Forensics in Spanish
RV: Archivos sospechosos en el sistema. Jan 17 2007 07:49AM
LaLo (gonza_lol hotmail com) (1 replies)
Re: RV: Archivos sospechosos en el sistema. Jan 17 2007 05:35PM
Fabio Cerullo (fcerullo gmail com) (1 replies)
Hola Lalo

Te recomiendo si quieres introducirte en el tema de Reverse Engineering
Malware que leas esta publicacion de SANS.

http://isc.sans.org/presentations/cookie.pdf

Es verdaderamente muy detallada y te da una idea de como aproximarte al
analisis de virus paso a paso.

Saludos

Fabio

http://fcerullo.spaces.live.com

On 1/17/07, LaLo <gonza_lol (at) hotmail (dot) com [email concealed]> wrote:
>
> Buenas madrugadas.
>
>
> Después de haber hecho varias pruebas, he optado por ejecutar el virus con
> el Kaspersky (en modo paranoic), el filemon y el regmon activos, para ver
> si
> así podía sacar algo en claro...
>
> Bien, para empezar, el Kaspersky por desgracia no ha hecho nada de nada...
> solo me ha avisado cuando uno de los archivos intentaba apoderarse del
> Explorer.exe, pero antes de eso ha dejado ejecutar los 3 archivos sin
> poner
> impedimentos.
>
> Llevo más de 2 horas analizando los logs del filemon y del regmon pero no
> logro sacar ninguna conclusión. Solo veo que estos archivos son más
> sofisticados de lo que esperaba, ya que se dedican a recopilar información
> de infinidad de dlls y archivos, así como de muchas claves de registro.
>
> Lo extraño es que, hasta el intento de infección del Explorer.exe, los
> archivos solo se dedican a recopilar información y guardarlas en el
> archivo
> C:\Windows\system32\drivers\fidbox2.dat. Es por esto quizás por lo que
> pase
> desapercibido para los antivirus.
>
> Por lo que pude observar mirando los procesos, el archivo 3.exe crea un
> archivo.bat, que llama a net.exe y net1.exe y detienen el servicio
> NetShare.
>
> Siguen recopilando información y por último infectan el Explorer.exe y
> agregan al registro la clave:
>
> HK_LM\Software\Microsoft\Active Setup\Installed Components\{36DB ... 605}>
> Con un valor que apunta a C:\windows\system32\wink2.exe
>
> Para su autoejecución.
>
> Me he pasado casi 2 horas revisando los logs pero no me queda claro si
> instala algún tipo de troyano para acceder a la información del keylogger.
> Os envío los archivos del Filemon y Regmon por si alguno se aburre y le
> quiere echar un ojo...
>
> Esta noche probaré con el Prism Deploy para aclarar un poco más el asunto.
> Os comentaré si saco algo más en claro :)
>
>
> PD: Me ha ayudado mucho también la aplicación Sandboxie, ya que ejecutando
> el Crack.exe aquí, he visto que crea un .bat en Temp, que es el que
> ejecuta
> los comantos net.exe y net1.exe. Lo malo es que no llegan a verse todas
> las
> operaciones que realiza en el entorno real.
>
>
> Bueno, no me lío más.
>
> Un saludo, y gracias a todos.
>
> ^LaLo^.
>
>
> -----Mensaje original-----
> De: listbounce (at) securityfocus (dot) com [email concealed] [mailto:listbounce (at) securityfocus (dot) com [email concealed]] En
> nombre de LaLo
> Enviado el: martes, 16 de enero de 2007 22:26
> Para: ANELKAOS (at) gmail (dot) com [email concealed]; forensics-es (at) securityfocus (dot) com [email concealed]
> Asunto: RE: Archivos sospechosos en el sistema.
>
> Buenas noches.
>
> Ante todo, gracias a todos por vuestras respuestas, me han sido de mucha
> ayuda ya que no conocía muchas de las aplicaciones que habéis nombrado.
>
> Respondiendo a ANELKAOS, voy a describir un poco el entorno:
>
> El S.O. es Windows XP Pro SP2 actualizado.
> El A/V que estaba instalado en el momento de la infección era el NOD32 v.2
> actualizado.
>
> También estaban instalado el SpyBot, Adware y Ewido aunque no estaban
> residentes en memoria.
>
> Os comento lo que he ido investigando sin haber probado las herramientas
> que
> comentáis:
>
> La infección se produce al ejecutar un archivo con el nombre Crack.exe,
> con
> un icono muy chulo y que realmente contiene en su interior 3 ejecutables:
> 1.exe, 2.exe y 3.exe.
>
> Al ejecutarse, descomprime los 3 archivos en C:\Windows\mui\ y los
> ejecuta.
>
> 1.exe se copia a C:\Windows\system32\wink2.exe (Es un Keylogger)
>
> 2.exe aparentemente parece ser el "crack" original.
>
> 3.exe es igual que 2.exe pero este ejecuta y borra el archivo 1.exe
>
>
> Investigando un poco más descubrí una entrada en
> HK_LM\Software\Microsoft\Active Setup\Installed Components\{36DB ... 605}>
> Con un valor que apunta a C:\windows\system32\wink2.exe
>
> ** OJO con esta clave ya que no hay mucha información sobre su
> funcionamiento y es bastante curioso...
>
> Lo que hace al añadirse aquí un valor, es que, en el siguiente reinicio,
> se
> ejecuta ese archivo y parece que se instala para autoejecutarse en cada
> inicio, lo malo es que no aparece por ningún lado referencia alguna a este
> archivo...
>
>
> Lo más triste de todo esto, es que solo 3 motores antivirus detectan el
> archivo Crack.exe como un virus.
>
> Si se analizan por separado los archivos 1.exe, 2.exe y 3.exe ya lo
> detectan
> algunos antivirus más, pero cada motor siempre falla en alguno de estos 2
> archivos (aunque posiblemente no sean todos virus).
>
>
> Y finalmente, me percaté de la infección porque se desactivo el Firewall
> de
> Windows... pero vamos... el A/V tan pancho...
>
>
>
> Bueno, ahora voy a probar con las aplicaciones que me habéis nombrado, a
> ver
> si saco algo más en claro de esto.
>
> Gracias a todos por vuestra ayuda!
>
>
> Un saludo, ^LaLo^.
>
>
>
>
>
> -----Mensaje original-----
> De: ANELKAOS [mailto:anelkaos (at) gmail (dot) com [email concealed]]
> Enviado el: martes, 16 de enero de 2007 20:31
> Para: LaLo
> Asunto: Re: Archivos sospechosos en el sistema.
>
> Deberias explicar mas en detalle la configuración exácta del sistema
> operativo (permisos, usuarios, navegadores, configuración exacta de
> estos, antivirus u otras herramientas de detección instaladas,
> versión, actualización configuración, etc)
>
> ¿Que indicios tienes de haber sido infectado?
> ¿Sabes ya por que medio has sido infectado? (Navegador, pendrive,
> correo, intrusión, etc...
> ¿Que directivas de auditoria tenias habilitadas?
>
> En principio no tienes porqué infectar mas equipos; responde a todas
> las preguntas lo mas concisamente que puedas.
>
> Un saludo.
>
>
> El 16/01/07, LaLo<gonza_lol (at) hotmail (dot) com [email concealed]> escribió:
> >
> >
> >
> > Buenos días.
> >
> >
> >
> > Ayer sufrí una infección en mi sistema de lo que seguramente sea algún
> tipo
> > de virus? digo esto ya que pasó desapercibido para el Antivirus.. y no
> logro
> > encontrar información a cerca de este tipo de infección.
> >
> >
> >
> > No me queda más remedio que, utilizando otro equipo, infectarlo de nuevo
> > para poder ver que es lo que hace exactamente este "virus".
> >
> >
> >
> > Es por esto que os quería consultar si sabéis de alguna aplicación que
> me
> > permita monitorizar la ejecución de la aplicación, o bien monitorizar el
> > sistema? para así saber si crea archivos, si añade claves al registro o
> crea
> > algún tipo de servicio.
> >
> >
> >
> >
> >
> > Se aceptan sugerencias!
> >
> >
> >
> > Por cierto, el S.O. que fue infectado fue Windows XP.
> >
> >
> >
> >
> >
> > Gracias de antemano.
> >
> >
> >
> >
> >
> >
> >
> > Un saludo, ^LaLo^.
> >
> >
>
>
>
<div>Hola Lalo</div>
<div> </div>
<div>Te recomiendo si quieres introducirte en el tema de Reverse Engineering Malware que leas esta publicacion de SANS. </div>
<div> </div>
<div><a href="http://isc.sans.org/presentations/cookie.pdf">http://isc.sans.org/
presentations/cookie.pdf</a></div>
<div> </div>
<div>Es verdaderamente muy detallada y te da una idea de como aproximarte al analisis de virus paso a paso.</div>
<div> </div>
<div>Saludos</div>
<div> </div>
<div>Fabio</div>
<div> </div>
<div><a href="http://fcerullo.spaces.live.com">http://fcerullo.spaces.live.com</
a><br><br> </div>
<div><span class="gmail_quote">On 1/17/07, <b class="gmail_sendername">LaLo</b> <<a href="mailto:gonza_lol (at) hotmail (dot) com [email concealed]">gonza_lol (at) hotmail (dot) com [email concealed]</a>> wrote:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Buenas madrugadas.<br><br><br>Después de haber hecho varias pruebas, he optado por ejecutar el virus con<br>
el Kaspersky (en modo paranoic), el filemon y el regmon activos, para ver si<br>así podía sacar algo en claro...<br><br>Bien, para empezar, el Kaspersky por desgracia no ha hecho nada de nada...<br>solo me ha avisado cuando uno de los archivos intentaba apoderarse del
<br>Explorer.exe, pero antes de eso ha dejado ejecutar los 3 archivos sin poner<br>impedimentos.<br><br>Llevo más de 2 horas analizando los logs del filemon y del regmon pero no<br>logro sacar ninguna conclusión. Solo veo que estos archivos son más
<br>sofisticados de lo que esperaba, ya que se dedican a recopilar información<br>de infinidad de dlls y archivos, así como de muchas claves de registro.<br><br>Lo extraño es que, hasta el intento de infección del Explorer.exe
, los<br>archivos solo se dedican a recopilar información y guardarlas en el archivo<br>C:\Windows\system32\drivers\fidbox2.dat. Es por esto quizás por lo que pase<br>desapercibido para los antivirus.<br><br>Por lo que pude observar mirando los procesos, el archivo
3.exe crea un<br>archivo.bat, que llama a net.exe y net1.exe y detienen el servicio NetShare.<br><br>Siguen recopilando información y por último infectan el Explorer.exe y<br>agregan al registro la clave:<br><br>HK_LM\Software\Microsoft\Active Setup\Installed Components\{36DB ... 605}<br><br>Con un valor que apunta a C:\windows\system32\wink2.exe<br><br>Para su autoejecución.<br><br>Me he pasado casi 2 horas revisando los logs pero no me queda claro si<br>instala algún tipo de troyano para acceder a la información del keylogger.
<br>Os envío los archivos del Filemon y Regmon por si alguno se aburre y le<br>quiere echar un ojo...<br><br>Esta noche probaré con el Prism Deploy para aclarar un poco más el asunto.<br>Os comentaré si saco algo más en claro :)
<br><br><br>PD: Me ha ayudado mucho también la aplicación Sandboxie, ya que ejecutando<br>el Crack.exe aquí, he visto que crea un .bat en Temp, que es el que ejecuta<br>los comantos net.exe y net1.exe. Lo malo es que no llegan a verse todas las
<br>operaciones que realiza en el entorno real.<br><br><br>Bueno, no me lío más.<br><br>Un saludo, y gracias a todos.<br><br>^LaLo^.<br><br><br>-----Mensaje original-----<br>De: <a href="mailto:listbounce (at) securityfocus (dot) com [email concealed]">
listbounce (at) securityfocus (dot) com [email concealed]</a> [mailto:<a href="mailto:listbounce (at) securityfocus (dot) com [email concealed]">listbounce (at) securityfocus (dot) com [email concealed]<
/a>] En<br>nombre de LaLo<br>Enviado el: martes, 16 de enero de 2007 22:26<br>Para: <a href="mailto:ANELKAOS (at) gmail (dot) com [email concealed]">
ANELKAOS (at) gmail (dot) com [email concealed]</a>; <a href="mailto:forensics-es (at) securityfocus (dot) com [email concealed]">forensics-es@securityfocus.
com</a><br>Asunto: RE: Archivos sospechosos en el sistema.<br><br>Buenas noches.<br><br>Ante todo, gracias a todos por vuestras respuestas, me han sido de mucha
<br>ayuda ya que no conocía muchas de las aplicaciones que habéis nombrado.<br><br>Respondiendo a ANELKAOS, voy a describir un poco el entorno:<br><br>El S.O. es Windows XP Pro SP2 actualizado.<br>El A/V que estaba instalado en el momento de la infección era el NOD32
v.2<br>actualizado.<br><br>También estaban instalado el SpyBot, Adware y Ewido aunque no estaban<br>residentes en memoria.<br><br>Os comento lo que he ido investigando sin haber probado las herramientas que<br>comentáis:<br>
<br>La infección se produce al ejecutar un archivo con el nombre Crack.exe, con<br>un icono muy chulo y que realmente contiene en su interior 3 ejecutables:<br>1.exe, 2.exe y 3.exe.<br><br>Al ejecutarse, descomprime los 3 archivos en C:\Windows\mui\ y los ejecuta.
<br><br>1.exe se copia a C:\Windows\system32\wink2.exe (Es un Keylogger)<br><br>2.exe aparentemente parece ser el "crack" original.<br><br>3.exe es igual que 2.exe pero este ejecuta y borra el archivo 1.exe<br><br>
<br>Investigando un poco más descubrí una entrada en<br>HK_LM\Software\Microsoft\Active Setup\Installed Components\{36DB ... 605}\<br><br>Con un valor que apunta a C:\windows\system32\wink2.exe<br><br>** OJO con esta clave ya que no hay mucha información sobre su
<br>funcionamiento y es bastante curioso...<br><br>Lo que hace al añadirse aquí un valor, es que, en el siguiente reinicio, se<br>ejecuta ese archivo y parece que se instala para autoejecutarse en cada<br>inicio, lo malo es que no aparece por ningún lado referencia alguna a este
<br>archivo...<br><br><br>Lo más triste de todo esto, es que solo 3 motores antivirus detectan el<br>archivo Crack.exe como un virus.<br><br>Si se analizan por separado los archivos 1.exe, 2.exe y 3.exe ya lo detectan<br>
algunos antivirus más, pero cada motor siempre falla en alguno de estos 2<br>archivos (aunque posiblemente no sean todos virus).<br><br><br>Y finalmente, me percaté de la infección porque se desactivo el Firewall de<br>Windows... pero vamos... el A/V tan pancho...
<br><br><br><br>Bueno, ahora voy a probar con las aplicaciones que me habéis nombrado, a ver<br>si saco algo más en claro de esto.<br><br>Gracias a todos por vuestra ayuda!<br><br><br>Un saludo, ^LaLo^.<br><br><br><br><br>
<br>-----Mensaje original-----<br>De: ANELKAOS [mailto:<a href="mailto:anelkaos (at) gmail (dot) com [email concealed]">anelkaos (at) gmail (dot) com [email concealed]</a>]<br>Enviado el: martes, 16 de enero de 2007 20:31<br>Para: LaLo<br>Asunto: Re: Archivos sospechosos en el sistema.
<br><br>Deberias explicar mas en detalle la configuración exácta del sistema<br>operativo (permisos, usuarios, navegadores, configuración exacta de<br>estos, antivirus u otras herramientas de detección instaladas,<br>versión, actualización configuración, etc)
<br><br>¿Que indicios tienes de haber sido infectado?<br>¿Sabes ya por que medio has sido infectado? (Navegador, pendrive,<br>correo, intrusión, etc...<br>¿Que directivas de auditoria tenias habilitadas?<br><br>En principio no tienes porqué infectar mas equipos; responde a todas
<br>las preguntas lo mas concisamente que puedas.<br><br>Un saludo.<br><br><br>El 16/01/07, LaLo<<a href="mailto:gonza_lol (at) hotmail (dot) com [email concealed]">gonza_lol (at) hotmail (dot) com [email concealed]</a>> escribió:<br>><br>><br>><br>> Buenos días.
<br>><br>><br>><br>> Ayer sufrí una infección en mi sistema de lo que seguramente sea algún<br>tipo<br>> de virus? digo esto ya que pasó desapercibido para el Antivirus.. y no<br>logro<br>> encontrar información a cerca de este tipo de infección.
<br>><br>><br>><br>> No me queda más remedio que, utilizando otro equipo, infectarlo de nuevo<br>> para poder ver que es lo que hace exactamente este "virus".<br>><br>><br>><br>> Es por esto que os quería consultar si sabéis de alguna aplicación que me
<br>> permita monitorizar la ejecución de la aplicación, o bien monitorizar el<br>> sistema? para así saber si crea archivos, si añade claves al registro o<br>crea<br>> algún tipo de servicio.<br>><br>><br>
><br>><br>><br>> Se aceptan sugerencias!<br>><br>><br>><br>> Por cierto, el S.O. que fue infectado fue Windows XP.<br>><br>><br>><br>><br>><br>> Gracias de antemano.<br>><br>>
<br>><br>><br>><br>><br>><br>> Un saludo, ^LaLo^.<br>><br>><br><br><br></blockquote></div><br>

[ reply ]
Re: RV: Archivos sospechosos en el sistema. Jan 18 2007 12:00PM
Raul Siles (raul siles gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus