lunes, 2 de enero de 2012

Localizando y limpiando bichos

¡Feliz año nuevo!

Ha llegado un nuevo año. Momento en el que uno se plantea unos propósitos, que unas veces se cumplen, y otras no. Por ejemplo, estudiar más. Profesionalmente es importante mantenerse al día. Prácticamente no hay trabajo en el que no se tenga que estudiar hasta que uno se jubile.

Una de las formas en las que se aprende mucho es cuando se tiene que desinfectar un equipo. A lo largo de estas navidades se coló un bichito en un equipo de un familiar. Una faena enorme. Aquí hay una explicación de qué es lo que sucedió y lo que fui haciendo. La pena es que en un momento determinado, posiblemente los pasos más importantes, no hice pantallazos. Por lo tanto, los aquí presentes son ejemplos y los estoy haciendo ahora.

Los primeros síntomas que me contaron fueron que saltó el Avira y de repente, se cerró el navegador. No era una página rara, sino una muyyy conocida con rutas y recetas. (Habría que ver si es que está infectada o es que justo en ese instante se activó).

Lo primero que se hizo fue pasar el antivirus. Encontró muuuuchas cosas. Siempre encontraba. Incluso reiniciando. En cuanto me puse yo personalmente con el equipo, cogí un CD de arranque de mi Avira. Lo configuré:

Configurando Avira para conexión de a Internet

Una vez tenemos configurado el entorno para que se conecte a Internet, podremos actualizar la BB.DD de firmas. Es muy importante si hace tiempo que hicimos el CD.

Avira actualizado

Una vez tuvimos el Avira actualizado, lo pasamos con la siguientes configuración:

Configurando el scan del Avira

Así, localizó más ficheros infectados. Evidente, encontraba los renombrados y, además, alguno que otro que no se acababa de eliminar desde el sistema arrancado. 

Aún así, tuve que hacer más cosas. Entre otras, utilicé el CD de arranque que monté con los SysInternals montado de una forma similar a como lo hice con este otro. Lo bueno de este CD es que se puede acceder a las herramientas desde el explorador. Por lo tanto, con el sistema operativo infectado ya arrancado, se pueden lanzar.

Por ejemplo, lancé el Process Monitor... unos segundos. Me pareció que en ese instante podía ser demasiado complicado localizar algo. Uno que sí que me ayudó muchísimo fue el Process Explorer. Me ayudó bastante. Encontré tres o cuatro cosas que no me gustaban nada de nada. Primero, me aparecían dos procesos al mismo nivel que explorer.exe con nombres númericos y el background en morado. Un "hijo" de explorer.exe también tenía ese color morado y otro (muy llamativo también) le aparecían en el nombre del fabricante un montón de interrogantes (?????). Esto sería un ejemplo del colorín morado:

Ejemplo de con el color morado

Sin embargo, no sabría decir dónde, el hecho de que esté morado no significa que sea malo. Yo se qué es lo que aparece en esta imagen, por poner un ejemplo. El problema está cuando matas un proceso de esas características y, de repente, vuelve a salir. Como si de un proceso respawn en un sistema Unix se tratase. Y si los procesos sospechosos hacen eso... Ahí ya hay algo que no cuadra. Una cosa que sí que hice fue hacer un dump de esos procesos. No se cómo se me ocurrió hacer eso sin darle importancia pero no pensé que fuera mejor documentar el resto de las tareas. 

A mi me daba la sensación de que ese proceso raro (que, además, era sospechoso por el nombre de la compañía, si no, hubiera pasado desapercibido) era el responsable de todo. MarkAny se llamaba. Más o menos a partir de ahí, se me ocurrió utilizar otra herramienta incluida en la paquetería. Autoruns

Esta herramienta te permite controlar qué se tiene que cargar desde que se inicia el sistema hasta que haces login. Este sería un ejemplo de una de las pestañas que tiene el programa. Lo que hice fue ir una a una, localizar el MarkAny, y quitar el tick al checkbox. Evidentemente el regedit no me mostraba gran información que me sirviese. Por eso Autoruns es más útil para estos casos. Y, todo sea dicho, todo se ve mejor. 

Con esto ya desactivado, pudimos eliminar los ejecutables del sistemas. 

A partir de ahí ya estaba el bichito neutralizado (en teoría). Pero nos encontramos con un problema. Los navegadores no salían a Internet. ¿Qué más podía estar fallando si los al hacer ping teníamos respuesta? Mirar la configuración de conectividad. ¡Nos la habían cambiado! Habían hecho que el equipo tuviese un proxy y saliese por ahí. Por eso, me encontré con una configuración parecida a esta en cada uno de los navegadores instalados:

Configuración del proxy

Fue cuestión de quitar esa configuración para que se pudiese volver a navegar. 

Con todo esto teníamos el sistema funcionando otra vez con, en teoría, normalidad. ¿Qué otros estragos nos habrían hecho? ¿Habrían colado algún rootkit que RootkitRevealer no me hubiera encontrado cuando lo pasé? Ante la duda, sólo quedaba hacer una cosa: reinstalar. 

¿Qué puedo contar de esta experiencia? Bueno. Me hubiera gustado tener a mano otra herramienta que llama IceSword. Es parecida al RootkitRevealer y ProcessExplorer. O haber lanzado el netstat y el fport un

netstat -na

pero a nivel de kernel (dicho rápido y pronto) que permite saber si el netstat miente o no. (Herramienta nombrada en el libro Análisis Forense Digital en Entornos Windowsde Juan Garrido aka Shilverhack). 

También me hubiera gustado haberle pasado el Nmap, el Nessus y similares. Pero, como ya me había cargado la ejecución, poco más podía hacer. 

Si alguno de vosotros quiere comentar algo sobre lo que hice, o le gustaría indicar alguna que otra herramienta más que podría haber usado, que no dude en decirlo. 

No hay comentarios:

Publicar un comentario en la entrada