malware desconocido, ¿cómo informar y a quién informar?

Navega tus respuestas
17

Soy un administrador profesional de sistemas de Windows, pero me han pillado desprevenido (o quizás algún escritor de malware ha sido muy inteligente) y detecté un malware desconocido en la computadora de mi casa ( Windows 7 x64 SP1); debe ser muy reciente y / o de un tipo de rootkit, porque ningún antivirus / antimalware / antitrojian / antianything parece poder encontrarlo, y he probado bastante algunos de ellos (y Tengo bastante alguna experiencia al usarlos).

Se lanzó hace dos días a través de Internet Explorer 8, que estaba completamente parcheado, por lo que esto es preocupante por sí mismo porque explota claramente un agujero aún sin parches (no descargué ni ejecuté nada, solo abrí una página web ); luego hizo algunas cosas obvias de malware, como ocultar archivos e íconos, flashear ventanas emergentes de error del sistema y reiniciar el sistema, y luego encontré el ejecutable principal y lo eliminé ... pero dejó algo atrás; algo que logró ocultar tan profundamente en el sistema que ninguna herramienta pudo encontrarlo, desde programas antivirus populares hasta herramientas de detección de malware altamente específicas. Por supuesto, también he comprobado todos los puntos comunes de ocultamiento de malware (registro, servicios, archivos de hosts, complementos del navegador, etc.).

¿Cómo sé que está ahí? Las búsquedas de Google (en el sitio de Google, no a través de la barra de búsqueda) a veces se redirigen a sitios de anuncios que no están relacionados, y tengo dos procesos iexplore.exe que se ejecutan constantemente en segundo plano (y reaparecen automáticamente si los mato), que nadie lanzó. más que svchost.exe (como Process Process documenta) y se conecta a sitios de búsqueda obviamente falsos.

Aparte de la pregunta obvia "¿Cómo me deshago de él?", lo que más me interesa es cómo hacer que un experto analice mi sistema para encontrar qué tipo de bestia es, para que puede detenerse antes de que salga al aire libre ... si ya no lo ha hecho.

Editar: parece que en realidad era un rootkit; Finalmente me deshice de él reescribiendo el MBR y el sector de arranque de la unidad del sistema. Aún no sé qué se estaba cargando realmente el código de arranque, algunos ejecutables aún deben permanecer ahí ... pero al menos ahora está inactivo.

    
pregunta Massimo 12.07.2011 - 23:47
fuente

4 respuestas

13

Si puedes encontrar el ejecutable o dll ofensivo, una cosa que puedes hacer es subirlo a enlace . Prueba incluso el archivo svchost si sientes que es sospechoso.

Le mostrará la cantidad de motores antivirus que lo detectan en una gran lista y también enviará su muestra, si no se detecta, a las compañías de antivirus para su posterior procesamiento y desarrollo de firmas.

    
respondido por el john 12.07.2011 - 23:56
fuente
7

Muchos proveedores de antivirus examinarán un archivo con mucho gusto: como ejemplo, este es el enlace Subir de Comodo . Microsoft también echará un vistazo .

En realidad, nunca he enviado malware a un proveedor de antivirus, pero estoy bastante seguro de que si se trata de un nuevo malware, no se realizará el análisis allí y, si ve lo que quiero decir, probablemente obtendrá un " en la base de datos, hace esto "o" no en la base de datos, veremos el resultado del tipo, ya que el análisis automático del malware es bastante difícil, excepto por el código trivial. No estoy seguro, incluso si se tratara de una nueva pieza de software malicioso que obtendría retroalimentación, pero el resultado sería una firma de detección adicional y posibles vulnerabilidades parcheadas si son desconocidas, por lo que vale la pena hacerlo para ser parte de la solución. , si quieres.

En términos de explorar lo que hace con mayor detalle, windbg y el monitor de proceso son excelentes herramientas complementarias para procesar el explorador y las ejecuciones automáticas es una excelente herramienta para examinar los puntos de entrada de inicio para los cambios.

El consejo estándar con rootkits es una instalación limpia desde medios confiables, ya que es bastante difícil de saber, por cierto, se eliminó, así que si vuelve, ese es mi consejo, junto con poner en cuarentena el sistema. de otros en la red para asegurarse de que no comience a explotarlos.

Si es un rootkit y está bien escrito, puede ser capaz de evadir ciertas herramientas de detección. A menudo, las variantes de malware se liberan después de que el mecanismo de explotación que utilizaron está parcheado, por lo que podría estar en esa ventana y eso podría explicar por qué un detector de malware determinado no funciona para el malware que se supone que detecta.

    
respondido por el user2213 13.07.2011 - 01:43
fuente
4
  

cómo hacer que un experto analice mi sistema para encontrar qué tipo de bestia es, para que pueda detenerse antes de que salga a la vida ... si ya no lo ha hecho.

Si lo tiene en su sistema doméstico, entonces, por definición, está en su hábitat natural. Entonces, demasiado tarde para eso. Desafortunadamente para el análisis, es posible que haya destruido un componente importante en el MBR.

En mi opinión, la mejor manera de analizar el malware en su sistema sería desconectarlo de la red. Utiliza una técnica de arranque en frío para visualizar la memoria RAM. Apáguelo, extraiga la unidad de disco duro y luego la imagen de la unidad de disco duro. Imagen de cualquier flash en la placa base, tarjetas PCI o cualquier otra cosa que proporcione almacenamiento de escritura persistente. ¡Entonces comienza el análisis! Por supuesto, tendría que mantener el hardware del sistema disponible en un estado no utilizado en caso de que el investigador quiera verificar una teoría.

O puedes hacer lo que sugiere @Ninefingers, parece mucho más simple de esa manera.

    
respondido por el this.josh 13.07.2011 - 01:44
fuente
0

Mi consejo es que sigas estos pasos:

  1. Realice un escaneo en línea desde sitio web de ESET

  2. Puede crear un disco de rescate desde el sitio web de Kaspersky. Nunca lo he intentado, pero si debe contener un escáner de línea de comandos. A veces, un malware o rootkit permanece sin ser detectado en Windows, pero puede eliminarse fácilmente de la shell. Apague completamente su PC e inicie desde el disco de rescate de inicio y realice un análisis completo del sistema utilizando el escáner de línea de comandos.

  3. También puedes probar una pequeña herramienta conocida. Se llama Malware Bytes . A pesar de que no es un Anti-Virus completo, pero sí detecta algunos malwares desagradables y herramientas falsas que otros productos Anti-Virus de marca no pueden detectar.

  4. A través de VirusTotal, un archivo sospechoso se transfiere automáticamente a muchos proveedores de antivirus. Pero si sospecha de un comportamiento de malware y no tiene ningún archivo sospechoso, le recomiendo que siga los pasos dados anteriormente. También consulte el foro de Kaspersky.

respondido por el RPK 13.07.2011 - 07:47
fuente

Lea otras preguntas en las etiquetas

Teclado rastreando a través de patrones de escritura grabados de audio ¿Es SOCKS seguro?