Brontok - Duda sobre el funcionamiento del virus (SOLVED)

[sinshadow]

Buenas a todos!



Antes de nada me presento para que nos entendamos todos. No soy un usuario novato ni a nivel Internet, ni a nivel informática en general, ni a nivel seguridad en concreto. Durante muchos años he usado Windows, y aunque soy usuario preferente de Linux y tengo un portátil con mac, digamos que he aprendido a tener unos sistemas Windows bastante decentes.



Mi política para mantener Windows limpio y estable es bastante sencilla: apagar todos los servicios innecesarios, instalar todas las actualizaciones, trabajar con un 99% de herramientas software libre y hacer uso del sentido común y la experiencia acumulada durante estos años para evitar que el ordenador se llene de basura. Con esto me he tirado durante años sin tener un sólo problema relacionado con virus o spyware sin necesidad de hacer uso de antivirus. Como mucho, ante casos puntuales y de los que no podía fiarme, me he limitado a mandar las pruebas al análisis en línea de virustotal.



Y hasta aquí llego la paz. Resulta que tuve que ayudar a un amigo a resolver una incidencia con una infección que resultó ser de alguna variante de Brontok. Mi gran duda es... [b]¿cómo demonios el virus se ejecuta en Modo a prueba de fallos?[/b]



Vale que llevo mucho tiempo sin tener infección alguna y por eso estoy desactualizado, pero vaya, las últimas veces que tuve que lidiar con algún malware que se hubiese conseguido colar, todo era tan sencillo como entrar en Modo a prueba de Fallos, que supuestamente sólo carga los elementos esenciales del sistema, y desde ahí ejecutar todas las aplicaciones que te diese la gana ya que el malware estaba por narices desactivo.



Creo recordar que ya había lidiado con ficheros que bloquean el registro, que limitan el acceso a funciones de configuración y todo ese tipo de cosas que dificultan la limpieza manual de un virus. Pero jod***$%$$""!!!, reiniciar en modo a prueba de fallos, y ver que al ejecutar el administrador de tareas el maldito virus está activo y me reinicia el ordenador... :|



Pues eso, que estoy alucinado. ¿Alguien tiene información de cómo consigue el virus cargarse en modo a prueba de fallos?



PS. El virus ya lo desinfectamos, pero seguimos sin salir de nuestro asombro xD

[msc hotline sat]

Por suerte, como dices, no has tenido que dedicarte a los virus, sino que los has soslayado, con MUY BUEN SENTIDO COMUN, lo cual no es lo mas frecuente. :wink:



Por el contrario nosotros damos servicio a muchos miles de usuarios registrados con McAfee, y asociados a nuestros servicios tecnicos, a los que hemos de dar soporte y solucionar los problemas conocidos o desconocidos, y las picarescas usadas por los coders son verdaderas obras de "arte", desde las tecnicas sthealth del TELECOM, a primeros de los '90, hasta los últimos rootkits que nos ocultan procesos, ficheros y claves, pasando por tropecientas argucias, entre ellas la de utilizar un servicio que se carga incluso arrancando en modo seguro, como ahora has visto.



Fijate que con nuestro SPROCES marcamos algunas claves con uno o dos asteriscos delante de determinados servicios, pues bien, asi reconocemos los que se cargan en modo seguro, pues como sabes el sistema se carga en modo seguro, claro, y algunos de sus servicios tambien. Pues justamente por esto en el SPROCLOG vemos cuales son, y si no son realmente servicios... ya sabemos con lo que nos enfrentamos.



Aprovecho para recordar otra historia de moda: el uso de los pendrives, que autoejecutan sus AUTORUN.INF automaticamente al insertarlos en los ordenadores, con lo que propagan virus de "pendrive" por doquier, y contra ello hemos creado la utilidad ELIPEN que cambia la politica de windows (configurable a voluntad) y vacuna las unidades procesadas.



Y lo que nos ocupa actualmente, los FAKE ALERT de turno, desde el XPANTIVIRUS PRO 2008, el IEANTIVIRUS, el MSANTIVIRUS, y ahora parece que el UNCLEANER (vaya nombre... ensuciador ???), que nos ocupan un 60 % de los casos actuales !!!



Bueno mucho gusto en poder aclararte alguna cosa mas, especialmente de las que nos ha quitado el sueño, pero que ya tengamos controlada ! :mrgreen:



saludos



ms, 27 de Agosto de 2008

[sinshadow]

Muchas gracias por la respuesta, la verdad es que el tema de arrancar en modo a prueba de fallos me parece asombroso.



Pero mira ahora que lo mencionas, los Rootkits me parecen la peor pesadilla del malware, como bien comentas, una vez que te han infectado estás perdido; hacer invisibles al sistema operativo procesos, ficheros, cadenas de texto... una vez que te ha infectado, ya te podrían estar colando el virus más fácil de detectar y eliminar del mundo, ya podría estar colocando copias en el escritorio... que simplemente para el sistema operativo, y por extensión, para los antivirus y demás software de protección... nada malo estaría pasando.



Recuerdo que hace tiempo, en unos equipos de prueba, hicimos una conexión remota mediante una Shell Inversa con Netcat, y obviamente, las conexiones se podían ver con netstat y otro tipo de utilidades. Con el RootKit que estábamos probando (HackDefender o algo por el estilo, supongo) se podían ocultar las conexiones... Era actualizar el netstat después de ocultar debidamente todo y ¡tachán!... ninguna conexión sospechosa. Impresionante :|



Eso sí, las herramientas de detección de rootkits van avanzando, y al menos, podemos saber que están ahí (que sabiendo como se las gastan los muy desgraciados... ya es mucho). Lo malo es que, en fin, si mañana detectase un rootkit en mi ordenador... la acción inmediata sería formatear completamente el sistema. Pasaría de intentar desinfectar, a no ser que sea por reto personal, pero desde luego si no es por reto... no compensa la perdida de tiempo que te va a provocar. Además, nunca me fiaría de un sistema que haya quedado comprometido a tal nivel...


[quote]Aprovecho para recordar otra historia de moda: el uso de los pendrives, que autoejecutan sus AUTORUN.INF automaticamente al insertarlos en los ordenadores[/quote]
Exacto. Es otra de las opciones que cualquier ordenador debe deshabilitar nada más instalarlo, la ejecución automática de cualquier unidad externa.



Justamente mientras ayudé a mi amigo con el Brontok cogió y se copió en la unidad usb donde metí las herramientas para eliminarlo. Por suerte, cuando lo llevé a mi ordenador vi el dichoso ejecutable, eso sí, muy bien camuflado intentándose hacer pasar por carpeta. Que esa es otra, la gente ve el icono de carpeta, y como siempre, tienen desactivada la opción de ver extensiones y claro... piensan que efectivamente es una carpeta. Pero a mi no me engaña, las carpetas no tienen extensión .exe :P



PD. Me he bajado el SProces y lo he guardado en mi memoria usb de utilidades para emergencias. Eso sí, me hace unos logs enormes por culpa de mi archivo HOST personalizado, je je.



O1 - Hosts: 127.0.0.1 _218_.justcounter.com

O1 - Hosts: 127.0.0.1 000info.com

O1 - Hosts: 127.0.0.1 001.adsenser.cn

O1 - Hosts: 127.0.0.1 001.hitgraph.jp

O1 - Hosts: 127.0.0.1 002.hitgraph.jp

O1 - Hosts: 127.0.0.1 007arcadegames.com

O1 - Hosts: 127.0.0.1 007guard.com



[...]No sé cuantas miles entradas más abajo...



O1 - Hosts: 127.0.0.1 zybisco.com

O1 - Hosts: 127.0.0.1 zz.cqcounter.com

O1 - Hosts: 127.0.0.1 zz3b.info

O1 - Hosts: 127.0.0.1 z-z-video.blogspot.com

O1 - Hosts: 127.0.0.1 zzz.clickbank.net

O1 - Hosts: 127.0.0.1 zzztech.com



Un saludo! :P

[msc hotline sat]

Las lineas del HOSTS es por el SPYBOT que añade un monton, y que con el ELISTARA nos cargamos si se desea hacer limpieza...



Y en esto estamos, entre los rootkits que con el Bagle llegan siempre y ademas impiden arrancar en modo seguro (por esto hicimos el ELIBAGLA), y ahora con los FAKE ALERT del XP ANTIVIRUS PRO 2008 y derivados, que cada día aparecen un monton de variantes nuevas... pero para esto estamos :wink: !



Si tienes algun otro problema, o algo que comentar, hazlo, y si no daremos por solucionado el Tema, gracias



saludos



ms, 28 de Agosto de 2008

[sinshadow]

Pues nada, que muchas gracias por todo. A disfrutar que veo que tenéis bastante jaleo por aquí...



¡Suerte con los malos!

[msc hotline sat]

GRACIAS Y VUELVE CUANDO QUIERAS



saludos



ms, 28 de Agosto de 2008