wenas, no se como me infectado con esto

Iniciado por tecasoft, 29 Agosto 2010, 20:59 PM

0 Miembros y 1 Visitante están viendo este tema.

tecasoft

wenas, pues aya va, no soy un experto en windows pero reconozco que se lo suficiente sobre virus, pero no destriparlos ni na x el estilo.

1º- instale el windows xp professional en maquina virtual y antes de conectarlo a la red estuve, poniendo politicas De Seguridad y blandando las contraseñas contra ataques de fuerza bruta.

2º- conecte el cable para la maquina virtual xp y descargue el virustotal uploader lo primero con internet explorer, le pase a los procesos la aplicacion esa y me sacaba solo el proceso svchost.exe como infectado, pero solo lo detectaba el esafe.
Win32.Conficker.worm

cosa que me extraño, como e podido infectarme en cuestion de segundos y sin acceder a ningun lado y el pc no hay nada en red,etc.

luego de haber instalado el avast,zonealarm,firefox, malwarebytes y no haber detectado nada,

me di cuenta que parece que se quiere propagar o algo y con el virustotal me sacaba el:
Mcafee-gw-edition
este en el proceso services.exe:

Heuristic.BehavesLike.Win32.Suspicious.H

agradeceria que me comentaran un poco sobre estos dos malwares en estos procesos.

y que me dijeran unas herramientas para xp que hayan probado y que den muy buenos resultados para complementar a las ya mencionadas. e mirado en sysinternals qu me recomiendan y si puede ser software libre jaja
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

[ANTRAX]

Hola amigo. Que tal? a ver si te sirve esta data.

  • Introducción     
       Supongo que mas de uno se preguntó de donde salió el archivo svchost.exe y porque se está ejecutando tantas veces y consumiendo tantos recursos.

    Bueno, para que tengan una idea clara, vamos a decir que básicamente es el encargado en Windows XP de ejecutar los servicios que corren desde una DLL (dynamic-link libraries).

       
          
  • Mas Información    
       El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32.
    Cuando se inicia Windows, Svchost.exe chequea el registro para poder armar la lista de servicios que necesita cargar.

    Cada instancia de Svchost.exe puede ejecutar uno o mas servicios, todo depende de la manera en que se inicie.

    Los grupos de servicios se encuentran en la siguiente rama del registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost


    Cada valor dentro de esta rama, representa un grupo y será visualizado como una instancia de Svchost, cuando veamos la lista de procesos.

       
          
  • Mas de cerca    
       Para poder ver la lista de servicios que se están ejecutando a través de Svchost, nos dirigimos a la consola ( Inicio / Ejecutar / cmd [Enter]) y escribimos:

    C:\>tasklist /svc

    El comando tasklist lo que hace es mostrar la lista de procesos activos, el parametro /SVC nos muestra la lista de servicios activos en cada proceso.

    Este es un ejemplo, sacado de mi máquina.


    Image Name                   PID Services                                    
    ========================= ====== =============================================
    System Idle Process            0 N/A                                          
    System                         4 N/A                                          
    smss.exe                     456 N/A                                          
    csrss.exe                    512 N/A                                          
    winlogon.exe                 536 N/A                                          
    services.exe                 580 Eventlog, PlugPlay                          
    lsass.exe                    592 ProtectedStorage, SamSs                      
    svchost.exe                  760 RpcSs                                        
    svchost.exe                  852 AudioSrv, CryptSvc, Dhcp, dmserver,          
                                     EventSystem, lanmanworkstation, Netman, Nla,
                                     RasMan, SENS, ShellHWDetection, TapiSrv,    
                                     winmgmt                                      
    svchost.exe                  924 Dnscache                                    
    spoolsv.exe                  964 Spooler                                      
    EXPLORER.EXE                1192 N/A                                          
    tca.exe                     1464 N/A                                          
    avgcc32.exe                 1472 N/A                                          
    MsgPlus.exe                 1480 N/A                                          
    TCLOCK.EXE                  1524 N/A                                          
    zapro.exe                   1544 N/A                                          
    avgserv.exe                 1756 AvgServ                                      
    vsmon.exe                   1788 vsmon                                        
    wmiapsrv.exe                1900 WmiApSrv                                    
    Far.exe                      504 N/A                                          
    regedit.exe                  596 N/A                                          
    cmd.exe                     1496 N/A                                          
    tasklist.exe                1324 N/A                                          


  • Para tener en cuenta     
       Al margen de que varios virus y/o troyanos infectan este archivo haciéndonos creer que es uno de ellos, debemos tener presente que otros, si llegar a infectarlo intentan engañarnos utilizando un nombre parecido.

    scvhost.exe Lo instala el virus W32/Agobot-S. Se trata de un gusano y troyano backdoor de IRC que se copia asi mismo aprovechando los recursos compartidos con passwords débiles. E intenta propagarse utilizando las vulnerabilidades del RPC Locator y DCOM RPC.

    svchosts.exe Lo instala el virus Sdbot-N. Es un troyano backdoor que permite a un usuario remoto controlar nuestra máquina a través del IRC. Se ejecuta en background, y trata de conectarse a un canal específico de un servidor de IRC y luego queda a la escucha de ciertos comandos para llevar a cabo sus correspondientes acciones.

    svshost.exe Lo instala el virus Worm.P2P.Spybot.gen

    Para mas informacion, visita este enlace: http://www.elhacker.net/archivo-SVCHOST.html

    Como conclusion te puedo decir que este archivo o proceso es del sistema siempre y cuando este adentro de system32. En caso contrario es una infeccion

    Saludos y espero que te sirva!

    ANTRAX

seclogman

#2
Cita de: tictac en 29 Agosto 2010, 20:59 PM
wenas, pues aya va, no soy un experto en windows pero reconozco que se lo suficiente sobre virus, pero no destriparlos ni na x el estilo.

1º- instale el windows xp professional en maquina virtual y antes de conectarlo a la red estuve, poniendo politicas De Seguridad y blandando las contraseñas contra ataques de fuerza bruta.

2º- conecte el cable para la maquina virtual xp y descargue el virustotal uploader lo primero con internet explorer, le pase a los procesos la aplicacion esa y me sacaba solo el proceso svchost.exe como infectado, pero solo lo detectaba el esafe.
Win32.Conficker.worm

cosa que me extraño, como e podido infectarme en cuestion de segundos y sin acceder a ningun lado y el pc no hay nada en red,etc.

luego de haber instalado el avast,zonealarm,firefox, malwarebytes y no haber detectado nada,

me di cuenta que parece que se quiere propagar o algo y con el virustotal me sacaba el:
Mcafee-gw-edition
este en el proceso services.exe:

Heuristic.BehavesLike.Win32.Suspicious.H

agradeceria que me comentaran un poco sobre estos dos malwares en estos procesos.

y que me dijeran unas herramientas para xp que hayan probado y que den muy buenos resultados para complementar a las ya mencionadas. e mirado en sysinternals qu me recomiendan y si puede ser software libre jaja



Es raro que te hayan aparecido esos malwares asi porque si en el sistema operativo, a no ser que el sistema operativo que hayas instalado sea uno de estos modificados que se instalan sin meter seriales y con partes quitadas etc, muchos de ellos llevan malwares encima :rolleyes:


En cuanto a seguridad, te recomendaria que el avast ( basura ) te lo quitaras y te pusieras el antivir avira ( free edition ) + registryprot ( monitorea el registro en tiempo real y te enteras de las entradas que se introducen en el registro en todo momento y si quieres aceptas que se agreguen a registro o no, evitando que cualquier malware se acople al registro sin que te enteres )



Un saludo





tecasoft

si estuve hechando vistazos a las deficiencias que habia entorno a los puertos RPCs y el svchost.exe pero de momento el registryprot parece que resuelve un poco el problema. de todas formas me habeis servido de bastante ayuda gracias, hay alguien mas x el foro que pueda aportar algo +,


x cierto los servicios activos estan desactivados al maximo, x cierto como ahora estoy mirando un poco el xp alguien conoce un cortafuegos(firewall), que tenga las mismas caracteristicas de configuracion que el zonealarm cuando funcionaba con todas las opciones, es decir tcp,udp,icmp, rango de puertos, etc.
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

[ANTRAX]

Mira.. sinceramente con todos los que he probado, me quedo con el ZoneAlarm 2010.
Pero tambien se que es bueno el Outpost

Saludos!

ANTRAX