miércoles, marzo 25, 2015

Análisis de una infección [I de II]

Hoy nos han traído a nuestro taller un ordenador portátil que funciona muy lento y salen muchas ventanas de publicidad. He decidido intentar hacer una puesta a punto sin usar "la intuición informática", sin ayuda del sexto sentido, las musas ni el Tao de la programación. Intentando limpiar y optimizar el sistema con las herramientas que pueden estar en mano de cualquier usuario dejando a un lado las técnicas que la experiencia me han llevado a depurar, como eliminación de carpetas concretas, "retoques" manuales del registro y otras cochinadas. El proceso ha sido el siguiente:




Como parece que tengo virus, compro un antivirus, lo instalo y analizo el sistema. Una vez hecho esto veo que Kaspersky ha detectado 23 amenazas y las ha eliminado. Vamos a abrir el informe del antivirus para ver cual era la infección:



Figura 1: amenaza detectada: troyano dentro de un exe con el nombre de la
serie de TV Homeland - Tercera temporada que se descargó hace unos días 

Figura 2: troyano escondido dentro de un enlace a Internet Explorer
Figura 3: troyano escondido dentro de un enlace a Mozilla Firefox
Figura 4: adWare escondido dentro de una aplicación para bloque de publicidad en Youtube

Figura 5: adWare con el complemento RoboSaver, que muestra ofertas, cupones, ...




El propio antivirus me pide reiniciar para terminar de eliminar las amenazas. Vamos a ello. Una vez de vuelta en el escritorio, veo que hay un acceso directo sin icono. Voy a ver a donde apunta:

Figura 6: icono sospechoso en el escritorio


Figura 7: detalles del icono





En el get del destino hay esta información: 

C:\Users\usuario\AppData\Local\Temp\Launcher__6063_i1479283952.exe /ver 1.1.5.26 /u http://www.amoninst.com/index.php /ver 1.1.5.26 /ci 6063 /appimageurl http://s3.amazonaws.com/refresher-bundles/amonetize/icon.png /appname Setup /appsetupurl . /ti1 28785

Veo que es una llamada al ejecutable Launcher__6063_i1479283952.exe que está en la carpeta C:\Users\usuario\AppData\Local\Temp\ y le pasa de argumento el sitio web http://www.amoninst.com/index.php y otros que identifican al icono de la web entre otros.

Huy que turbioooooo!!! . No me fío de hacer doble click, así que para seguir investigando voy a abrir en el navegador la URL para ver a donde me mandaba (http://www.amoninst.com/index.php):


Figura 8: Chrome troyanizado

Nada más abrir Chrome ya detecto que la página de inicio ha sido cambiada por otra. Yo tenía el buscador google y ahora sale el buscador "start my search". En fin, pego la URL en la barra de direcciones y me sale la siguiente ventana en Chrome:


Figura 9: alerta en Chrome


Lo que sospechaba, la URL de la web no es para nada fiable. Me alegro de no haber hecho doble click en el icono. Ahora que me he dado cuenta de que la página de inicio ha sido modificada en Chrome voy a restaurar las opciones por defecto para volver a dejarlo como estaba. Voy a configuración y veo que las extensiones también han sido modificadas, así como los motores de búsqueda de Chrome:


Figura 10: motores de búsqueda de Chrome modificados

Figura 11: extensiones de Chrome modificadas


Pongo todo esto un poco en orden, pero ahora no me fío de Chrome, ya que ha sido tan troyanizado y modificado que puede que no todas las amenazas se hayan corregido. Voy a buscar algo de información en Mozilla Firefox que es un poco más seguro para esto de los virus:


Figura 12: Mozilla Firefox troyanizado


**************************************************************************************
**************************************************************************************

No hay comentarios:

Publicar un comentario

Puedes dejar tus comentarios, sugerencias y críticas, pero los mensajes PUBLICITARIOS, OFENSIVOS o DESTRUCTIVOS serán marcados como spam y eliminados.