Jump to content

¿Cómo enviar muestra de virus no detectado a Kaspersky?


rutsagig
Go to solution Solved by harlan4096,

Recommended Posts

Buenos días.

Hace un par de semanas el ordenador de un cliente, con la última versión de Kaspersky Antivirus instalada, fue atacado por un ransomware y el antivirus no detectó nada. No hubo problemas porque se tenían backups de todo.

El virús llegó como adjunto en un correo electrónico, un comprimido en 7z con contraseña. He probado a analizar el archivo, tanto comprimido como descomprimido con Kaspersky Antivirus y también con mi Kaspersky Endpoint Security y ninguno de los dos detecta nada.

¿Cómo podría hacer llegar a Kaspersky este archivo infectado para que lo analicen y así poder incluirlo en sus firmas para detectarlo en el futuro?

Gracias.

Link to comment
Share on other sites

  • Solution

BIenvenid@ a la Comunidad de Kaspersky.

 

Puedes usar el servicio KOTIP

 

Puedes iniciarte sesión (Sign-in en la esquina inferior izquierda) con las credenciales de tu cuenta Mi Cuenta KL, si ya dispones de cuenta en este servicio, si no, tendrás que crearte una cuenta:

 

image.png.28180e3453d5bcdc826882bb63630179.png

 

A continuación, pulsa en Add file y elige el archivo a analizar.

 

Una vez terminado el análisis, normalmente aparecerá una opción junto al veredicto, en este caso, si dice Clean (Verde), que te permitirá enviar la muestra a los analistas de Kaspersky, tecleando tu dirección de email y adjuntando algún comentario.

 

Saludos.

  • Like 1
Link to comment
Share on other sites

Además, sube el archivo no detectado a un servicio gratuito de archivos online, comprímelo con la contraseña "infected" sin las comillas, y pásame enlace de descarga por mensaje privado de la comunidad.

 

Saludos.

Link to comment
Share on other sites

Gracias. @harlan4096te lo he enviado por MD.

El archivo venía comprimido con contraseña. Lo descomprimí y al volverlo a comprimir con la contraseña solicitada no me dejó porque en ese momento sí saltó Kaspersky (yo tengo el endpoint security 11):

Quote

Evento: Objeto malicioso detectado
Tipo de usuario: Iniciador
Nombre de aplicación: WinRAR.exe
Ruta de la aplicación: C:\Program Files\WinRAR
Componente: Protección frente a amenazas en archivos
Descripción del resultado: Detectado(s)
Tipo: Troyano
Nombre: HEUR:Trojan-Dropper.Multi.Agent.gen
Precisión: Análisis heurístico
Nivel de amenaza: Alta
Tipo de objeto: Archivo
Nombre de objeto: abogados.zip
Ruta de objeto: D:\tmp
SHA256 de un objeto: F23CED7F1D103B478B265F9036B5D5C603BF90C37DC7B4A938051A31D5EF1E07
MD5 de un objeto: 41E43347E2EC70722109D60DB17277A6
Motivo: Análisis experto
Fecha de publicación de las bases de datos: Hoy, 22/12/2022 5:39:00

Por si fuera de interés general, os explicaré un poco lo que ví del virus:

Es un ISO que contiene varios .bat, un .vbs, el programa autologon, el 7zip y un acceso directo haciéndose pasar por un documento a uno de los .bat.

Al ejecutar el acceso directo se copian estos archivos en C:, crea un usuario y reinicia el sistema en modo seguro, que con el autologon entra directamente sin contraseña y ejecuta el virus que empieza a encriptar todo y deja en cada carpeta el mensaje de rescate con un enlace a un site de la red Tor para hacer el pago en bitcoins

 

Edited by rutsagig
  • Like 1
  • Thanks 1
Link to comment
Share on other sites

Otra cosa interesante es cómo llegó el virus. No era el típico correo de remitente sospechoso con un adjunto que salta a la legua que es un virus.

Lo recibió un despacho de abogados desde una agencia de publicidad.

La agencia contactó con el despacho y estuvieron intercambiando varios correos hasta que enviaron éste donde decían que adjuntaban documentación comprimida con contraseña por temas de protección de datos. Los correos estaban en perfecto español y muy bien escritos, decían que buscaban un abogado para reclamar facturas usando palabras legales como procedimiento monitorio y cosas así.

Antes de ésto los abogados habían buscado la agencia de publicidad y sí existía: tenían web, facebook y eran de la ciudad.

El problema es que la agencia era, digamos por ejemplo, agenciapubli.com, y los correos venían de agenciapubli.agency. Éste dominio se había creado sólo unas semanas antes.

Llamamos a la agencia y estaban al tanto del tema porque ya les había avisado algún proveedor de que habían recibido mails similares.

HAY QUE ANDAR CON 1000 OJOS!!!

  • Like 2
Link to comment
Share on other sites

12 hours ago, rutsagig said:

Otra cosa interesante es cómo llegó el virus. No era el típico correo de remitente sospechoso con un adjunto que salta a la legua que es un virus.

Lo recibió un despacho de abogados desde una agencia de publicidad.

La agencia contactó con el despacho y estuvieron intercambiando varios correos hasta que enviaron éste donde decían que adjuntaban documentación comprimida con contraseña por temas de protección de datos. Los correos estaban en perfecto español y muy bien escritos, decían que buscaban un abogado para reclamar facturas usando palabras legales como procedimiento monitorio y cosas así.

Antes de ésto los abogados habían buscado la agencia de publicidad y sí existía: tenían web, facebook y eran de la ciudad.

El problema es que la agencia era, digamos por ejemplo, agenciapubli.com, y los correos venían de agenciapubli.agency. Éste dominio se había creado sólo unas semanas antes.

Llamamos a la agencia y estaban al tanto del tema porque ya les había avisado algún proveedor de que habían recibido mails similares.

HAY QUE ANDAR CON 1000 OJOS!!!

Estimado usuario.

Muchas gracias por sus mensajes. Si en dado caso están interesados en que nuestros especialistas realicen una investigación de lo sucedido, puede acudir a su distribuidor de Kaspersky para indagar más información sobre alcances y costos de nuestros Servicios de Respuesta a Incidentes (Respuesta a incidentes de seguridad de la información | Ciencia forense digital | Kaspersky).

A continuación algunas recomendaciones a la hora de reportar archivos que aparentemente no sean detectados por nuestras tecnologías sin contravenir las Normas Generales del Foro.

  1. Siempre que sea posible, envíe la información del hash del archivo. Para conocer detalles de que se trata este tipo de datos, no dude en visitar: ¿Qué Es Un Hash Y Cómo Funciona? | Blog oficial de Kaspersky;
  2. Si ha realizado consultas del objeto sospechoso en distintos portales abiertos, envíe los enlaces de resultado. Por ejemplo, si es una consulta realizada en nuestro servicio OpenTIP: Kaspersky Threat Intelligence Portal — Report — F77EB4BBAA8CCCA0A63F7F5EF85877D94947FF31BCA7A509...
  3. Siga atentamente las indicaciones de los moderadores. Bien sea en las distintas respuestas que reciba o en los mensajes privados según mutuo acuerdo.

Si a pese a lo descrito en sus mensajes anteriores le es posible compartir la muestra del objeto sospechoso, por favor  comprímalo en el formato de su preferencia y cifrelo con la contraseña infected 

12 hours ago, rutsagig said:

(...)El archivo venía comprimido con contraseña. Lo descomprimí y al volverlo a comprimir con la contraseña solicitada no me dejó porque en ese momento sí saltó Kaspersky (yo tengo el endpoint security 11) (...)

Asegúrese de que Kaspersky Endpoint Security cuente con la configuración basada en nuestras prácticas recomendadas Apéndice 1. Configuración de la aplicación (kaspersky.com)

Quedamos atentos y gracias por contar con Kaspersky como su aliado en la protección de sus datos.

 

Edited by Vimaro
  • Like 1
Link to comment
Share on other sites

  • 3 weeks later...

Éste es el resultado de la consulta del archivo ISO:

https://opentip.kaspersky.com/1858A862390ADCAA4CEA6782E7DBA077697475FF9ADA9D75C4897CCD563998AF

Del ISO comprimido en 7z con contraseña:

https://opentip.kaspersky.com/C2845FC0C9A79CD5F71D0A0E3C3D23A73F6388C77E1CF2005E002556AF399F01

Ya he enviado por privado el archivo ISO comprimido con contraseña por privado a @harlan4096

  • Like 1
Link to comment
Share on other sites

Ok, ya la tengo.

 

El contenido interno del .iso es el siguiente:

 

image.png.6a60fd1c02bc93b5a010d2d9c8eb0dc7.png

 

Los archivos Autolong.exe y 7z.exe son legítimos.

 

La supuesta carpeta Documentos, realmente no lo es, para engañar se le ha asignado un icono de carpeta, pero realmente es un acceso directo que ejecuta el archivo 1.bat:

 

image.png.c98582e42af3ae2415a1d9f3f4c74dfd.png

 

Llegados aquí, nos encontramos con un problema, y es que el archivo documentos.7z está protegido con contraseña, pero fijándonos en el código del archivo 3.bat la encontramos jeje:

 

image.png.1fc5d7fbd07ca488a6f9aafb04eeb501.png

 

Total que al extraer doumentos.7z, mi Kaspersky rápidamente reacciona:

 

image.png.5ad5a0c58fac7ea73df09b239cd4c924.png

 

En el interior de la carpeta:

 

image.png.cfe82c57e9d34d2937fb77c13af88d6e.png

Kaspersky ha detectado el archivo documentos.exe como un Ransomware:

 

image.png.0b98701bc58e30e743cddbf9354f759e.png

 

Así que toda la parafernalia de los demás archivos que están en el interior del .iso son para al final ejecutar este peligroso malware cifrador de archivos del sistema. Kaspersky no lo detecta de primeras porque está comprimido en el interior con contraseña, pero una vez que se ejecuta el archivo 3.bat y se extrae, Kaspersky salta y elimina el archivo.

 

De cualquier forma, voy a enviar todos los archivos para su análisis a los analistas de Kaspersky.

 

Saludos y gracias ?

  • Like 1
Link to comment
Share on other sites

Estoy usando una versión Release Candidate / beta de Kaspersky Plus 21.9. La nueva línea de productos de Kaspersky que será próximamente lanzada también para España.

 

Aun así, es raro que tu Kaspersky no lo haya detectado, ya que en cuanto a protección utilizan la misma tecnología.

 

¿Cuál es la versión exacta de tu Kaspersky?

 

Saludos.

Link to comment
Share on other sites

Sí, es la más moderna en idioma español, pero en otros países ya se ha empezado a librar la 21.8, y la 21.9 ayer justo entró en fase RC (Release Candidate), así que pronto será oficial también.

 

Saludos.

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...