Título: Ayuda con rootkit? Publicado por: winroot en 6 Diciembre 2010, 17:11 pm Buenas! ^^
Bien, todo empezó ayer de noche. Código: Apagado Iniciado por system Bien, services.msc >iniciador de proceso de servidor DCOM>propiedades >recuperación >reiniciar siempre el servbicio ... Bien, abrimos el eventlog y... Todos errores del scm cada mas o menos 30 min por finalización inesperada del servicio antes mencionado. huhuhu. Ahora si me empezaba a preocupar ^^. Bien, llegue a la conclusión, luego de usar las herrameintas clasicas process monitor,etc, estoy infectado con un rootkit ^^. Código: GMER el fichero es: Código: Service C:\WINDOWS\system32\drivers\senekaqaedapqm.sys (*** hidden *** ) [SYSTEM] seneka <-- ROOTKIT !!! googleando un rato, encontre algo en el foro de los chicos de sysinternals. El tema es que parece que la única manera de sacar este rootkit es booteando con un livecd, o desde otro disco duro. algo que no sería complicado, sería eliminar las keys y luego dejar el .sys para analizarlo. Mi pregunta es Hay forma de sacar este rootkit online? es decir, sin tener que bootear con livecd y eso. además, el rootkit, bloquea el acceso directo a disco, utilidades de recuperación de fichero no funcionan. desde antes de ayer que tengo internet, por lo que se me hace que esto vino con alguna bug de mi so, ya que por cuestiones de rendimiento tanpoco uso otro fw que no sea el de windows. seneka <-- ROOTKIT Por lo que veo ese es su nombre, el path puede cambiar, pero siempre se llama así. claro que, el rootkit no me preocupa, me preocupa el malware que esconde. Usando gmer no se puede eliminar, ya que regresa enseguida. Si no, veamos si alguien consigue alguna muestra, y los chicos de malware ven algun modo de programar un driver que lo saque ^^. so:win xp sp2 Saludos edit: http://www.exterminate-it.com/malpedia/remove-seneka ahora veo si funciona ^^ No funciona, Título: Re: Ayuda con rootkit? Publicado por: Roy-Mustang en 6 Diciembre 2010, 19:15 pm que tal si usas unhakcme es un verdadero mostruo para los rootkit, seguro lo saca a golpes de tu pc,
lo unico que desactiva restaurar sistema, ya que el unhackme te hace varias copias por analisis al iniciar la pc. A mano no te podria decir pero con ese si que lo sacas, Seguro que el rootkit se aprovecha de alguna vulnerabilidad de tu xp ya que es el sp2, Saludos Título: Re: Ayuda con rootkit? Publicado por: winroot en 6 Diciembre 2010, 19:37 pm Buenas!
@Roy-Mustang Gracias por responder! Mañana lo pruevo. y les cuento. Nota: Usando la opción de gmer dump module, se produce una vonita pantalla azul^^. Además, en el log del firewall de windows, analizado con firelog xp, muestra intento de conexiones a puertos altos, es decir a puertos que frecuente mente usan los troyanos, aunque quedé sorprendido con la cantidad de ips que hay escaneando ips de manera automatizada, peticiones al 445 y cosas por el estilo. De todos modos provaré ese programa, y algunos más que tengo por aí, pero lo mejor será usar algún livecd de xp y sacarlo. Saludos edit: Solucionado! Parece que cuando salió pantalla azul, no se porqué pero... No hay mas rootkit ^^ Lo mas es raro es que, los supuestos ficheros .sys que son los rootkits, no tienen nada, calculo que es porque se corrompieron en el momento de la pantalla azul ^^. Ficheros: senekabnepuoej.sys senekahupxonjl.dll senekaoirqodyi.dat senekapkklrrxf.dll senekaqaedapqm.sys senekaubcnpyrs.dat senekawwtnvtxc.dll sleen16.sys sleen1664.sys Nota: estos 2 últimos archivos creo que son de otra empresa, que no tiene nada que ver con el rootkit. ArchiCrypt Live Engine Esas son las descripciones de los ficheros. Saludos Título: Re: Ayuda con rootkit? Publicado por: Arcano. en 6 Diciembre 2010, 20:32 pm Buenas winroot!
Con los que me he topado, los he eliminado mediante GMER. Ahora bien, también he fastidiado algún equipo -de ensayo- haciéndolo de ese modo... :P Te diría que hagas caso a Roy-Mustang con el 'unhackme', aunque nunca lo he probado. Por lo que él comenta, parece eficaz. Si eso no te funciona, te detallo cómo suelo hacerlo yo. Pero OJO con lo que borras. Te diría que cuando empieces a tocar el registro, PRIMERO hagas una copia de la rama que vas a eliminar por si acaso. Puede que el método que te comente me haya funcionado con los rootkits que he tenido el placer de conocer, pero el que tú indicas... Ni idea de su procedencia... Yo hago lo siguiente: (0) Inicio en modo seguro sin conexiones de red. (1) Lanzo GMER. (No es necesario scan completo) (2) Lanzo Autoruns. (3) Mediante el GMER, miro el nombre que me da. (Marcado en rojo) (4) Me dirijo a Autoruns y realizo la búsqueda por el nombre anterior. (5) Me coloco en el nombre y mediante el secundario pico en 'Jump To...' (6) Una vez en la rama indicada, por norma, se le debe otorgar permisos (a todos). En esa rama, verás dónde está el archivo -el mismo que te indica GMER-. Das permisos a la rama de registro (antes deberías haber hecho la correspondiente copia) y la borras. Así con todos los archivos que te indique GMER. Una vez eliminadas las ramas, puede elimianr los ficheros de sus correspodientes rutas. O a la inversa, el orden de los factores, en este caso, no altera el producto. También puedes hacerlo sólo con GMER, sin autoruns y matando el proceso explorer. Mediante la pestaña del registro, sabrás -porque lo indica en color rojo-; la rama afectada. Abres regedit y realizas los pasos indicados anteriormente. Lo dicho... No te compliques a mano si no es necesario. Saludos! EDITO Winroot said: Citar edit: Solucionado! Pos hale, perfecto!! Bien hecho! Saludos. Título: Re: Ayuda con rootkit? Publicado por: Roy-Mustang en 7 Diciembre 2010, 02:20 am Pues el Unhackme es muy eficaz, creeme, solo que es de paga, pero esta la version completa full, por treinta dias.
y que bueno que solucionastes tu problema ::) aqui la web oficial http://www.greatis.com/unhackme/ Saludos Título: Re: Ayuda con rootkit? Publicado por: Arcano. en 7 Diciembre 2010, 02:23 am Citar Pues el Unhackme es muy eficaz La verdad es que, hasta ahora, siempre me he peleado con los rootkits 'a manos desnudas'. Sin guantes ni na de na... Pero... No va mal saber de la aplicación que comentas. Había oído algo sobre ella, pero no la había probado. Saludos!!! Título: Re: Ayuda con rootkit? Publicado por: Arcano. en 7 Diciembre 2010, 18:12 pm Por si a alguno le pudiera resultar de interés, os muestro en un "doc" lo que os comentaba anteriormente.
Directo y sencillo... http://www.mediafire.com/?3ezz8rfejtxq87d Saludos. Título: Re: Ayuda con rootkit? Publicado por: winroot en 7 Diciembre 2010, 20:58 pm Buenas!
Gracias a todos ! @Arcano Mediafire a mi no me anda ^^. Pero creo que te entendí. Tu dices que, gmer cuando muestra algo en rojo,( supongamos serviciooculto), el ya lo desocultó de la key hklm\System\control xxx\services ? Si es así, uno siempre aprende algo nuevo ^^. Hoy un poco mas tranquilo me di cuenta en realidad de lo que pasó. Cuando eliminas un servicio, este sigue cargado hasta que reinicies la pc, o al menos eso es lo que pasó ayer ^^. El reinicio fue por la pantalla azul causada por gmer, un simple análisis del memory.dmp con la utilidad dumpchk, dijo algo como que fue todo culpa de gmer.sys ^^. Por último, me sorprende la cantidad de pcs que lanzan escaneos automatizados a rangos de ips, Código:
Saludos! Título: Re: Ayuda con rootkit? Publicado por: Arcano. en 7 Diciembre 2010, 21:16 pm Buenas!
No me queda muy claro si has logrado librarte de él... :huh: Y MegaUpload te anda?? :P http://www.megaupload.com/?d=BL6RMT9R Citar Cuando eliminas un servicio... Es que el servicio no debes matarlo. El servicio es propio de Windows, no tiene dientes largos ni pelo verde. El bicho, el que tiene ojos saltones y lo anteriormente comentado, es el que se acopla al servicio de Windows. Debes matar 'al bicho', no al servicio. Podrías... Es lo que se llama -y se quedan tan tranquilos- como daños colaterales, pero... No es la forma de acabar con el enemigo. Sólo mirando las tres primeras IPs: Citar 67.227.205.205 (Estados Unidos) 82.98.131.106 (Compostela -España) 72.21.91.19 (Estados Unidos) O estás jugando a algún juego online con tus amiguetes o... Tienes un bichito en tu PC que está comunicándose con sus coleguitas para montarse una juerga en tu ordenador... Prueba esto: http://support.kaspersky.com/viruses/solutions?qid=208280684 A ver si tienes suerte y te lo elimina. Podrías probar: (1) Descargarlo. (2) Iniciar en modo seguro y lanzar el ejecutable. Saludos Título: Re: Ayuda con rootkit? Publicado por: winroot en 7 Diciembre 2010, 23:27 pm Buenas!
Si,megaupload me funciona. El tema de mediafire pasa por un tema con el noscript. El tema del log del firewall de windows, todos esos paquetes son eliminados, además de que el firewall de windows si no me equivoco solo bloquea tráfico entrante. Además de eso, me equivoqué y puse los registros de justamente cuando estaba infectado, aunque ahora pasa mas o menos lo mismo. Código: 2010-12-07 20:02:11 CLOSE UDP 170.51.253.24 170.51.255.166 3713 53 - - - - - - - - - el tema del servicio ya me contesté solo, haciendo una prueva con osr loader y un driver de prueva (el hola mundo ). Creo que no me entendiste con lo del servicio, o yo me explique mal. La mayoría de rootkits (este también) son drivers. Un driver no se puede cargar solo, requiere de un programa en modo usuario que lo cargue. este programa en modo usuario (loader), usa las apis del scm para cargar el driver. El loader para cargar el driver tiene que crearle un servicio, generalmente llamando a la función de la api CreateService. Esto resulta en la creación de las keys hklm\system\currentcontrolset\services\nombredelservicio y en hklm\system\currentcontrolset\enum\root\legacy nombredeservicio. Además de esto, el scm (services.exe) agrega el servicio en la base de datos que mantiene en memoria. Luego de registrar el servicio, el loader llama a la función StarService si no me equivoco. Cuando se llama a esta función, el scm carga el driver en el proceso system. Bien, cuando gmer elimina un servicio (en este caso un servicio llamado seneka), me imagino que llama a la función equivalente a DeleteService en modo usuario. en este caso, la función eliminó el servicio de la db del scm, pero no lo descargó de la memoria, lo que pasa porque algunos drivers no instalan esta función. gmer al eliminar el servicio, el driver seguía cargado en ram, y me desinfecté después del reinicio por la pantalla azul. Gracias de nuevo, y un saludo! Título: Re: Ayuda con rootkit? Publicado por: Arcano. en 7 Diciembre 2010, 23:37 pm Cómo me gusta aprender cosas nuevas :P
Perfecto entonces! Saludos!! |