Bueno, otra vez aburrido y escribiendo en el blog, seguro que a alguien le interesa mi vida !já!hoy, un amigo me llamó por telefono "
eii nadal, tio te puedes pasar por mi casa, el pc me va muy lento" :S . Preparo mi pen y mis cds y voy 'pa' tu casa...
Llego y al arrancar el ordenador hice lo típico que suele hacer un "Tecnico en sistemas microinformaticos y redes" jaja, abrir el bonito administrador de tareas..., en la pestaña de rendimiento ví que consumia un 90% :S demasiado raro para mi gusto... luego, fuí a los procesos en busca de algo raro, y zas!
lsass.exe, pero, y que hay de raro en el si es el típico
lsass.exe? xD, una de las cosas que me llamó la atencción fué que el proceso pertenecia a un usuario corriendo en memoria, sin embargo el lsass.exe de windows se ejecuta con privilegio de sistema... que raro mmm.
Sintiendo cuirosidad por ese proceso, habrí la consola de windows y hice un
"netstat -b" mostrandome así las conexiones que realizaba el pc de mi amigo.
Wow, que raro, hay muchisimos intentos de conexion, por qué tantos? :S apartir de ahi, además de girar la webcam para otro lado (?) le digo a mi amigo que voy a hacer unas capturas de pantalla, para luego en mi casa revisarlas... siguiendo la investigacion, me fijé en esos intentos de conexion muy raros y que, si nos damos cuenta, se hacen por el puerto 22 y a un rango de ips (+1 entre una y otra), pues vamos a ver que coñ... son esas conexiones xD apunté el PID! (1836) y seguidamente abrí la calculadora (cientifica) para pasar el numero 1836 a hexadecimal, como es normal, no me iva a poner a calcularlo manualmente como nos enseñó maria ¬¬ xD. Bien, el resultado fué: 1836 = 72C.
Despues de esto, ya estoy preparado para conectar mi pendrive y ponerme a trabajar. Ejecuté el "LordPE" una herramienta muy útil para algunos casos y seguidamente, busqué el numero PID en hexadecimal!...
valla!, ya tengo la ruta de ese misterioso proceso... pero, el lsass.exe de windows no está en esa carpeta :S, está en windows/system32/ , sin embargo, este está en windows/Security =). Pero no queria ir a esa carpeta aun, hice un "Dump Full" desde LordPE, su función es simple, se copiará el archivo ejecutado en memoria en el escritorio, para poder verlo de cerca y meterle mano =P
Ahora que ya tenia ese archivo, me puse a compararlo con el que hay en windows/system32/ (el de toda la vida jeje) y como vemos, hay notables diferencias... parece ser que el programador de este bicho ni se tomó la molestia de copiar los datos del autentico :S
Despues de esto, me voy al registro de windows, para ver que aplicaciones se inician al encenderse windows (no tengo captura de pantalla se me olvidó hacer xD), pero como era de esperar, C:\Windows\Security\lsass.exe se ejecutaba al iniciar windows T.T.
Venga, voy a entrar en la carpeta que no aguanto más! xD... entro, y veo que nuestro bichito ocupa 3,05Mb y está oculto:
bah, voy a cerrar el proceso y cotilleo por esas carpetas... Sorpresa! me salta un mensaje diciendo: "Este es un proceso critico, el administrador de tareas no puede cerrarlo" o algo así T.T, agg, el tio que ha hecho este bicho, se toma la molestia que no podamos desprendernos de el U.U. Me toca reiniciar el ordenador y entrar a modo prueba de fallos... ya con mi amigo impaciente por que nos vallamos y apunto de acabar con el problema... entro al administrador de tareas y miro si está el proceso..., perfecto no está, ahora solo me queda borrar el archivo y la entrada del registro para dejar el ordenador bien limpio =P
fin!
eeeeeh, pero espera jaja, que fin tenia ese bicho, aparte de dar por... dejando el pc lento?, pues me guardo ese bicho en el pen, y, después de estar un rato en el parque, con ganas de llegar a casa a analizarlo (que friki soy já) despues de un rato observandolo de muy muy cercalo pillo infraganti jiji,
jaja, cualquiera que halla programado en Visual Basic, habrá dedUcido que ese icono de esos dos ejecutables es de VB, probablemente, este bicho estará programado en este lenguaje =), pero, me llama la atención ese, "logins.txt", aparte de los nombres de las dlls (?)
Abro ese documento de texto y me encuentro con muchas, demasiadas palabras, ya me viene a la cabeza "ataque por diccionario" (no me hagais explicarlo, buscar en google xD) . Una de las cosas importantes cuando se analiza un ejecutable, es apuntar todo lo que llevas descubierto sobre el... miro en lo que llevo guardado y, me acuerdo de adonde conectaba y por qué puerto :O, puerto 22. El puerto 22 es el puerto por defecto de SSH (conexión a shell remota segura), todo encaja, de ahi el nombre de esa dll (wordSSH.dll). Mi conclusión es clara... este bicho tenia como objetivo:
1º Hacerse pasar como un archivo de windows
2º Hacer conexiones a rangos de ips y probar contraseñas del diccionario.
3º Cuando una de las contraseñas coincida (después del ataque por fuerza bruta) se enviará al dueño del bicho
4º El dueño tendrá acceso total a los servidores, cuya pass sea debil... (se me olvidó decir, que mi amigo no fué el único afectado con este bicho, contando que haya cientos incluso miles más como mi amigo, el ataque por fuerza bruta tendrá mucho efecto, y el programador del bicho conseguirá su objetivo...)
5º El progrador sale ganando, pero almenos no le ayudará el pc de mi amigo =)
Se podria analizar mucho más afondo, sacando las strings y las APIs que usa el bichito y averiguar mucho, pero como me llevaria horas, y tengo mejores cosas que hacer como hablar por tuenti xD , espero demostrar con esto.... que el theme verde de windows xp es feisimo!! (?) já xD.
saludos, nadal =)
