Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: Hitokkiri en 25 Enero 2015, 13:31 pm


Título: ROOTKITS como encontrarlos
Publicado por: Hitokkiri en 25 Enero 2015, 13:31 pm
Hola,

hace mucho que sospecho de rootkits que podrian estar ocultando conexiones en mi maquina, alguno me recomienda o me indica como podria buscar por este tipo de malware que ocultaria otras cosas en mi ordenador?

please help me looking specialy for rootkits

thanks

Hola,

queria saber si me podrian dar una mano, hace tiempo que estoy buscando por algo en mi pc pero nadie me da bola, leyendo el foro baje fing . miren lo que dice

-------------------------------------------------------------------------------
| Scan result for Hitokkiri-PC.fibertel.com.ar (190.193.155.4)                |
|-----------------------------------------------------------------------------|
|  Port | Service         | Description                                       |
|-----------------------------------------------------------------------------|
|    80 | http            | World Wide Web HTTP                               |
|   135 | msrpc           | Microsoft RPC services                            |
|   139 | netbios-ssn     | NETBIOS Session Service                           |
|   443 | https           | Secure World Wide Web HTTP (SSL)                  |
|   445 | microsoft-ds    | SMB directly over IP                              |
|  1110 | nfsd-status     | Cluster status info                               |
|  6881 | bittorrent-trac | BitTorrent tracker                                |
-------------------------------------------------------------------------------

lo primero que hice fue des activar netbios sobre tpc en servicios ni bien instale hace 2 semanas.


Me baje el wireshack

miren esto no me alcanzo 1 sola screen para tomarlo fueron 10 min de captura



http://subefotos.com/ver/?7509a1c6a68329844987c407d99276a2o.jpg

alguno que me de una mano en busca de rootkits que ocultan posibles conexiones ilegales, o sobre como escucharlas entre el trafico?

plese help =( nadie me cree! hay algo raro?

leyendo y bajandome las herramientas de el hacker, miren lo que encontre

ahi finalmente, SVCHOST.exe como una conexion establecida, e idle process con 22 conexiones man.

por favor denme bola miren esto

Svchost: http://subefotos.com/ver/?0a68bc00f9d75bac2e6110acf30e3b21o.jpg

System: http://subefotos.com/ver/?e96e404fd0cd92e6375d6b85f144151fo.jpg

Mod: Evita abrir 2 posts para el mismo tema, ambos se tratan de lo mismo, uni los 2 temas

http://subefotos.com/ver/?7c5e176dd21a62a89eaabf43a77a8ac1o.jpg
http://subefotos.com/ver/?788227e361a142ae207c14a82b98115ao.jpg


Sospecho que el esta aqui.


Código:
Ran by Hitokkiri (administrator) on 25-01-2015 at 11:14:40
Windows 7 (X64)
Running From: C:\Users\Hitokkiri\Downloads
Language: Español (España, internacional)
************************************************************

========================= Memory info ====================== 

Percentage of memory in use: 29%
Total physical RAM: 8155.89 MB
Available physical RAM: 5753.34 MB
Total Pagefile: 16309.96 MB
Available Pagefile: 13447.95 MB
Total Virtual: 8192 MB
Available Virtual: 8191.9 MB

======================= Partitions =========================

1 Drive c: () (Fixed) (Total:297.87 GB) (Free:201.02 GB) NTFS

  N£m Disco  Estado      Tama¤o   Disp     Din  Gpt
  ---------- ----------  -------  -------  ---  ---
  Disco 0    En l¡nea     298 GB      0 B        *
  Disco 1    No hay med      0 B      0 B         
  Disco 2    No hay med      0 B      0 B         
  Disco 3    No hay med      0 B      0 B         
  Disco 4    No hay med      0 B      0 B         

Partitions of Disk 0:
===============

Identificador de disco: {4554A7D0-1ED5-4BF6-93A7-78B6668540EF}

  N£m Partici¢n  Tipo              Tama¤o   Desplazamiento
  -------------  ----------------  -------  ---------------
  Partici¢n 1    Sistema            100 MB  1024 KB
  Partici¢n 2    Reservado          128 MB   101 MB
  Partici¢n 3    Principal          297 GB   229 MB

======================================================================================================

Disk: 0
Partici¢n 1
Tipo          : c12a7328-f81f-11d2-ba4b-00a0c93ec93b
Oculta        : S¡
Necesaria     : No
Atrib.        : 0X8000000000000000

  N£m Volumen Ltr  Etiqueta     Fs     Tipo        Tama¤o   Estado     Info
  ----------- ---  -----------  -----  ----------  -------  ---------  --------
* Volumen 2                     FAT32  Partici¢n    100 MB  Correcto   Sistema 

======================================================================================================

Disk: 0
Partici¢n 2
Tipo          : e3c9e316-0b5c-4db8-817d-f92df00215ae
Oculta        : S¡
Necesaria     : No
Atrib.        : 0X8000000000000000

No hay volumen asociado con esta partici¢n.

======================================================================================================

Disk: 0
Partici¢n 3
Tipo          : ebd0a0a2-b9e5-4433-87c0-68b6b72699c7
Oculta        : No
Necesaria     : No
Atrib.        : 0000000000000000

  N£m Volumen Ltr  Etiqueta     Fs     Tipo        Tama¤o   Estado     Info
  ----------- ---  -----------  -----  ----------  -------  ---------  --------
* Volumen 1     C               NTFS   Partici¢n    297 GB  Correcto   Arranque

======================================================================================================
============================== MBR Partition Table ==================

==============================
Partitions of Disk 0:
===============
Disk ID: 6119AD95

Partition : GPT Partition Type

Administrador de arranque de firmware
-----------------------------------
Identificador           {fwbootmgr}
displayorder            {bootmgr}
                        {42d256df-947a-11e4-9c6c-be23ca736625}
                        {42d256e0-947a-11e4-9c6c-be23ca736625}
                        {42d256e1-947a-11e4-9c6c-be23ca736625}
timeout                 1

Administrador de arranque de Windows
----------------------------------
Identificador           {bootmgr}
device                  partition=\Device\HarddiskVolume1
path                    \EFI\Microsoft\Boot\bootmgfw.efi
description             Windows Boot Manager
locale                  es-ES
inherit                 {globalsettings}
default                 {current}
resumeobject            {42d256e3-947a-11e4-9c6c-be23ca736625}
displayorder            {current}
toolsdisplayorder       {memdiag}
timeout                 30

Aplicaci¢n de firmware (101fffff)
---------------------------------
Identificador           {42d256df-947a-11e4-9c6c-be23ca736625}
description             Hard Drive 

Aplicaci¢n de firmware (101fffff)
---------------------------------
Identificador           {42d256e0-947a-11e4-9c6c-be23ca736625}
description             CD/DVD Drive 

Aplicaci¢n de firmware (101fffff)
---------------------------------
Identificador           {42d256e1-947a-11e4-9c6c-be23ca736625}
description             Removable Drive 

Cargador de arranque de Windows
-----------------------------
Identificador           {current}
device                  partition=C:
path                    \Windows\system32\winload.efi
description             Windows 7
locale                  es-ES
inherit                 {bootloadersettings}
recoverysequence        {42d256e5-947a-11e4-9c6c-be23ca736625}
recoveryenabled         Yes
osdevice                partition=C:
systemroot              \Windows
resumeobject            {42d256e3-947a-11e4-9c6c-be23ca736625}
nx                      OptIn

Cargador de arranque de Windows
-----------------------------
Identificador           {42d256e5-947a-11e4-9c6c-be23ca736625}
device                  ramdisk=[C:]\Recovery\42d256e5-947a-11e4-9c6c-be23ca736625\Winre.wim,{42d256e6-947a-11e4-9c6c-be23ca736625}
path                    \windows\system32\winload.efi
description             Windows Recovery Environment
inherit                 {bootloadersettings}
osdevice                ramdisk=[C:]\Recovery\42d256e5-947a-11e4-9c6c-be23ca736625\Winre.wim,{42d256e6-947a-11e4-9c6c-be23ca736625}
systemroot              \windows
nx                      OptIn
winpe                   Yes

Reanudar tras hibernaci¢n
-------------------------
Identificador           {42d256e3-947a-11e4-9c6c-be23ca736625}
device                  partition=C:
path                    \Windows\system32\winresume.efi
description             Windows Resume Application
locale                  es-ES
inherit                 {resumeloadersettings}
filedevice              partition=C:
filepath                \hiberfil.sys
debugoptionenabled      No

Herramienta de comprobaci¢n de memoria de Windows
-------------------------------------------------
Identificador           {memdiag}
device                  partition=\Device\HarddiskVolume1
path                    \EFI\Microsoft\Boot\memtest.efi
description             Herramienta de diagn¢stico de memoria de Windows
locale                  es-ES
inherit                 {globalsettings}
badmemoryaccess         Yes

Configuraci¢n de EMS
--------------------
Identificador           {emssettings}
bootems                 Yes

Configuraci¢n del depurador
---------------------------
Identificador           {dbgsettings}
debugtype               Serial
debugport               1
baudrate                115200

Defectos de RAM
---------------
Identificador           {badmemory}

Configuraci¢n global
--------------------
Identificador           {globalsettings}
inherit                 {dbgsettings}
                        {emssettings}
                        {badmemory}

Configuraci¢n del cargador de arranque
------------------------------------
Identificador           {bootloadersettings}
inherit                 {globalsettings}
                        {hypervisorsettings}

Configuraci¢n de hipervisor
-------------------
Identificador           {hypervisorsettings}
hypervisordebugtype     Serial
hypervisordebugport     1
hypervisorbaudrate      115200

Reanudar la configuraci¢n del cargador
--------------------------------------
Identificador           {resumeloadersettings}
inherit                 {globalsettings}

Opciones de dispositivo
-----------------------
Identificador           {42d256e6-947a-11e4-9c6c-be23ca736625}
description             Ramdisk Options
ramdisksdidevice        partition=C:
ramdisksdipath          \Recovery\42d256e5-947a-11e4-9c6c-be23ca736625\boot.sdi


****** End Of Log ******

Título: Re: ROOTKITS como encontrarlos
Publicado por: r32 en 26 Enero 2015, 02:42 am
Hola veo tienes Kaspersky instalado, intenta resolver los problemas que te marca GFI Languard.
Aunque puedes echarle un ojo al tema por si necesitas algun a tool más, en este tema lo tienes:

http://foro.elhacker.net/seguridad/guia_rapida_para_descarga_de_herramientas_gratuitas_de_seguridad_y_desinfeccion-t382090.0.html

Aquí los anti-rootkit:

Gmer:
- Web: http://www.gmer.net/
- D.Directa: http://www2.gmer.net/gmer.zip

TDSSKiller:
- Web: http://support.kaspersky.com/sp/faq/?qid=208283366
- D.Directa: http://support.kaspersky.com/downloads/utils/tdsskiller.exe

Bitdefender Rootkit Remover:
- Web: http://labs.bitdefender.com/projects/rootkit-remover/rootkit-remover/
- D.Directa (32 bits): http://download.bitdefender.com/removal_tools/BootkitRemoval_x86.exe
- D.Directa (64 bits): http://download.bitdefender.com/removal_tools/BootkitRemoval_x64.exe
- FAQ: http://labs.bitdefender.com/wp-content/uploads/2013/02/rootkitremoverFAQ.txt

Malwarebytes Anti-Rootkit:
Web: http://www.malwarebytes.org/products/mbar/
D.Directa: http://downloads.malwarebytes.org/file/mbar

Rootkit Revealer:
- Web: http://technet.microsoft.com/es-es/sysinternals/bb897445.aspx
- D.Directa: http://download.sysinternals.com/files/RootkitRevealer.zip

SpyDLLRemover:
- Web: http://securityxploded.com/spydllremover.php
- D.Directa: http://securityxploded.com/getfile_plus.php?id=3351

Mcafee-avert:
- Web: http://www.mcafee.com/es/downloads/free-tools/rootkitremover.aspx
- D.Directa: http://downloadcenter.mcafee.com/products/mcafee-avert/rr/rootkitremover.exe
                   http://downloadcenter.mcafee.com/products/mcafee-avert/rr/rootkitremover.exe
- Guía: http://www.mcafee.com/es/downloads/free-tools/how-to-use-rootkitremover.aspx

Dr.Web:
Web: http://www.freedrweb.com/cureit/?lng=es
Descarga: http://download.geo.drweb.com/pub/drweb/cureit/
D.Directa: http://download.geo.drweb.com/pub/drweb/cureit/1415105362.793/9ri6n2aq.exe
Guía: http://download.geo.drweb.com/pub/drweb/cureit/doc/drweb-800-cureit-free-en.pdf

PD: Olvidé comentarte, ya que usas Kaspersky, hay una tool que extrae mucha info y funciona muy bien, incluso te podrían dar soporte con esos logś en el foro de kaspersky específico de esa tool:

Echale un ojo, si te gusta:

http://foro.elhacker.net/seguridad/tutorial_de_analisis_de_sistemas_con_avz_antiviral_toolkit_de_kaspersky-t367418.0.html

Saludos.

Título: Re: ROOTKITS como encontrarlos
Publicado por: Hitokkiri en 4 Febrero 2015, 01:43 am
Cabe destacar el error que me dio GMER, al inicio y al final del proceso de scan.

System el proceso no tiene acceso al archivo por que esta siendo utilizado por otro proceso.

Screen 1:
http://subefotos.com/ver/?29c220aab7c49674735d4a63a44afe8bo.jpg

Screen 2 :

http://subefotos.com/ver/?19b52bbb32f95c223fc6103de6cb4d8do.jpg

Screen 3 :
http://subefotos.com/ver/?13400e936270641cfa1097f2476b29a5o.jpg

Screen 4 :

http://subefotos.com/ver/?84c423d8023350b4aebcf7a4f67da1aao.jpg

gracias!

Título: Re: ROOTKITS como encontrarlos
Publicado por: Hitokkiri en 4 Febrero 2015, 17:15 pm
Aqui les dejo el log de Gmer.

http://pastebin.com/ErNdrtcd

gracias


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines