(Infecciones de WMI) ¿Se detectó un comportamiento sospechoso de scrcons.exe?

Navega tus respuestas
0

Casi cada cinco minutos, salgo de AVG AVG, dejé de descargar archivos y no sé qué programa quiere descargar estos archivos.

He leído esto antes de Infecciones por WMI

Entonces, abrí esta pregunta porque, creo que esta variante de malware utilizó WMI para mantener la persistencia.

También he leído esto: Explicado: Secuestradores WMI

  

Efectivamente,elscriptaejecutarestáocultoparaelusuario,y  elscript(comounarchivo)nosealmacenaenelsistema.Porloquees  Consideradacomootrainfecciónsinarchivo.LastécnicasdeWMIfueronutilizadaspor  malwarecomoStuxnetenelpasado.

    
pregunta Hackoo 05.07.2018 - 13:38
fuente

1 respuesta

1

La IP de destino pertenece a KRYPT TECHNOLOGIES, que es una empresa de alojamiento en la nube.

Se sabe que sus IP se utilizan de forma abusiva:

  • son conocidos por usar y alojar nombres de dominio ambiguos

  • también tienden a tener tendencias de tráfico malicioso y abuso de Internet

  • muchos de sus llamados sitios web legítimos alojados por ellos son en realidad frentes para hospedar virus y otros archivos maliciosos distribuidos, ataques y otras actividades maliciosas

  • Actividades de BOTNET

  • las actividades que se han supervisado a través de su acceso a Internet han sido Spam, Actividad de virus, Intentos de piratería, así como la distribución de archivos maliciosos

Verdic: Virus / malware.

Acciones recomendadas: eliminar archivos, lista negra de IP en el firewall.

    
respondido por el Overmind 05.07.2018 - 14:24
fuente

Lea otras preguntas en las etiquetas

Aplicar regexp para la validación de entrada de usuario usando JavaScript ¿Cómo puede un sitio web importante del Reino Unido detectar el uso de una VPN del Reino Unido en una pestaña de incógnito fuera del Reino Unido?