Como saber si tu ordenador es un ZOMBIE

Como saber si tu ordenador es un ZOMBIE

08/29/2008 0 Por viperEF

El conocido laboratorio Kaskersky Lab ha publicado (en ingles) un articulo para saber si nuestros ordenadores pertenecen a la red Zombie de mas de 1.000.000 ordenadores que estan infectados sin saberlo, siguiendo el manual podemos desinfectar nuestro sistema:

Artículo Español

Artículo Ingles

Instrucciones para la localización y eliminación de software malintencionado de Sombra bot.

Instructions prepared by: Vitaly Kamluk, Kaspersky Lab Instrucciones preparado por: Vitaly Kamluk, Kaspersky Lab
Date: 06.08.2008 Fecha: 06.08.2008
MD5 of analyzed sample: 9e2ef49e84bc16c95b8fe21f4c0fe41e MD5 de la muestra analizada: 9e2ef49e84bc16c95b8fe21f4c0fe41e

Locating malware (with security software) Acceso a los programas maliciosos (con software de seguridad)

Kaspersky Anti-Virus has been able to detect malware which supports the Shadow botnet since 30th of January 2008. Kaspersky Anti-Virus ha sido capaz de detectar malware que apoya la Sombra botnet desde el 30 de enero de 2008. Detection names may vary from version to version. Detección de nombres pueden variar de versión a versión. The malware is detected under the following names: El programa malicioso se detecta con los siguientes nombres:

  • Backdoor.Win32.IRCBot.bit
  • Backdoor.Win32.IRCBot.biy
  • Backdoor.Win32.IRCBot.bjd
  • Backdoor.Win32.IRCBot.bjh
  • Backdoor.Win32.IRCBot.cja
  • Backdoor.Win32.IRCBot.cjj
  • Backdoor.Win32.IRCBot.ckq
  • Backdoor.Win32.IRCBot.cow
  • Backdoor.Win32.IRCBot.czt
  • Backdoor.Win32.IRCBot.ekz
  • Rootkit.Win32.Agent.aet
  • Trojan-Downloader.Win32.Injecter.pj
  • Trojan.Win32.DNSChanger.azo
  • Trojan.Win32.DNSChanger.bao
  • Trojan.Win32.DNSChanger.bck
  • Trojan.Win32.DNSChanger.bfo
  • Trojan.Win32.DNSChanger.bjh
  • Trojan.Win32.DNSChanger.bji
  • Trojan.Win32.DNSChanger.bjj
  • Trojan.Win32.DNSChanger.bmj
  • Trojan.Win32.DNSChanger.bnw
  • Trojan.Win32.DNSChanger.bqk
  • Trojan.Win32.DNSChanger.bsm
  • Trojan.Win32.DNSChanger.buu
  • Trojan.Win32.DNSChanger.bwi
  • Trojan.Win32.DNSChanger.bxd
  • Trojan.Win32.DNSChanger.bxe
  • Trojan.Win32.DNSChanger.bxv
  • Trojan.Win32.DNSChanger.cap
  • Trojan.Win32.DNSChanger.ccg
  • Trojan.Win32.DNSChanger.cei
  • Trojan.Win32.DNSChanger.cem
  • Trojan.Win32.DNSChanger.eag
  • Trojan.Win32.DNSChanger.gvb
  • Trojan.Win32.Restarter.e
  • Trojan.Win32.Restarter.f
  • Trojan.Win32.Restarter.g
  • Trojan.Win32.Restarter.h

The current sample was detected on 6th August 2008 as Trojan.Win32.DNSChanger.gvb La actual muestra se detectó el 6 de Agosto 2008 como Trojan.Win32.DNSChanger.gvb

Locating malware (manually) Acceso a los programas maliciosos (manualmente)

As the bot doesn’t copy its body to the system, the name of the malicious file can vary. A medida que el robot no copiar su cuerpo al sistema, el nombre del archivo malicioso puede variar. The name of the malicious file depends on the installer used to infect the system with the bot. El nombre del fichero dañino depende de que el instalador utilizado para infectar el sistema con el bot. However, it is possible to detect the presence of the bot by checking the system registry. Sin embargo, es posible detectar la presencia del bot de control el registro del sistema.

Users can check the system registry by running regedit.exe and checking the following registry value: Los usuarios pueden comprobar el registro del sistema ejecutando regedit.exe y comprobar la siguiente valor del registro:

HKEY_CLASSES_ROOT\.htc\Content Type HKEY_CLASSES_ROOT \. HTC \ Tipo de Contenido

System administrators of large networks can do this remotely using the reg.exe command as shown below: Los administradores de sistemas de grandes redes puede hacer esto forma remota utilizando el comando reg.exe como se indica a continuación:

The default system registry value (checked on Windows XP Pro SP2) for HKEY_CLASSES_ROOT\.htc\Content Type is “text/x-component”. El sistema por defecto el valor de registro (comprobado en Windows XP Pro SP2) para HKEY_CLASSES_ROOT \. HTC \ tipo de contenido es «text / x-componente». If there is a different value such as “{space}” in the registry, this may mean the machine is infected with Shadow bot malware. Si hay un valor diferente, como «espacio ()» en el registro, esto puede significar que la máquina está infectada con malware Shadow bot.

You can also check another registry hive that enables the bot to make outbound network connections by changing Windows Firewall rules: También puede comprobar la colmena otro registro que permite el robot para hacer conexiones de red salientes de cambiar las reglas del firewall de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ lista \.

The bot adds an item to the list of Authorized Applications. El bot agrega un elemento a la lista de autorizados Aplicaciones. The rule may be identified as «Flash Media» as shown below, but the name can vary. La norma puede ser identificado como «Flash Media» como se indica a continuación, pero el nombre puede variar.

This enables you to see the actual path to where the malicious file is stored on the infected system. Esto le permite ver el camino para que el fichero dañino se almacena en el sistema infectado. The path to the malicious file can also be found in the HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit registry value. El camino hacia el fichero dañino también pueden encontrarse en los HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ WinLogon \ Userinit valor de registro. The bot appends the path to its file to the legitimate userinit.exe as shown below: El robot añade el camino a su archivo a las legítimas userinit.exe como se indica a continuación:

The filename and location may vary. El nombre del archivo y la ubicación puede variar.

Network administrators can identify infected machines on the local network by checking outbound network connections to elena.ccpower.ru on port 3306, or by using address/port independent detection based on filtering network traffic for the patterns shown below: Los administradores de red pueden identificar las máquinas infectadas en la red local de control de salida de la red de conexiones para elena.ccpower.ru en el puerto 3306, o usando la dirección / puerto independiente basado en la detección de filtrado de tráfico de la red para los patrones se muestra a continuación:

Removing malware (manually) La eliminación de software malintencionado (manualmente)

The bot patches winlogon.exe process in memory. El bot parches winlogon.exe proceso en la memoria. This allows the malicious code to gain local system privileges and protects the original malicious file against removal. Esto permite que el código malicioso local para ganar privilegios del sistema y protege el original de fichero dañino contra la expulsión. It also protects registry settings against modification by restoring them frequently. También protege la configuración de registro contra la modificación introducida por el restablecimiento de ellos con frecuencia. If the malicious process is not running, the patched winlogon.exe will restart it. Si el proceso malicioso no está en ejecución, el parcheado winlogon.exe se reiniciará.

Once you have identified the malicious executable, follow the instructions below to remove the malware and restore system settings: Una vez que haya identificado el ejecutable malicioso, siga las siguientes instrucciones para quitar el malware y restaurar la configuración del sistema:

1. Deny the current user all access to the malicious file. Denegar el usuario actual acceso a todos los archivos maliciosos. To do this, navigate to the file using Windows Explorer. Para ello, vaya al archivo con el Explorador de Windows.

Make sure that you disable “Use simple file sharing” (for NTFS users) in Windows Explorer (Go to Windows Explorer windows menu -> Tools -> Folder Option -> View): Asegúrese de desactivar el «uso compartido simple de archivos» (para los usuarios NTFS) en el Explorador de Windows (Ir al Explorador de Windows las ventanas del menú -> Herramientas -> Opciones de carpeta -> Ver):

Right click the malicious file and select “Properties”: Derecho haga clic en el fichero dañino y seleccione la opción «Propiedades»:

Go to the “Security” tab and adjust file access control. Ir a la pestaña «Seguridad» y ajustar el archivo de control de acceso. You will need to add the current user to the list of “Group or user names”: Usted tendrá que añadir el usuario actual a la lista de «Grupo o nombres de usuario»:

Click “Add” button and enter the current user name. Haga clic en botón «Agregar» e introduzca el nombre de usuario actual. Check all checkboxes in the Deny column for the current user: Revise todas las casillas en la columna Denegar para el usuario actual:

2. Reboot your system. Reinicie su sistema.

3. Navigate to the malicious file again. Navegue hasta el archivo malicioso nuevo. Now you will be able to remove it. Ahora usted será capaz de eliminarlo.

4. Run regedit.exe and restore registry keys to default system values. Ejecute regedit.exe y restaurar claves del registro para los valores por defecto del sistema. The values may vary depending on your system installation path. Los valores pueden variar dependiendo de la ruta de instalación del sistema. Typical values are listed below (key=value): Los valores típicos se enumeran a continuación (clave = valor):

“HKCR\.htc\Content Type” = «text/x-component» «HKCR \. HTC \ Content Type» = «text / x-componente»
“HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit” = “C:\WINDOWS\system32\userinit.exe” «HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ WinLogon \ Userinit» = «C: \ WINDOWS \ system32 \ userinit.exe»

5. Delete the following values: Eliminar los siguientes valores:

“HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Flash Media” «HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Flash Media»
“HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ «HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List \ «

6. Update your antivirus databases and run a full scan of your computer ( download a trial version of Kaspersky Anti-Virus). Actualice su antivirus bases de datos y ejecutar un escaneo completo de su computadora (descargar una versión de prueba de Kaspersky Anti-Virus).