c00b6546aeaceec7e7156a89662ae81a2223c9a612ca
0acd52e7f92f125d8fec5d78db296ee3c88079456dfb66b84fa92be944dc1293
11d52b1ee5c330911ed98ba86a4560c67cba2bd70427c8d33a0b793ddeb5c11e
16ef10e1f741ca1cb22b657dda69b7d15e6c016a667602fb8fe825b5846eb4b5
175b20d5f2079f86b1fe4ef91d5a84ce3fb71939b3c8297e4de6587875dca6d5
18c74f2852985acd6a5b35d21d12e8e852d54003b4e5d3714243e045969c434f
1a4dc5022a6b5296fe5d03597782a985bd721e3651b010c06b9be205b5c9f97d
1c7813fcdec02ae9bf9bb816d87f66eca49cffa1df2de22aac19d2b365e59df2
1f5e9f1c173cc8611a5d34e801c0a26ce7365cb1c7b660bcd88816153b76d467
2210bb4262bd6f02c2c1b836ea7372c28b35f7e31d81dcf4749fbd4fe71676fb
22b521f4fad5c39e0d84729f3e194782f2a802c03f6e24ef013e7e33d299703f
2311a0274a3edf0a79d422ba126d2a1e23e98b13c40762e2aac7b40686a308c2
26fba2bd9792cbe6aa14f3baa9a2ffb57344d7348805648a53dcf92644a8b973
3cebbd85235c819ec92210572035f2973b54740f306b8b0607e03c84eb7b0914
3ebc758a0186db99545ab2614b2a96544ab4509bf7d24c8d11dca06b2d17adbd
42df2ceda548dbd95ed4cf8176dfb8817e7350ea9b296adb33a3e6c3f2fb272e
4dfb9830a14e1e92ca88b40189fb05be60a42be886c9ca1cd2f6a3f5f09e0208
51cd6bdb18da6dc94549e067b04e727b9e947f2f189f5c27da67eb56f77c5f54
547ee4142a9088eba58961d0bfdae6a32f501affcff9dce7e3f424f47b8fd4a1
5d3e5a9b7730bd40f0cd4392367744bb7a3ddefd3b316d603e56369a7813ee68
680d56d915ec028d4d0e33cd63e90f58c1f67c4e8b92d11eabf2576702d5b3bd
687d3887779bf147f8ab6637c28f76559f3a1cbe0899cfa07d0ac33733fc74ef
6c9f60643913ae688fc163d8e09a71268c0bd527ca5e9330c163108aafac5944
729777e3d2a3bc3e6846bdf89f4480052c3e5877a8dbd3d93c7a7d9f38d90311
7575b3de182b5ad8b92eabad4f5307e27280729f81ab692d20633dac2f786d8c
Vobfus
Win.Worm.Vobfus-6825980-0
Vobfus es un gusano que se copia a sí mismo en unidades externas e intenta obtener la ejecución automática de código a través de archivos autorun.inf. También modifica el registro para que se inicie cuando se inicie el sistema. Una vez instalado, intenta descargar malware de seguimiento desde sus servidores de comando y control (C2).
Indicadores de compromiso
Claves del Registro
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
Value Name: ShowSuperHidden
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
Nombres de dominio contactados por el malware
ns1[.]boxonline2[.]net
ns1[.]boxonline3[.]com
ns1[.]boxonline1[.]com
ns1[.]boxonline3[.]org
ns1[.]boxonline2[.]com
ns1[.]boxonline3[.]net
ns1[.]boxonline1[.]net
ns1[.]boxonline1[.]org
ns1[.]boxonline2[.]org
Archivos o directorios creados
\??\E:\autorun.inf
\autorun.inf
\??\E:\System Volume Information.exe
\??\E:\$RECYCLE.BIN.exe
\Secret.exe
\??\E:\Passwords.exe
\??\E:\Porn.exe
\??\E:\Secret.exe
\??\E:\Sexy.exe
\??\E:\x.mpeg
\Passwords.exe
\Porn.exe
\Sexy.exe
%UserProfile%\Secret.exe
%UserProfile%\Sexy.exe
%UserProfile%\c\Passwords.exe
%UserProfile%\c\Porn.exe
%UserProfile%\c\Secret.exe
%UserProfile%\c\autorun.inf
%UserProfile%\Passwords.exe
%UserProfile%\Porn.exe
%UserProfile%\Secret.exe
%UserProfile%\Sexy.exe
%UserProfile%\c\Sexy.exe
%UserProfile%\raaitay.exe
%UserProfile%\RCX6E9B.tmp
%UserProfile%\c\RCX7DE8.tmp
%UserProfile%\c\RCX7E08.tmp
%UserProfile%\c\RCX7E38.tmp
%UserProfile%\c\RCX7E68.tmp
%UserProfile%\c\RCX7E97.tmp
%UserProfile%\c\RCX7ED7.tmp
\??\E:\raaitay.exe
%UserProfile%\RCX6D8D.tmp
%UserProfile%\RCX6DDC.tmp
%UserProfile%\RCX6E0C.tmp
%UserProfile%\RCX6E3C.tmp
%UserProfile%\RCX6E6B.tmp
\raaitay.exe
Hashes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Win.Packed.Razy-6824365-0
Razy es a menudo un nombre de detección genérico para un troyano de Windows. Aunque los casos más recientes lo han atribuido a un ransomware que usa la extensión de archivo .razy cuando se escriben archivos cifrados en el disco, estas muestras son el caso anterior. Recopilan información confidencial del host infectado, formatean y cifran los datos y los envían a un servidor C2.
Indicadores de compromiso
Claves del Registro
<HKCU>\Software\Microsoft\GOCFK
<HKCU>\SOFTWARE\MICROSOFT\GOCFK
Direcciones IP contactadas por el malware
66[.]220[.]23[.]114
64[.]71[.]188[.]178
184[.]105[.]76[.]250
Nombres de dominio contactados por el malware
kwowwauubfk[.]com
bqwzunofd[.]pw
Archivos o directorios creados
%AllUsersProfile%\ph
%AllUsersProfile%\ph\fktiipx.ftf
%LocalAppData%\Temp\gocf.ksv
%AllUsersProfile%\b95c
%AllUsersProfile%\gvpax
%LocalAppData%\1596
%AppData%\f2s9398
%AllUsersProfile%\0n48x8
%LocalAppData%\o1me3
%AppData%\d991m59
%AllUsersProfile%\3qy3
%LocalAppData%\7a92
%AppData%\98u3
%LocalAppData%\31m53w
%AppData%\4o5w356
Hashes
00958b0eb7138a5cc3901f47ce902f6216b076fa341f9f7cda1bcfc62191b42b
0ddb4e64337d7a3b5e7980bc3d8b2e3d1a8870bac611de6b7fd4ea04e4b13834
16981b12217330adebe7b6d4ff08649f5ca2559b18331a0d0a6b79bc6f65cdcc
1b2c133834c1edf5a9696671bc555209abcdf17936c851942892015622f21c50
1da3d125ce62a7317cb80f4d48764995c8f7a84a15aa3a37abef6e03b4d8d071
30bc3bf1588a0ffa91ca8e494a5e7e40cc35c80eeb3a77c23d9fb98a251a7e98
3a1b58d54b6580a3d81fc5fc9cddd6f7eccfcab8f9f41fff81e45200d9d9294a
449c7ac8be0256b2ca573101eeb65cb0a5be0af883974f68574625f2f6bff7f8
44d438154cee044e36cb2a539261b3549d9cd16bfbf4d512073bba36a21d92d8
5033ca548036bc7fc8a988dafab88c0e7694701b12202522207d5cf3d194a31c
5c36d36a367eb555fcf3373121ec0ba2884ef92741471a65643cbd29f2877b9c
65a753ef5c366e3c79c989948d25504822ae31754d2af381c2c2039a2f5d52cc
78058316dd668f0052f9c8753cfb2c85c31a86bf9cf17fb9989de7efa6f34f3e
7ca95a22275a3f76ab51720871d3fff23b57a640c628e940230efb05cd0a32f8
7de1ddc87cc6956e6e20231d708073b011f5d03f79acd7dbc40052a3f05d60ea
856dd8f3138a9dc5858bcb80efa1abe8634b995b7f597eb6235002f13371c176
88528338d3eb4452c37548280f1c36d7e13eaf63cac1c320ea72f1f99403fa57
891088ed7a0e386a1c84b332b0aadce6f4709958aa07614c7cc83797518a95f7
9e5a684a10fb0f567bed0cbb71488bc9bb79d7fc15500a0da48c34caee6a804f
9ef872a783502bb47d5a461d231e26e301cc9f6e4625e7bd0ef7a01620f89b47
a8cd581c54ecf14da45460fa8fd8e5f5e43133b78135df9e2e8ae5c36af635a3
af7b095f795a599e83c94d41432b2755d7289159075147aae6931cc622dac30a
bd354725cb308fe831075414d4e9f2a2dcddbd16c900484f9aa9e1bcf2bfc6cc
c03a12f494da082c5c108fd80c1e1a2a1bd8be7cc8dcf3fae02f8bb39bb11944
c088e5a96993d5361c5c0b138dd17d658de50a4c1007b4d6e5a971df8a8c39bb
Genkryptik
Win.Ransomware.Genkryptik-6824111-0
Win.Malware.Genkryptik es a menudo un nombre de detección genérico para un troyano de Windows. En este caso, nos referimos a un ransomware. Algunas de las actividades maliciosas que podrían realizar estas muestras, sin el conocimiento del usuario, incluyen la recopilación de información del sistema, la descarga y carga de archivos y la eliminación de muestras adicionales.
Indicadores de compromiso
Claves del registro
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
<HKCU>\Software\Remcos-69PU1K\
<HKCU>\SOFTWARE\REMCOS-69PU1K
<HKCU>\SOFTWARE\REMCOS-69PU1K
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
Value Name: SKIVESKYDNINGENunenterpris
Mutexes
Remcos_Mutex_Inj
Remcos-69PU1K
Direcciones IP contactadas por el malware
Nombres de dominio contactados por el malware
top[.]pubgplayzonejoco[.]waw[.]pl
Archivos o directorios creados
%AppData%\remcos
%AppData%\remcos\logs.dat
%AppData%\Imgburn\imgburn.exe
%LocalAppData%\Temp\WEALTH2019.exe
%AppData%\Imgburn
%LocalAppData%\Temp\Mirijana9nyhedsgruppeskitte.exe
%LocalAppData%\Temp\~DFE751F75B3A32A556.TMP
%LocalAppData%\Temp\~DFDEB24D10F9017BE2.TMP
%LocalAppData%\Temp\~DFE5FA503DE0D2D852.TMP
%LocalAppData%\Temp\~DFEE43B3EEDEE2644E.TMP
%LocalAppData%\Temp\~DFD949DB000F4368B2.TMP
%LocalAppData%\Temp\~DFCD42A77CD5F06772.TMP
Hashes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Win.Malware.Ponystealer-6823878-0
Se sabe que Ponystealer puede robar credenciales de más de 100 aplicaciones diferentes y también puede instalar otro malware, como una herramienta de acceso remoto (RAT).
Indicadores de compromiso
Claves del Registro
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
<HKCU>\Software\Remcos-L409SR\
<HKCU>\SOFTWARE\REMCOS-L409SR
<HKCU>\SOFTWARE\REMCOS-L409SR
Mutexes
Remcos_Mutex_Inj
Remcos-L409SR
Nombres de Dominio contactados por el malware
Archivos o directorios creados
%AppData%\remcos
%AppData%\remcos\logs.dat
%LocalAppData%\Temp\subfolder
%LocalAppData%\Temp\subfolder\adobepdf.scr
%LocalAppData%\Temp\subfolder\adobepdf.vbs
Hashes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Doc.Malware.Valyria-6821700-0
Estas variantes de Valyria son archivos malintencionados de Microsoft Office que contienen macros VBA incrustadas que se utilizan para distribuir otro malware.
Indicadores de compromiso
Direcciones IP contactadas por el malware
191[.]6[.]194[.]81
177[.]185[.]194[.]161
157[.]7[.]188[.]229
45[.]60[.]22[.]20
54[.]164[.]54[.]199
Nombres de Dominio contactados por el malware
cm2[.]com[.]br
heteml[.]jp
secure[.]heteml[.]jp
snowdoll[.]net
www[.]plano-b[.]com[.]br
ecojusticepress[.]com
craftww[.]pl
lavoroproducoes[.]com[.]br
Archivos o directorios creados
%LocalAppData%\Temp\619.exe
%LocalAppData%\Temp\rucrrluq.3nn.psm1
%LocalAppData%\Temp\wjyt5a53.3uh.ps1
%LocalAppData%\Temp\CVRD0AC.tmp
Hashes
006527ed4540d3e8b684bdc110cb1f738ca696e8706b748892930994de3dedef
11f7710f8cabe988168078cd6ba83c2544d1d06c9a8a3583fabe164e87f7048b
23f1b03ee66fb8dd1a515afd7adeb8f85b260ef5e20a7d80ad1697865f59f794
243a87a44e767e8d5b788c29bb0dbec9986956b40c407074f670bcc9b206d730
2b201210a7ea524a3d65c7d2ee2e7d322479657076a1c30f8ec6994eb97f269b
3f7f15af2c3736d94f62e8d58bad269d29198eaffc40ccdbfd166878daeef652
400d6b89b8026f39de9c80b89aae66e49afebf153c8b5b9d480307ada0f4c428
5bdac880fac6d0b90751b1f2f7dd97b50ddf2759926a414b940dff6fb8117833
5fefc488c0bb534fe5de5eb5244524ab5138474609c6363f959845a35b2fa94e
73d4c1dafc168a36218d215548bdcc87b0ecb667acaf685b044b680f4f678dca
775b96aa12728bfc5f6f68bf11d8ff34e252107d8f63440a471495e8ecd9f1f7
79f220cc40a6d9d27adc27374ebf0263792e86b64061a709357233b88bb847e0
7ca6572429e9aeeedaeb810c5752f1ee4f300435eedb55efc6128a3c5cb40028
7d1452ab28a32b82e29a27b02f3881ed4eb7e33e47c65791753b6f9f6b0da364
7d50253b1168a61a502890fdd13e7245b5f7aa8465da25e3bed00a8fa0a3b4fd
8f0dae9f191c55289ab80783e68c0e03e97f391cd86ae283304555f20d8f2d31
a09a6e4a65a174787ec889f5e9d9024cdce88d46577d022a012ee4f86fb472cb
a77b90d16bbdd99569309b37cdae642159e8761ae9f8fb0853b193c0d3db7565
a8e856a69c9eb0074a418c67d575b91b49caea488574529a40e3b129cefde689
b438c81b2ada4914b77fb936ca70aa4fa1cb4cb6867c2171e9d21989a4419350
bd48756252ebf449627761f36c813dde9d57c0cdb82210e864afe4530353a362
c0c3c539411f9d602316f053a8c68bc78461be9c7b305107c2da072ebe1384a6
c77196231630b535ef5f0d46f78b7be22a27954daf395065b8f448829bcbbdff
caa71fe55c039c34b917a568a5325dee1ab6bbd7e343672b23dd3a498b2c21c6
e8f63eab9292aeb9f3b6adb62df6eb338ff28ff06faefa7fbbeae10e7e04927b
Zusy
Win.Malware.Zusy-6822787-0
Zusy es un troyano que usa ataques de hombre en el medio o Man-in-the-Middle (MitM) para robar información bancaria. Cuando se ejecuta, se inyecta en procesos legítimos de Windows como «explorer.exe» y «winver.exe». Cuando el usuario accede a un sitio web bancario, muestra un formulario para engañar al usuario para que envíe información personal.
Indicadores de compromiso
Archivos o directorios creados
%System32%\config\SYSTEM
%System32%\config\SOFTWARE
%System32%\Tasks\Update
%LocalAppData%\Temp\A1DE8592.tmp
%LocalAppData%\Microsoft Help\restewbes.exe
Hashes
066d2ec864546e803031799ceb753c0729fd3fea5fee39ea32c7663cbc49ac4c
0acd289c882b13ee2ab19fc065e675257f1be2795c5a9335db1be072b91137cc
131c42eed549e4ac2995b6490cf5850e8713c7cacd3a5f6e8e0663d6e66a8bdb
17ee81bccd57621bfaf7da158b68c11da1d3fd633f632ee1505823b022b7aeaa
1deea19fa1060fdd6c5be36b6e8fd0dab37d17f4bf8e3adc418d4a28bc2e7753
1f794910366228e4e66c3accd298d7159de6709370060edab157dceff6366fd9
383c76d17194d3f95579b607f472f8b7eeef27280ab71f17c13f6d02c5e9891d
4292bb14f28f0b6c2caf51f765a2c923caf4ff23f4ded0d791859b295cd8ca6f
47b371a3cdeb0aff41456ba7597044a01f1aaac1ede2070fe6549b1cbda78f39
4b5def0798881f70fb99cd1d96bcaffadc552652205264a6a14b7661dd5c260f
5189b875f1f85c6b6d6ae3cc6d2922df8d8126269c32904e66af2f93081cb0f5
51ef4bd2753e8ca2eefcf0c106110bb5e0191270ba94852d0df9267e7545535d
558980fb1ae5ebef3efab8dfec1659a0407b243e3ea80ce9206cdbb821e8307a
5664f44cf690e8084108f87f63ec9485cf7197846eed744a0e6d5a9a50b727e3
5aabbed6b1e0973a02a33e35317b8acd09902b009c2bd6d1826098c1399ca1b8
5fbe5fa066cb326ad3449dda72d41c3f7c13e7e53994f8783c398cf50b565bbb
5ff9243d8d9d9d91a0b808e5a48e49577673a7bc490ff2d932c95ad97861e260
6e0e7073accb6f820d47af977f502ae090c9a485a01e2f4844fa23b630aba3b5
7df09dd5811ae5b81ff5a7b8f24058fde4d4033774733b9c944f9333636eca4a
7eabab9ef1146639dc2c5ff6b81745741483a62df6453386f045f5ac011e2fbd
82b95a38e9b61a85ef38b821f1f061bf2e089f21e53b39a76b040358f0803c5f
8a61accd073ef7868fdfed4e18833f8edcfca716afac37cec88e03130617d3ca
8eb4332282fde7742e91f4e4652842d95e953e9921b0580a17e2f9fa70a0bcf3
8f3b61b93e8f2a2e5c20cfd9dfefd836ab5fc1fff5e60bba7e4d291c190afb87
92c07c6c53d2eceba6b5563c6b701b10a5d74af3e82f06e7caddeb5e74ae7f0f
Ursu
Win.Malware.Ursu-6822222-0
Ursu es un malware genérico que tiene numerosas funciones. Se pone en contacto con un servidor C2 y realiza la inyección de código en el espacio de direcciones de procesos legítimos. Es capaz de lograr persistencia y recopilar datos confidenciales. Se propaga a través del correo electrónico.
Indicadores de compromiso
Claves del registro
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\ibpvucix
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IBPVUCIX
Direcciones IP contactadas por el malware
216[.]239[.]34[.]21
255[.]255[.]255[.]255
239[.]255[.]255[.]250
69[.]55[.]5[.]250
68[.]178[.]213[.]37
172[.]217[.]6[.]196
66[.]218[.]85[.]52
66[.]218[.]85[.]151
212[.]82[.]101[.]46
104[.]47[.]2[.]33
74[.]6[.]141[.]40
74[.]6[.]137[.]65
98[.]136[.]102[.]54
5[.]9[.]32[.]166
46[.]4[.]52[.]109
208[.]71[.]35[.]137
98[.]137[.]159[.]25
74[.]6[.]137[.]63
176[.]111[.]49[.]43
85[.]25[.]119[.]25
144[.]76[.]199[.]2
144[.]76[.]199[.]43
98[.]137[.]159[.]26
104[.]47[.]44[.]33
172[.]217[.]197[.]27
66[.]218[.]85[.]139
67[.]195[.]228[.]141
212[.]227[.]17[.]8
98[.]137[.]157[.]43
208[.]76[.]51[.]51
144[.]160[.]235[.]144
104[.]47[.]9[.]33
98[.]137[.]159[.]27
43[.]231[.]4[.]7
194[.]25[.]134[.]72
213[.]209[.]1[.]129
188[.]125[.]73[.]87
64[.]136[.]52[.]37
193[.]201[.]76[.]57
98[.]136[.]101[.]117
67[.]195[.]229[.]59
98[.]137[.]159[.]28
74[.]208[.]5[.]20
74[.]208[.]236[.]137
104[.]47[.]10[.]33
192[.]0[.]47[.]59
216[.]146[.]35[.]35
74[.]6[.]137[.]64
208[.]76[.]50[.]50
144[.]160[.]159[.]22
82[.]165[.]229[.]15
40[.]76[.]4[.]15
67[.]195[.]229[.]58
8[.]20[.]247[.]20
89[.]39[.]105[.]12
213[.]180[.]147[.]146
68[.]114[.]188[.]69
203[.]138[.]180[.]240
195[.]46[.]39[.]40
199[.]212[.]0[.]46
157[.]240[.]18[.]174
167[.]181[.]46[.]232
109[.]69[.]8[.]51
212[.]77[.]101[.]4
209[.]85[.]203[.]26
17[.]133[.]229[.]14
17[.]133[.]229[.]13
17[.]57[.]8[.]135
17[.]57[.]8[.]138
17[.]57[.]8[.]136
17[.]178[.]97[.]79
17[.]172[.]34[.]70
216[.]40[.]42[.]4
17[.]142[.]163[.]10
195[.]4[.]92[.]217
173[.]194[.]76[.]27
117[.]46[.]9[.]103
157[.]240[.]18[.]63
142[.]169[.]1[.]45
64[.]233[.]166[.]26
87[.]240[.]190[.]68
87[.]240[.]180[.]136
172[.]217[.]192[.]26
207[.]69[.]189[.]229
104[.]47[.]53[.]36
69[.]168[.]106[.]65
104[.]44[.]194[.]232
104[.]44[.]194[.]236
168[.]95[.]5[.]113
168[.]95[.]5[.]218
207[.]46[.]8[.]199
70[.]169[.]223[.]215
168[.]95[.]6[.]60
85[.]13[.]131[.]232
208[.]80[.]206[.]91
204[.]96[.]26[.]100
94[.]229[.]138[.]130
79[.]96[.]161[.]121
66[.]175[.]131[.]136
204[.]246[.]122[.]94
74[.]126[.]144[.]79
212[.]159[.]9[.]200
52[.]206[.]51[.]15
185[.]164[.]14[.]22
Nombres de Dominio contactados por el malware
t-online[.]de
sbcglobal[.]net
myway[.]com
searchsingleshere[.]com
emig[.]freenet[.]de
charter[.]net
ff-ip4-mx-vip2[.]prodigy[.]net
excellentrxinc[.]su
freenet[.]de
fastonlinevalue[.]com
ev1[.]net
cableone[.]net
globetrotter[.]net
relay[.]globetrotter[.]net
bexldo[.]net
e-timetoroar[.]net
genericpillsinc[.]com
buziaczek[.]pl
rulovers[.]cn
karina[.]rubeauty[.]cn
kristina93[.]loversru[.]cn
bestprivateinc[.]ru
bestdrugassist[.]ru
bestfamilyeshop[.]com
hb[.]tinkerfcu[.]org
curingbestvalue[.]com
fastfastvalue[.]su
fastpharmeshop[.]com
acninc[.]net
curinghotsale[.]su
fastgenericsdeal[.]su
goodbestdeal[.]su
globalcarestore[.]su
fastremedymall[.]ru
ameritech[.]net
classoneequipment[.]com
chiclleida[.]com
ferbravo[.]euskalnet[.]net
scan-associates[.]net
condor2[.]telapex[.]com
commonhouse[.]net
codasoundusa[.]com
newonthenet[.]net
e-wholesaler[.]net
cgce[.]net
chopanov[.]com
westbournehouse[.]w-sussex[.]sch[.]uk
spideroak[.]com
cfw[.]me[.]uk
banking[.]achievacu[.]com
lucky-star[.]com[.]pl
franjadeponent[.]net
coffincheatersmc[.]org
Archivos o directorios creados
%WinDir%\SysWOW64\config\systemprofile:.repos
%WinDir%\SysWOW64\config\systemprofile
%WinDir%\SysWOW64\ibpvucix\
%LocalAppData%\Temp\gphgpbfw.exe
Hashes
06331cb6eb8673a49614b3cf67f302cf7a3b5ea18b8bb7d004884cea8f196a83
15ce5b3be486d7fe23f3115531ed6642587e3dff9bbfb5fef43ece0ed0cdb3f4
198afede85accadb3c147dc92ac2f04866e2e2bbeea7ec1333f73e6a8d76a04d
20edb680512a8741667e2652de74649da18542399acdd8dbdc9bc7121f422f40
23c8d65f46d2aeb395e25e63dcf0d417703f7a54b501fb40aebc554061384bfa
25f41a5ebb1175763d5eeb509a9b2fe559fdfd94a0d1a4736b7b766f9ba6363b
2c224aa21be4c3f8bce2e13c0ddb04ce5ec9cdc1480c172d5e0e4e15fdee2c44
2e889d267181a338b3c100a69417ee0a145820ab2aea59939d8bb6ccf56f3aef
3223a9b86a93b8869b44d7d8d2a7e98de99ddd0e1a5050dd7d708c087f18458e
32d7daae4063be4c3cf70d4cb43f0079d53c66170edbcba8282da98d49a7dbbe
33def1029bdf7c6675d05d5f224749026a32717392ef848bb0a35b7d6a8f29b9
40ad8820abac31fcf2219adb68218cb93765895995cb66f50dca15908d364752
471866dd10a5be75f2119d718325aa4026ed267bae3ad29cb08cec747b11e4ea
49f79b464c4130f0ff3a0c2b0d3336b0f6b8f51f56164f21b5ca7315424ea39e
536c227b86419e3a60bc53b317001b6b8cb9894215a8431542867f4fd10f98ec
53802104e558d3689a2f99347a69302fd459ee82615428cde09c28b4f7543541
54064cacc8929ef3581370dd311be773d6f3cc45fab81d3a37552b1e854b770d
61cfcad8b188a5dda449b76b070092eaa48ecad62c059b4795d3bcbb1e9581e6
66ed081ce04cc7e9b321695e153f237f0f430a1dd103e719c8a3812afe148455
6fb3f86955fd966f04ede90e33d2b9ae749b7b44a0a5fea78dca6a66387b5b92
747cae3430aeeecc86f846ba3bcaad9645ac6a6c0cedc5c027c2b8b3ad1d561e
75d9e8e6bc72e53881b4b8cd9daba1c13da9761cfafa560f57410ec8078ad675
7e08971c510b3fd9d85876a9a057ba601c38da13173bbda1abe54e05074b22b1
8a0b4a3b97122043e1ab8225b331fc4069ba150a275bc77316abc23841feda69
8c3de5bbdd6542a6d0c828764b1f47a37a4cad07834bec2fc9c7ac31316834f0
amenazas Indicadores de Compromiso IoC malware Threat hunting