Los antivirus ¿nos protegen?
Páginas: 5 (1001 palabras)
Publicado: 26 de febrero de 2012
Los Antivirus, ¿Nos protegen?.
Este documento ha sido creado con un objetivo didáctico para no solo mostrar las vulnerabilidades de 39 de los mejores antivirus del mercado, si no también para enseñar de una forma clara y entendible como encontrar y eliminar algunos tipos de malwares de nuestro sistema.
Hace un tiempo un compañero de trabajo, vino alarmado junto a su PC, ya que este derepente empezaba a tener una conexión demasiado lenta a lo acostumbrado, siempre que intentaba conectarse a Internet.
Al arrancar el equipo hice lo típico que suele hacer cualquier informático cuando no sabe por donde le vienen los tiros, (Abrir el administrador de tareas), vi al momento que el sistema consumía un 90% de la memoria disponible. Ya de principio olía mal la cosa, así que me dirigí ala pestaña de procesos en busca de algo ilógico.
Me llamó la atención el encontrarme con un lsass.exe perteneciente a un usuario corriendo en memoria, ya que el original se carga con privilegio de sistema.
Raudo abrí la consola, he hice un netstat –b y lograr ver los procesos y conexiones. Para mi asombro había un montón de incesantes intentos de conexión desde dicho proceso a un mismo rangode IP, únicamente se sumaba 1 al último dígito, ya todos sabemos porque le va mal internet a mi compañero ¿cierto?.
Abrí mi querido LordPE para buscar el PID, como se muestra en la imagen anterior con números decimales 1836, deberemos de sacar una calculadora científica para facilitar el proceso de conversión en hexadecimal, de esta manera lo encontraremos de forma ágil a no ser que estuvieseinyectado en otro proceso.
El resultado es: 1836 = 72C
Una vez convertido el dígito, nos dirigimos al PID “72C” desde LordPe y nos encontramos con que la ruta del falso lsass.exe es otra totalmente distinta a la original, ya que el de Microsoft se aloja de forma predeterminada en la carpeta “C:/Windows/System32” y este misteriosamente lo hace en “C:/Windows/Security”.
Al pinchar con elbotón derecho y hacer un Dump Full, se copiará el archivo que corre en memoria, para así tenerlo más a mano. Una vez dumpeado se guarda en el escritorio y se enviará a un Scanner Online con 39 Antivirus, veamos el resultado del Scanner.
Algo no encaja... es seguro que este archivo está infectado y ¿los antivirus no nos alarman? ¡Pues nada! A seguir con la investigación.
¡Preguntemos a Google quelo sabe todo! Menos salir de la crisis claro... Al introducir la ruta “C:/Windows/Security/lsass.exe” encontré mucha información sobre varios foros que afirmaban sobre un muy posible malware escondido en esa carpeta, aunque posiblemente mutaciones, encriptaciones o diferente tipo de archivo malicioso, podría ser el culpable de tanta noticia.
Aprovechando que LordPE seguía abierto, me dispuse adumpear los dos archivos lsass, el de la carpeta original y el sospechoso, claramente como se vé en la imagen tenían notables diferencias en versiones, peso y código.
¿Como se ejecutará este malware? Si lo hace de forma automatizada sin intervención del usuario... pues me voy a ejecutar un msconfig a ver que pasa.
En la pestaña de inicio nos encontramos con lo siguiente:
Ahora ya si medecidí a entrar en la misteriosa carpeta para identificar de manera visual a mi contrincante xD!!
Observando el archivo vemos que está de forma oculta de solo lectura y pesa 3,05MB.
¡Algo rápido! presiono “Contrl + Alt + Supr”, saco el administrador de tareas y ¡me lo cargo! ¿pero? me salta para mi información que es un proceso critico! ¿¿Wtf??
El tipo que se codeó este bichejo, semata a proteger su malware y deja las cosas más simples a la vista, reinicio, F8 y veamos que pasa en modo seguro.
Una vez dentro del sistema saco de nuevo el LordPE para contemplar que proceso lsass.exe es el que se está ejecutando.
Viendo que el ejecutable que corre es el original y el malware permanece dormido, vuelvo a las claves de registro y a eliminar el archivo de la carpeta...
Este documento ha sido creado con un objetivo didáctico para no solo mostrar las vulnerabilidades de 39 de los mejores antivirus del mercado, si no también para enseñar de una forma clara y entendible como encontrar y eliminar algunos tipos de malwares de nuestro sistema.
Hace un tiempo un compañero de trabajo, vino alarmado junto a su PC, ya que este derepente empezaba a tener una conexión demasiado lenta a lo acostumbrado, siempre que intentaba conectarse a Internet.
Al arrancar el equipo hice lo típico que suele hacer cualquier informático cuando no sabe por donde le vienen los tiros, (Abrir el administrador de tareas), vi al momento que el sistema consumía un 90% de la memoria disponible. Ya de principio olía mal la cosa, así que me dirigí ala pestaña de procesos en busca de algo ilógico.
Me llamó la atención el encontrarme con un lsass.exe perteneciente a un usuario corriendo en memoria, ya que el original se carga con privilegio de sistema.
Raudo abrí la consola, he hice un netstat –b y lograr ver los procesos y conexiones. Para mi asombro había un montón de incesantes intentos de conexión desde dicho proceso a un mismo rangode IP, únicamente se sumaba 1 al último dígito, ya todos sabemos porque le va mal internet a mi compañero ¿cierto?.
Abrí mi querido LordPE para buscar el PID, como se muestra en la imagen anterior con números decimales 1836, deberemos de sacar una calculadora científica para facilitar el proceso de conversión en hexadecimal, de esta manera lo encontraremos de forma ágil a no ser que estuvieseinyectado en otro proceso.
El resultado es: 1836 = 72C
Una vez convertido el dígito, nos dirigimos al PID “72C” desde LordPe y nos encontramos con que la ruta del falso lsass.exe es otra totalmente distinta a la original, ya que el de Microsoft se aloja de forma predeterminada en la carpeta “C:/Windows/System32” y este misteriosamente lo hace en “C:/Windows/Security”.
Al pinchar con elbotón derecho y hacer un Dump Full, se copiará el archivo que corre en memoria, para así tenerlo más a mano. Una vez dumpeado se guarda en el escritorio y se enviará a un Scanner Online con 39 Antivirus, veamos el resultado del Scanner.
Algo no encaja... es seguro que este archivo está infectado y ¿los antivirus no nos alarman? ¡Pues nada! A seguir con la investigación.
¡Preguntemos a Google quelo sabe todo! Menos salir de la crisis claro... Al introducir la ruta “C:/Windows/Security/lsass.exe” encontré mucha información sobre varios foros que afirmaban sobre un muy posible malware escondido en esa carpeta, aunque posiblemente mutaciones, encriptaciones o diferente tipo de archivo malicioso, podría ser el culpable de tanta noticia.
Aprovechando que LordPE seguía abierto, me dispuse adumpear los dos archivos lsass, el de la carpeta original y el sospechoso, claramente como se vé en la imagen tenían notables diferencias en versiones, peso y código.
¿Como se ejecutará este malware? Si lo hace de forma automatizada sin intervención del usuario... pues me voy a ejecutar un msconfig a ver que pasa.
En la pestaña de inicio nos encontramos con lo siguiente:
Ahora ya si medecidí a entrar en la misteriosa carpeta para identificar de manera visual a mi contrincante xD!!
Observando el archivo vemos que está de forma oculta de solo lectura y pesa 3,05MB.
¡Algo rápido! presiono “Contrl + Alt + Supr”, saco el administrador de tareas y ¡me lo cargo! ¿pero? me salta para mi información que es un proceso critico! ¿¿Wtf??
El tipo que se codeó este bichejo, semata a proteger su malware y deja las cosas más simples a la vista, reinicio, F8 y veamos que pasa en modo seguro.
Una vez dentro del sistema saco de nuevo el LordPE para contemplar que proceso lsass.exe es el que se está ejecutando.
Viendo que el ejecutable que corre es el original y el malware permanece dormido, vuelvo a las claves de registro y a eliminar el archivo de la carpeta...
Leer documento completo
Regístrate para leer el documento completo.