Muy buenas a todos/as!

Hace ya días que se tuvo la noticia del gusano Morto, este gusano tiene la característica poder atacar a aquellos sistemas que tienen una contraseña demasiado débil.

Podemos ver el resumen de lo que hace el virus en la web de Microsoft.

Conseguí una muestra del malware para ver como trabajaba y pude aprender un poco mas de las cosas que hacía, para hacer el análisis usé VMWare, Wireshark, virus total, ping, install rite.

Ejecutamos el malware en la máquina virtual y con Wireshark podemos ver las conexiones que realiza el gusano en cuestión.

Aquí podemos ver las diferentes conexiones que hace Morto. Ahora también gracias a Install rite podremos ver los cambios que ha echo a nivel de sistema operativo.

Podemos ver los diferentes cambios que ha echo Morto en el sistema operativo.

Aquí vemos los cambios respecto al registro.

Aquí vemos mas cambios del registro

Respecto a las modificaciones a nivel de sistema de archivo y registro no hace falta explicar nada mas.

En cuanto a las conexiones podemos ver que Morto intenta conectarse con el dominio

qsfl.net, si intentamos acceder no responde. Si miramos el whois del dominio, podemos ver que el dominio es de origen chino.

Datos del Whois

Ya que el dominio no resuelve, miramos directamente la primera IP que aparece en Wireshark a la que intenta acceder.

La primera IP tiene apartado web accesible:

Podemos ver dos archivos para bajar, uno de 10MB y otro de 100MB.

Si miramos el Whois del sitio podemos ver que es de origen Panameño.

Whois 190.211.253.2

Si miramos los servicios que hay en esa dirección podemos ver que tiene asociados varios servicios

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 01:24 CEST
Nmap scan report for dns01.privatelayer.com (190.211.253.2)
Host is up (0.25s latency).
Not shown: 990 filtered ports
PORT      STATE SERVICE
53/tcp    open  domain
80/tcp    open  http
139/tcp   open  netbios-ssn
3389/tcp  open  ms-term-serv
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49156/tcp open  unknown
49157/tcp open  unknown
49158/tcp open  unknown

Podemos ver que hay un servicio de terminal server escuchando en esa dirección IP

El archivo descargado de la anterior web no sabemos lo que, es por lo tanto lo hemos pasado por un analizador de malware online, en esto caso Virus Total.

Report Virus Total

No hemos sacado nada en claro de lo que es ese archivo.

La segunda IP que encontrábamos era 198.153.194.1, esta IP pertenece a Symantec es una DNS pública para que la gente la use.

La siguiente Ip que teníamos registradas que había aparecido en el análisis de la red era 203.128.7.10, si miramos de donde viene vemos que pertenece a un service provider de Pakistan

Whois 203.128.7.10

La siguiente Ip que nos aparecía 203.172.246.41, esta ip si miramos el whois pertenece al Ministerio de Educación, podemos ver los datos aquí.

Whois 203.172.246.41

Los servicios habilitados en esta IP són:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 09:25 CEST
Nmap scan report for 203.172.246.41
Host is up (0.48s latency).
Not shown: 997 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
53/tcp  open   domain
631/tcp closed pip

La siguiente Ip es 203.236.43.5, si volvemos ha seguir el rol de antes, miramos el whois de la IP, en este caso vemos que pertenece a Korea.

Whois 203.236.43.5

La IP no tiene puertos abiertos

La siguiente IP es 205.171.2.65 esta IP pertenece a la empresa Qwest de origen estadounidense.

Whois 205.171.2.65

No tiene servicios asociados tampoco.

La siguiente Ip a analizar es 205.171.3.65

Whois 205.171.3.65

Esta IP también pertenece a la empresa americana Qwest.

Tiene los siguientes servicios

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 16:29 CEST
Nmap scan report for resolver1.qwest.net (205.171.3.65)
Host is up (0.12s latency).
Not shown: 997 closed ports
PORT    STATE    SERVICE
53/tcp  open     domain
135/tcp filtered msrpc
445/tcp filtered microsoft-ds

Ya tenemos los servicios asociados.

Ahora seguiremos mirando la siguiente dirección IP se trata de 205.210.42.205 se trata de un SecureDNS y nos resuelve en DNSresolvers. La información del Whois lo podemos ver en:

Whois 205.210.42.205

Los servicios asociados són:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:09 CEST
Nmap scan report for cache1.dnsresolvers.com (205.210.42.205)
Host is up (0.20s latency).
Not shown: 995 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
25/tcp  open   smtp
53/tcp  open   domain
80/tcp  closed http
443/tcp closed https

Seguimos con la siguiente dirección IP.

La siguiente dirección IP es 206.141.192.60, esta IP pertenece a Ameritech Electronic Commerce.

Whois 206.141.192.60

Los servicios asociados son:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:11 CEST
Nmap scan report for dns1.chcgil.sbcglobal.net (206.141.192.60)
Host is up (0.18s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
53/tcp open  domain

Ahora miramos la siguiente dirección IP, se trata de 208.67.220.220. Se trata de otra IP de resolución de DNS.

Whois 208.67.220.220

Los servicio que hay corriendo :

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:16 CEST
Nmap scan report for resolver2.opendns.com (208.67.220.220)
Host is up (0.11s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
53/tcp open  domain

Vamos a mirar el siguiente dominio, la IP es 210.141.112.163. Si miramos la procedencia, podemos ver que es Japonés, además parece ser que es un servicio de free address que ofrecen.

Whois 210.141.112.163

Los servicios asociados son:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:26 CEST
Nmap scan report for bind1.dion.ne.jp (210.141.112.163)
Host is up (0.33s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
53/tcp open  domain

La siguiente IP también pertenece al servicio Free Address japonés.

Whois 210.196.3.183

Los servicios asociados son:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:33 CEST
Nmap scan report for bind.dion.ne.jp (210.196.3.183)
Host is up (0.37s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
53/tcp open  domain

La siguiente IP con la que vamos a tratar es de Georgia, y echando un vistazo tiene mas servicios asociados.

Whois 213.131.34.2

Si miramos lo servicios nos encontramos:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:35 CEST
Nmap scan report for acc.wanex.net (213.131.34.2)
Host is up (0.16s latency).
Not shown: 993 filtered ports
PORT     STATE  SERVICE
53/tcp   open   domain
2323/tcp closed 3d-nfsd
4662/tcp closed edonkey
6346/tcp closed gnutella
6699/tcp closed napster
6881/tcp closed bittorrent-tracker
7778/tcp closed interwise

Parece ser que esta máquina hace mas funciones que las máquinas que nos hemos encontrado antes.

Miramos la siguiente dirección IP, se trata de 4.2.2.1. Esta IP pertenece a

Si miramos en robtex esta IP aparece que está en una blacklist. La IP pertenece a un ISP.

Whois 4.2.2.1

También tiene varios servicios asociados a esa IP

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:49 CEST
Nmap scan report for vnsc-pri.sys.gtei.net (4.2.2.1)
Host is up (0.053s latency).
Not shown: 984 closed ports
PORT      STATE    SERVICE
22/tcp    open     ssh
53/tcp    open     domain
111/tcp   open     rpcbind
135/tcp   filtered msrpc
179/tcp   open     bgp
445/tcp   filtered microsoft-ds
1002/tcp  open     windows-icfw
1121/tcp  filtered rmpp
2001/tcp  open     dc
2042/tcp  filtered isis
3000/tcp  filtered ppp
3006/tcp  filtered deslogind
5030/tcp  filtered surfpass
5730/tcp  filtered unieng
7100/tcp  open     font-service
32771/tcp open     sometimes-rpc5

Y miramos la última IP que obteníamos con Wireshark

La IP en cuestión es 64.68.200.200, los datos del Whois son:

Whois 64.68.200.200

Y os servicios asociados son:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 18:00 CEST
Nmap scan report for cache2.dnsresolvers.com (64.68.200.200)
Host is up (0.15s latency).
Not shown: 970 closed ports, 28 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh
53/tcp open  domain

Es una IP que vuelve a pertenecer a DNSresolvers de Canada.

Seguimos con la lista de Ip’s a las que Morto va intentando conectarse.

En este caso se trata de una IP de Hong Kong

Whois 111.68.13.250

Si miramos los servicios levantados

Nmap done: 1 IP address (1 host up) scanned in 52.37 seconds
darkforest:Downloads seifreed$ nmap -P0 111.68.13.250

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 18:12 CEST
Nmap scan report for 111.68.13.250
Host is up (0.40s latency).
Not shown: 988 closed ports
PORT     STATE    SERVICE
21/tcp   open     ftp
135/tcp  filtered msrpc
443/tcp  filtered https
445/tcp  filtered microsoft-ds
1026/tcp open     LSA-or-nterm
1031/tcp filtered iad2
1123/tcp filtered murray
1723/tcp open     pptp
3389/tcp open     ms-term-serv
8080/tcp filtered http-proxy
8081/tcp filtered blackice-icecap
8082/tcp filtered blackice-alerts

La siguiente IP pertenece a Taiwan

Whois 168.95.1.1

Los servicios levantados son

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 18:18 CEST
Nmap scan report for dns.hinet.net (168.95.1.1)
Host is up (0.40s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
53/tcp open  domain

Ya tenemos todas las Ip analizadas y los servicios que corren en cada una de ellas.

Parece ser que Morto intenta contactar con diferentes localizaciones , además de usar DNS gratuítos para hacer la resolución de nombres que necesita. Algunos de los servidores con los que contacta Morto, tienen el servicio RDP activado, además de tener mas servicios como el Bitorrent o el Emule. En la siguiente entrega se intentara buscar mas información relacionada con estas IP, además de intentar averiguar que es ese archivo que nos encontramos en la primera IP que estábamos analizando.

Espero que os haya gustado

De manera que sólo saldrá el .exe y el bat se ejecutará en segundo plano sin que el usuario final e de cuenta.

Como ya sabréis un archivo .bat puede contener órdenes como rmdir del o tasskill que pueden ocasionar daños en el usuario final.

Empezaremos ejecutando iexpress

Con esto iniciaremos la herramienta y empezaremos ha hacer nuestro pequeño proyecto:

Como vamos a hacer un nuevo proyecto y no tenemos ninguno existente lo dejaremos tal y como viene por defecto, le damos a siguiente

Aquí tenemos tres opciones pero dejaremos la primera que es extraer los ficheros y ejecutar la instalación.

Le damos a siguiente

Ahora le ponemos un título al proyecto.

Le damos a siguiente

Aqui le especificamos si queremos un prompt pero no se lo pondremos..

Le damos a siguiente

Aqui es por si le queremos incluir una licencia en el ejecutable. En este caso es que no, le damos a siguiente

Aqui escojemos el .exe y el virus .bat

le damos a siguiente

Es muy importante elejir primero el programa fiable y luego el .bat si son ordenes sencillas como delete y demas da igual el orden. Le damos a siguiente

Aqui elejimos que sea hidden oculto, no veremos el proceso de ejecución del segundo programa. Por eso contaba que el bat se ha de poner antes Le damos a siguiente

Como veis aqui dejamos marcado un mensajito para cuando acabe la instalacion

Le damos a siguiente

Aqui elejimos el .exe donde volcaremos dicho program es decir buscamos un .exe que infectar

le damos a siguiente

Aqui le dejamos marcado que si es necesario que reinicie..

Le damos a siguiente

Ahora esto sería para guardar el proyecto y abrirlo en otro momento. Le damos a siguiente

Aqui le decimos siguiente para crear el paquete

Como veis aqui esta creando el paquete .exe..

Y ya esta se habrá creado el paquete.

Y ya está

Es ta fácil como eso

Ya hace algún tiempo escribí una entrada sobre ello:

http://seifreed.wordpress.com/2007/11/18/eliminar-correctamente-un-virus/

Retomando la partida es el momento de eliminar el mayor número de virus..

Cuando creas que tienes un virus es bueno seguir estos pasos.

Una buena opción sería ejecutar un Antivirus con Live-CD

Un Live-CD es una herramienta muy útil ya que no tocamos en ningún momento el Sistema Operativo.

Una muy buena opción es lo que nos ofrece Dr.Web.

Descarga

Una vez grabada la imágen ISO reiniciamos con el cd puesto y le damos a scan, no tiene pérdida virus que encuentre virus que le das a eliminar.

Si después de esto crees que todavía tienes mas virus hay bastantes herramientas que te ayudan a la desinfección de virus

La primera es Spybot este es un perfectísimo eliminador de Software espía..

Spybot

Un buen antivirus es Kaspersky.. En su página ofrecen un antivirus Online bastante efectivo

Kaspersky Online Scanner

Un escaneo online te da la posibilidad de encontrar mas virus que si lo hiceras con un antivirus local, ya que se hacen extérnamente.

Ahora empezamos a quitar virus localmente..

Hay una herramienta muy buena que quita algunos Spyware(Virus Publicitarios) bastante difíciles..

Se llama ComboFix se ha de ejecutar en modo Seguro.

Si no sabes entrar en modo Seguro se hace así:

Como entrar en Windows en Modo Seguro

Hay dos maneras:

1-Cuando reinicies apretar pausadamente la tecla F8 y entrar en el apartado de Modo a prueba de fallos

2-Primero cierras todos los programas. Luego, vamos a inicio/ejecutar y escribimos msconfig Le damos a enter y te aparecerá una ventana y vas a “utilidad de configuración del sistema”

3- Vamos a la pestaña “BOOT.INI”

4-En opciones de inicio debemos marcar la casilla “/safeboot”

5-Cerramos y reiniciamos el PC.

Nota: Para volver a entrar como siempre vamos al paso de marcar la casilla de safeboot y la desmarcamos.

Descargar ComboFix

Esto te generará un report que podrás pegarlo en algún foro donde haya gente especializada en quitar virus !

También podemos mirar si el virus está mediante el regedit, el registro de Windows

X es cualquier letra de unidad.

Para eliminar virus del restore hay que desactivar la casilla de restaurar sistema, esto se hace para que luego cuando eliminemos el virus no se vuelva a restaurar.

Luego tamb se pueden eliminar virus que no son detectados por el antivirus.

Como eliminarlos?

Una solución rápida es restaurar el sistema hasta un día antes de que apareciera el virus.

Como buscar manualmente un virus?

Primero en los procesos

Mirar siempre si los procesos que hay son realmente los que estáis utilizando de donde provienen si son de system o de vosotros etc

En el registro:

Vamos a incio/ejecutar y escribimos esto:

regedit
Y luego apretando la tecla control + b buscamos esta entrada:

Y luego:

Para eliminar todos los virus del msn:

Virus msn

Hay una herramienta bastante útil que te quitará muchos dolores de cabeza..

Se trata de Reg Unlocker, hay virus que te cambian la página de inicio, te desabilitan el administrador de tareas o el registro de Windows. Esta herramienta te volverá a poner esas cosas bien.

Reg Unlocker

Otra herramienta de la gente de LDC, es Winrecover que te ayudará bastante igual que Reg Unlocker

Win Recover

Sigamos con las herramientas..

Hay veces que se nos deshabilita el autorun del  CD/DVD es decir que se ejecute un cd al meterlo en el ordenador

Habilitar Autorun CD

Tanbién hay virus que hacen que nos se ejecute el explorer.exe(Escritorio de Windows) Al principio de Windows

Con esto se arreglaría:

Habilitar Escritorio

Para habilitar la grabación en Windows:

Habilitar Grabación

y si por alguna razón se te ha desconfigurado el Internet Explorer esto te lo arreglará:

Reparar Internet Explorer

Y si lo que te pasa es que te falta alguna dll de Windows bájate esto:

DLL de Windows

Y eso es todo.

Alguna duda ya sabeis

Hay dos maneras de quitar el Virus,

1-Con un Live CD de Linux conectamos el Pen Drive y eliminamos los archivos DiskKnight.exe y autorun.inf y con esto ya estaría en Local hay que ponserse a buscarlo en la carpeta de  C:/Windows y en la carpeta Prefetch, todo lo que sea DiskKnight se elimina. Y luego en msconfig en lo que se carga al inicio hay que eliminar la entrada de Disk Knight.exe.

Y la segunda manera es esta:

2)Bajarse este archivo que te lo destruye automaticamente de la pen estando en Windows

Descarga

Hay que tener cuidado con estos temillas ya que en un momento si es una red grande..puede infectarse mucha gente.

Primero:

No perder la calma y hacer las cosas con tranquilidad no ponerte a eliminar o modificar carpetas o entradas en el registro a lo loco ,puede ser peor el remedio que la enfermedad

Segundo

Pasar un escanear con tu antivirus y antyspyware correctamente actualizados

Por ejemplo: AVG que es gratuito y lo podeis descargar de esta página:

Descarga

Luego para el antyspyware os recomiendo Spybot, tamb es software gratuito y lo podéis encontrar aquí:

Descarga

En estos casos siempre es bueno tener una segunda opinión y podéis pasar un antivirus online, por ejemplo en la página de Panda hay un antivirus online bastante recomendable.

Página

Lo que normalmente pasa es que entre el antivirus y el antyspyware te elimine los virus, pero hay casos en los que no te los elimina.

Entonces llega el caso en el cual el antivirus detecta el virus y no puede eliminarlo.

Esto suele pasar por que, por ejemplo el virus está en ejecución es decir como proceso de sistema.

Y es en estos casos en los cuales hay que entrar en Windows en Modo seguro, y eliminarlos pasando otra vez el antivirus y el antispyware

Como entrar en Windows en Modo Seguro

Hay dos maneras:

1-Cuando reinicies apretar pausadamente la tecla F8 y entrar en el apartado de Modo a prueba de fallos

2-Primero cierras todos los programas. Luego, vamos a inicio/ejecutar y escribimos msconfig Le damos a enter y te aparecerá una ventana y vas a “utilidad de configuración del sistema”

3- Vamos a la pestaña “BOOT.INI”

4-En opciones de inicio debemos marcar la casilla “/safeboot”

5-Cerramos y reiniciamos el PC.

Nota: Para volver a entrar como siempre vamos al paso de marcar la casilla de safeboot y la desmarcamos.

Después tamb podemos encontrar que el antivirus elimine el virus pero este vuelva a aparecer.
Esto pasa cuando el virus a creado una entrada aquí:

X es cualquier letra de unidad.

Para eliminar virus del restore hay que desactivar la casilla de restaurar sistema, esto se hace para que luego cuando eliminemos el virus no se vuelva a restaurar.

Luego tamb se pueden eliminar virus que no son detectados por el antivirus.

Como eliminarlos?

Una solución rápida es restaurar el sistema hasta un día antes de que apareciera el virus.

Y por último..

Como buscar manualmente un virus?

Primero en los procesos

Mirar siempre si los procesos que hay son realmente los que estáis utilizando de donde provienen si son de system o de vosotros etc

En el registro:

Vamos a incio/ejecutar y escribimos esto:

regedit
Y luego apretando la tecla control + b buscamos esta entrada:

Y luego:

Eso es todo jeeje