Debe estar conectado para participar
Buscar en los foros:


 






Uso de Comodín:
*    coincide cualquier número de caracteres
%    coincide exactamente un caracter

Windows Restore Service – Problema con Troyano

No hay Etiquetas
Entrada
Midle End Level

kabezont

entradas: 402

02:34 24/08/2007

1

Hola a todos, les dejo una consultas a los users conocedores de temas referidos a seguridad.

Tengo una máquina con Win XP SP2 + NOD32 + Windows Firewall, posee todas las actualizaciones y parches de seguridad liberados al día de la fecha. No suele dar problemas, sin embargo estos días no estuve en mi casa y me encontré con problemas (dervados del uso por parte de mis hermanos ).

NOD32 emitía un alerta periódico de intento de conexión a una dirección IP. A simple vista se trataba de una imagen (dual.jpg), pero en realidad la idea era descargar un dialer (Delsim). Esta operación fue bloqueada por el antivirus.

De todas maneras, se generaba en el directorio raíz (C:\) una aplicación de unos 50kb con nombre aleatorio.

Hasta acá todo bien, me basé en dos antispywares (ad-aware 2007 y Spybot) más scaneo profundo con NOD32 y Panda on line. No se detectó nada referido al tema (ni siquiera en modo a prueba de fallos).

Por lo tanto tuve que realizar un análisis manual, ya que la conexión a Internet se vio muy degradada, continuando los mensajes de NOD.

Encontré estas cosas raras:

Sobre chcp.exe, según info de Internet trata de confundirnos con chcp.com (propio de windows). Sólo encontré una refencia al mismo en la carpeta prefetch; pero continuaron los problemas luego de ser eliminado.

En la solapa de servicios me encontré con esto: (windows restore service)

Me resultó raro el "fabricante desconocido"; así que lo desactivé. Luego de reiniciar, la conexión se normalizó totalmente y desaparecieron las alertas de NOD. Mi problema es que no puedo encontrar el ejecutable referido para proceder a su eliminación; y en la red no pude encontrar info al respecto.

http://www.google.com.ar/search?hl=e…n+Google&meta=

¿Tienen datos sobre esta cuestión?

Midle End Level

kabezont

entradas: 402

02:42 24/08/2007

2

Dejo un update. En base a info de estos dos sitios:

http://www.castlecops.com/o23list-2403.html

http://www.fileresearchcenter.com/S/…EXE-10003.html

Me dieron unas pistas sobre los posibles ejecutables. Sólo encontré:

Al verificar las propiedades del servicio con services.msc, obtengo que el ejecutable relacionado es rstrui (restauración del sistema de windows), que no debe eliminarse (aunque está función se encuentra deshabilitada en esta máquina).

Todo está funcionando ok; pero escucho todas las recomendaciones que tengan sobre el caso. Gracias!

Hardcore Extreme Level

pabloc74

entradas: 18123

03:17 24/08/2007

3

fijate si restaurando sistema te vuelve atras eso

Entry Level

alucho

entradas: 84

11:17 24/08/2007

4

si queres estar trankilo del todo…formatea jeje

Limar Barato, Cuesta Caro…

Midle End Level

kabezont

entradas: 402

16:30 24/08/2007

5
Cita Iniciado por alucho
Ver Mensaje
si queres estar trankilo del todo…formatea jeje

Soy uno de esos partidadrios 100% del formateo ("Cortar por lo sano que le dicen&quotwink, pero en este caso excepcional no es opción.

Por el momento solucioné la cuestión, ahora estoy buscando un mejor firewall. Muchas gracias!

Midle End Level

Ramiro85

entradas: 284

02:04 28/08/2007

6

Te diria que actualices la bd de tu AV o pases a un AV que se actualice. Hace poco experimente algo similar a lo tuyo, tenia una pc de un cliente con un exe que se instalaba en todas las particiones del disco y lo borraba y aparecia de vuelta, siempre con nombre aleatorio (me di cuenta porque se creo en el pen drive cuando lo enchufe), y me generaba un archivo autorun en la particion / disco que fuese, prove con 3 av (nod, avg, avast) y ninguno lo detectaba.
Finalizaba el proceso y se cargaba de vuelta al toque. Recuerdo que me llamo la tensión que el archivo tenia un ícono de windows installer y decia microsoft corporation como fabricante, pero el spybot me generaba un dialogo de permitir / denegar que tenia siempre un nombre de exe distinto…
- lo desactive de inicio, reinicie meti un live cd y borre el ejecutable que en mi caso estaba en windows/system32 luego borre desde el live cd el autorun y todos los exe. que se habian creado en todos los discos va en realidad los meti en un rar para tenerlos por las dudas en el pen drive.
Entonces reinicie y borre del registro una entrada que apuntaba al exe q estaba en system32 y dejo de joder…
Como taba al dope remití los archivos a alwil (fabricante de avast)…
Al dia siguiente me llego un mail de avast avisando q era un nuevo virus y q habia bases nuevas disponibles => actualice el av de otra pc y puse para que analize discos al conectar y meti el pen q todabía tenia los archivos que saque de la pc para ver que onda y si era un nuevo bicho…
Lo importante es que actualices las bases de datos del av y pases alguno q se ejecute antes de entrar a windows para que controle todo y pueda borrar/reparar los archivos infectados en caso de existir…
Me olvide de comentar q el muy hdp casi me infecta la notebook porque conecte el pen para copiar un trabajo y me olvide q taba infectado y como tenia el installe (exe) y el autorun y aparentemente windows autoejecuto el installer y salto el spybot, el av que habia actualizado avisando del bicho…

—–BEGIN GEEK CODE BLOCK—–
Version: 3.1
GAT/CS$/CC/S d-(pu) s-:- a– C+++ L++ P+ W+++ N++ w++++(–)$ O- M+ V-
PS++(+) PE(++) Y+ PGP+++ t- 5+ X+ R- tv++ b++(+++) DI+++ D+ G++> e+++++
h++(!) r++ y(**)
——END GEEK CODE BLOCK——
http://www.geekcode.com/
Si no podes leerlo usa http://ebb.org/ungeek/

Com. Riv. Patagonia Argentina

Midle End Level

kabezont

entradas: 402

17:10 28/08/2007

7

al final terminé en una siuación similar:

- fueron dos troyanos (chcp.exe y otro más), estaban camuflados en archivos .jpg en la carpeta windows. Evité el inicio de los procesos relacionados con los mismos (chcp.exe y windows restore service), luego los moví desde símbolo del sistema.

- sus métodos: tratar de confundir al usuario con archivos legítimos de sistema (chcp.com) y el servicio de restauración windows. al detectar conexión a internet intentan descargar discadores desde una dirección IP (esto fue detectado por NOD). además intentan conectarse permanentemente a otra dirección (detectado por zone alarm).

- hice como vos, envié los archivos jpg comprimidos, y me respondieron = sobre la actualización disponible para una nueva variante del….. , tal cual, al realizar el escaneo lo detectó en un instante.

- consecuencias: windows firewall murió, te garantizo que probé todas las formas propuestas en la web para recuperarlo; pero ninguna funciona. estoy utilizando Zone Alarm Free.

- consecuencias 2: no puedo acceder a las carpetas compartidas de la pc que sufrió la infección. es una red ad-hoc entre esta pc y una notebook. también probé infinidad de alternativas pero nada pude hacer.

supongo que no será el sistema más seguro del mundo; pero tengo actualizaciones de winxp y NOD al día instaladas en las máquinas… pero bueh, al tratarse de Windows uno nunca sabe.

Midle End Level

Ramiro85

entradas: 284

18:56 28/08/2007

8

Me parece que dejar de usar el firewall de windows fue lo mejor que pudiste hacer (la verdad no me importaria la causa jejej :-P), en mi caso la pc infectada tenia instalado el keiro pf y el avg y el bicho entro igual..
Raro lo de las carpetas compartidas, nunca me paso algo así (o sea nunca me paso que por causa de un bicho me dejen de andar los compartidos, que a windows le pinte no compartir si pero nunca por un virus), te tira algún error o algo raro???.
No se vos pero yo esperaba que le pongan mi nombre al virus :-P (naaa es joda)

—–BEGIN GEEK CODE BLOCK—–
Version: 3.1
GAT/CS$/CC/S d-(pu) s-:- a– C+++ L++ P+ W+++ N++ w++++(–)$ O- M+ V-
PS++(+) PE(++) Y+ PGP+++ t- 5+ X+ R- tv++ b++(+++) DI+++ D+ G++> e+++++
h++(!) r++ y(**)
——END GEEK CODE BLOCK——
http://www.geekcode.com/
Si no podes leerlo usa http://ebb.org/ungeek/

Com. Riv. Patagonia Argentina