Lunes por la mañana: Llamada urgente de un cliente (Hotel) que nos localiza por un aviso de su antivirus que le alerta sobre la existencia de un troyano en uno de los ordenadores de su red.
Acudo urgentemente, por la importancia de ese equipo en el desempeño de sus funciones. Al llegar compruebo que efectivamente el antivirus no para de informar de conexiones hacia una página Web (http://www.compare-fibre.com/pictures/banners/comprovantes/depositos/comprovante.php?f=xxxxxxxx) tratando de descargar una serie de archivos.
Lo primero que hago es sacar el pendrive con todas mis utilidades portables de seguridad, entre las que se encuentran el práctico programa process-hacker y el autoruns. El process hacker muestra los procesos y servicios activos en este momento, y trato de examinarlos concienzudamente en busca de alguno que llame mi atención por no sonarme su nombre. En principio veo uno al que no acabo de darle la importancia que merece por parecerme un actualizador de Java, pero al volver a avisarme el antivirus, mediante el mismo process-hacker observo los puertos que están abriendo conexiones remotas, y efectivamente el programa llamado "java sun" está abriendo conexiones contra la dirección IP (203.232.224.4, entre otras) cada vez que el antivirus detecta archivos dañinos. Busco el nombre de el ejecutable que lanza ese proceso y descubro appletjava.exe, que se encuentra como es habitual en C:\Windows\System32\ , por lo que procedo a eliminarlo, no sin antes enviarlo a Virus-Total para su análisis y sobre todo para que en poco tiempo sea detectado mediante firmas por los antivirus.
Los resultados son los siguientes:
Resultados en Virustotal
Resultado de NOD32 local:
Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información22/06/2009 11:34:23 IMON Archivo http://222.24.94.25/icons/init.gif Win32/Qhost (Troyano) Conexión terminada
Podeis ver que tiene pinta de ser un troyano de robo de datos bancarios como Bandook o similares, pero ya lo testearé cuando tenga más tiempo...
Reinicio el equipo y vuelvo a examinar en busca de otros restos, o reaparición del archivo en cuestión. Elimino el punto anterior de restauración del sistema y vuelvo a generar otro nuevo. Observo que también ha modificado los servidores DNS en la configuración TCP/IP del cliente y lo soluciono. Finalmente busco el método de infección del troyano en el ordenador del cliente y encuentro un email muy bien formateado en portugués con el asunto: reservas, "Deposito em conta, confirmado." que al cliente no le pareció fuera de lo habitual. Esto es lo que vengo observando en los últimos tiempos: una profesionalización en los correos electrónicos basados en phishing o infección de troyanos, de tal manera que ya no parecen simples trampas escritas por analfabetos.
Esto no es más que una historia habitual, que incluyo en este blog puesto que este es el fin principal de este blog: Contar el día a día de un hacker ético.
Cómo aprovechar Google Académico al máximo: 5 consejos para investigadores
y curiosos
-
Google Scholar, la herramienta de búsqueda académica lanzada hace 20 años,
se ha convertido en una referencia esencial para estudiantes,
investigadores y ...
Hace 1 hora
No hay comentarios:
Publicar un comentario