INF_12052021_FIRMAEC TROJAN INJECTOR

1 IDENTIFICACIÓN DE LA AMENAZA......................................................................................................2
2 ACCIONES EJECUTADAS LUEGO DE IDENTIFICADO LAS AMENAZAS...................................................4
2.1 DESINSTALACIÓN DE BITVISE.......................................................................................................4
2.2 DESINSTALACIÓN DE FIRMAEC....................................................................................................4
2.3 DESCARGA DE LA NUEVA VERSIÓN DE FIRMAEC.........................................................................5
2.4 INSTALACIÓN NUEVA VERSIÓN DE FIRMA EC..............................................................................6
2.5 CORREMOS MALWARE BYTES DE NUEVO....................................................................................8
3 OBSERVACIONES Y RECOMENDACIONES............................................................................................9
 TECNOLOGIA 13-May-21

Página 2 de 9 INFRAESTRUCTURA
INF_12052021_FIRMAEC TROJAN INJECTOR SECURITY REPORT 20210001

1 IDENTIFICACIÓN DE LA AMENAZA
Malware bytes reconoce en mi computador a firmaEC como un trojan injector, motivo por el cual
abro firmaEC y me muestra que hay una actualización del programa.

Luego procedo a mandarlos a cuarentena mientras la versión libre de MALWAREBYTES me lo

permita.
 TECNOLOGIA 13-May-21

Página 3 de 9 INFRAESTRUCTURA
INF_12052021_FIRMAEC TROJAN INJECTOR SECURITY REPORT 20210001

Se ignora uno de los items encontrados para poder llevar a cuarentena a los otros dos.

Luego nos muestra que de los tres items detectados solo dos van a cuarentena veamos el reporte
 TECNOLOGIA 13-May-21

Página 4 de 9 INFRAESTRUCTURA
INF_12052021_FIRMAEC TROJAN INJECTOR SECURITY REPORT 20210001

2 ACCIONES EJECUTADAS LUEGO DE IDENTIFICADO LAS AMENAZAS

2.1 DESINSTALACIÓN DE BITVISE
Este item no entró a cuarentena directamente, es por esto que lo desinstalamos manualmente,
aunque cabe aclarar que este software nos sirve para conectarnos a los servidores virtuales sin
embargo también los desinstalaremos.

De nuevo con la ayuda de everything, se trata de eliminar toda huella de este programa, luego
intentaremos con winscp de cara a analizar este nuevo resultado.

2.2 DESINSTALACIÓN DE FIRMAEC

Procedo a abrir firmaEC y se aparece la siguiente ventana eso nos indica que hay una nueva versión.

Antes procederemos con la des-instalación de este aplicativo que nos indica que está en la versión
 TECNOLOGIA 13-May-21

Página 5 de 9 INFRAESTRUCTURA
INF_12052021_FIRMAEC TROJAN INJECTOR SECURITY REPORT 20210001

Eliminamos toda huella de ese aplicativo, para eso me apoyo con el software Everything

Ya no hay huella de firmaEC

2.3 DESCARGA DE LA NUEVA VERSIÓN DE FIRMAEC

Ahora nos dirigimos a la pagina de donde se descarga la nueva versión del aplicativo

Según la pagina, la nueva versión del instalador se encuentra en la red CEDIA, veamos que sucede al
instalar esta nueva versión.
 TECNOLOGIA 13-May-21

Página 6 de 9 INFRAESTRUCTURA
INF_12052021_FIRMAEC TROJAN INJECTOR SECURITY REPORT 20210001

2.4 INSTALACIÓN NUEVA VERSIÓN DE FIRMA EC

Como se ve Windows no reconoce al publicador de la aplicación, al ser la unica herramienta que

provee el banco central y se la oficial pues vamos a confiar en el publicador.
 TECNOLOGIA 13-May-21

Página 7 de 9 INFRAESTRUCTURA
INF_12052021_FIRMAEC TROJAN INJECTOR SECURITY REPORT 20210001
 TECNOLOGIA 13-May-21

Página 8 de 9 INFRAESTRUCTURA
INF_12052021_FIRMAEC TROJAN INJECTOR SECURITY REPORT 20210001

2.5 CORREMOS MALWARE BYTES DE NUEVO

Ahora al ejecutar de nuevo malwarebytes ya vemos nuestro computador ya esta presuntamente
protegido.

Bueno ahora si a eliminar.

 TECNOLOGIA 13-May-21

Página 9 de 9 INFRAESTRUCTURA
INF_12052021_FIRMAEC TROJAN INJECTOR SECURITY REPORT 20210001

3 OBSERVACIONES Y RECOMENDACIONES

En una ocasión anterior me pasó lo mismo con el aplicativo de Firma EC, es por esto que se procedió
con la elaboración de este manual informe de lo ocurrido.

Mi teoría es que en el servidor de CEDIA donde se aloja firmaEC se ingresa algún atacante y modifica
el binario del programa y le inyecta código malicioso lo vuelve a transformar y lo vuelve a subir al
sitio, se debería reforzar la seguridad tanto al publicar el software como en el mantenimiento del
repositorio donde reside el software, al igual que en el servidor.

Por favor revisen y eliminen sus respectivas versiones de firmaEC si es que se mantienen con la
versión vulnerada. Esperamos que no vuelva a suceder.

Toda las tareas antes descritas mas las capturas del paso a paso, tomaron alrededor de una hora.
Elaborar manuales mas detallados si no se cuenta con un computador de buenas características seria
una tarea de un tiempo mas extenso, hay que tomar en cuenta esto para que tan solo ejecuten
acciones parecidas sobre las maquinas arrendadas o maquinas propias de la empresa.

Necesitamos uno o dos oficiales de seguridad informática en la empresa ya que por mas buena
voluntad que la ponen los compañeros de soporte e infraestructura, darnos a basto con todos los
posibles casos en la empresa, comienza a ser una tarea sin fin.

A la empresa le conviene adquirir una licencia empresarial de MalwareBytes, de momento

desconozco la existencia de partners en la Ciudad, no lo investigo porque ya es de noche y quiero ir a
dormir.

Realizado por: Revisado por:

Sr. Carlos Sigua Ing. Verónica Poma

ANALISTA DE INFRAESTRUCTURA ESPECIALISTA 1 DE SERVICIOS DE TI