Killtrojan te invita a participar como usuario en nuestra comunidad. Registrate y podrás participar en todos nuestros subforos y ayudarás a crecer nuestra comunidad.

Si te gusta la informática,la seguridad, el análisis de malware o tienes problemas con virus o troyanos,no te lo pienses.


Registrarte en el foro no te llevará mas de un minuto.

Pruebas: desinyectar un malware de un proceso legitimo de sistema

Ver el tema anterior Ver el tema siguiente Ir abajo

Pruebas: desinyectar un malware de un proceso legitimo de sistema

Mensaje  r32 el Miér Mayo 18, 2011 11:08 pm

Tengo una duda sobre este tema, a ver si me explico bien...
Haciendo pruebas, conseguí desinyectar varios malware del proceso al cual se habian inyectado.
Pongo como ejemplo el que se inyectó en el I.Explorer, denegandole los privilegios al ejecutable del Internet Explorer sobre las cuentas:
Administradores, System y Users, el malware queda separado del proceso inyectado y podemos proceder a jugar un rato con él.

¿Funcionaria de la misma forma siendo el ejecutable del svchost? Osea inyectandose el malware sobre cualquier svchost de los cargados en la maquina.

Supongo la maquina tiraría a reiniciarse, como si intentasemos matar el proceso, ¿no?

No encontré un bicho de estos, y mira que hay, cuando los buscas no los encuentras, tiene gracia.
avatar
r32
Moderador Global
Moderador Global

Posts : 509
KCoins : 1177
Reputación : 42
Fecha de inscripción : 03/11/2009

Premios :
Staff


Ver perfil de usuario

Volver arriba Ir abajo

Re: Pruebas: desinyectar un malware de un proceso legitimo de sistema

Mensaje  Skapunky el Jue Mayo 19, 2011 11:01 am

Creo que sí, te saldría el típico mensaje de que el ordenador se va a apagar en X segundos. Si el malware se inyecta en el proceso del Internet Explorer, al cerrar el proceso solo cerrarías si tienes activo el navegador y todavia sería mas fácil ya que si el proceso exíste y el navegador no lo tienes abierto no debería de estar y sería un indicio de que algo raro pasa.

En caso de que un malware se inyecte al svchost.exe yo no me complicaria demasiado, buscaria las ruta del ejecutable/es inyectados y creo que se pueden eliminar iniciando en modo seguro. Todo sería encontrar una muestra y probarlo ya que ese proceso original también exíste en modo segura ya que es del sistema pero el malware quizá no se inície con el.

Como hicíste para desvincular el archicvo al proceso del internet explorer? Quizá sabiendo como lo hicíste te pueda ayudar en el caso de que se inyectase en el svchost.
avatar
Skapunky
Admin
Admin

Posts : 493
KCoins : 822
Reputación : 21
Fecha de inscripción : 16/06/2008

Premios :
Staff


Ver perfil de usuario http://www.killtrojan.net

Volver arriba Ir abajo

Re: Pruebas: desinyectar un malware de un proceso legitimo de sistema

Mensaje  r32 el Jue Mayo 19, 2011 9:10 pm

Tambien pensé lo mismo, ya sea en modo seguro o arranque normal tiraría a reiniciar, son procesos indispensables.

Para desvincular el malware del I.Explorer fui a buscar el ejecutable del navegador en:
C:\Archivos de programa\Internet Explorer\iexplore.exe
Propiedades del archivo, y en la pestaña "Seguridad" denegamos permisos sobre las cuentas que esten creadas:



Aplicar los cambios, y ahora si o si hay que reiniciar el procesos del malware, de esta forma al no poder cargar el proceso del navegador al cual se inyectó, se muestra como un proceso normal. Ya sea matando el proceso para que vuelva a cargarse o si tienes la opcion de reiniciar el proceso, depende del administrador utilizado, en ese momento usé el ProcessHacker.

A ver si pruebo de hacerlo con los svchost que pueda, sin que haiga infección, y probar a ver que pasa.
avatar
r32
Moderador Global
Moderador Global

Posts : 509
KCoins : 1177
Reputación : 42
Fecha de inscripción : 03/11/2009

Premios :
Staff


Ver perfil de usuario

Volver arriba Ir abajo

Re: Pruebas: desinyectar un malware de un proceso legitimo de sistema

Mensaje  Skapunky el Jue Mayo 19, 2011 10:20 pm

Se te va a cerrar creo yo...el problema esque si cierras el proceso del svchost cerrarás el del malware y el de los hilos legítimos. Pero quizá, si después de denegar el permíso utilizas algún software tipo ese programa que tenemos en el subforo de software, el "svchost analyzer"...

Svchost Process Analizer

Con ese puedes ver los hilos de un proceso y segúramente puedas llegar a cerrar el hilo del malware sin perjudicar a los otros servicios legítimos del svchost. Todo sería probarlo, espero que me entiendas la idea.
avatar
Skapunky
Admin
Admin

Posts : 493
KCoins : 822
Reputación : 21
Fecha de inscripción : 16/06/2008

Premios :
Staff


Ver perfil de usuario http://www.killtrojan.net

Volver arriba Ir abajo

Re: Pruebas: desinyectar un malware de un proceso legitimo de sistema

Mensaje  r32 el Vie Mayo 20, 2011 9:09 pm

Intentaré probarlo cuando encuentre un malware que se inyecte al svchost, sin infección no tiene sentido hacer la prueba.
Cuando lo tenga posteo los resultados. Gracias por las aclaraciones de todas formas.


avatar
r32
Moderador Global
Moderador Global

Posts : 509
KCoins : 1177
Reputación : 42
Fecha de inscripción : 03/11/2009

Premios :
Staff


Ver perfil de usuario

Volver arriba Ir abajo

Re: Pruebas: desinyectar un malware de un proceso legitimo de sistema

Mensaje  Contenido patrocinado


Contenido patrocinado


Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.