viernes, 6 de febrero de 2009

Manual Utilizar Hijackthis y Killbox


Pensando en las soluciones y buscando la más apropiada, para la eliminación de software maliciosos que bajamos de internet sin darnos cuenta que son malware o en todos los casos troyanos Vamos a estudiar cómo podemos utilizar estas dos herramientas de gran utilidad será un poco extenso pero les aseguro que vamos a solucionar los problemas con esos Molestos virus.


Lo principal que vamos hacer es conocer los procesos Que se ejecutan en nuestra Pc, Para esto vamos abrir el Administrador de tareas, con las Teclas (Ctrl+Alt+Supr) Presionándolas al mismo Tiempo y vamos a seleccionar la pestaña Procesos.

La intención es conocer los procesos que estemos ejecutando porque hay muchos nombres extraños veremos una breve Introduccion.

* Los procesos señalados en cuadros en ROJO son procesos INDISPENSABLES para el sistema y NO ES RECOMENDABLE detenerlos ya que podrías causar inestabilidad al sistema.
* Los procesos señalados en cuadros en AMARILLO son procesos no tan indispensables y el sistema puede prescindir de ellos, puedes detener estos procesos sólo si sabes lo que haces.
* Los procesos señalados en cuadros en VERDE son procesos que SI PUEDES DESHABILITAR o detener sin temor alguno.


Algo muy importante que debemos tomar en cuenta es observar el nombre de los procesos letra por letra ya que algunos Software Maliciosos utilizan casi los mismos nombres.
ejem: IEXPLORER.EXE: este proceso es una variedad del "Rapid Blaster". Su función es mostrar publicidad durante la navegación. No confundirlo con IEXPLORE.EXE (que es el shell del sistema) si observan una “R” hace la diferencia.
Pondremos Unos enlaces donde podremos consultar los nombres de los procesos De Windows.

* http://www.procesoswindows.com/
* http://www.wilkinsonpc.com.co/free/articulos/procesos.html
* http://www.kernelnet.com/component/option,com_glossary/func,display/page,1/catid,80/Itemid,49/
* http://www.alegsa.com.ar/Diccionario/Cat/74.php

Ahora si estamos listos para continuar con el manual La siguiente pantalla muestra un equipo infectado con un troyano que se descarga con el cuento de que para ver un video en un sitio pornográfico debes bajar un códec especial.
Al descargar el “supuesto” códec, no sucede nada en un principio a la vista del usuario, un tiempo después empieza a mostrar mensajes que informan que supuestamente estás infectado y debes bajar un supuesto software para eliminarlo.


Un usuario no informado puede que se asuste y descargue el supuesto software. Al descargarlo, el supuesto programa “antivirus”, escanea las unidades y detecta diversas infecciones. Una vez “detectadas” las “infecciones”, te dice que debes comprar la licencia del programa para poder activar la función de eliminación de “las infecciones”.



Una vez que tenemos instalado este software malicioso nos dará lata continuamente con mensajes fastidiosos el cual nos hará arrepentirnos de visitar Paginas e Instaladores falsos
Veremos cómo podemos eliminar este troyano Lo más común es que muchos busquemos en el MSCONFIG en la pestaña INICIO por procesos que se inicien en el sistema.


En la siguiente imagen vemos 3 procesos que se inician con Windows
* 338820879
* ~tmpa
* ert51229

Por ser demasiados sospechosos, y por aparecer justo después de descargar el supuesto códec, procedemos a desactivarlos del msconfig.
Procedemos a reiniciar y supuestamente estamos “limpios” de la infección.
Justo después de reiniciar abrimos el Process Explorer para ver procesos activos y aunque no tenga ningún procesos del internet Explorer activo ejecutado por mí, veo un proceso activo del internet Explorer oculto y un proceso ejecutado por la línea de comandos (cmd.exe) llamado 78YeF4i8.exe.

Esto me indica que algo no hemos desactivado y algún proceso malicioso aún sigue ejecutándose.
El programa MSCONFIG es un poco limitado ya que muestra información de claves específicas del registro más comúnmente usadas para ejecutar programas al iniciarse Windows, claves de registro como:

* HKLM\Software\Microsoft\Windows\CurrentVersion\Run
* HKCU\Software\Microsoft\Windows\CurrentVersion\Run
* HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
* HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
* etc.
Pero hay otras entradas en el registro de Windows que también permiten ejecutar programas al inicio de Windows, tales como:

* HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
* HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Run
* etc.
Por alguna razón que desconozco, no sé por qué Microsoft al diseñar su propio registró y sabiendo qué entradas pueden ejecutar programas en el inicio, no incluyeron esas entradas en el listado de Inicio del MSCONFIG.
Es por esta razón que el MSCONFIG es limitado y es necesario otros programas que SI listan TODAS o la mayoría de entradas de Registro para Inicio de programas que MSCONFIG NO LISTA.
Estoy hablando de Hijackthis.
Es una herramienta poderosa. Separa las diferentes posibilidades de secuestros de sesión e infección en grupos:


* Categoría R.- Muestra cambios en claves y valores del registro, en páginas de inicio de navegación y páginas de búsqueda. Al hacer un listado verás elementos de la categoría R[X], donde X representa un número de código que te indicará lo siguiente:

* R0 .- Un valor del registro ha sido modificado.
* R1 .- Se ha creado un valor nuevo en el registro.
* R2 .- Una clave del registro ha sido modificada.
* R3 .-Un valor extra ha sido creado en el registro donde sólo debería haber un valor.

* Categoría F.- Muestra entradas de inicio automático usadas por archivos .ini. Si en un listado que haces te muestra entradas del tipo F[X] que te indicará lo siguiente:

* F0 .- Valor cambiado en archivo ini.
* F1 .- Valor creado en archivo ini.
* F2 .- Valor cambiado en archivo ini direccionado al registro.
* F3 .- Valor creado en archivo ini direccionado al registro.

* Categoría N .- Muestra cambios en páginas de inicio y/o búsqueda en los navegadores Netscape o Mozilla. Si usas Mozilla o Netscape y tengas la sospecha de estar infectado con algún software malicioso, al hacer un listado te mostrará entradas del tipo N[X] que te indicarán lo siguiente:

* N1 .- Cambios en las preferencias de Nestscape 4.x.
* N2 .- Cambios en las preferencias de Nestscape 6.
* N3 .- Cambios en las preferencias de Nestscape 7.
* N4 .- Cambios en las preferencias de Mozilla.

* Categoria O .-Muestra diversas secciones. Si al hacer un listado encuentras entradas del tipo O[x], te indicará lo siguiente:

* O1 .- Secuestro de sesión en búsquedas en archivo hosts.
* O2 .- Listado de BHO’s de MS Internet Explorer. Un BHO ( Browser Helper Object) es un programa especialmente diseñado que se integra al Internet Explorer y que virtualmente tiene derechos de acceso ilimitado a tu sistema. Aunque los BHO’s pueden ser de ayuda (como la barra de herramientas de Google), los hijackers a menudo también lo usan para propósitos maliciosos tales como rastrear tus preferencias de navegación, mostrar popups de propaganda, etc.
* 03 .- Listado de barras en el MS Internet Explorer.
* 04 .- Listado de entradas de inicio automática sospechosas en el registro. Entradas de inicio automático pueden cargar un script de Registro, VBScript, etc, posiblemente causando que tu página de inicio, de búsqueda o tu asistente de búsqueda siempre regresen al sitio direccionado por el malware, es por eso que posiblemente cuando navegues en internet se abran páginas que no has solicitado y cuando reinicies siga la misma situación. También, una DLL puede ser cargada para que se enganche a muchas partes del sistema.
* 05 .- Indica que las opciones de Internet del Panel de Control están deshabilitadas (Muy sospechoso).
* 06 .- Indica que la pestaña Opciones de internet está deshabilitada con políticas de registro.
* 07 .- Indica que el Editor de Registro a.k.a REGEDIT está deshabilitado.
* 08 .- Items extra en el contexto del menu de MS Internet Explorer.
* 09 .- Botones de herramientas extras en el MS IE. Extra items en las herramientas de MS IE y botones extra en la barra principal son usualmente presentadas de fábrica (Botón Dell Home) o después de actualizaciones del sistema ( botón de messenger) y raramente por hijackers.
* 010 .- Indica que el acceso a internet no es posible debido a New.net o Webhancer. El sistema de sockets de windows (Winsock) usa una lista de proveedores para resolver los nombres de dominios (como traducir www.microsoft.com en una dirección IP). Esto se llama Proveedor de Servicios de Capas (Layered Service Provider(LSP)). Pocos programas (spywares) son capaces de inyectar sus propios proveedores en LSP. Si los archivos referenciados por LSP están perdidos o la “cadena” del proveedor está rota, ninguno de los programas de tu sistema podra acceder al sistema. Remover las referencias a archivos perdidos y reparar la cadena restaurará tu acceso a internet. De todos modos, sólo unos pocos programas usan un gancho Winsock. Es recomendable reparar LSP usando LSPFix de http://www.cexx.org/lspfix.htm para reparar la pila Winsock.
* 011 .- Configuración de opciones extras en la pestaña Avanzadas de MS IE.
* 012 .- Extensiones de archivos para plugins de MS IE.
* 013 .- Secuestro de prefijos URL por defecto.
* 014 .- Cambios en el IERESET.INF
* 015 .- Entradas autoagregadas a la zona de confianza.
* 016 .- Programas descargados.
* 017 .- Secuestro de dominio.
* 018 .- Enumeración de protocolos y filtros existentes.
* 019 .- Secuestro de hoja de estilo de usuario.
* 020 .- Llaves y valores de inicio automático en el registro en AppInit_DLLs y Winlogon. Los archivos especificados en el valor de registro AppInit_DLL son cargados de manera temprana en el inicio de Windows y permanece en memoria hasta que el sistema es apagado. Esta forma de cargar una DLL es muy difícilmente usada excepto por los troyanos. Las llaves de registro de Notificación Winlogon se cargan en memoria al inicio y permanecen cargadas en memoria hasta que la sesión finalice. Estos 2 métodos aseguran que la DLL permanezca cargada en memoria todo el tiempo, y a veces repararlo en sesión activa no ayudará si la DLL vuelve a ser cargada inmediatamente. En tales casos, es recomendable usar la función “Delete file on Reboot” o KILLBOX para borrar el archivo.
* 021 .- Clave de inicio automático en el registro de ShellServiceObjectDelayLoad (SSODL).
* 022 .- Clave de inicio automático en el registro del Programador de tareas.
* 023 .- Listado de servicios. Los Servicios son tipos especiales de programas que son esenciales para el sistema y son requeridos para su correcto funcionamiento. Los servicios son iniciados antes que el usuario se logee y están protegidos por windows. Sólo pueden ser detenidos usando las Herramientas Administrativas o la consola de comandos.

Conociendo las claves de este programa ahora lo vamos a ejecutar El cual nos mostrara la pantalla de inicio



Vamos a conocer más acerca de este programa daremos click en Menú Principal el cual estoy marcando con rojo En la imagen y nos saldrá esto.



Las herramientas avanzadas de HIJACKTHIS son interesantes y contienen utilidades tales como Administrador de procesos, Administrador de archivos HOSTS, borrar archivos al reiniciar el sistema, desactivar servicios, detectar ADS (Alternate Data Streams y un Administrador de Instalación y Desinstalación de programas.


Por ahora no las vamos a ver solo daremos click en el menú Principal en “DO A SYSTEM SCAN ONLY” (hacer escaneo del Sistema).

NOTA 1: En la pantalla se muestran los resultados del escaneo. Sé cuidadoso con lo que borras, Hijackthis no puede determinar lo que es malo o lo que es bueno, lo mejor que puedes hacer es grabar un archivo de registro (log) y mostrarlo a algún amigo que tenga conocimiento ;).

NOTA 2: En los resultados del escaneo, no todo es malo. HIJACKTHIS muestra un listado de rutas comunes en el registro, archivos HOSTS, Browser Helper Objects ( Objetos de Ayuda de Navegador ), es responsabilidad de cada uno conocer lo más común, o software que usamos para no ser sorprendidos por errores.

NOTA 3: el foro oficial de ayuda de hijackthis lo puedes ubicar EN:http://www.forospyware.com/t68195.html#post292279

NOTA 4: si no estás seguro de que hacer o que no hacer con lo que te muestra en hijackthis puedes enviar tu log al foro que mencione en la nota 3. es el foro oficial de hijackthis ( http://www.forospyware.com/t6077.html ), reconocido por el propio creador de hijackthis y sus actuales dueños (trendmicro) ( http://www.forospyware.com/t99250.html ). en ese foro encontraras la ayuda necesaria y precisa y posiblemente oportuna.

NOTA 5: una vez que adquieras experiencia veras lo fácil y bonito que es buscar software malicioso y eliminarlo.

Después del escaneo te mostrara tu log en la siguiente imagen muestra un log limpio de un sistema operativo recién instalado.


Ahora estamos preparados para eliminar el software malicioso, Para este Suceso se uso el Explorador de Procesos de SysInternals (Process Explorer) Link y vemos que los procesos maliciosos son uno denominado IEXPLORE.exe y 2.tmp. Damos click derecho primero a IEXPLORE.exe y terminamos el proceso con KILL.


El siguiente proceso que terminaremos es el proceso 2.tmp.

Esperando que todos los procesos del software malicioso estén terminados, ahora debemos limpiar las entradas de inicio automático del registro, y para esto consultamos con Hijackthis. Lo siguiente muestra el log infectado por el troyano que estamos tratando de eliminar:

Y para eliminar las entradas de inicio automático basta con marcarlos y hacer click en el boton “Fix checked”.
Nota: Veamos que las entradas son del tipo O4, y como comentamos arriba, estas entradas son entradas sospechosas de iniciar automáticamente procesos.

Debes ser muy cuidadoso y analizar, al usar hijackthis. Requiere que analices el log y rastrees las rutas de los ejecutables que te muestra si te parecen sospechosos.
Luego procedamos a limpiar los archivos temporales, ya que muchas veces hay software malicioso que se ejecuta desde la carpeta de los temporales. Para esto, vamos al menú inicio, Ejecutar y tipiamos %temp%.



Estando en la Carpeta de temporales procederemos a eliminar todos los archivos de dicha carpeta. Ctrl+E (seleccionar todo) y Shift+supr (eliminar todo sin pasar a la papelera).
Debo Aclarar que en el caso de este troyano con el que se infecto el equipo a propósito, se pudieron borrar todos los archivos del virus en la carpeta temporales. Pero hay software malicioso que muchas veces tiene procesos enganchados a otros procesos o DLL’s cargadas. Esta imagen muestra un archivo que está siendo usado por la maquina virtual no necesariamente por software malicioso, sino que para efectos de ejemplo lo tomaré para mostrar cómo eliminar procesos que no se dejan eliminar.
Entonces cuando queremos eliminar el archivo de algún software malicioso puede que nos muestre algo similar:

Para poder eliminar archivos de procesos que no se dejan eliminar Es hora de entrar en accion con KILLBOX.

Hacemos click en la carpeta y buscaremos la ruta del archivo que queremos eliminar.

Una vez seleccionado el archivo que vamos a eliminar, seleccionamos la opción “Standard Kill” (el primer check) y hacemos click en el botón rojo con una X

Si el proceso tiene muchos ganchos o alguna DLL persistente, nos mostrará la siguiente imagen.

En algunos casos puedes utilizar la 2da opción “Delete on Reboot” Borrar en Reinicio.

Para los demás parecidos al que nos muestra diciendo que :” The file could not be deleted” (El archivo no puede ser borrado), seleccionaremos la tercera opción del checkbox: “Replace On Reboot”, y con el check “Use Dummy”.
Esta es una de las formas más efectivas de eliminar archivos y procesos persistentes, pues al reiniciar Killbox crea un archivo de “basura” y reemplaza el archivo pernicioso por este archivo “basura, que posteriormente puede ser eliminado fácilmente.

Killbox nos pedirá reiniciar nuestra Pc.

Reiniciamos y vemos que de acuerdo a nuestra selección, en este caso “Use Dummy”, se han creado 2 archivos, los cuales procedemos a eliminar y se acabó nuestro problema con el dichoso troyano.

Con estas 2 poderosas Herramientas se han podido eliminar una gran cantidad de software Malicioso descargado de Páginas e instaladores falsas al igual que recomiendo tener un buen antivirus actualizado.

Herramientas para ejecutar este Manual descarga haciendo click sobre la Imagen
Hijackthis y Killbox


No hay comentarios:

Publicar un comentario en la entrada