Analizando un archivo infectado y limpiandolo

lunes, 31 de enero de 2011
Buenas, algunas personas, no saben como analizar a fondo un archivo ejecutable que posiblemente
esté infectado, en este tutorial os explicaré como analizar un archivo, sacar los datos, y limpiarlo de las conexiones que establece, en una parte del sysanalizer cogeré las imagenes del post de antrax para no repetir el procceso.
Herramientas que vamos a utilizar:


- Netstat agent.

Descarga:

http://www.netstatagent.com/download/

- Sysanalizer.

Descarga:

http://labs.idefense.com/software/download/?downloadID=15

- Hex workshop.

http://www.bpsoft.com/bbl/download/download.html?dlfile=hw32v514.exe


Empezemos, aquí tenemos el "Crypter FUD" con regalito, que alguien a posteado en indetectables
diciendo que es FUD, pues bueno, le sacaremos las tripas a su crypter, y miraremos todo sobre él, de diferentes maneras, y nos daremos cuenta de si esta infectado o no, lo primero que haremos en abrir nuestra virtual, y ejecutar dicho archivo, debemos cerrar todos los programas y las ventanas de internet, para que no haya nada que cree conexión de salida.
Ya está todo ejecutado, ahora la primera forma de ver si crea conexión (con posible infección) sería haciendo los
siguientes pasos, nos iremos a Inicio, a ejecutar, y pondremos "cmd", ahora nos saldrá esta ventanita, y pondremos "netstat", y nos saldra esto, dependiendo de la infección nos saldrá menos conexiones o más.
 ¿Qué es netstat?

Netstat es un comando que vamos a introducir en la cmd, la cual nos mostrará las conexiones que
se establecen en nuestro ordenador.


Bueno ya hemos analizado la parte fundamental, ahora sabemos que crea conexión, ahora hay que verificar si esa
conexión es maligna o benigna, maligna, si conecta al cliente, y benigna si conecta a otro lado como microsoft o internet explorer, dependiendo de como este programado, etc, bién ahora sabemos que crea conexión entonces cogeremos el sysanalizer y lo miraremos más a fondo, analizaremos si se inyecta en algun procceso, y nos mostrará más claramente las IP's de el "crypter fud" en las imagenes llamado "server", por que he cogido las imagenes de antrax.
 Nos tirara un List Data sobre las cosas que estan corriendo en nuestra PC, cambios que se han producido, etc.
 Para ver mas detelladamente todo, cerramos este list data y nos quedamos con lo que nos dice el programa.
Como se vé en la imagen este "crypter fud" se inyecta en el navegador por defecto que tengamos, en este caso se utiliza el firefox, por lo cual se inyecta en el firefox.
 
 Como vemos ahora, el "crypter fud" o en las imagenes "server", crea un archivo en el system32 llamado server.exe, por lo cual ya sabemos que está infectado, entonces ya sabemos donde se inyecta, su IP, y donde se crea el server, ahora como sabemos que esta infectado y sabemos a que IP conecta vamos a intentar desinfectarlo para coger el crypter limpito sin que haya conexiones.. o tal vez sí, pero a localhost, por que lo pondremos nosotros, no voy a introducirme más a fondo en saber si está infectado por que es obvio que sí lo está, ahora se podria mirar el regedit, etc.. pero lo dejaremos para otra ocasión, ahora nos iremos al netstat agent, y daremos doble click sobre el procceso de antes, y lo cerraremos, por lo cual ya no hay procceso que nos haga daño o tenga peligro.


Pasamos a limpiar el archivo, asin que abriremos nuestro "crypter fud" con Hex workshop, y miramos la parte del codigo a la derecha, donde esta señalado por un cuadrado de color rojo.

 Todo bién, entonces ahora buscaremos algo que se parezca a una conexión que se pueda establecer, pero como nosotros la sabemos de antes la buscaremos, os saldrá algo asin.

Hay indica la dirección, pues ahora cambiaremos esa dirección que es donde se mandan nuestros datos, para que no se manden, está bién si lo borramos o aún mejor si lo modificamos y ponemos que no se envien, pondremos por lo cual nuestro local host que sería 127.0.0.1, quedaría asín.
 Como veis hemos modificado la conexión que establecia hacia el que quería infectar y hemos colocado nuestro localhost por lo cual todos los datos nuestros están a salvo, y además tenemos un crypter, esto esta bueno para cuando quieren infectar con servidores de bifrost que están fud, lo cual empleamos esto y lo cambiamos a localhost o si quereis a nuestra ip/no-ip entonces nos quedará el server para nosotros fud.

Bueno, ahora que hemos quitado las conexiones, lo hemos limpiado, y todo, nos queda
por asegurar si todavia queda ago en el registro, nos iremos a la "cmd" y le daremos a "ejecutar" y pondremos regedit.
 Ahora pulsamos en aceptar, y veremos el registro de nuestro sistema, nos saldrá algo asín.
Perfecto ahora estaremos en el registro, ahora nos iremos a HKEY_LOCAL_MACHINE en mi caso por que el windows está en inglés, algunas veces aparece el "crypter fud" aquí en este caso aparece en esta parte, ya que el crypter se instalaba como un instalador entonces todos
los programas instalados salen en la parte de "Software" o en vuestro caso si utilizais el windows en español "Programas"
 
 Le dais a botón derecho y lo eliminais todo, luego lo cerrais, y si quereis para que este
todo bién reiniciais el ordenador, y si quereis aún más le pasais de nuevo el sysanalizer al archivo para asegurar 100%, un saludo. 


0 comentarios:

Publicar un comentario