Artemisa
Hoy la historia es corta. Todo comienza con un sencillo mail con una supuesta "imagen" de una "consignación" realizada:
1. Llega el mail con el veneno
|
| Malware enviado desde mail compras@siteco.com.co |
2. Al pulsar sobre la imagen nos lleva al enlace http://hyperurl.co/br0c1t que descarga el malware de nombre Soporte de consignacion bancaria Febrero 2018.exe una variante del virus "Artemis" (Artemisa).
Al parecer los creadores de Malware no solo les gusta ponerle nombres de famosos a sus creaciones, sino también de la mitología griega (Artemisa, Andrómeda, etc.., etc...).
|
| Contenido original de la supuesta "imagen" |
|
| DLLWIN.exe in AppData/Roaming |
3. Al ejecutar el .exe deja un proceso con el mismo nombre, pero si reiniciamos el PC, muta y ejecuta un proceso MODULAR PRE-ANALYTICS EVO ( MPA) desde AppData/Roaming bajo el nombre de DLLWIN.exe
Informe VitusTotal: (los antivirus Avast, Avira, AVG, BitDefender, DrWeb, entre muchos otros, no lo detectan. Pulse AQUI para ver el reporte completo)
|
| Virus Total Report: Malware Artemis Variant |
Registro de Acceso:
|
| Squid Data Report: IP/Host with Malware |
Para eliminarlo manualmente simplemente cierre el proceso y elimine el archivo.
Post a Comment