Analizar malware en Windows 7 (1 de 3)

Este post es el primero de una serie de tres, en los que veremos como analizar y entender el funcionamiento del malware en entornos Windows. Utilizaremos diferentes herramientas para poder, no solo descubrir la infección, sino dar con la IP de la persona que está realizando el ataque e intentar tirar abajo toda su red de zombies.

Una de las grandes amenazas a las que todos estamos expuestos, son los virus y muy especialmente los troyanos o RAT (Remote Administration Tool). Este malware se instala en nuestro sistema operativo realizando todo tipo de actividades con el equipo infectado sin que la víctima se percate de ello.

En este post voy a destripar la estructura del server de un troyano para extraer toda la información posible del mismo. El RAT escogido para hacer la demostración, ha sido DarkComet. Es un RAT muy completo, gratuito y fácil de configurar que se puede descargar desde la página web de los desarrolladores.

Lo primero que haremos será crear nuestro server del RAT que es la aplicación que tendrá que ejecutar la víctima en su equipo. No explicaré a fondo los pasos de su creación ya que ese no es el fin de este post. Los parámetros importantes que debemos establecer son los siguientes:

- Mutex: es un registro que impide la ejecución de cierta aplicación en caso de que esta ya haya sido ejecutada. Por tanto si ejecutamos dos veces el mismo server en una víctima, solo la primera vez será infectado.

- Server ID: Nombre con el que nos aparecerá el infectado en el RAT. Es muy interesante conocer dicho string a la hora de analizar el malware ya que, en función de su nombre, podremos fácilmente conocer si es un ataque dirigido o masivo.

Analizar malware en Windows 7 (1 de 3)


- IP/DNS y puerto: Debemos indicar al RAT cuál es la IP y puerto al que debe lanzar la conexión. En este caso he utilizado una no-ip ya que es lo que suele utilizar este tipo de malware.

malware


- Por último le indicaremos cual es la ruta en la que debe instalarse y con qué nombre.

troyanos


Después de establecer todos estos parámetros crearemos el binario que deberá ejecutar la víctima.

En efecto, tras ejecutar el server, nos ha creado un archivo llamado rundll32 en la carpeta prueba dentro de Mis Documentos.

rat


Así mismo podemos observar como se ha creado una clave de registro con nombre WindowsUpdate para que se lance la aplicación maliciosa cada vez que se inicia el equipo.

2010


Bueno ahora manos a la obra. Antes que nada debemos ver que puertos tenemos a la escucha para detectar si hay algo fuera de lo normal. Para ello es más que recomendable cerrar todas las aplicaciones que pudiesen tener alguna conexión establecida (navegadores, Messenger, putty, etcétera) para evitar falsos positivos. Podemos utilizar para ello el Network Monitor como hemos explicado anteriormente en el blog. Sin embargo, en este caso utilizaremos con privilegios el comando “netstat -nabo”

windows 7


En este caso podemos ver que existe una conexión establecida con una IP que en principio desconocemos y asociada, el proceso iexplore.exe. Sin embargo esta última aplicación, no está abierta o al menos no visible.

Hasta aquí la primera entrada de la serie en la que hemos podido ver que existen conexiones establecidas contra la IP y puerto que hemos establecido en el server del RAT.

Si quieres aprender mucho más sobre los secretos de lo sistemas Microsoft Windows, deberías leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos" y. por último, te recordamos que si te ha gustado el artículo puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés.


Diréis, vaya copy-paste... Pero aunque sea un copy-paste os he acercado esta información que considero muy útil para que la leais y pongáis en práctica si alguno tiene dudas de estar infectado y sino pueden preguntarme personalmente por MP sus dudas saludos !!!

26 comentarios - Analizar malware en Windows 7 (1 de 3)

@Dudu_X
te dejo +10 por tu esfuerzo, a reco asi te ayudan tambien... suerte
@Marcelo756 +1
+10, muchas gracias por la información, espero las otras partes!!!
@Soquetz +1
buena info ...así se ganan los puntos (no hay que pedirlos).... va a reco
@tricto +1
Hoy no tengo puntos para dar, recuerdamelo mañana o pasado y t los doy.
Esperando las dos partes que faltan.
@paco_kent +1
Muyyyy buen post amigaaa... mas tarde paso con mis +3 ,,, sigue asi. ahora a esperar los siguientes post`s
@Duende2211 +1
¡Buenisimo, reco y +10! así se la podemos devolver!

Windows
@TangoVirtud +1
Excelente, a favoritos y recomendado. Te pasaste!! Te van los dos que me quedan.
@Soquetz +1
tfake dijo:
Soquetz dijo:buena info ...así se ganan los puntos (no hay que pedirlos).... va a reco


ok muchas gracias y lo de pedir los puntos ya lo quito solo lo puse por las ganitas de llegar a NFU aunque tienes toda la razón si es un buena post no hace falta pedir los puntos un saludo


Viste que no hacía falta...je (El otro día no tenía puntillos, ahora si te dejo )
@tricto +1
tricto dijo:Hoy no tengo puntos para dar, recuerdamelo mañana o pasado y t los doy.
Esperando las dos partes que faltan.

Los puntos k te debia.
@EQuiZTrEz
ahí están +10
(me debes un favor :3)
@Soquetz +1
tfake dijo:graciass haber si hago la parte dos que estoy muy liada ultimamente x) y una duda que tengo: para subir de rango cuanto karma necesito ?? :/

7
y no seas tan ansiosa.......je.....
@william194 +1
tfake dijo:graciass haber si hago la parte dos que estoy muy liada ultimamente x) y una duda que tengo: para subir de rango cuanto karma necesito ?? :/



* Troll: karma -1
* Flamer: karma 0
* Inexperto: karma 1
* Iniciado: karma 2
* Aprendiz: karma 3
* Amateur: karma 4
* Regular: karma 5
* Experto: karma 6
* Avanzado: karma 7
* Elite: karma 8
* Silver: karma 9
* Gold: karma 10
* Platinium: karma 11
* Diamond: karma 12
@arturo149 +1
buen post

a Fav

te debo los puntos

Salu2
@Elvis_Py +1
Execelente post Saludos