Yago Fernandez Hansen
Valoración de los usuarios: / 3
PobreEl mejor 
Addthis

analisis de virus

Ayer me conecté a uno de mis clientes que se quejaba de tener un virus en su equipo, debido a los típicos síntomas como una reducción de velocidad, cuelgues habituales, y finalmente una pantalla de advertencia del antivirus que detecta un intento de acceder a una Web para descargar un archivo que aparentemente es malicioso. Tomo nota del error del antivirus y me pongo manos a la obra para intentar solucionar el problema sin tener que llegar a la típica solución de reinstalar el sistema operativo, que aunque buena, conlleva muchas horas de trabajo y otros problemas añadidos.

Ya me ocurrió una vez, que tras efectuar este tedioso trabajo con mucha minuciosidad y dejar un equipo recién instalado y limpio, al día siguiente el cliente volvió con el mismo virus o troyano reclamándome el dinero, y es que tras entregarle el equipo volvió a realizar las mismas operaciones que le llevaron a infectarse con el virus inicial.

Volviendo al tema que nos atañe, que es el malware encontrado, acudo al registro del antivirus (NOD32) que muestra entre otras cosas, lo siguiente:

Hora   Módulo            Objeto Nombre           Virus    Acción Usuario            Información

14/10/2009 13:18:22 IMON Archivo            http://barcelonacitytransfers.com/templates/images/bg01-left.png Modificado Win32/Spy.Zbot.UT Troyano Puesto en cuarentena - Conexión terminada          HPEPC\Nitish

13/10/2009 10:18:11 AMON           Archivo            C:\System Volume Information\_restore{4B4E8672-B94D-4529-AC63-64D0BE4C3E6B}\RP1296\A0107160.exe Win32/Spy.Zbot.JF Troyano NT AUTHORITY\SYSTEM

13/10/2009 9:01:04   AMON           Archivo           C:\WINDOWS\system32\sdra64.exe Win32/Spy.Zbot.UN Troyano NT AUTHORITY\SYSTEM

El primer registro del log muestra un intento de acceder a un elemento guardado en el sitio barcelonacitytransfers.com que aunque tiene la extensión de imagen PNG, el antivirus lo ha detectado como código malicioso tipo troyano (Modificado Win32/Spy.Zbot.UT Troyano). Por la forma de actuar esto tiene toda la apariencia de haber sido infectado por un downloader que está intentando bajarse de la página barcelonacitytransfers.com el troyano para inocularlo en el equipo de mi cliente. O quizás incluso está infectado por un troyano que está descargando más elementos maliciosos. El siguiente paso es enviarlo a virustotal.com para que lo analicen todos los antivirus y que nos den una visión más fiable en conjunto, y si de paso es un troyano que lo archiven en su base de datos.

Para descargarme el supuesto archivo de imagen, utilizo la fantástica herramienta wgetwin que no es más que un wget que mediante el protocolo HTTP obtiene un archivo remoto hacia nuestro equipo:

Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrador.CONTEMPORANEO>cd \temp

C:\Temp>wget.exe http://barcelonacitytransfers.com/templates/images/bg01-left.png

--14:00:23--  http://barcelonacitytransfers.com:80/templates/images/bg01-left.png => `bg01-left.png.1'
Connecting to barcelonacitytransfers.com:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 82,944 [image/png]

0K -> .......... .......... .......... .......... .......... [ 61%]
50K -> .......... .......... .......... .                     [100%]

14:00:27 (81.00 KB/s) - `bg01-left.png.1' saved [82944/82944]

Ahora es el momento de analizar a fondo el archivo bajado. ¡Socorro! Tengo problemas para conectarme a Virustotal.com y a viruslist.com. Llevo dos horas tratando de conectarme y me resuelve la DNS pero se queda en estado de esperando eternamente. ¿Qué me está pasando? ¿Será un problema generalizado? Llamo a mis colegas de Madrid y ellos si que pueden conectarse... algún nodo de Telefónica con problemas o quizás que yo mismo tengo un troyano (no sé si es paranoia, pero ya lo estudiaré). Pero como no hay mal que por bien no venga, descubro otro servicio similar a virustotal llamado novirusthanks.org que me ha gustado mucho y que ofrece servicios de escaneo múltiple de archivos locales y remotos. Este es el resultado del escaneo:

File Info Report generated: 15.10.2009 at 17.43.28 (GMT 1)
Filename: bg01-left.png
File size: 82944                  MD5 Hash: ff206bf997f873e4f9c50d8790d9d27e                   SHA1 Hash: 074AC1492174657EEF967332391012A472250517
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 10 Detections
a-squared - Trojan.Win32.Regrun!IK
Avira AntiVir - TR/Crypt.ZPACK.Gen
Avast - Win32:Malware-gen
AVG - -
BitDefender - Trojan.Crypt.IU
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - -
Ikarus T3 - Trojan.Win32.Regrun
Kaspersky - Trojan-Spy.Win32.Zbot.acbp
McAfee - -
NOD32 v3 - Win32/Spy.Zbot.UT
Norman - -
Panda - -
QuickHeal - Trojan.Agent.ATV
Solo Antivirus - -
Sophos - Mal/EncPk-KI
TrendMicro - -
VBA32 - Trojan-Spy.Win32.Zbot.gen
VirusBuster - -
ZonerAntivirus - -
Scan report generated by NoVirusThanks.org

Como podeis ver en el reporte, muchos antivirus entre los que está McAfee no lo detectan como malware, por lo que está claro que es banstante nuevo y se le pasa a algunos antivirus. Probablemente hasta hace poco tiempo era indetectable. El siguiente paso es avisar a los administradores de esta página que es aparentemente una página legítima de que han sido hackeados y alojan malware, para lo que uso whois a fin de averiguar quiénes son. Tras esto debemos intentar detectar el downloader que está continuamente llamando a ésta y a otras páginas web para descargarse el troyano. Comienzo a escanear el registro de Windows en busca de archivos que se ejecutan durante el inicio del sistema y detecto un "service.exe" en el directory system32. Su nombre se parece al archivo original de Windows "services.exe" para tratar de confundirnos. El antivirus no lo detecta como malicioso; de nuevo ocurre lo mismo. Lo mando a analizar y se detecta como troyan.downloader (Malware-Dropper.Win32.Inject.gen), lo que confirma mis sospechas. Lo elimino facilmente y compruebo que de verdad está eliminado tras el reinicio. ¡Problema solucionado!

Comentarios (3)
  • Seifreed  - Consejo
    avatar
    Hay una herramienta muy buena que se llama combofix, esta herramienta detecta este tipod e virus.
    http://www.combofix.org/download.php
    Además hay dos tipos de herramienta en Live CD que pueden ayudarte

    Panda

    http://research.pandasecurity.com/archive/Panda-SafeCD-3.4.3.5-Release d.aspx

    Dr.Web Live CD

    http://www.freedrweb.com/livecd

    Saludos.
  • juanfra  - Re: Consejo
    avatar
    Si te fijas en el analisis de los antivirus. Panda y Dr.Web no lo detectan ni siquiera. El combofix dicen que está bien pero no lo he probado personalmente.
  • Seifreed
    avatar
    Yo la verdad es que no me fío mucho de los escáneres vía web..
    Por cierto, me ha pasado veces que la versión local instalada de Panda no me ha detectado el virus pero desde CD si.
¡Sólo los usuarios registrados pueden escribir comentarios!

Acerca del autor Yago Fernandez Hansen


Yago Fernández Hansen cuenta con master en ingeniería de software, además de contar con mas de 8 años de experiencia en tecnologías inalámbricas. Es especialista en la implementación y auditoria de redes Wi-Fi. Cuenta con amplia experiencias en motores de datos, sistemas Microsoft, Linux y Networking. Es formador y consultor en seguridad informática y métodos de penetración en redes Wi-Fi para empresas e instituciones. Finalista en el concurso IBM Leonardo DaVinci 1995, cuenta con publicaciones y artículos de informática, además de ser colaborador directo y revisor de publicaciones técnicas de la editorial Rama. Ha impartido diferentes talleres y seminarios de hacking ético y seguridad en Wi-Fi para empresas, organizaciones públicas y universidades.


Más información en: Linkedin

Conocer mas sobre Yago Fernandez Hansen

Relacionadas Noticias similares