Ayuda con rootkit?

Iniciado por winroot, 6 Diciembre 2010, 17:11 PM

0 Miembros y 1 Visitante están viendo este tema.

winroot

Buenas! ^^
Bien, todo empezó ayer de noche.

Apagado Iniciado  por system
El servicio iniciador de proceso de servidor DCOM ha  terminado de manera inesperada...
shutdown -a y listo ^^

Bien, netstat nada raro, tcp view nada raro, listdlls nada raro, handle nada raro,autoruns nada raro...
Bien, services.msc >iniciador de proceso de servidor DCOM>propiedades >recuperación >reiniciar siempre el servbicio ...
Bien, abrimos el eventlog y...
Todos errores del scm cada mas o menos 30 min por finalización inesperada del servicio antes mencionado.
huhuhu.

Ahora si me empezaba a preocupar ^^.
Bien, llegue a la conclusión, luego de usar las herrameintas clasicas process monitor,etc, estoy infectado con un rootkit ^^.

GMER
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT
activity.
Dou you want to fully scan your system  ?
Sí No

Lo peor es que no solo hay un servicio oculto,  si no que tiene hookeada iats de ntoskrnl y companía ^^.
el fichero es:

Service  C:\WINDOWS\system32\drivers\senekaqaedapqm.sys (*** hidden *** )  [SYSTEM] seneka                      <-- ROOTKIT !!!

Lo peor es que en descripción del fichero pone rootkit, es como un insulto ^^.
googleando un rato, encontre algo en el foro de los chicos de sysinternals.
El tema es que parece que la única manera de sacar este rootkit es booteando con un livecd, o desde otro disco duro.
algo que no sería complicado, sería eliminar las keys y luego dejar el .sys para analizarlo.
Mi pregunta es
Hay forma de sacar este rootkit online?
es decir, sin tener que bootear con livecd y eso.
además, el rootkit, bloquea el acceso directo a disco, utilidades de recuperación de fichero no funcionan.
desde antes de ayer que tengo internet, por lo que se me hace que esto vino con alguna bug de mi so, ya que por cuestiones de rendimiento tanpoco uso otro fw que no sea el de windows.
seneka                      <-- ROOTKIT
Por lo que veo ese es su nombre, el path puede cambiar, pero siempre se llama así.
claro que, el rootkit no me preocupa, me preocupa el malware que esconde.
Usando gmer no se puede eliminar, ya que regresa enseguida.
Si no, veamos si alguien consigue alguna muestra, y los chicos de malware  ven algun modo de programar un driver que lo saque ^^.
so:win xp sp2
Saludos

edit:
http://www.exterminate-it.com/malpedia/remove-seneka
ahora veo si funciona ^^
No funciona,
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

Roy-Mustang

que tal si usas unhakcme es un verdadero mostruo para los rootkit, seguro lo saca a golpes de tu pc,
lo unico que desactiva restaurar sistema, ya que el unhackme te hace varias copias por analisis al iniciar la pc.
A mano no te podria decir pero con ese si que lo sacas,

Seguro que el rootkit se aprovecha de alguna vulnerabilidad de tu xp ya que es el sp2,

Saludos

winroot

#2
Buenas!
@Roy-Mustang
Gracias por responder!
Mañana lo pruevo.
y les cuento.
Nota:
Usando la opción de gmer dump module, se produce  una vonita pantalla azul^^.
Además, en el log del firewall de windows, analizado con firelog xp, muestra intento de conexiones a puertos altos, es decir a puertos que frecuente mente usan los troyanos, aunque quedé sorprendido con la cantidad de ips que hay  escaneando ips de manera automatizada, peticiones al 445 y cosas por el estilo.
De todos modos provaré ese programa, y algunos más que tengo por aí, pero lo mejor será usar algún livecd de xp y sacarlo.
Saludos
edit:
Solucionado!
Parece que cuando salió pantalla azul, no se porqué pero...
No hay mas rootkit ^^
Lo mas es raro es que, los supuestos ficheros .sys que son los rootkits, no tienen nada, calculo que es porque se corrompieron en el momento de la pantalla azul ^^.
Ficheros:
senekabnepuoej.sys
senekahupxonjl.dll
senekaoirqodyi.dat
senekapkklrrxf.dll
senekaqaedapqm.sys
senekaubcnpyrs.dat
senekawwtnvtxc.dll
sleen16.sys
sleen1664.sys
Nota: estos 2 últimos archivos creo que son de otra empresa, que no tiene nada que ver con el rootkit.
ArchiCrypt Live Engine
Esas son las descripciones de los ficheros.
Saludos
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

Arcano.

#3
Buenas winroot!

Con los que me he topado, los he eliminado mediante GMER. Ahora bien, también he fastidiado algún equipo -de ensayo- haciéndolo de ese modo...  :P

Te diría que hagas caso a Roy-Mustang con el 'unhackme', aunque nunca lo he probado. Por lo que él comenta, parece eficaz.

Si eso no te funciona, te detallo cómo suelo hacerlo yo. Pero OJO con lo que borras. Te diría que cuando empieces a tocar el registro, PRIMERO hagas una copia de la rama que vas a eliminar por si acaso. Puede que el método que te comente me haya funcionado con los rootkits que he tenido el placer de conocer, pero el que tú indicas... Ni idea de su procedencia...

Yo hago lo siguiente:

(0) Inicio en modo seguro sin conexiones de red.
(1) Lanzo GMER. (No es necesario scan completo)
(2) Lanzo Autoruns.

(3) Mediante el GMER, miro el nombre que me da. (Marcado en rojo)
(4) Me dirijo a Autoruns y realizo la búsqueda por el nombre anterior.
(5) Me coloco en el nombre y mediante el secundario pico en 'Jump To...'
(6) Una vez en la rama indicada, por norma, se le debe otorgar permisos (a todos). En esa rama, verás dónde está el archivo -el mismo que te indica GMER-. Das permisos a la rama de registro (antes deberías haber hecho la correspondiente copia) y la borras.

Así con todos los archivos que te indique GMER. Una vez eliminadas las ramas, puede elimianr los ficheros de sus correspodientes rutas. O a la inversa, el orden de los factores, en este caso, no altera el producto.

También puedes hacerlo sólo con GMER, sin autoruns y matando el proceso explorer. Mediante la pestaña del registro, sabrás -porque lo indica en color rojo-; la rama afectada. Abres regedit y realizas los pasos indicados anteriormente.

Lo dicho... No te compliques a mano si no es necesario.

Saludos!

EDITO

Winroot said:
Citaredit:
Solucionado!

Pos hale, perfecto!! Bien hecho!

Saludos.
La curiosidad es la antesala al conocimiento...

Roy-Mustang

#4
Pues el Unhackme es muy eficaz, creeme, solo que es de paga, pero esta la version completa full, por treinta dias.
y que bueno que solucionastes tu problema  ::)
aqui la web oficial http://www.greatis.com/unhackme/
Saludos

Arcano.

#5
CitarPues el Unhackme es muy eficaz

La verdad es que, hasta ahora, siempre me he peleado con los rootkits 'a manos desnudas'. Sin guantes ni na de na... Pero... No va mal saber de la aplicación que comentas. Había oído algo sobre ella, pero no la había probado.

Saludos!!!
La curiosidad es la antesala al conocimiento...

Arcano.

Por si a alguno le pudiera resultar de interés, os muestro en un "doc" lo que os comentaba anteriormente.

Directo y sencillo...

http://www.mediafire.com/?3ezz8rfejtxq87d

Saludos.
La curiosidad es la antesala al conocimiento...

winroot

Buenas!
Gracias a todos !
@Arcano
Mediafire a mi no me anda ^^.
Pero creo que te entendí.
Tu dices que, gmer cuando muestra algo en rojo,( supongamos serviciooculto), el ya lo desocultó de la key hklm\System\control xxx\services ?
Si es así, uno siempre aprende algo nuevo ^^.
Hoy un poco mas tranquilo me di cuenta en realidad de lo que pasó.
Cuando eliminas un servicio, este sigue cargado hasta que reinicies la pc, o al menos eso es lo que pasó ayer ^^.
El reinicio fue por la pantalla azul  causada por gmer, un simple análisis del memory.dmp con la utilidad dumpchk, dijo algo como que fue todo culpa de gmer.sys ^^.
Por último, me sorprende la cantidad de pcs que lanzan escaneos automatizados a rangos de ips,



#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path

2010-12-06 11:12:32 DROP TCP 67.227.205.205 186.122.186.54 4512 12605 40 AR 0 3424967945 0 - - - RECEIVE
2010-12-06 11:12:47 DROP TCP 82.98.131.106 186.122.186.54 80 1103 57 AP 1385908769 1218502342 54 - - - RECEIVE
2010-12-06 11:13:27 DROP TCP 72.21.91.19 186.122.186.54 80 14267 44 SA 129186226 4267510545 5840 - - - RECEIVE
2010-12-06 11:13:31 DROP TCP 72.21.91.19 186.122.186.54 80 14267 44 SA 129186226 4267510545 5840 - - - RECEIVE
2010-12-06 11:13:37 DROP TCP 72.21.91.19 186.122.186.54 80 14267 44 SA 129186226 4267510545 5840 - - - RECEIVE
2010-12-06 11:14:03 DROP TCP 212.34.241.212 186.122.186.54 2337 445 64 S 1491318825 0 53760 - - - RECEIVE
2010-12-06 11:14:06 DROP TCP 212.34.241.212 186.122.186.54 2337 445 64 S 1491318825 0 53760 - - - RECEIVE
2010-12-06 11:17:26 DROP TCP 98.126.216.18 186.122.186.54 80 375 48 SA 301011239 1143409153 16384 - - - RECEIVE
2010-12-06 11:32:31 DROP TCP 222.155.101.237 186.122.186.54 3596 23 60 S 512014003 0 5808 - - - RECEIVE
2010-12-06 11:34:54 DROP TCP 95.110.132.39 186.122.186.54 4795 1433 48 S 1411427893 0 65535 - - - RECEIVE
2010-12-06 11:34:56 DROP TCP 95.110.132.39 186.122.186.54 4795 1433 48 S 1411427893 0 65535 - - - RECEIVE

Y la lista sigue, hasta llegar al día de hoy, donde la cosa no cambia mucho...
Saludos!
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

Arcano.

#8
Buenas!

No me queda muy claro si has logrado librarte de él... :huh:

Y MegaUpload te anda??  :P

http://www.megaupload.com/?d=BL6RMT9R

CitarCuando eliminas un servicio...

Es que el servicio no debes matarlo. El servicio es propio de Windows, no tiene dientes largos ni pelo verde. El bicho, el que tiene ojos saltones y lo anteriormente comentado, es el que se acopla al servicio de Windows. Debes matar 'al bicho', no al servicio. Podrías... Es lo que se llama -y se quedan tan tranquilos- como daños colaterales, pero... No es la forma de acabar con el enemigo.

Sólo mirando las tres primeras IPs:

Citar67.227.205.205 (Estados Unidos)
82.98.131.106 (Compostela -España)
72.21.91.19 (Estados Unidos)

O estás jugando a algún juego online con tus amiguetes o... Tienes un bichito en tu PC que está comunicándose con sus coleguitas para montarse una juerga en tu ordenador...

Prueba esto: http://support.kaspersky.com/viruses/solutions?qid=208280684

A ver si tienes suerte y te lo elimina.

Podrías probar: (1) Descargarlo. (2) Iniciar en modo seguro y lanzar el ejecutable.

Saludos





La curiosidad es la antesala al conocimiento...

winroot

Buenas!
Si,megaupload me funciona.
El tema de mediafire pasa por un tema con el noscript.
El tema del log del firewall de windows, todos esos paquetes son eliminados, además de que el firewall de windows si no me equivoco solo bloquea tráfico entrante.
Además de eso, me equivoqué y puse los registros de justamente cuando estaba infectado, aunque ahora pasa mas o menos lo mismo.

2010-12-07 20:02:11 CLOSE UDP 170.51.253.24 170.51.255.166 3713 53 - - - - - - - - -
2010-12-07 20:02:11 CLOSE UDP 170.51.253.24 170.51.255.166 3711 53 - - - - - - - - -
2010-12-07 20:02:11 CLOSE UDP 170.51.253.24 170.51.255.166 3715 53 - - - - - - - - -
2010-12-07 20:02:11 CLOSE UDP 170.51.253.24 170.51.255.166 3714 53 - - - - - - - - -
2010-12-07 20:02:17 OPEN TCP 170.51.253.24 66.118.151.59 3720 80 - - - - - - - - -
2010-12-07 20:02:21 OPEN TCP 170.51.253.24 66.118.151.59 3721 80 - - - - - - - - -
2010-12-07 20:02:21 OPEN TCP 170.51.253.24 66.118.151.59 3722 80 - - - - - - - - -
2010-12-07 20:02:21 OPEN TCP 170.51.253.24 66.118.151.59 3723 80 - - - - - - - - -
2010-12-07 20:02:21 OPEN TCP 170.51.253.24 66.118.151.59 3724 80 - - - - - - - - -
2010-12-07 20:02:21 OPEN TCP 170.51.253.24 66.118.151.59 3725 80 - - - - - - - - -
2010-12-07 20:02:34 CLOSE TCP 170.51.253.24 66.118.151.59 3724 80 - - - - - - - - -
2010-12-07 20:02:34 CLOSE TCP 170.51.253.24 66.118.151.59 3723 80 - - - - - - - - -
2010-12-07 20:02:34 CLOSE TCP 170.51.253.24 66.118.151.59 3725 80 - - - - - - - - -
2010-12-07 20:02:34 CLOSE TCP 170.51.253.24 66.118.151.59 3722 80 - - - - - - - - -
2010-12-07 20:02:34 CLOSE TCP 170.51.253.24 66.118.151.59 3721 80 - - - - - - - - -
2010-12-07 20:02:34 CLOSE TCP 170.51.253.24 66.118.151.59 3720 80 - - - - - - - - -
2010-12-07 20:03:11 CLOSE UDP 170.51.253.24 170.51.255.166 3716 53 - - - - - - - - -
2010-12-07 20:03:11 CLOSE UDP 170.51.253.24 170.51.255.166 3718 53 - - - - - - - - -
2010-12-07 20:04:04 CLOSE TCP 170.51.253.24 74.125.229.7 3717 80 - - - - - - - - -
2010-12-07 20:05:00 OPEN UDP 170.51.253.24 170.51.255.166 3726 53 - - - - - - - - -
2010-12-07 20:05:01 OPEN UDP 170.51.253.24 170.51.242.18 3726 53 - - - - - - - - -
2010-12-07 20:05:02 DROP ICMP 170.51.253.24 170.51.242.18 - - 176 - - - - 3 3 - SEND
2010-12-07 20:05:02 DROP ICMP 170.51.253.24 170.51.255.166 - - 176 - - - - 3 3 - SEND


Tcp view no muestra nada raro, un snifeo con  Wireshark tanpoco, autoruns tanpoco,listdlls tanpoco, handle tanpoco, y un poco de análisis a un dump de ram generado con windd usando volatility y strings / grep tanpoco.
el tema del servicio ya me contesté solo, haciendo una prueva con osr loader y un driver de prueva (el hola mundo ).
Creo que no me entendiste con lo del servicio, o yo me explique mal.
La mayoría de rootkits (este también) son drivers.
Un driver no se puede cargar solo, requiere de un programa en modo usuario que lo cargue.
este programa en modo usuario (loader), usa las apis del scm para cargar el driver.
El loader para cargar el driver tiene que crearle un servicio, generalmente llamando a la función de la api CreateService.
Esto resulta en la creación de las keys hklm\system\currentcontrolset\services\nombredelservicio y en hklm\system\currentcontrolset\enum\root\legacy nombredeservicio.
Además de esto, el scm (services.exe) agrega el servicio en la base de datos que mantiene en memoria.
Luego de registrar el servicio, el loader llama a la función StarService si no me equivoco.
Cuando se llama a esta función, el scm carga el driver en el proceso system.
Bien, cuando gmer elimina un servicio (en este caso un servicio llamado seneka), me imagino que llama a  la función equivalente a DeleteService en modo usuario.
en este caso, la función eliminó el servicio de la db del scm, pero no lo descargó de la memoria, lo que pasa porque algunos drivers no instalan esta función.
gmer al eliminar el servicio, el driver seguía cargado en ram, y me desinfecté después del reinicio por la pantalla azul.

Gracias de nuevo, y un saludo!
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com