martes, 25 de octubre de 2011

Análisis de comportamiento de un troyano

Compartir este artículo:

Hola!

Muy buenas a todos/as!

Hoy publicaré algo distinto y será el análisis de comportamiento de un troyano. Será algo muy básico iré avanzando conforme me vaya informando del tema.

Este artículo lo que haré será poner wireshark y ver las conexiones que establece el troyano, además de luego con process explorer y installrite ver los cambios que han habido en el sistema después de la infección con el builder.

Lo primero antes de hacer ninguna infección es guardarme con installrite un snapshot del registro y archivos del sistema para luego poder comparar los cambios, además de hacer un snapshot de la máquina virtual claro.

Una vez que me he infectado por el troyano arranco Wireshark y veo que el troyano intenta conectarse al servidor “maligno”.

Podemos ver las peticiones que haría el troyano en caso de querer conectarse al servidor desde donde enviará los datos se descargará actualizaciones etc.. Como el servidor no existe no recibe respuesta alguna, en la próxima entrega veremos como envía los datos capturados y más cosas.

Ahora con process explorer vemos el proceso que ha abierto el troyano.

Podemos ver en esta imagen varia información. No tiene asociado ningún proceso padre, debería de ser explorer.exe.

Además el command line aparece una sorpresa server.exe. A simple vista con process explorer sin mirar los detalles parecería un proceso legítimo. Sólo que yo no tenía ningún Internet Explorer abierto, además de que revisando los detalles puedo ver perfectamente la infección.

Si lo comparamos con un proceso de Internet Explorer legítimo:

Podemos ver correctamente el proceso padre, además de que la ruta en el command line es el correcto. Y, si miráramos process explorer veríamos que crea un proceso en otro hilo, y no crea desde un proceso padre varios procesos hilos. :)

Y ya con Installrite vemos que han habido cambios y a destacar entre ellos vemos que se ha añadido el archivo server.exe.

Podemos ver el server.exe en Datos de Programa Y hasta aquí un brevísimo análisis de comportamiento.Un saludo

 

No hay comentarios:

Publicar un comentario en la entrada

Related Posts Plugin for WordPress, Blogger...