L | M | M | J | V | S | D |
---|---|---|---|---|---|---|
|
|
|
|
|
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
|
|
|
|
|
|
Troyano ZeuS alojado en dominio MX
El UNAM-CERT recibió un reporte sobre un archivo ejecutable supuestamente malicioso. El binario se encontraba alojado en un dominio MX con el nombre "BC-62016.exe".
El primer análisis se realizó en un entorno controlado sin salida a Internet. Al ejecutar la muestra se inicia en primera instancia un proceso con el mismo nombre del archivo ejecutable y posteriormente se levanta otro proceso con el nombre "vadoo.exe".
Posteriormente el malware troyaniza el proceso explorer.exe, dicho comportamiento es común cuando los equipos son infectados por alguna variante de un bot de ZeuS. Pero hasta este momento no es suficiente la información recabada para determinar que el equipo forma parte de una botnet de ZeuS.
En el sistema de archivos se crea una carpeta con el nombre "Ixnyit" y dentro se genera el programa "vadoo.exe", el cual se pudo apreciar en ejecución una vez que se infectó el equipo.
Los cambios anteriormente registrados se pueden corroborar con el reporte generado con la herramienta de análisis RegShot.