miércoles, 15 de febrero de 2012

Herramientas forense para ser un buen CSI. Parte IV

Compartir este artículo:
Buenas a todos, hoy continuaremos con la cadena de artículos sobre análisis forense por donde lo dejamos ayer, cómo detectar un troyano como Flu en una máquina infectada, y como eliminarlo.
Cuando reiniciamos una máquina infectada con Flu veremos como ya no existe un proceso flu.exe, pero se ha iniciado otro proceso igual, pero con otro nombre, win_32.exe:
clip_image002
Si abrimos la ubicación original del ejecutable que genera dicho proceso, nos llevará a la ruta donde se encuentra almacenado el malware (este sencillo paso nos puede servir para detectar en que rutas se hospedan las aplicaciones maliciosas, siempre que no se encuentren ocultas por un rootkit, por ejemplo):
clip_image004
El proceso no lo podremos eliminar al encontrarse en ejecución, por lo que habrá que matarlo primero:
clip_image005
clip_image006
Como ya sabéis, Flu lleva un keylogger qué almacena las teclas pulsadas por el usuario en el siguiente fichero de texto y que se encuentra almacenado al lado del ejecutable en la carpeta del usuario, como un archivo de tipo oculto:
clip_image008
Ahora ejecutaremos el comando SYSTEMINFO, para que el bot nos devuelva la información del sistema y verificar que funciona igual que el proceso flu.exe (que ayer comentamos):
Si buscamos el comando en los eventos de la máquina, podremos ver como efectivamente lo ha ejecutado:
clip_image016
Una vez que se ha recopilado información suficiente del malware, ya estamos en disposición de eliminarlo.
Para el caso concreto del troyano Flu, para eliminarlo de la máquina lo primero que tendremos que hacer será matar el proceso que ejecuta el malware (otros troyanos más avanzados incorporan sistemas para arrancar de nuevo los procesos en caso de caida, en ese caso sería necesario detectar qué otro proceso se encarga de levantarlo para proceder a inutilizarlo):
Una vez matado el proceso, eliminaremos todos los archivos del malware que se encuentran en la carpeta del usuario sin problemas.
image
El siguiente y último paso será eliminar las claves del registro que arrancan el malware con el inicio del sistema.
clip_image023
Y ya tendremos nuestro equipo limpio!. Estos pasos son los que automatiza la vacuna de Flu que podéis descargar desde aquí.
Espero que os haya gustado el post, para próximos artículos me gustaría hablaros de otros tipos de malware y traeros nuevas herramientas, se admiten ideas y aportaciones, ya sabéis que las puertas de Flu Project están siempre abiertas ;)
saludos!

No hay comentarios:

Publicar un comentario en la entrada

Related Posts Plugin for WordPress, Blogger...