Techie Blog El blog de noticias, tecnologías y tendencias de E.D.S.I. Trend Argentina

13nov/13Off

TROJ_UPATRE

Estimados,

Este documento es para informarles acerca de una nueva amenaza emergente.

UPATRE es un malware que se distribuye vía SPAM a través de adjuntos maliciosos.

Una vez que el adjunto es abierto y ejecutado, el mismo descarga variadas variantes de ZBOT.

Además de extraer información relacionada a cuentas bancarias, el adjunto descarga también el malware CRILOCK (o CryptoLocker).

Las variantes de CryptoLocker son conocidas por encriptar determinados archivos.

A continuación encontrarán un diagrama de UPATRE para referenciarse;

metinfencontrarán un diagrama de UPATRE para referenciarse;

 

 

 

 

 

Reportes de Infecciones

Detecciones desde Septiembre del 2013 hasta el presente;

repinf

 

 

Paises Afectados;

paiaf

 

Descripción del Malware

Amenazas

Motivación

Método de Propagación

Metodo de Evasión

ZBOT

Distribuye Malware que solicitan dinero a cambio de la información capturada (RANSOM/CRILOCK, FAKEAV)

Descargada por otros Malware (UPATRE), Spam, a través de exploits

Generado por toolkit, Custom packer

CRILOCK

Extorsión de Dinero

Descargado por otros Malware (ZBOT)

Custom packer

UPATRE

Distribuye otros Malware

Spam

Custom packer

 

Soluciones a la amenaza

Amenaza

Capa de exposición

Capa de Infección

Capa Dinámica

TROJ_UPATRE

ERS: Bloquea SPAMs

WRS: Bloquea URLs maliciosas

 

ERS es la solución recomendada para este malware

VSAPI (disponible en OPR)
TROJ_UPATRE.SM, TROJ_UPATRE.VNA

TROJ_UPATRE.SMA

TROJ_UPATRE.SMZ8

TROJ_UPATRE.SMZ9

TROJ_DLOADER.SM3

AEGIS: N/A
NCIP
: HTTPS_UPATRE_SERVER_CERTIFICATE

TROJ_CRILOCK

WRS:
Una herramienta DGA fue utilizada para bloquear las URLs generadas
VSAPI (disponible en OPR)
TROJ_CRILOCK.NS
AEGIS (T – disponible en OPR, F – disponible como debug build)
TD1719T, TD1727F
NCIP (disponible en el próximo OPR)
HTTP_CRYPTOLOCK_REQUEST-1

TSPY_ZBOT

WRS:

{BLOCKED}.165.222:443/bomberman.exe

VSAPI (disponible en OPR)
TSPY_ZBOT.VNA
AEGIS (T – disponible en OPR, F – disponible como debug build)
TD1681F, TD1728F, TD1724F, TD1708T, TD1680T
NCIP (disponible en OPR)
HTTP_REQUEST_GET_ZEUS_CONFIG2
DNS_ZBOT_REQUEST

Nota: Es altaNota: es altamente recomendable para habilitar SPAM email filtering en los productos.

 

 

 

Nota del Blog de Trend Micro:

http://blog.trendmicro.com/trendlabs-security-intelligence/cryptolocker-its-spam-and-zeuszbot-connection/

 

Reporte del Virus de Trend Micro:

http://about-threats.trendmicro.com/us/malware/TROJ_UPATRE.VNA

 

TrendLabs US ha recibido una nueva muestra de UPATRE y la misma fue recibida como un archivo ZIP protegido con password. Debajo, el screenshot de la muestra de email;

mail

 

La detección de los binarios de UPATRE así como el archivo ZIP protegido con password se encuentra en proceso.

 


¿Te gustó este artículo?

¡Suscríbete a nuestro feed RSS!

Publicado por Agustín Nicolás Bottos

Comentarios (0) Trackbacks (0)

Lo sentimos, los comentarios están cerrados por ahora.

Trackbacks deshabilitados.

Arriba ↑