Bunos díqs,
Estoy hqciendo un qnqlisis forense de un Windows 7 que estaba en un contexto industrial y me he topado con algunos indicadores muy claros de que hay malware, pero no acabo de comprender que es y que hace.
Analizando la memoria he encontrado esto:
$ vol.py -f SATELLITE-PC-20200126-122740.raw --profile Win7SP1x86 ldrmodules | grep -v ".mui" | grep False
Volatility Foundation Volatility Framework 2.6.1
Pid Process Base InLoad InInit InMem MappedPath
-------- -------------------- ---------- ------ ------ ----- ----------
292 smss.exe 0x47f20000 True False True \Windows\System32\smss.exe
376 csrss.exe 0x49ff0000 True False True \Windows\System32\csrss.exe
424 wininit.exe 0x00d60000 True False True \Windows\System32\wininit.exe
432 csrss.exe 0x49ff0000 True False True \Windows\System32\csrss.exe
432 csrss.exe 0x000f0000 False False False \Windows\Fonts\vgasys.fon
432 csrss.exe 0x01b30000 False False False \Windows\Fonts\cga80850.fon
432 csrss.exe 0x01960000 False False False \Windows\Fonts\ega40850.fon
432 csrss.exe 0x00b70000 False False False \Windows\Fonts\vga850.fon
432 csrss.exe 0x00b80000 False False False \Windows\Fonts\app850.fon
432 csrss.exe 0x01b20000 False False False \Windows\Fonts\cga40850.fon
476 winlogon.exe 0x002a0000 True False True \Windows\System32\winlogon.exe
504 services.exe 0x00590000 True False True \Windows\System32\services.exe
524 lsass.exe 0x00d30000 True False True \Windows\System32\lsass.exe
532 lsm.exe 0x00f70000 True False True \Windows\System32\lsm.exe
648 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe
724 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe
772 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe
772 svchost.exe 0x00580000 False False False \Windows\System32\services.exe
896 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe
940 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe
972 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe
1068 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe
1220 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe
1304 AvastSvc.exe 0x00c90000 True False True \Program Files\AVAST Software\Avast\AvastSvc.exe
1488 spoolsv.exe 0x00f60000 True False True \Windows\System32\spoolsv.exe
1564 taskhost.exe 0x00260000 True False True \Windows\System32\taskhost.exe
1608 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe
1732 dwm.exe 0x00d90000 True False True \Windows\System32\dwm.exe
1752 explorer.exe 0x002c0000 True False True \Windows\explorer.exe
1752 explorer.exe 0x07820000 False False False \Windows\System32\imageres.dll
1752 explorer.exe 0x04330000 False False False \Windows\System32\oleaccrc.dll
1812 armsvc.exe 0x00e70000 True False True \Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
1832 agrsmsvc.exe 0x01000000 True False True \Program Files\LSI SoftModem\agrsmsvc.exe
1856 SkypeC2CAutoUp 0x00d90000 True False True \Program Files\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe
1908 SkypeC2CPNRSvc 0x00980000 True False True \Program Files\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe
1972 taskeng.exe 0x004e0000 True False True \Windows\System32\taskeng.exe
2000 MMSserve.exe 0x00400000 True False True \Program Files\MELSOFT\MSF\Common\MMS\MMSserve.exe
312 MMSserve.exe 0x00400000 True False True \Program Files\MELSOFT\MSF\Common\MMS\MMSserve.exe
936 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe
936 svchost.exe 0x7f6f0000 False False False
1392 TeamViewer_Ser 0x00ff0000 True False True \Program Files\TeamViewer\Version9\TeamViewer_Service.exe
2328 unsecapp.exe 0x00a10000 True False True \Windows\System32\wbem\unsecapp.exe
2532 GoogleUpdate.e 0x00990000 True False True \Program Files\Google\Update\GoogleUpdate.exe
2668 SearchIndexer. 0x002d0000 True False True \Windows\System32\SearchIndexer.exe
3040 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe
3692 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe
3756 wmpnetwk.exe 0x00030000 True False True \Program Files\Windows Media Player\wmpnetwk.exe
3136 avastui.exe 0x010b0000 True False True \Program Files\AVAST Software\Avast\avastui.exe
2116 audiodg.exe 0x00310000 True False True \Windows\System32\audiodg.exe
1140 WUDFHost.exe 0x00b30000 True False True \Windows\System32\WUDFHost.exe
1688 DumpIt.exe 0x00910000 True False True \DumpIt.exe
3352 conhost.exe 0x00440000 True False True \Windows\System32\conhost.exe
He hecho un dump de la memoria y la he analizado en VT y parece estar limpio además de que no veo nada en la extracción del assembly.
¿Alguien tiene una idea de que puede ser esto? ¿Es normal que svchost llame a services? Esto último me parece muy extraño.
Actualizo: Ni Bitdefender 2020, ni Avast detectan el malware (si lo hubiere, que tiene pinta de que si).
Gracias de antemano!