Duda con posible infección meterpreter en Windows10

Iniciado por xavi_goma, 10 Febrero 2018, 23:59 PM

0 Miembros y 1 Visitante están viendo este tema.

xavi_goma

Hola a todos los foreros de Elhacker.net .
Este es mi primer post, asi que si cometo algun error, agradeceré cualkier corrección aportada.
Mi duda, que espero me ayuden a resolver es la siguiente:
El otro dia empecé a percibir comportamientos extraños en mi pc,(después de instalar un juego descargado) tales cómo que en C: se creaban varias carpetas con nombres muy largos con numeros y letras (p ej: Ahek740jlg5Fk9) i dento dw ellas siempre los mismos 6 o 7archivos (no recuerdo los nombres, ni puedo adjuntar capturas, pues ya formateé). Otro síntoma es que en la esquina inferior derecha de la pantalla apareció 1 triangulo( como 1 icono, pero al clickar no hacia nada) y lo que mas me preocupó es que aparecia nada mas tocar el boton de encendido, antes de la carga del bios incluso.
El siguiente paso fue ejecutar 2 antipayloads y los 2 me detectaron el mismo "problema":
Type: meterpreter
Process: Background task host
PID:1420
Location: C:\windows\system32\Background taskhost
Remote adress: 204:79:197:200 (50282)

Ahora el pc está limpio, ya que hice 1 formateo y limpieza profunda del HD, y buscando info de la ip 204... mencionada antes, y  me aparece esto:

Dirección de IP
204.79.197.200 Check 204.79.197.200 at Senderbase.org  Check 204.79.197.200 at Reputationauthority.org
Ciudad
Redmond Redmond in Wikipedia
Bandera de país
EE UU
Código DMA
819
Provedor
Microsoft Corporation Search Microsoft Corporation at Google
Region (Code)
Washington (WA) Washington in Wikipedia
Grado de latitud
47.6801
Código de distrito
425
Hostname
a-0001.a-msedge.net Check a-0001.a-msedge.net at Senderbase.org  Check a-0001.a-msedge.net at Reputationauthority.org
País
EE UU EE UU in Wikipedia
Grado de longitud
-122.1206
Código postal
98052
Huso Horario
America/Los_Angeles Timezones in Wikipedia
Continente
America Continents in Wikipedia
TLD
US Top Level Domains in Wikipedia
Diferencia de la Hora
-8

Ahí es cuando ya me pierdo, que significa esto?
Que estaba infectado por alguna ***** de Windows, o que algun malware aprovechava alguna vulnerabilidad de Windows para hacerse pasar por algun proceso del SO y así no ser detectado??
O por donde van los tiros??
Muchas gracias de antemano!!

AXCESS

#1
Es mi intención compartir un criterio.
No sabría responderle a su interrogante sobre qué tipo de virus era y su comportamiento u objetivos. Eso, pienso, solo pudiera contestarlo una compañía de seguridad especializada en antivirus.
He aquí mi criterio o punto de vista:
El creador de un virus (cualquiera de sus tipos y clases), por lo general sabe lo que hace y tiene objetivos a lograr con su creación. Esto incluye, obviamente, robo de información, y para ello necesitan salida hacia un host remoto.
De cualquier modo, el tipo de malware que era es irrelevante, pues lo relevante es la experiencia. Y tomar aprendizaje del costo. Instalar un antivirus de confianza y prestigio; configurarlo apropiadamente; instalar un firewall con similares características. Siempre confíe en ambos (ojo: no son invulnerables!!); pero le ayudarán y prevendrán (es clave mantenerlos actualizados, pues el mundo de la seguridad es en extremo cambiante y vertiginoso).
Es curioso ver que se le da una solución de infección con un formateo: hay virus muy resistentes, incluso al formateado, o se alojan en el BIOS. Mal remedio sería instalar un antivirus (o sistema de seguridad) en un sistema vulnerado e infestado.

xavi_goma

Cita de: AXCESS en 11 Febrero 2018, 19:47 PM
Es mi intención compartir un criterio.
No sabría responderle a su interrogante sobre qué tipo de virus era y su comportamiento u objetivos. Eso, pienso, solo pudiera contestarlo una compañía de seguridad especializada en antivirus.
He aquí mi criterio o punto de vista:
El creador de un virus (cualquiera de sus tipos y clases), por lo general sabe lo que hace y tiene objetivos a lograr con su creación. Esto incluye, obviamente, robo de información, y para ello necesitan salida hacia un host remoto.
De cualquier modo, el tipo de malware que era es irrelevante, pues lo relevante es la experiencia. Y tomar aprendizaje del costo. Instalar un antivirus de confianza y prestigio; configurarlo apropiadamente; instalar un firewall con similares características. Siempre confíe en ambos (ojo: no son invulnerables!!); pero le ayudarán y prevendrán (es clave mantenerlos actualizados, pues el mundo de la seguridad es en extremo cambiante y vertiginoso).
Es curioso ver que se le da una solución de infección con un formateo: hay virus muy resistentes, incluso al formateado, o se alojan en el BIOS. Mal remedio sería instalar un antivirus (o sistema de seguridad) en un sistema vulnerado y/o infestado.


Hola Axcess!! En 1er lugar, gracias por la respuesta.
Mi intención no era saber que virus era, o que hacía, sinó tener mas información acerca del origen de la infección.( Como puedes ver al geolocalizar la ip del atacante, me dice que es de Redmond(sede Microsoft) y el proveedor es Microsoft Corporation Search. I el host:
Hostname
a-0001.a-msedge.net Check a-0001.a-msedge.net at Senderbase.org  Check a-0001.a-msedge.net at Reputationauthority.org)
Luego otro apunte es que el icono que me apareció en el escritorio (esquina inferior derecha) se mostraba antes incluso de cargar el bios , con lo qual pensé que era un virus realmente chungo ya me pensé que se habia instalado en bios o en el sector de arranque y no podria deshacerme de el.
Primero hice un restablecer el sistema,borrando datos, pero la primera de las 2 opciones que te da Windows 10, y la infección seguia presente, ya que el maldito icono seguia saliendo, y las carpetas con nombre raros en c:\ también.
Entonces hice otro restablecer el sistema pero esta vez la seguda opción (que dice algo así como:esto puede tardar horas pero dificulta la recuperación de sus archivos, utilice esta opcion si desea reciclar el equipo) y entonces si se limpió.(ahora ya no tengo el molesto icono ni las carpetas) y paso los antipayloads y no me dan ningun proceso detectado.

Ahora tengo el pc (diria casi seguro que limpio de infecciones) con malwarebytes (version free) i avast (version free) y los 2 antipayloads siempre funcionando, i en principio todo OK.

Agradezco cualquier información que me puedan dar al respecto, ya sea info sobre la procedencia de la infección, cualquier aclaración sobre si proviene de Microsoft, o si el maldito bicho se hace pasar por Microsoft para pasar desapercibido en mi equipo, o si alguien le ha pasado lo del icono y las carpetas, o como lo solucionaron, o que pruebas harían ustedes para comprobar que estoy limpio...

Axcess , lo de mal remedio sería instalar antivirus en un sistema ya vulnerado o infectado,perdona mi ignorancia, pero porque sería mal remedio?
Y si aparte me dices que es curioso que lo haya solucionado formateando, y también me dices que es mal remedio instalar antivirus una vez ya estás infectado, entonces , cual sería el procedimiento a seguir para desinfectar mi pc?
Gracias de nuevo!

AXCESS

#3
Buscar la fuente de ese virus es casi imposible. La información que le brinda es falsa. Sentido común: no puede ser Microsoft.
Le menciono que es mal remedio, por el detalle de que el virus se mostraba con la BIOS. Si estaba alojado allí, debe bootear con un disco  de recuperación (creado en una PC sin problemas) que vienen en casi todas las suites de antivirus que se respeten, y desde ahí, escanear todo el sistema.
Yo haría una instalación del SO en limpio, esto sería: escanear, formatear e instalar desde 0. Acto seguido instalar el antivirus (después el resto..) ::)
Por lo que describe parece haberse alojado en el sector de arranque del disco duro (conjetura extrema: no hay seguridad, ni modo de saberlo).
Un virus (no siempre), cuando se ejecuta y expande en el sistema, deja secuelas de mal funcionamiento, pues si agredió elementos vitales.
Otro tanto, es que puede dejar puertas traseras pasivas (back door), o sea puertos abiertos y en escucha. Por ello le menciono lo de si se instala un antivirus en un sistema comprometido, pues existe la probabilidad muy elevada de que no le vaya bien. Todo depende del tipo de virus que era.
Pero bueno...no hay que ser paranoico [Logró restaurar el sistema y va Ok] ( o sí... hay que serlo: :¬¬) , pues nunca se sabe... y es ese "y si no" el que no le deja vivir :xD
No se obsesione con su origen u fuente. Si el que lo creó es en extremo competente y perfeccionista, habrá pensado en una máscara de ocultamiento.


xavi_goma

#4
Muchas gracias Axcess!
En principio cómo dije ahora iva todo Ok, pero aún y asi he preferido seguir tu consejo, he arrancado desde hirens boot cd , he escaneado, formateado, y reinstalado el SO .Todo correcto!
Ahora entiendo lo del mal remedio, es totalmente lógico!! K ignorante soy!
Lo de ser paranoico, no puedo evitarlo, ya que iso el pc para todo, desde compras en Amazon, hasta mis estudios...y claro ese es el miedo, un posible robo de password, o de identidad. Si me infectara algun malware tipo publicidades odiosas, o que me encriptara datos del hd, o cosas del estilo, pues mira, me fastidiaría mucho, pero tiene facil solución,(primero pq tengo copia de todos mis archivos en hd externos) y luego pq de no poder arreglar lo con software, tiraria de solución dràstica y haría cambio de HD. Pero como te proteges de un robo de contraseñas que ya se ha producido?? Además del daño económico,pues tendrian acceso a cuentas bancarias, etc...eso si me acojona de verdad!!
Por cierto, una última duda:
En caso de tener un virus en el sector de arranque, o en el bios del equipo, cual seria la solucion mas aconsejable? Intentar eliminar lo mediante software, o cambiar la pieza del hardware correspondiente? Y en este último caso, perdón otra vez mi ignorancia, que pieza sería la afectada, el Hd? O la placa base?
Muchas gracias de nuevo!

AXCESS

#5
No hay que ir a extremos de cambiar hardware. Eso sí, hay virus muy resistentes y pérfidos, creado para altos objetivos (gubernamentales, espionaje, etc.), y ahí sí se cambia hasta el hardware, cuando se detectan. En Irán se dio el caso; y China, Rusia y USA, hacen galas en sus guerras cibernéticas de tales fenómenos. Esto es informativo, nada que ver con Ud.
Por experiencia, he visto virus que han resistido el formateado de un disco duro; ha habido que darle formato de bajo nivel (varias veces!!). También son muy malos los que se alojan en los BIOS. Con respecto a este último, se ha resuelto (virus que ha bloqueado el BIOS): quitando la batería de la motherboard durante unas horas (se hizo corte en la polaridad); + booteando con un disco de rescate del ESET Nod 32, creado para el caso. Otros casos son más serios, pues si el virus sobre escribe el BIOS, habría que reflashearlo, si es que el virus lo deja. Esto ya sería por expertos. Nuevamente, nada que ver con Ud. No es su caso,y tenga bien presente que el BIOS es algo en extremo delicado y puede dañar irreversiblemente su motherboard.
Sobre sus interrogantes: habría que ver dónde se alojó el virus y si el antivirus no pudo eliminarlo. Por lo general este se encarga de eliminarlo, esté donde esté, si se configura una exploración personalizada que acceda a todos los factores del PC (memoria operativa, disco duro, etc.). Se recomienda bootear desde un disco de rescate del antivirus que use, si no se pudo eliminar desde el sistema operativo.
El Hiren's BootCD en el apartado de antivirus le ofrece ese tipo de función (scaneado a profundidad).
No se sugestione: si no nota males mayores, o mal funciones "extrañas", puede decir que tuvo suerte. Se nota que Windows 10 ha mejorado muchísimo con su sistema de recuperación. Sinceramente, tuvo mucha suerte, pudo haber sido peor.
En estas cuestiones siempre hay alguien con la opinión de que no hay que ser tan apocalíptico. Que no... que no es para tanto, que los antivirus hacen su trabajo, que el mejor es tal cual.
Yo pienso que hay que ser en extremo cauteloso (cuidarse, desconfiar), y creerlo, creerlo todo. Un ataque o virus puede llegar por las vías más insospechadas, por vulnerabilidades de ciencia ficción.

http://www.lavanguardia.com/tecnologia/20180103/434052339329/fallo-procesador-intel-afecta-millones-ordenadores.html

Ha no mucho, visitando a un amigo y hablando del tema, me decía con orgullo arrogante, que por eso todos sus equipos eran Apple´s ; que para Apple no había virus. Copiando un documento de su equipo, cuando lo puse en el mío... pues... sorpresita.

https://intereconomia.com/tecnologia/dispositivos-apple-estan-afectados-fallo-los-microprocesadores-intel-20180105-1842/

https://www.xataka.com/seguridad/meltdown-y-spectre-asi-es-la-pesadilla-en-la-seguridad-de-las-cpus-de-intel-amd-y-arm

Y siempre es tarde para reaccionar y el costo es elevadísimo.
Historia de horror y misterio son los Rootkits.
Estos son meros ejemplos; se especula, "conservadoramente", que mensualmente se crean 6000 nuevos tipos de virus. Muchos de ellos vulneran los modernos y flamantes antivirus.
Pero no..., no hay que ser apocalíptico y paranoico.
Seguro hay más de uno, que llegado a este punto, le surge el pensamiento:
"Eso nunca me va a afectar a mí. Yo lo único que tengo de valor está en mi carpetica oculta "Aquí no hay porno"."
Pues a más de uno le va costando (incluso a niveles elevados de ciberseguridad):
http://www.seguridadwireless.net/destacados.php
Nota:
No haga nada que no sepa hacer. Puede hechar a perder la placa de su computadora. Al parecer la infección, por lo que describe, se solucionó con la restauración de Win 10. Sea observador y esté atento a malfunciones u comportamientos raros. Si algo está bien y funciona: No lo toque!!
Le dí varias sugerencias de cómo yo procedería e instalaría el sistema de 0. No significa que tenga que volverse loco y desarmar su equipo, y menos de experimentar, causando pérdidas mayores. Las restantes referencias son más bien informativas e ilustrativas.
Le reitero, si su equipo está funcionando sin anomalías; no lo toque!
Quédele el placer del aprendizaje y la experiencia.

dapz

#6
Rootkits ? Windows ? 2018 ? Jajaja
Que buenos recuerdos los años 2009-2013 . Los rootkits de verdad murieron con x86 hace años .
Todos los ejemplos que se han sacado en x64 (todos bootkits) son tecnologia antigua , 100% detectable hoy en dia e incluso me atrevo a decir que estan muertos totalmente . Quizas haya algun gobierno con equipos sponsorizados que tengan un kit para un windows 10 (no digo 7 , vista o xp porque no interesan) x64, pero hasta que no se vea ninguno con tecnologia diferente o nuevas tecnicas de bypassear DSE , los rootkits en windows estan muertos
C/C++ ASM

xavi_goma

Ok, muchas gracias a los 2 por sus respuestas, sobretodo a ti Axcess por la dedicación y tiempo invertido en aportarme luz sobre el asunto!
Creo que doy el tema x cerrado ya. O aki no se cierran los hilos( repito k es mi primer post, y desconozco aún el correcto funcionamiento del foro.

AXCESS

#8
Cita de: dapz en 13 Febrero 2018, 01:05 AM
Rootkits ? Windows ? 2018 ? Jajaja
Que buenos recuerdos los años 2009-2013 . Los rootkits de verdad murieron con x86 hace años .
Todos los ejemplos que se han sacado en x64 (todos bootkits) son tecnologia antigua , 100% detectable hoy en dia e incluso me atrevo a decir que estan muertos totalmente . Quizas haya algun gobierno con equipos sponsorizados que tengan un kit para un windows 10 (no digo 7 , vista o xp porque no interesan) x64, pero hasta que no se vea ninguno con tecnologia diferente o nuevas tecnicas de bypassear DSE , los rootkits en windows estan muertos

Al parecer estoy desactualizado.  :-[
Siempre los menciono, porque lo que he leído de ellos ha sido malo, muy malo, y lo peor ha sido que no había defensa posible, porque evolucionaban y aprendían una vez dentro del sistema, a ocultarse de los antivirus. Se combinaban con otros malwares.
Imagino que todo evoluciona. Habrá descendientes modernos de ellos (o similares) que sean los "supervillanos" actuales. Sí que son vertiginosos estos asuntos de virus y seguridad.
Estos son unas de las últimas cosas que leí: (lamento que esté en inglés)
http://www.thewindowsclub.com/what-is-rootkit-windows      
<<me traumatizó para toda la vida.
Puntualizando:
"The DL3 rootkit...32 bit Windows"
"But TDL3 has now been updated and is now able to infect even 64-bit versions  Windows!"
(La familia) "...three different types of Rootkit."Kernel Rootkits"."User-mode Rootkits"."MBR Rootkits or Bootkits." (Medio que entendí, que los bootkits son rootkits, pero especializados.Corríjanme si me equivoco.)
https://www.pcworld.com/article/2367400/researchers-expect-large-wave-of-rootkits-targeting-64bit-systems.html    
<<<Corrobora su información (es viejita) aunque, parece que siguen dando guerra.
https://www.theregister.co.uk/2010/11/16/tdl_rootkit_does_64_bit_windows/    
<<<se van aclimatando (idem al anterior).
https://www.theregister.co.uk/2017/06/22/ms_patchguard_flaw_rootkit_risk/
<<< Llegan a Windows 10 x64 y le plantan bandera.
Por ende si existe la probabilidad (real y tangible) de una vulnerabilidad, aplica el método, sin importar el tiempo.
 
No soy experto en virus, pero no me parecen tan muertos, o sí? :-\
Yo soy partidario de que nunca estarán obsoletos, pues evolucionarán (como creación que son), se adaptarán, y buscarán nuevas metodologías de penetración. El argumento es sencillo: hay intereses de por medio, sobre todo monetarios. <<<(Criterio.)
De cualquier modo se ven peligrosos y hay que cuidarse. ;)