En el último curso impartido por INTECO desde el pasado Martes hasta hoy hemos hablado de ingeniería y "analisis de sospechas", curioso nombre cuando de lo que se trata es de detección y limpieza de troyanos.
Como parte práctica nos han dado cuatro máquinas virtuales infectadas que había que limpiar "a mano", sin herramientas de limpieza automática (léase cualquier tipo de antimalware). En esta entrada describiré los pasos que seguimos (los de mi grupo) para la limpieza de dichas máquinas virtuales.
Resolución maquina virtual VM02Se arranca la maquina y se comprueba el problema:
No se encuentra ningún ejecutable en las carpetas de arranque . Tampoco aparece ninguna entrada de registro que indique que se ejecuta algo al arranque.
Se reinicia con una distribución Kali de Linux. Para ello se descarga la ISO de la distribución y se coloca como CD de arranque en VirtualBox.
Se monta el disco duro de la maquina virtual:
mount /dev/sda1 /mnt/HD cd HD
Se busca el listado de fichero creados los días 20 y 21 de Febrero (Sabemos que es cuando se infectaron las máquinas). No se encuentra ningun exe, ningun lnk ni nada interesante.
Encontramos dos ficheros interesantes:
- Una carpeta setup
- Un fichero llamado At1.job, que es una tarea programada.
- LockScren.AO.lnk
La carpeta setup resulta ser c:\windows\system32\oobe\setup\setup.exe
Al mirar los contenidos del fichero At1.job vemos que se ejecuta el fichero setup.exe de la ruta anterior.
Probamos a mover ese fichero setup.exe a otra ruta. Rearrancamos Windows, y ya no aparece el Ransomware.
Restauramos una versión anterior de Windows.
Buscamos las entradas del registro que llamen a este setup.exe y aparecen las siguientes:
HKCU/Software/Microsoft/Windows/ShellNoRoam/MUICache=”C:\windows\system32\oobe\setup\setup.exe”
HKU/1-5-21..../Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell=”C:\windows\system32\oobe\setup\setup.exe”
Las borramos. También borramos el fichero setup.exe.
El fichero lnk es un enlace al ejecutable que infectó la máquina, por lo que sabemos de que virus se trata (con enviar el fichero setup.exe también nos habria valido).
Buscamos por internet LockScren.AO y encontramos esta página:
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Trojan:Win32/LockScreen.AO#tab=2Resolucion VM03
Al arrancar la máquina, aparece este error de la ejecución de “other.res”:
Se busca ese fichero y aparece en
c:\Documents and Settings/aula2/Application Data/other.res
La pantalla de error tiene un icono muy pixelado que claramente pretende engañar.
El other.res también aparece en el administrador de tareas.
Se arranca la maquina y se comprueba el problema. No se encuentra ningún ejecutable en las carpetas de arranque . Tampoco aparece ninguna entrada de registro que indique que se ejecuta algo al arranque.
Se reinicia con una distribución Kali de Linux. Para ello se descarga la ISO de la distribución y se coloca como CD de arranque en VirtualBox.
Se monta el disco duro de la maquina virtual:
mount /dev/sda1 /mnt/HD cd HD
Se busca el listado de fichero creados los días 21 de Febrero (sabemos que las maquinas fueron infectadas en esa fecha).
Se encuentra un fichero Flash7.ocx.exe que suena raro:
En los momentos después de la ejecución del troyano se ven ficheros temporales de internet y la instalacion de Flash.
Volvemos a Windows.
Vemos que el Flash7.ocx (realmente Flash7.ocx.exe) tiene exactamente el mismo icono que el error. Lo mandamos a Virustotal.
Virustotal nos dice que es un virus y lo detectan 38 de 47 antivirus y que se llama urausy.
Mientras tanto se busca other.res en el registro de Windows:
Tambien se encuentra esta entrada:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=explorer.exe, C:\Documents and Settings\aula2\Application Data\Other.res
Lo borramos y matamos el proceso. Tambien borramos el fichero.
Buscamos Flash7.ocx.exe en el registro. Aparece la siguiente entrada:
La ruta es HKCU/Software/Microsoft/Windows/ShellNoRoam/MUICache/
La borramos.
Borramos la carpeta completa Flash. No deja borrarla. Rearrancamos Windows en modo a prueba de fallos, tampoco la conseguimos borrar, por lo que entramos desde Linux y nos la cargamos.
Se borra tambien BRNDLOG.BAK en %UserProfile%/aula2/AppData/Microsoft/Iexplorer
Resolución maquina virtual VM04
Se arranca la maquina y se comprueba el problema.
No se encuentra ningún ejecutable en las carpetas de arranque . Tampoco aparece ninguna entrada de registro que indique que se ejecuta algo al arranque.
Se reinicia con una distribución Kali de Linux. Para ello se descarga la ISO de la distribución y se coloca como CD de arranque en VirtualBox.
Se monta el disco duro de la maquina virtual:
mount /dev/sda1 /mnt/HD cd HD
Se busca el listado de fichero creados el día 21 de Febrero (Sabemos que el bicho se instaló ese día en la máquina). No se encuentra ningun exe, ningun lnk ni nada interesante.
Buscamos por internet y encontramos un virus parecido llamado gpcode.ak, y una entrada de un blog( http://www.securelist.com/en/weblog?weblogid=208187531) donde indica que la única solucion es recuperar los ficheros usando photorec, ya que despues de encriptarlos, el virus los borra y los ficheros borrados, si no se a tocado demasiado el sistema, se pueden recuperar.
Nos ponemos a ello y recuperamos un montón de ficheros:
Eliminamos el fichero Bliss.bmp, que es el fondo de pantalla con la calavera.
Este es el resultado:
Resolución VM05
Se arranca la máquina y se comprueba el problema. No se encuentra ningún ejecutable en las carpetas de arranque. Tampoco aparece ninguna entrada de registro que indique que se ejecuta algo al arranque.
Se reincia con una distribución Kali de Linux. Para ello se descarga la ISO de la distribución y se coloca como CD de arranque en VirtualBox.
Se monta el disco duro de la maquina virtual:
mount /dev/sda1 /mnt/HD cd HD
Se busca el listado de fichero creados el día 21 de Febrero (Fecha de instalación del troyano). Encontramos tres ficheros interesantes:
- Un fichero setup.exe
- Un fichero sdrive64.exe
- Un fichero Skomaz.lnk
Buscamos dicho Skomaz en internet y encontramos esta páginas http://www.spywarelib.com/remove--Trojan-spy-skomaz.html.
...donde habla del fichero sdrive64.exe. Y esta:
https://www.virustotal.com/es/file/e7fa7e304b3ab56c695a51d8caf832b79563969465b388420381ac13ac8b550b/analysis/Donde habla de que el virus tiene 1165824 bytes.
Buscamos ficheros de ese tamaño y casualmente encontramos que hay uno llamado setup.exe (el de antes).
Los borramos y arrancamos. Ya no aparece la pantalla de rescate pero Windows no funciona.
Es porque en vez de lanzar explorer.exe en alguna entrada del registro esta lanzando sdrive64.exe
Lo encontramos en HKCU/Microsoft/Windows NT/Winlogon/Shell=C:\Documents and settings\aula2\Local Settings\Temp\sdrive64.exe
Voila!