Como se sabe??

Iniciado por techulca, 20 Octubre 2008, 18:09 PM

0 Miembros y 2 Visitantes están viendo este tema.

techulca

Saludos, no se si ésta pregunta va aqui pero igual... trabajo en una empresa en donde me mandaron a averiguar que hacia un programa en especifico, por ejemplo hay un virus en una maquina.. no importa como lo se, y quisiera saber que hace especificamente que hace dicho ejecutable cuando es ejecutado valga la redundancia... espero que me puedan ayudar.. muchas gracias de antemano

tena

Pues lo podes tracear con OLLYDBG y ver que es lo que hace...
Tambien podes usar el FILEMON para ver los archivos al momento de ejecutarlo.
Al igual que REGMON para ver si te crea algo en el registro de windows al momento de ejecutarlo.

tambien podes usar REGSHOT creo se llamaba, haces una foto del sistema antes de ejecutar el virus, y despues de ejecutarlo haces otra foto, y despues lo compara y te saca los registros/files que leyo, escribio,etc...  Pero aqui tenes que ejecutar el virus asi que yo no lo haria.


Yo no lo haria, pero bueno si te manda tu jefe, bueno jeje...

Este es un tema para APUROMAFO, aver si el se presenta aqui y te puede hechar una mejor mano...

Saludos

apuromafo CLS

la historia comenzo de tiempos antiguos , jeje yo tambien quise saber algo asi

te comento que cosas son las mas recomendables
1) maquina virtual como virtual pc o otras
2) sandiebox, asi sabes que bota o que deja en ciertas carpetas
3) paciencia, porque sin esta ,no llegaras a ningun lado

4 ) aprovechar el consejo de paginas con experiencia
ejemplo
tu programa es un virus
34 de 36 dicen que es virus..COMO NO CREERLE??..
paginas como virustotal.com

ahora bien, si la historia es saber sobre el virus en si, siempre hay que saber de unpacking o ser bien arriesgado con la ingenieria inversa

puesto que hay herramientas que son utiles, hasta cierto punto
Piensa, tienes un troyano o virus que es random..ahora esta, pero despues sera uno mas fuerte,.,y luego baja otro y etc..

los regshot y todo eso es bueno, siempre y cuando sepas usarlos.


en lo personal, te sugiero que analizes con olly, mires las referencias y leas que dice a modo global..si te parece una amenaza..(autorun.inf-- hidefiles) puedes suponer que algo se trama..pero muchas veces ni con eso logras ver que hacen
ejemplo (los troyanos de MSN..)

ahora el consejo es el de siempre
ingenieria inversa desde 0
y leer y leer

aprender un lenguaje y analizar ese lenguaje
yo comenze con un MASM y reconoci los masm
hice un delphi y lei el delphi..
hice un .net y no me sirvio el olly jeje


bueno..la historia es simple

1)mediafire.com/apuromafo

revisa solo para leer los escritos, sin importar que digan los antvirus

piensa que las amenazas de virus o troyanos aveces influye solo el nombre..
o el packer..

pero en lo global haz esto
1) para saber que es lo ultimo que ha pasado por tu pc
regshot y todo eso
2) PARA saber las rutas y todo eso
te sugiero el sandiebox.. hay hasta keygen asi que no es de estresarse..
(eso si buscar bien)
3)tener un firewall y/o antivirus decente, para detectar eso o saber cual lo reconoce
enviar el exe a virustotal.com por ejemplo..


y animo
se sabe, luego de tener experiencia en el tema..solo eso

saludos APuromafo se cuida y espero tu primera impresion del tema








techulca

Bueno, muchisimas gracias.. se que es un virus porque se copia cada vez al pendrive y he buscado informacion de él en internet y no encuentro nada.. el virus es el scvthost.exe pendiente que no es el proceso de windows si se dan cuenta la "c" y la "v" estan cambiados y se guarda el la carpeta Recycler... no te deja ver archivos ocultos y esa paja.. se que hay que analizarlo en una Maquina virtual yo uso VirtualBox, solo queria saber que programas usar para tracearlo.. muchisimas gracias de nuevo.. cualquier duda otra vez se las haré llegar.. Nos vemos en la morgue..

apuromafo CLS

aver, haz lo siguiente

vacia tu papelera..

comprime tu papelera
***si no sabes hacerlo no importa, este paso es solo para explorarlo mas tranquilo*revisa con tu programa y elimina algun destop.ini o algo que caracterize que es una papelera, cosa que quede como carpeta..()


asi que haz lo siguiente
envialo a virustotal.com (el fichero comprimido)
el fichero scvthost.exe  tambien

en cuanto a lo de recicler yo creo que sale facil

eso si te recomiendo hacer 3 movimientos antes
1) comprimir la carpeta para guardar el troyano
2) bajar unlocker (borrar programas inclusive en uso)
3) borrar la carpeta de recicled, con unlocker..

por lo especifico estas en un area de ingenieria inversa, y te comento que es posible encontrar informacion mas especifica
siempre y cuando tengas
1) el exe malicioso
2) regedit a disposicion
3) buenos apuntes

ahora bien te sugiero que pases tambien por
http://www.threatexpert.com

y envies el fichero

asi sabras a modo global que hace..



se que es un virus porque se copia cada vez al pendrive
*yo diria troyano

desactiva el autorun y despues habilita los archivos ocultos
si no puedes ver los ocultos , has el intento de revivirlos de una u otra forma
(google sabe)

asi se desactiva el autorun
Citar
La forma más simple es copiar las siguientes líneas en el bloc
de notas y guardarlas con la extensión .REG, por ejemplo
noautorun.reg.

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

A continuación hacer doble click en el fichero noautorun.reg, Windows nos preguntará si estamos seguros de querer agregar esta información al registro, y elegiremos que Sí.

ejemplos en vbs
http://www.mediafire.com/download.php?hulmoo0tt7w
para que borres el scvthost.exe y el autorun

no te deja ver archivos ocultos y esa paja..
hay herramientas para eso
hihackthis y
mediafire.com/apuromafo -> troyanos molestosos+solucion?   ->RRT.7z y tambien el exefix.reg

creeme que el antisxs tambien te puede servir para eso y el antibrontock

pero bueno

te sugiero a este punto
analizar cuanto has intentado y que seguiras haciendo

te sugiero comprimirlo, compartirlo y sobre todo, revisar esos servicios gratuitos de virustotal y otros

espero te vaya bien, y si necesitas complementar mas cosas , es porque te falta leer un poco mas en el AREA DE SEGURIDAD y no de INGENIERIA INVERsA

el area de ingenieria inversa te ayudaria a ver solamente que logra hacer o como funciona, a partir de codigo assembler

pero si no manejas el tema aun, comienza con la experiencia de los antivirus y la informacion que te pueden otorgar los servicios como virustotal y lo de threatexpert.com

saludos y animate






anexos

Pasar Antivirus Online

http://www.kaspersky.com/sp/virusscanner
http://www.ewido.net/en/onlinescan/run/
http://www.bitdefender-es.com/scan8/ie.html
http://www.pandasoftware.com/activescan
http://housecall.trendmicro.com/
http://us.mcafee.com/root/mfs/default.asp
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://www.freedom.net/viruscenter/onlineviruscheck.html

Pasar Anti-Espías Online

http://www.nanoscan.com/?Lang=es
http://www.trendmicro.com/spyware-scan/
http://www.sunbelt-software.com/dell/scan.cfm
http://www.spywareguide.com/txt_onlinescan.html
http://www.webroot.com/consumer/products/spysweeper/freescan.html

¿Saber si un fichero tiene virus?

http://www.virustotal.com/es/indexf.html
http://virusscan.jotti.org/
http://www.kaspersky.com/remoteviruschk.html
http://www.fortiguardcenter.com/antivirus/virus_scanner.html



Recuerda que la mayoría de los antivirus on-line necesitan Java:

http://www.java.com/es/download/manual.jsp

techulca

apuromafu si tengo deshabilitado lo de autorun y se cuales son las claves de los archivos ocultos en el registro.. lo veo todo, ocultos y los protegidos por el sistema tambien, es un troyano tienes razon, la cuestion es que cada vez que lo elimino del disco duro o de un pendrive se vuelve a generar, ejemplo en un pendrive lo borro y antes de expulsarlo el archivo se vuelve a copiar y se crea tambien el archivo autorun para poder infectar otras maquinas obviamente, igual pasa con el disco duro, lo borro en cueston de instantes está de nuevo el troyano... por eso queria saber que es lo que me está generando esa situación, puede que me haya infectado un servicio, o algunos dlls y es lo que quisiera saber.. de todas manera ya estoy leyendo tus articulos y estoy navegando en las paginas que me diste.. e tambien que kspersky 2009 lo elimina y se tambien que 18 de 36 antivirus lo hacen.. lo que quiero saber es como jejeje.. se que soy un poco curioso al querer saber eso pero quiero aprender.. esa es mi vida aprender aprender y aprender.. nos vemos y muchas gracias de nuevo.

apuromafo CLS

pues el como , viene al dominio de algo

pensemos con un ejemplo practico
por ejemplo
un programa en uso

como matas el programa sin alterarlo?

matas las handles y luego el servicio usado
borras las referencias de este y la carpeta que lo contiene..
suena bonito pero en la accion requiere tiempo y espacio

normalmente los troyanos explotan a rundll32.exe y a explorer.exe
cerrando estos, accediendo a cmd y borrar el troyano , es mas facil asi

el de recicler no recuerdo donde, pero tambien existen herramientas para quitarlo en base a experiencias anteriores

saludos y animo en tu busqueda