Hace rato, haciendo algo de SEO, y checando algunos resultados en los motores de búsqueda, me lleve una bonita sorpresa cuando visite una pagina que tenia un link a mixelandia.com.

Fue muy notorio, cuando la ventana de mi navegador se hizo pequeña, y me salio un cuadro de dialogo diciendo que mi máquina podría estar infectada de virus, adware, spyware y troyanos. Presiona Ok para  escanear tu sistema.


Claro que presione Ok, lo que no es de extrañar debido a mi naturaleza curiosa, y a que estoy en linux y cualquier malware que se baje solo podrá hacer una cosa, gastar espacio en mi disco duro.  Cuando le dí en me salio otro mensajito, que decía que Antivirus 2008 escanearía mi sistema y un botón de aceptar.

Hace unos momentos me llego un curioso mensaje de una amiga por el messenger, se trataba de una invitación a ver una postal.

Hace un rato me llego un correo, de gusanito, diciendo que me llego una postal, cosa que me extraño de por si, y cuando abrí el correo me doy cuenta de que los links apuntan a un archivo ejecutable en vez de una postal.

No cabe duda de que este tipo de correos si logran engañar a varias personas, sobre todo a los niños que  normalmente se dejan llevar por la emoción de recibir una postal de Gusanito, que dicho sea de paso es una página algo popular y por lo tanto es explotable al 100%. El correo o más bien dicho los que se dedican a enviarlo usan otra estrategia, que les permite burlar algunas cuantas normas de seguridad de los sistemas anti-spam de los correos, ya que según consta en el encabezado del correo este proviene de la dirección de info@hi5.com, que como bien sabrán es la que usa hi5 para enviar sus correos legítimos.

No esta de más decirle a nuestros hijos, hermanos o conocidos que recibir este tipo de correos es casi imposible en nuestros días, pero lo que si podemos hacer es simple y sencillamente mandarlos a la papelera o eliminarlos directamente. Hay que reconocer que los ciber-criminales se esmera cada día mas, cabe recordar el correo del Accidente de Shakira, el cual aunque es otro el enfoque, sigue siendo el mismo método, es decir engañar al usuario para que descargue el archivo a su disco duro.

El otro día estaba arreglando una computadora que me trajeron, y como ya es costumbre el problema era que windows no arrancaba bien, entraba hasta el escritorio, pero no salia nada, es decir el escritorio estaba vació. Si intentabas ejecutar el explorer de forma directa, este se volvía a cerrar, lo cual indicaba parte del problema y cuando intenté ejecutar cmd.exe o la línea de comandos, esta también se cerro de inmediato, ni siquiera shutdown -a funcionaba y eso ya es mucho decir.

Sin muchas pistas, me dí a la tarea de encontrar y terminar con el programa responsable de que la computadora no funcionara,  y hay que decir que fue otro caso exitoso y no muy tardado.
Bien como el título lo dice se trataba de una variante del Vundo, que desde tiempo atras es muy común encontrárselo. Nunca falta el que se traume con un virus y empiece a divulgar que el virus es muy difícil de eliminar, cosa que normalmente es mentira, puesto que la mayoría de las infecciones no tocan o reemplazan archivos del sistema y si esto fuera así, aun quedan algunas cuantas cartas bajo la manga   las cuales se pueden jugar en cualquier momento.

Visto que no era posible arrancar la máquina en forma normal, la inicie en modo a prueba de fallos, y al igual que en el modo normal, explorer.exe no quiso iniciarse, sin embargo al iniciarlo con la orden explorer.exe c: arranco sin ningún problema y pude navegar hasta mi memoria usb y finalmente ejecutar Autoruns.

<Actualización>
He actualizado el fix para que termine la mayor cantidad de nombre posibles, pero no es seguroa, por lo tanto primero intenta con el fix, en caso de que no funcione entonces sigue leyendo y haz lo que dice la otra actualización.
Saludos
</Actualización>

Iniciare por poner el resultado que obtuve ayer en virustotal.com del archivo:

Pues resulta que pablo, un compa de Argentina me envio un link de un virus, que al checar en virus total me dio 0 de 30 es decir que no lo reconocia ningun antivirus.


 

Después de que mi entrada parece que no fuera muy clara y que algunas personas tubierón algunos problemas con lo de la ejecución de archivos, les dejo este video donde se ve paso a paso como eliminar a lechuck en forma manual y usando el fix, también como recuperar la asociación de archivos exe, bat, pif y com.


Saludos

Pues resulta que deje instalado el programa (img24.zip) del virus en mi maquina virtual, y hoy que la reviso me topo con la sorpresa de que estoy enviendo spam.. pro que lo digo, bueno basta ver las direcciones a las que se esta conectando el archivo temporal que descargo el virusito este que tanto hemod hablado. Desafortunadamente para cuando me dispuse ha hacer esta entrada, el envio masivo de emails desde mi maquina ya habia finalizado, sin embargo el tiempo que duro me permitio recolectar alguna infomación importate.

Lo primero es que el virus se conecta a un servidor, desde el cual recive ordenes, el cual es este 147.202.32.83:2756 obiamente no se trata de ninguna página web normal, ya que estas suelen estar en el puerto 80 o 8080, ahora veamos que  nos regresa esa dirección.

:link6.bitch.net 451 GET :
:link6.bitch.net 451 Host: :
:link6.bitch.net 451 User-Agent: :
:link6.bitch.net 451 Accept: :
:link6.bitch.net 451 Accept-Language: :
:link6.bitch.net 451 Accept-Encoding: :
:link6.bitch.net 451 Accept-Charset: :
:link6.bitch.net 451 Keep-Alive: :
:link6.bitch.net 451 Connection: :

Hace unos momentos estaba yo muy tranquilo chateando con un amigo, y de repente me aparece una conversación de una amiga la cual me manda el siguiente mensaje:

    Moquita Bonita     dice:
oye voy a agregar esa foto a mi blog ya
    Moquita Bonita     envía:

    IMG-0012.zip
 
    Abrir (Alt+P)
     Mixel Adm:          Nomas no digas que no     Ya casi 25... fiestaaaaaaaa eaaaa      party://29.9.7.9:25 dice:
¿¿??¿?
 
  Has recibido satisfactoriamente C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\IMG-0012.zip de     Moquita Bonita    .
 
     Mixel Adm:          Nomas no digas que no     Ya casi 25... fiestaaaaaaaa eaaaa      party://29.9.7.9:25 dice:
y eso que es ???
ha ya se virus

Este texto fue publicado por EP_X00F en los foros de sysinternals.

aqui

-- comienza traducción --

Hola

El troyano Rustock, acutalmente es uno de los malwares más avanzados tecnicamente. La uni ca parte que conforma esta troyano, se encuentra implementada en el modo kernel, así como su sistema de antidetección y su sistema de red.

Esta es una lista de las versiones disponibles de Rustocy y algunas de sus variantes (posiblemente no todas).


La mayoria de ellas fueron encontradas con la ayuda de herramientas HIDS gratuitas o con la ayuda de HIPS.


i386.sys
sysbus32.sys (2006)
wincom32.sys (2006?)

SSDT patching y IRP hooking

??windev.sys (2006?)

No hay información

pe386.sys (2006)


Hooking de la SYSCALL / ocultacion del driver.

mni41.sys (2006)*

*El driver puede tener un nombre aleatorio.

SSDT inline hooking, IRP hooking
Empaquetado con un protector polimórfico similar al de las versiones posteriores
Motor TCP/IP stack (firewalls sobrepasadas)
Eliminación de los competidores (ntio256.sys y runtime2.sys)

Como puede observarse, esta versión fue detectada apenas unos cuantos meses atras.


huy32.sys (2006)

Beta de Rustock.B
Contiene casi toda la funcionalidad de la versión principal

lzx32.sys (2006)

Actualmente es el rootkit de modo kernel mas avanzado que se a detectado
SYSCALL inline hooking
Utiliza ADS para ocultarse (diferentes variantes utilizan diferentes maneras para hacer esto)
motor TCP/IP stack  (firewalls sobrepasadas)
Sistema avanzado de antidetección (Contiene una lista negra de antirootkits - RKR, IceSword, DarkSpy, Blacklight, GMER)
Tanto el Dropper y el driver estan empaquetados con un protector avanzado.


Rustock.C (2006)
??Rustock.D (2007?)

Implementación en la parte profunda del kernel
Firewall y antivirus completamente sobrepasados
Autodefensa (DKOM y parcialmente DKOH)
Sistema Anti antirrotkits (los antirootkitys mas populares son sobrepasados)
Sistema Anti VM (las maquinas virtuales "VM" son detectadas y se evita la ejecución en estas)
Técnicas anti debugging
Empaquetador Polimórfico para drivers y droppers (unico, empaquetador + protector para drivers privado)

Para nosotros carece de todo sentido el proposito ("aspetos éticos" y otras mierdas ) con el que se haya desarrollado esta serie de troyanos y lo que este haciendo en la actualidad. Nosotros estamos interesados solamente en la propia tecnología de los rootkits, debido a que esta puede mejorar las habilidades de todos los antirootkits dessarrollados en estos momentos (RkU, gmer, IceSword).

Así que si alguine puede agragar algo más acerca de Rustock o alguno acerca de sus multiples variantes, estaremos muy felices de ello.

-- Termina traducción --

Saludos