El malware exhibicionista
Al poco tiempo, obtuve otra alerta:
El troyano intentaba ejecutar Internet Explorer. Comodo había rebajado su nivel de alerta (aparece en amarillo en lugar de en rojo como la captura anterior) porque reconoce el ejecutable como una aplicación segura. ¿Cómo es posible? Al analizar el ejecutable un poco más en profundidad, observé que el nombre original de la aplicación es calc.exe (la calculadora de Windows).
¿Qué modificaciones habrá realizado en el sistema? Antes de proseguir con el análisis, reinicio el sistema para ver si observo algo extraño durante el próximo rearranque. En este aspecto el troyano no ha sido muy cuidadoso y, al reiniciar el equipo, observo el mensaje "Estableciendo una configuración personalizada para C:\.....\xxxx.exe". Aparece durante unos pocos segundos, pero suficientes para saber que está pasando algo raro.
Voy a ver si encuentro el nombre del ejecutable en el registro con una simple búsqueda. Encuentro mi objetivo:
Como quiero estar seguro de todas las modificaciones, utilizo Spybot y Malwarebytes, que arrojan el siguiente resultado:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Versión de la Base de Datos: 5363
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
Tipos de Análisis: Análisis Completo (C:\|)
Objetos examinados: 471618
Tiempo transcurrido: 22 minuto(s), 6 segundo(s)
Procesos en Memoria Infectados: 0
Módulos de Memoria Infectados: 0
Claves del Registro Infectadas: 3
Valores del Registro Infectados: 4
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Archivos Infectados: 1
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos de Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\CLSID\{7H8078OW-8023-TR65-578F-P05VN00U2I3R} (Trojan.Agent.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7H8078OW-8023-TR65-578F-P05VN00U2I3R} (Trojan.Agent.Gen) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{7H8078OW-8023-TR65-578F-P05VN00U2I3R} (Trojan.Agent.Gen) -> No action taken.
Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM (Trojan.Agent.Gen) -> Value: HKLM -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Agent.Gen) -> Value: Policies -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.Agent.Gen) -> Value: HKCU -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Agent.Gen) -> Value: Policies -> No action taken.
Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Archivos Infectados:
c:\updat\install\install\xxxx.exe (Trojan.Agent.Gen) -> No action taken.
Las claves de registro afectadas contienen el nombre del ejecutable, así que son fáciles de encontrar. Sin embargo, también encuentro otras claves:
Las claves modificadas nos indican la forma elegida por el troyano para lanzarse en cada reinicio del ordenador: la clave Active Setup. Los pasos a seguir para iniciar una aplicación de esta manera son los siguientes (extraídos de "portalhacker.net"):
1.- Se crea una subclave en "HKLM\Software\Microsoft\Active Setup\Installed Components" con el nombre de un GUID (Globally Unique Identifier)....... un identificador aleatorio que tiene esta forma "{73FA19D0-2D75-11D2-995D-00C04F98BBC9}"
2.- En esta subclave creada, se crea un valor alfanumérico, de nombre "StubPath", cuya data será la ruta del ejecutable que se quiere iniciar con windows
3.- Cuando se reinicia, el sistema busca en "HKCU\Software\Microsoft\Active Setup\Installed Components" una subclave con el nombre de la que se había creado en el pto. 1 y si la encuentra no ejecuta la aplicación. En el punto1 se había creado la subclave en HKLM, por lo que en el primer reinicio sí que la ejecutará.
4.- Como se decía en el punto3, la aplicación se ha ejecutado, pero el explorer no se carga hasta que la aplicación se cierre (y queda esperando con un mensaje), por lo que hay que reiniciar la aplicación
5.- Al cerrar la primera instancia de la aplicación, se carga el explorer y se crea una sublcave en "HKCU\Software\Microsoft\Active Setup\Installed Components"
con el nombre de la subclave que se creo en el punto 1
6.- Recordando el punto 3, se debe borrar esta subclave de hkcu creada en el punto5, si queremos que la aplicación vuelva a iniciarse en la próxima sesión
Al lanzar el administrador de tareas, no hay ni rastro del ejecutable. Sin embargo, Comodo me había alertado de que el ejecutable había lanzado Internet Explorer, aunque no había rastro de él, al menos aparentemente. Para verificarlo recurrí a Process Explorer, que me mostró TODOS los procesos en ejecución:
¡Y ahí estaba iexplore.exe! Efectivamente, se han cumplido los 6 pasos anteriores: el ejecutable se ha lanzado, ha creado las claves de registro, luego ha lanzado Internet Explorer y ha desaparecido. El malware se ha desplegado...
Si cierro el proceso iexplore.exe, el ejecutable "xxxx.exe" aparece automáticamente y vuelve a realizar todo el proceso anterior. Con todas estas acciones, el malware se asegura correr en el sistema en todo momento.
¿Ya está? Pues no. Utilizando otra herramienta conocida compruebo que, además, se han creado dos archivos: XxX.xXx y UuU.uUu:
Estos archivos son actualizados constantemente por nuestro iexplore oculto, y si son borrados se vuelven a crear.
Aunque el análisis de ejecutable queda para más adelante, quiero recordar la importancia de disponer de mecanismos de protección como un antiviirus y un firewall. En este caso, aunque el antivirus no había detectado la amenaza, el firewall sí lo había hecho, librándonos de una infección complicada de detectar.
Comparte este artículo
Comentarios (0)