Novedades en la categoría Malware

Hace rato un amigo me mando un mensaje por el messenger para que viera lo que le habian mandado por el messenger. Resulta que ahora tambien los que hacen el malware han visto una oportunidad muy buena para repartir su virus entre los usuarios incautos. _Pues bien el link es el siguiente:

mira lo que me llegó adamín
Ya viste  estamos en alerta por la influenza http ://www.computertek.com.au/db_files/Influenza.php?Descargar=7412365 que miedo tengo


Y resulta que el archivo qu ebajas tiene el siguiente nombre: influenza_mexico.exe y esta hehco en VB lo cual es facil de reconocer por muchas razones, pero la principal es el icono de la aplicación.

Bien cuando revise el archivo en VirusTotal, resulto que el archivo en realidad era un poco antiguo y que ya lo habían revisado con anterioridad, y en esa ocación en el 9 de abril, solo 5 de 40 antivirus lo reportaron como potencialmente dañino.

Pero como no me quise quedar con la duda, decidí volver a revisarlo y para mi sorpresa, solo 11 de 40 antivirus lo reportan como dañino, estando a 27 de abril, es decir que esos 18 días las empresas de antivirus estubrion muy dormidas o no consideran que este virus sea relamente peligroso.

les dejo los resultados de Virus total.

 

Análisis del archivo influenza_mexico.exe recibido el 27.04.2009 22:24:00 (CET)
Motor antivirus	Versión	Última actualización	Resultado
a-squared	4.0.0.101	2009.04.27	Gen.Trojan!IK
AhnLab-V3	5.0.0.2	2009.04.27	-
AntiVir	7.9.0.156	2009.04.27	TR/Crypt.XPACK.Gen
Antiy-AVL	2.0.3.1	2009.04.27	-
Authentium	5.1.2.4	2009.04.27	-
Avast	4.8.1335.0	2009.04.27	Win32:VB-LJH
AVG	8.5.0.287	2009.04.27	-
BitDefender	7.2	2009.04.27	-
CAT-QuickHeal	10.00	2009.04.27	Trojan.Agent.IRC
ClamAV	0.94.1	2009.04.27	-
Comodo	1138	2009.04.27	-
DrWeb	4.44.0.09170	2009.04.27	-
eSafe	7.0.17.0	2009.04.27	-
eTrust-Vet	31.6.6478	2009.04.27	-
F-Prot	4.4.4.56	2009.04.27	-
F-Secure	8.0.14470.0	2009.04.27	-
Fortinet	3.117.0.0	2009.04.27	-
GData	19	2009.04.27	Win32:VB-LJH
Ikarus	T3.1.1.49.0	2009.04.27	Gen.Trojan
K7AntiVirus	7.10.717	2009.04.27	-
Kaspersky	7.0.0.125	2009.04.27	-
McAfee	5598	2009.04.27	-
McAfee+Artemis	5598	2009.04.27	Generic!Artemis
McAfee-GW-Edition	6.7.6	2009.04.27	Trojan.Crypt.XPACK.Gen
Microsoft	1.4602	2009.04.27	-
NOD32	4038	2009.04.27	-
Norman	6.00.06	2009.04.27	W32/Smalldoor.DTAS
nProtect	2009.1.8.0	2009.04.27	-
Panda	10.0.0.14	2009.04.27	W32/Oscarbot.WM.worm
PCTools	4.4.2.0	2009.04.27	-
Prevx1	3.0	2009.04.27	-
Rising	21.27.02.00	2009.04.27	-
Sophos	4.41.0	2009.04.27	-
Sunbelt	3.2.1858.2	2009.04.24	Gen-Trojan.Heur.Dropper
Symantec	1.4.4.12	2009.04.27	-
TheHacker	6.3.4.1.315	2009.04.27	-
TrendMicro	8.700.0.1004	2009.04.27	-
VBA32	3.12.10.3	2009.04.27	-
ViRobot	2009.4.27.1710	2009.04.27	-
VirusBuster	4.6.5.0	2009.04.27	-
Información adicional
Tamano archivo: 63726 bytes
MD5...: 1c03dfcc18d75439e32f0c0538c7ab26
SHA1..: b9273db75b154a231cb4188f44409949e4036be0
SHA256: 83502975940c7dd7421a6f9a12b38649c2cfa28e265b9313d59e41f4d51d9aee
SHA512: 28b4abb2f28a0fcba3103a598e8c2ec230d39a5fd257ed8e8cccb34fc46f1ce9 2dad643b5f06fd2fb52dd3f5f5807306ffb959673f937f6d105a7fccec77083b
ssdeep: 768:Hekth3boIUr5WoS7ytyLMCOuGz5xV/tmgua1np1IHwrR5kTtK1h4GpIuKPkp 0:Heeh3MIUr5W37qyLMCOuc4apVG2aqskC
PEiD..: -
TrID..: File type identification Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x109c timedatestamp.....: 0x49bd5a9a (Sun Mar 15 19:44:26 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x19c4 0x202000 5.90 9ef89d04e35f52f97ad998e4f10ef16e .data 0x3000 0x3d8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x4000 0x3848 0x4000 1.54 3d53e9c1e05da179451fa5c2d2eb9faa ( 1 imports ) > MSVBVM60.DLL: -, -, -, DllFunctionCall, __vbaExceptHandler, -, -, -, -, ProcCallEngine, -, -, -, -, - ( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set -
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=1c03dfcc18d75439e32f0c0538c7ab26' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=1c03dfcc18d75439e32f0c0538c7ab26</a>

Como siempre la recomendación es no dar click en nada que nos manden por el messenger, a menos que estemos completamente seguros de que si nos lo envio nuestro contacto y eso es preguntandole directamente.

En mi caso, me lo mandaron aproposito, para que le diera clik y ver de que se trataba todo esto.

Saludos

Este sábado, fui a la casa de mis padres, y como ya es costumbre la computadora de mi hermano estaba infectada con malware, de esos que infectan las memorias usb, los celulares, ipods, cámaras digitales y todos los dispositivos que utilicen memoria flash.

Normalmente eliminar dichos programas no requiere de mucho esfuerzo, solo es cuestión de identificar el ejecutable, llenarlo con ceros, reiniciamos y listo, ya nos hicimos cargo de el. Este es el método que muchos suelen decir que es el difícil, ya que para la mayoría de la gente el antivirus hará todo este trabajo de manera automática, pero como me gusta hacerle al cuento y sobre todo conocer la forma en que operan los virus, tiendo a quitarlo de la forma manual. Sin embargo en esta ocasión, cuando apague la computadora utilice la opción de Crear un BSOD que trae el Rootkit  Unhooker, y pues el tiro me salio por la culata, puesto que cuando reinicie el sistema estaba completamente inestable, el servicio de IPSEC se negaba a iniciarse y eso evitaba que funcionara la red y sobre todo el Internet.

Después de pasarme alrededor de una hora viendo logs con process monitor, y descubrir que había varios errores de Buffer Overflow cuando services.exe o svchost trataban de iniciar algún servicio, me di por vencido y decidí esperar hasta llegar a mi casa y buscar en Internet el error que mostraba IPSEC.

Ya en mi casa y con las herramientas listas y tras pasar varias horas sin obtener los resultados deseados, me vi en la forzosa necesidad de tener que formatear, lo que tengo que admitir que no me gusta del todo.

Bien tengo que admitir que esta vez me toco la de perder, y por tratar de quitar un virus me cargue la compu, y pues no siempre las cosas salen como uno espera.

La verdad es que ya a estas alturas me da hasta flojera revisar ese tipo de virus, que lo único que tienen es que usan la ingenieria social.

digo si un contacto de mi idioma, en este caso el español me escribe esto en el messenger: join with us http://tinyurl.com/8ytrqd
lo mando mucho a volar, o simplemente lo ignoro.

quien demonios usa tinyurl para pasar un link en las conversaciones del messenger, y sobre todo... quien demonios sigue esos links... Respuesta: Gente ingenua. (solo por no decirlo más feo)

ya van 3 que me envian ese link ... cuanto ingenuo hay por ahi...

Saludos

El viernes pasado fui a la empresa a la que le estamos desarrollando el sistema de la query perezosa, para llevarles una beta del programa, el cual tiene algunos detalles menores, sobre todo de interacción con la versión del conector de Oracle que existe en la empresa, por lo que las cifras no tienen ningún decimal.
El punto es que en una de las computadoras el sistema no funciono, debido a que no podía cargar de forma correcta una Dll, concretamente midas.dll. La biblioteca estaba en el mismo directorio que el ejecutable, por lo que no debería de causar problema alguno, más sin importar los intentos que hicimos, inclusive cambiando la versión del a dll esta siguió igual. El caso es que la primera vez que lo ejecute, no estaba la dll, hecho que es completamente achacable a mi, puesto que olvide copiarla de la otra computadora. A ciencia cierta no se lo que paso pero mi suposición es que cuando no se encontró la Dll el algún virus pudo cachar el error y acto seguido copiarse el mismo con ese nombre y colocarse en el directorio de system32 y he hizo todos los movimientos necesarios en el registro para que se cargue con cada aplicación. 

Tengo que admitir que esta suposición es sin fundamento alguno, solamente mi intuición, que ya en algunas otras veces me ha llevado a descubrir una que otra cosilla en las computadoras que en ocasiones reparo. Hay dos formas en que una aplicación puede cargar una dll, de forma dinámica y normal. En la forma normal, el loader del sistema operativo lee la tabla de imports del ejecutable en la cabecera del mismo, busca la dll y la carga en memoria o simplemente la mapea si es que ya se encuentra cargada. Este método tiene la desventaja de que si la dll no se encuentra entonces el programa no puede iniciar.
Cuando la dll se carga de forma dinámica, lo que se requiere es hacer una llamada a la función de la api de windows LoadLibrary a la cual se le pasa como parámetro la ruta de la librería que deseamos cargar en memoria. La ventaja es que aunque la dll no exista, el programa se ejecuta, el problema es que no podremos hacer uso de los recursos que se encuentren en esa librería. En realidad no son solo dos, sino que hay más pero que a final de cuentas caen en la segunda, es decir que son de forma dinámica, muchas de ellas inventadas o descubiertas por aquellos que se dedican a producir malware.

En este caso la librería se cargaba de forma dinámica, es decir que el programa se ejecutaba, pero al no poder para comunicarse con el servidor de base de datos requería cargar esa dll, entonces la comunicación era imposible.

Tal vez por azares del destino, unos minutos después de que intente de ejecutar el programa en la computadora, llego la persona de soporte técnico de la empresa para revisar otra de las maquinas que se encontraban en la oficina. Cuando la licenciada cuya maquina era la del problema con la dll, le comento del problema, el tipo de soporte me pregunto que cual era el problema y le comente que no se una dll no se podía cargar. Cuando el ejecuto el programa dijo en un tomo burlesco "Si corrió", a lo que acto seguido le respondí "Ese no es el problema, el problema es que lanza un error". Digamos que en ese momento surgió una pequeña guerra de egos, la cual rápidamente termino cuando el de soporte tuvo que pedir ayuda a su jefe vía teléfono, para explicarle el problema y ver cual era la solución. Creo que en consenso, tanto el de soporte como su jefe llegaron a la decisión de que el problema no era causado por un virus, que eso era ilógico.

Como era de suponerse el tipo de soporte partió sin dar solución al problema, tal vez alistándose para respaldar y después formatear.

Luego de un rato volví a la computadora y otra de las cosas que fortaleció mi creencia de que ahí había virus encerrado, fue el hecho de que el administrador de tareas se encontraba deshabilitado. Claro esta que esto es algo muy común en las infecciones que sufre nuestra pc. No tarde en buscar en mi memoria a mi buen amigo USB Cleaner (UC), para habilitar todo lo que fuera necesario. Más cual sería mi sorpresa al ver que el programa UC simplemente no se ejecutó. En este punto decidí abortar la misión de revisar la computadora, ya que la empresa cuenta con un departamento de soporte técnico, aunque no se si podrán hacer algo mejor que formatear computadoras.

Ayer me dispuse a revisar una computadora que se suponía tenia virus, y claro esta que los tenía. Como suele suceder en todos estos casos las infecciones por virus en las computadoras son muy evidentes, sobre todo cuando ya tienes alguna experiencia al respecto. La falla que aprecie de inmediato fue que el explorador de Windows se reiniciaba cada cierto tiempo, y cuando estaba en ejecución, gastaba muchos recursos del sistema, llegando inclusive a gastar el 100 % del procesador. Algo que es de notar es que cuando revise los procesos había unos cuantos archivos con extensión .tmp y unas cuantas librerías dll's.

Como suele ser el caso, no me tomo mucho tiempo deshabilitar a este virus o más bien a esta colonia de virus, ya que al igual que en el humano, una vez que las defensas empiezan a ceder, las infecciones comienzan a llegar. Con Process Explorer fue fácil identificar y dejar fuera de combate todos los archivos ejecutables, usando la técnica de pausar los procesos, muy útil cuando hay varios procesos que se cuidan entre ellos. Otra cosa que es fácil de hacer es terminar los handles de archivos abiertos por los ejecutables, ya sea por el virus o algún programa del sistema.

Si este método llega a fallar, podemos utilizar al siempre útil RootKit  Unhooker que de una manera sencilla, puede borrar el contenido de cualquier ejecutable, sin importar que se encuentre en ejecución o sea utilizado por algún proceso o driver del sistema.

Cuando estaba terminando, me tope con varios archivos ejecutables en la carpeta de System32, la mayoría de ellos con nombres aleatorios, pero todos tenían la particularidad de que no eran .exe sino .bin.

Tengo que decir que esta fue otra operación de limpieza de virus de computadora, que termina con éxito, es decir con una computadora libre de virus. La pregunta es ¿Por cuánto tiempo será así?

Saludos