Inicio > Divagaciones, Seguridad > Diario de una infección

Diario de una infección

Fui atacado por un Hacker y este me dejo unos regalitos en forma de caballos de troya y unos RootKits, las nuevas amenazas que atentan contra nosotros los usuarios de internet que ningun antivirus detecta y que se saltan la mayoria de los Cortafuegos del mercado además de hacer otras cosillas como saturar la CPU, pantallas azules, atakes DOS, et., etc., etc. aqui os dejo mi experiencia para quien le pueda servir de ayuda.

Antes creia que estaba seguro, tenia mis datos bien clasificados, tenia instalados Antivirus, Firewall, Anti-Spyware, tenia modificado el archivo HOSTS tenia instaldo un filtro de IP’s, el Sistema operativo y aplicaciones al dia de actualizaciones, tenia precaucion al abrir ficheros de cualquier tipono usaba ni Outlook ni Internet explorer y demás cosas tan necesarias hoy en dia, y creia estar seguro.

Cierto dia me llamo la atencion que un proceso de Windows estaba consumiendo demasiados recursos de la CPU y el PC no iba “ni pa tras”, al ver la lista de procesos (pulsando Ctrl+Alt+Supr), descubrí que el causante de esto era un servicio llamado Spoolsv.exe, que es en realidad La cola de impresión, osea el que se encarga de gestionar las impresiones, pero yo no estaba imprimiendo.

Lo que hice a continuación fué terminar el servicio, pero para mi sorpresa este se volvia a reiniciar teniendo que repetir el proceso 3 veces para que este se cerrase definitivamente.

En ese momento usaba el antivirus de Computer Asociates, eTrust basado en el motor del InoculateIt que habia usado hace bastante tiempo, así que me decidi por un Scaneo del PC completo, pero este no encontró ninguna amanaza en el Sistema.

Acto seguido me decidi a realizar algun scaneo con algun que otro Antivirus Online, tras una busqueda en Google, me decidi a provar suerte con, Trend Micro que habia usado anteriormente, repetí la operación con Bitdefender, Panda, HouseCall y Symantec,
aunque me faltarón unos cuantos mas (RAV, Kaspersky, CA eTrust, McAffe, F-Secure, y algunos mas que no listaré)

Al mismo tiempo encontré que en mi Ordenador habian archivos que no habia puesto yo alli, los archivos se encontraban en Documentos compartidos y se trataba de 4 archivos: Setup.exe, ac.exe, Sp00lsv.exe, Setup.ini, hummm Sp00lsv.exe eso me suena, lo analice tambien con los antivirus encontrados y efectivamente se trataba de un Virus Troyano o Caballo de Troya.

Además de este se encontrarón otros 3 Virus en el Sistema, se trataba del virus W32.Gaobot (Un troyano que se está difundiendo mucho por ahi), un Trojan dropper (un paquete con varios troyanos incluidos) y un KeyLogger (Un tipo de programa que se encarga de registrar y guardar lo que se teclea en el ordenador), en resumen puertas traseras para los Hackers y demas ineseables.

Puesto que yo tenia la certeza de no haber ejecutado ningun archivo raro, ni instalado nada raro recientemente, me venian a la mente una serie de preguntas, ¿como se habia instalado estos Virus en mi PC?, ¿Como habian aparecido esos archivos en Documentos Compartidos?, ¿por que no los habian detectado ni el Antivirus ni el Anti-Spyware ni nadie?

Visto esto me decidi por probar a usar otros Antivirus instalandolos en sistema, primero use el Nod32 del cual habia leido maravillas en Internet, lo instalé, actualice y ejecuté, este me eliminó otro Virus Troyano del Sistema no detectado anteriormente se trataba de otro KeyLogger.

Despues de reiniciar, el problema del Spoolsv.exe seguia ahi, cada vez que iniciaba el proceso, este se ponia a consumir todos los recursos disponibles, así que me decidi por otro antivirus, el F-Prot aunque este no detecto nada, por lo que me decidi por un tercer antivirus, el Norton, el cual aun encontro otra variante del Gaobot y otro KeyLogger mas, aquí unas paginas con problemas similares que encontro mi amigo, www.configuraequipos.com, www.neuber.com.
Eliminacion, reinicio y decepción al darme cuenta que el problema aún persistia ….

A este punto tenia la certeza de que habia sufrido un ataque por parte de un Hacker, el cual me dejo unos regalitos, en forma de Troyanos y algo mas que no podia detectar ni saber como eliminar.

Al comentar el problema en cuestión un amigo me comento que cierto programas pueden usan servicios que en realidad son drivers y que al cargarse al inicio de sisteama y actuan como drivers no se ven en la lista de procesos y que la unica manera de verlos era a traves del administrador de dispositivos, mostrando los dispositivos ocultos, entre estos programas que usan esto estan aquellos que usan unidades virtualies así como bastantes servicios de Sistema, y bastantes más por lo que buscarlos manualmente es una tarea costosa y su deteccion es casi imposible, pues saber quien es quien a este nivel es bastante complicado.

Mas preguntas venian a mi mente ¿Un virus actuando como un driver? ¿para que?, sencilla explicación, un driver se incia con el sistema y no es visible por medios estandar ya que no se trata de un servicio y por lo tanto esto resulta muy util si no quieres que nadie te vea.

Puesto que sabia el nombre del sevicio que estaba provocando el problema y sabia que este no estaba infectado por ningun virus, cai en la cuenta de que quiza este habia sido “secuestrado” Hijack por algun tipo de virus, como sabia que sucedia con el Internet Explorer, decidi deshabilitar el servicio mientras investigaba por ahi.

Puestos a esto me decidi a intentar identificar estos “Drivers Ocultos” manualmente, seleccionando cada uno y viendo las propiedades del mismo, así como del archivo del que dependen, en su mayoria archivos .sys, al buscar me encontre con que no sabia para que servian la mayoria de estos.

Al mismo tiempo mi amigo me envio un nuevo mensaje con una pagina de los de MS que hablaba sobre un nuevo tipo de amenaza “oculta”:
http://www.hispamp3.com/noticias/noticia.php?noticia=20050313112807
http://research.microsoft.com/research/pubs/view.aspx?type=Technical%20Report&id=775

Esto empezava a ponerse interesante, osea a todas las definiciones de “Software Maligno” o MalWare, habia que sumarle nuevas definiciones, SpyWare, AdWare, SpyBots, KeyLoggers, Browser Hijackers, MalWare, RootKits, GhostWare, VaporWare, Virus, Troyanos, etc. etc, y encima la unica solucion para estos era una reinstalacion del Sistema Operativo con Formateo de por medio.

Sin querer aceptar la derrota facilmente me decidi a investigar mas sobre el tema encontrando muchas paginas de interes referentes al tema, las cuales no voy a comentar y te las escribo aquí para que tu mismo las visites y leas.

http://support.microsoft.com/?id=894278
http://www.windowsecurity.com/articles/Hidden_Backdoors_Trojan_Horses_and_Rootkit_Tools_in_a_Windows_Environment.html
http://www.winhackingexposed.com/tools.html
http://hackers.webcindario.com/introhack.php
http://www.mvps.org/winhelp2002/unwanted.htm

Y como no tambien busque en el “Otro lado de la Lucha” como ellos lo definen.
http://blogs.msdn.com/robert_hensing/archive/2005/03/10/392092.aspx#FeedBack
http://forum.zone-h.org/
Codigo fuente en C de un RootKit
http://hxdef.czweb.org/
http://hackmsn.net/

Entonces me decidi a usar y probar cuantos programas pude encontrar, aquí pongo los que mas interesantes me parecieron:
DiamondCS Software
GFI LANGuard
Antiy Ghostbusters
MS Strider Ghostbuster
UnHackMe
RootKitRevealer
RootKit Hunter
AVG Free Antivirus
HijackThis
HijackThis Log Analizer
HijackThis Log analizer
HijackThis Log analizer
Spyboot S&D
Free Utilities
More Free utilities

Y como no paginas de Online Analisys/Tests sobre Virus y Seguridad aparte de las listadas arriba.
Anonymizer privacy Test
TrendMicro Damage Cleanup Engine / Template (AntiVirus Free, descargable)
Direcciones para añadir al HOSTS
Direcciones para añadir al HOSTS
Direcciones para añadir al HOSTS
Direcciones para añadir al HOSTS
Direcciones para añadir al HOSTS

Y ya que estoy aquí unos enlaces de ayuda y definiciones que encontré:
Listado de alertas
Definicion de MalWare
Wikipedia Malware
Enciclopedia de GhostWare
AskStrider: What Has Changed on My Machine Lately?
Rootkits: Invasion of the Windows Snatchers
Computercops
http://www.shellsec.net/
http://rocktagon.tripod.com/security.htm

Busquedas realizadas en Google:
Anti Ghostware
GhostWare
RootKits
HOSTS

Ya que el programa de MS StriderGhostBuster aun no está listo y habiendo leido todo esto y despues de mas de 36 horas de infeccion, y de mi mujer diciendome que reinstalara de una vez el WinXP, me decidi por lo unico que se podia hacer al respecto Reinstalar totalmente el S.O, formateandolo primero.

Por lo menos sabia algo mas sobre el tema y habia llegado a unas conclusiones que aquí os cuento:

¿Que son los rootkits? Herramientas usadas por hackers y usuarios malintencionados para poder acceder y controlar un PC remoto, siendo estas indetectables por los Antivirus convencionales, ya que en su mayoria no infectan archivos, los secuestran para sus propios propositos, pudiendo usar infinidad de variantes, lo que los hace practicamente indestructibles.

¿Para que sirven?, Su uso es muy variado, aunque la mayoria lo hacen para acceder a equipos remotos y controlarlos, para hacer lo que ellos quieran con nuestro equipo, ya sea descargarse cosas que tengamos en nuestro PC como programas musica, contraseñas, fotos, videos, en definitiva para vulnerar la intimidad de los usuarios.

¿que hacen?, lo normal es que intenter conestarse a internet y así dar acceso a los individuos que sepan acceder por el agujero de seguridad creado, ya que una vez habierto la conexión todos los que usan estos modos podrian entrar en nuestro PC facilmente. Aparte de esto y del RootKit que tengamos instalado y demás cosillas, puede desde apagarnos el PC hasta saturar la el 100% de la CPU, crearnos herrores graves, y un sinfin de cosas mas.

¿Que sistemas operativos pueden ser infectados? Cualquiera ya que esto empezo en Linux y se ha pasado a Windows, aunque no he encontrado ninguna noticia al respecto supongo que tambien podrán afecar a otros Sistemas Operativos.

¿Como los puedo detectar? A pesar de que la mayoria de estos son indetectables, existen herramientas para su deteccion para intentar detectarlos pero, como este mundo corre tanto, tambien hay RootKits que hacen hijack a estas herramientas por lo que es casi imposible saber a ciencia cierta si nuestro SO esta libre de estas infecciones, por norma general los Firewall evitan que estos se conecten a internet pero ya te digo, normalmente, el problema es que no infectan y por lo tanto pueden usar cada vez un servicio/aplicación para sus propositos.

¿Se pueden eliminar, y limpiar todo su rastro del Sistema operativo?, algunas de estas herramientas dicen que si pueden, pero a mayor parte de la gente acaba teniendo que reinstalar su SO desde 0 otra vez, entre los que me encuentro yo, ya que ninguna de esas utilidades me fueron de utilidad, excepto para eliminar un par de cosillas sin mera importancia.

¿Que motivaciones tienen los creadores de este tipo de herramientas y los que las usan?, aunque sea bastante dificil de saber las motivaciones de cada uno, supongo que habrán diversas razones por las que alguien pueda querer acceder a un PC remotamente, aunque leido todo lo leido la gran mayoria no son mas que “principiantes” que se leen un turorial sobre hacking en internet y usan esas herramientas reproduciendo lo que esos turoriales dicen, luego están los que crean estas herramientas y los verdaderos hackers que buscan el modo de atacar usando metodos propios aunque para la mayoria de estos sus motivaciones son meramente economicas, lo que hace pensar en quien será el que paga a estos señores y con que propositos lo hace.

¿Como puedo evitar esto?, la pregunta del millon, lo unico que te puedo aconsejar a mi saber es lo que sigue a continuación …

Algunas recomendaciones a tener en cuenta para cuando reinstalas desde 0 tu Sistema Operativo y para evitar accesos/infecciones/secuestros y demás mierda son estas que siguen:

Instala Windows XP SP2 sobre una particion NTFS no uses Fat.

Cuando termines de Instalar el sistema Operativo, conectate a internet y usa Windows update para actualizar totalmente tu Sistema Operativo.

Windows XP SP2
Herramienta de eliminación de software malintencionado de Windows, marzo 2005 (KB890830)
Actualización para Windows XP (KB887742)
Actualización de seguridad para Windows XP (KB885250)
Actualización de seguridad para Windows XP (KB873333)
Actualización de seguridad para Windows XP (KB888113)
Actualización de seguridad acumulativa para Internet Explorer para Windows XP (KB867282)
Actualización de seguridad para Windows XP (KB891781)
Actualización de seguridad para Windows Messenger (KB887472)
Actualización de seguridad para Windows XP (KB890047)
Actualización de seguridad para Windows XP (KB888302)
Actualización de seguridad para Windows XP (KB885835)
Actualización de seguridad para Windows XP (KB890175)
Actualización de seguridad para Windows XP (KB885836)
Actualización crítica para Windows XP (KB886185)
Actualización de seguridad para Windows XP (KB873339)

Tener instalado un Firewall
ZoneAlarm, Sygate, y similares.
Tener Instalado un Antivirus
Norton, Nod32, Sophos, y similares un consejo cuanto menos conocido menos lo podran machakar aunque debes asegurarte que realicen actualizaciones periodicamente.
Tener instalado un Antispyware
MS AntiSpyware, SpySweeper, Ad-Aware y similares
Tener instalado un Monitor de procesos
ProcessGuard, y similares
Usar un Router, y configurarlo bien, bloqueando todos los puertos posibles.
Instalar un archivo HOSTS y tenerlo actualizado y ponerle las propiedades de Oculto y de Sistema, o usar un programa para esto.
Hoster, Hostess y similares
Opcionalmente recomiendo un programa de encriptacion para proteger archivos y carpetas que no queramos que de ningun modo nadie pueda ver.
Como CryptoSuit y similares
Tener a mano todas las herramientas de seguridad utiles que vallas encontrando por ahi como las que listo a continuación:
TDS-3, HijackThis, f-port, RootKitRevealer, KprocCheck, patchfinder, RKDetedt, Rootkit detektor, y similares

Y esperar a que termine un documento sobre seguridad que estaba preparando y ahora tendre que ampliar ya que lo estaba haciendo antes del atake.

Espero que esto pueda ser util a alguien de algun modo.

Si de todos modos os queda alguna duda o lo que sea no dudeis en enviarme un e-mail y os intentare ayudar.

Categorías:Divagaciones, Seguridad
  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: