LUK
10-08-2010, 13:08
PoisonIvy es uno de los troyanos más conocidos que existen, el otro día decidí ponerme a jugar un rato con él para ver las funcionalidades que tiene y como se esconde en el sistema. Acto seguido se explicará la forma de detectar si realmente estamos infectados por él y la manera de eliminarlo.
Una de las formas más sencillas para identificar que estamos siendo infectados por troyano es realizar un análisis de los procesos que están siendo ejecutados.
http://lh5.ggpht.com/_TsPgsSipXKA/TDWk89foTCI/AAAAAAAAABE/WGEevAF22Mo/clip_image002_thumb%5B1%5D.jpg?imgmax=800 (http://lh5.ggpht.com/_TsPgsSipXKA/TDWk8AhTwPI/AAAAAAAAABA/cAmh-RGu46o/s1600-h/clip_image002%5B4%5D.jpg)
Si analizamos cada uno de los procesos observaremos como sospechosamente existe un proceso con PID 1744 llamado IEXPLORER.EXE (Navegador) que sospechosamente no hemos ejecutado y que a simple vista no lo tenemos abierto en nuestro sistema.
Si eliminamos el proceso, automáticamente vuelve a iniciarse automáticamente. Ejecutaremos ProcessMonitor para detectar quien es el encargado de ejecutar el proceso.
http://lh4.ggpht.com/_TsPgsSipXKA/TDWk-NEaCfI/AAAAAAAAABM/YlCfdIVz08o/clip_image004_thumb%5B1%5D.jpg?imgmax=800 (http://lh4.ggpht.com/_TsPgsSipXKA/TDWk9leYa2I/AAAAAAAAABI/3dl4IshFyHA/s1600-h/clip_image004%5B4%5D.jpg)
Suponiendo que el explorer.exe no se encuentra modificado (si no perdería la firma y nos avisaría al iniciarse), solo nos queda pensar que algún proceso está inyectando código en el explorer.exe cuando se carga en memoria.
Utilizando el autoruns.exe identificamos que existe un registro en la clave “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n”con un nombre un tanto sospechoso.
http://lh4.ggpht.com/_TsPgsSipXKA/TDWk_lVw7zI/AAAAAAAAABU/es806mECp1g/clip_image006_thumb%5B2%5D.jpg?imgmax=800 (http://lh5.ggpht.com/_TsPgsSipXKA/TDWk-730GII/AAAAAAAAABQ/RHTPeXk3tvE/s1600-h/clip_image006%5B5%5D.jpg)
Si realizamos la búsqueda del mismo archivo en los runs obtenemos otra entrada en los registros de los ActiveX “HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components” que apunta al mismo fichero.
http://lh3.ggpht.com/_TsPgsSipXKA/TDWlBHDt9LI/AAAAAAAAABc/ik2MmceIgxk/clip_image008_thumb%5B2%5D.jpg?imgmax=800 (http://lh3.ggpht.com/_TsPgsSipXKA/TDWlAbT4l2I/AAAAAAAAABY/Z8pp5aJkZds/s1600-h/clip_image008%5B5%5D.jpg)
Ya podemos sospechar que realmente el que infecta el proceso explorer.exe al ejecutarse es este ActiveX. Para detectar si realmente esta sospecha es cierta, podemos ejecutar ProcessMonitor y visualizar los procesos que se ejecutan al cargar un nuevo explorer.exe.
http://lh5.ggpht.com/_TsPgsSipXKA/TDWlCT12fwI/AAAAAAAAABk/KTWbZTK2Ym0/clip_image010_thumb%5B2%5D.jpg?imgmax=800 (http://lh3.ggpht.com/_TsPgsSipXKA/TDWlBt7H9jI/AAAAAAAAABg/sb8Cc5qy_vA/s1600-h/clip_image010%5B5%5D.jpg)
Vemos como realmente es el ActiveX el encargado de inyectar código en el explorer.exe.
Si observamos la ruta que ejecuta dicho ActiveX, vemos como utiliza la técnica del ADS (http://windowstips.wordpress.com/2007/01/29/alternate-data-streams-ads-que-es-y-como-funciona/) para esconder el binario que ejecuta la infección.
http://lh4.ggpht.com/_TsPgsSipXKA/TDWlENruJZI/AAAAAAAAABs/A_jf1sFUas0/clip_image011_thumb%5B1%5D.png?imgmax=800 (http://lh4.ggpht.com/_TsPgsSipXKA/TDWlC7azkiI/AAAAAAAAABo/A9xx4ObWUHY/s1600-h/clip_image011%5B4%5D.png)
Para comprobar que realmente existe el fichero escondido en la carpeta system32 utilizamos la herramienta streams.exe.
http://lh4.ggpht.com/_TsPgsSipXKA/TDWlFzj_8DI/AAAAAAAAAB0/4fv_AT35AYU/clip_image013_thumb%5B1%5D.jpg?imgmax=800 (http://lh5.ggpht.com/_TsPgsSipXKA/TDWlFJqPCJI/AAAAAAAAABw/3tL4iwlpF_M/s1600-h/clip_image013%5B4%5D.jpg)
Si en cualquier momento del análisis se intenta eliminar cualquiera de las pruebas que se han encontrado, instantáneamente volverá a generase o iniciarse ya que el explorer.exe infectado se encarga de generarlos.
Para solucionar este problema, tenemos dos alternativas: levantar la máquina con un Live CD y eliminar los registros y ficheros detectados o realizar las operaciones con el explorer.exe cerrado. Para no tener que reiniciar la máquina optaremos por realizar la eliminación de los ficheros sin tener ejecutado el explorer.exe.
Ficheros de Inicio
Tanto el registro del Run como el del ActiveXlos podemos eliminar desde el registro o con la aplicación autoruns.exe.
http://lh6.ggpht.com/_TsPgsSipXKA/TDWlHu4qnrI/AAAAAAAAAB8/IkEjobgioD8/clip_image015_thumb%5B1%5D.jpg?imgmax=800 (http://lh5.ggpht.com/_TsPgsSipXKA/TDWlG19A01I/AAAAAAAAAB4/yMThHbevNWw/s1600-h/clip_image015%5B4%5D.jpg)
Fichero oculto mediante ADS
Del mismo modo que la aplicación streams.exe nos detecta los ficheros ocultos mediante ADS, nos permite su eliminación añadiendo el parámetro “-d”.
http://lh6.ggpht.com/_TsPgsSipXKA/TDWlJK5QUSI/AAAAAAAAACE/yupOtiT6Xvw/clip_image017_thumb%5B1%5D.jpg?imgmax=800 (http://lh3.ggpht.com/_TsPgsSipXKA/TDWlIIC5R_I/AAAAAAAAACA/B0mW14wa2xk/s1600-h/clip_image017%5B4%5D.jpg)
Una vez hayamos eliminado los dos registros y el fichero oculto de nuestro sistema habremos eliminado el troyano y conseguiremos que no se vuelva a ejecutar.
Un Saludo!!
Publicado por dromero en http://soctano.blogspot.com/2010/07/detectando-y-eliminado-poisonivy.html
Una de las formas más sencillas para identificar que estamos siendo infectados por troyano es realizar un análisis de los procesos que están siendo ejecutados.
http://lh5.ggpht.com/_TsPgsSipXKA/TDWk89foTCI/AAAAAAAAABE/WGEevAF22Mo/clip_image002_thumb%5B1%5D.jpg?imgmax=800 (http://lh5.ggpht.com/_TsPgsSipXKA/TDWk8AhTwPI/AAAAAAAAABA/cAmh-RGu46o/s1600-h/clip_image002%5B4%5D.jpg)
Si analizamos cada uno de los procesos observaremos como sospechosamente existe un proceso con PID 1744 llamado IEXPLORER.EXE (Navegador) que sospechosamente no hemos ejecutado y que a simple vista no lo tenemos abierto en nuestro sistema.
Si eliminamos el proceso, automáticamente vuelve a iniciarse automáticamente. Ejecutaremos ProcessMonitor para detectar quien es el encargado de ejecutar el proceso.
http://lh4.ggpht.com/_TsPgsSipXKA/TDWk-NEaCfI/AAAAAAAAABM/YlCfdIVz08o/clip_image004_thumb%5B1%5D.jpg?imgmax=800 (http://lh4.ggpht.com/_TsPgsSipXKA/TDWk9leYa2I/AAAAAAAAABI/3dl4IshFyHA/s1600-h/clip_image004%5B4%5D.jpg)
Suponiendo que el explorer.exe no se encuentra modificado (si no perdería la firma y nos avisaría al iniciarse), solo nos queda pensar que algún proceso está inyectando código en el explorer.exe cuando se carga en memoria.
Utilizando el autoruns.exe identificamos que existe un registro en la clave “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n”con un nombre un tanto sospechoso.
http://lh4.ggpht.com/_TsPgsSipXKA/TDWk_lVw7zI/AAAAAAAAABU/es806mECp1g/clip_image006_thumb%5B2%5D.jpg?imgmax=800 (http://lh5.ggpht.com/_TsPgsSipXKA/TDWk-730GII/AAAAAAAAABQ/RHTPeXk3tvE/s1600-h/clip_image006%5B5%5D.jpg)
Si realizamos la búsqueda del mismo archivo en los runs obtenemos otra entrada en los registros de los ActiveX “HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components” que apunta al mismo fichero.
http://lh3.ggpht.com/_TsPgsSipXKA/TDWlBHDt9LI/AAAAAAAAABc/ik2MmceIgxk/clip_image008_thumb%5B2%5D.jpg?imgmax=800 (http://lh3.ggpht.com/_TsPgsSipXKA/TDWlAbT4l2I/AAAAAAAAABY/Z8pp5aJkZds/s1600-h/clip_image008%5B5%5D.jpg)
Ya podemos sospechar que realmente el que infecta el proceso explorer.exe al ejecutarse es este ActiveX. Para detectar si realmente esta sospecha es cierta, podemos ejecutar ProcessMonitor y visualizar los procesos que se ejecutan al cargar un nuevo explorer.exe.
http://lh5.ggpht.com/_TsPgsSipXKA/TDWlCT12fwI/AAAAAAAAABk/KTWbZTK2Ym0/clip_image010_thumb%5B2%5D.jpg?imgmax=800 (http://lh3.ggpht.com/_TsPgsSipXKA/TDWlBt7H9jI/AAAAAAAAABg/sb8Cc5qy_vA/s1600-h/clip_image010%5B5%5D.jpg)
Vemos como realmente es el ActiveX el encargado de inyectar código en el explorer.exe.
Si observamos la ruta que ejecuta dicho ActiveX, vemos como utiliza la técnica del ADS (http://windowstips.wordpress.com/2007/01/29/alternate-data-streams-ads-que-es-y-como-funciona/) para esconder el binario que ejecuta la infección.
http://lh4.ggpht.com/_TsPgsSipXKA/TDWlENruJZI/AAAAAAAAABs/A_jf1sFUas0/clip_image011_thumb%5B1%5D.png?imgmax=800 (http://lh4.ggpht.com/_TsPgsSipXKA/TDWlC7azkiI/AAAAAAAAABo/A9xx4ObWUHY/s1600-h/clip_image011%5B4%5D.png)
Para comprobar que realmente existe el fichero escondido en la carpeta system32 utilizamos la herramienta streams.exe.
http://lh4.ggpht.com/_TsPgsSipXKA/TDWlFzj_8DI/AAAAAAAAAB0/4fv_AT35AYU/clip_image013_thumb%5B1%5D.jpg?imgmax=800 (http://lh5.ggpht.com/_TsPgsSipXKA/TDWlFJqPCJI/AAAAAAAAABw/3tL4iwlpF_M/s1600-h/clip_image013%5B4%5D.jpg)
Si en cualquier momento del análisis se intenta eliminar cualquiera de las pruebas que se han encontrado, instantáneamente volverá a generase o iniciarse ya que el explorer.exe infectado se encarga de generarlos.
Para solucionar este problema, tenemos dos alternativas: levantar la máquina con un Live CD y eliminar los registros y ficheros detectados o realizar las operaciones con el explorer.exe cerrado. Para no tener que reiniciar la máquina optaremos por realizar la eliminación de los ficheros sin tener ejecutado el explorer.exe.
Ficheros de Inicio
Tanto el registro del Run como el del ActiveXlos podemos eliminar desde el registro o con la aplicación autoruns.exe.
http://lh6.ggpht.com/_TsPgsSipXKA/TDWlHu4qnrI/AAAAAAAAAB8/IkEjobgioD8/clip_image015_thumb%5B1%5D.jpg?imgmax=800 (http://lh5.ggpht.com/_TsPgsSipXKA/TDWlG19A01I/AAAAAAAAAB4/yMThHbevNWw/s1600-h/clip_image015%5B4%5D.jpg)
Fichero oculto mediante ADS
Del mismo modo que la aplicación streams.exe nos detecta los ficheros ocultos mediante ADS, nos permite su eliminación añadiendo el parámetro “-d”.
http://lh6.ggpht.com/_TsPgsSipXKA/TDWlJK5QUSI/AAAAAAAAACE/yupOtiT6Xvw/clip_image017_thumb%5B1%5D.jpg?imgmax=800 (http://lh3.ggpht.com/_TsPgsSipXKA/TDWlIIC5R_I/AAAAAAAAACA/B0mW14wa2xk/s1600-h/clip_image017%5B4%5D.jpg)
Una vez hayamos eliminado los dos registros y el fichero oculto de nuestro sistema habremos eliminado el troyano y conseguiremos que no se vuelva a ejecutar.
Un Saludo!!
Publicado por dromero en http://soctano.blogspot.com/2010/07/detectando-y-eliminado-poisonivy.html