comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Detectando Y Eliminando Keyloggers (Aplicable a Troyanos)

  • 4 Respuestas
  • 3059 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Jhonjhon_123

  • *
  • Underc0der
  • Mensajes: 150
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Jhonjhon_123's Software In Developed
« en: Febrero 10, 2010, 07:28:21 pm »
Bueno, curiosiando por la web, me encontre un tutorial muy bonito que nos explica de forma facil y rapida como saber si estamos infectados con un keylogger, y si es el caso eliminarlo.



Detectando Y Eliminando Keyloggers

Durante este post volveremos a hablar, como no, de algunas de las herramientas de la suite de Sysinternals, aplicándolas a un caso práctico en donde se analizará el comportamiento de aplicaciones tipo ‘keylogger’ para aprender a detectarlas y eliminarlas. Para ello utilizaremos tres aplicaciones de Sysinternals, las cuales ya recomendé anteriormente. Estas aplicaciones son You are not allowed to view links. Register or Login (ProcMon.exe), You are not allowed to view links. Register or Login (ProcExp.exe) y You are not allowed to view links. Register or Login (autoruns.exe) .

Todas estas aplicaciones y muchas más están contenidas en la suite de Sysinternals, descargable desde You are not allowed to view links. Register or Login

ProcessMonitor es una herramienta permite monitorizar todas las llamadas que realizan los procesos con respecto al sistema de archivos, registro de Windows, y creación subprocesos o hilos. Esto nos servirá para mantener nuestro equipo seguro en caso de tener sospechas o indicios de que nuestras conversaciones están siendo capturadas mediante un software que guarda en un fichero, o envía a través de una conexión ftp, email, etc nuestras conversaciones.

Para iniciar el análisis, ejecutaremos la aplicación ProcMon.exe. Nada más abrir esta aplicación nos pedirá que especifiquemos filtros en los eventos capturados, para poder afinar la búsqueda.



Introduciremos dos filtros, que capturarán los eventos de escritura de archivos y envio de datos a través de conexiones TCP.

· FileWrite

· TCP Send

Para ello, desplegaremos el primer ‘Listbox’ y seleccionaremos ‘Operation’, en el segundo desplegable seleccionaremos la opción ‘is’, en el tercer desplegable escribiremos ‘WriteFile’, y en el ultimo indicaremos ‘Include’. Una vez hecho esto haremos clic en ‘Add’ para agregar este filtro, y a continuación realizaremos los mismos pasos para agregar el filtro de ‘TCP Send’ en vez de ‘WriteFile’. De esta forma estaremos monitorizando todas las escrituras en disco y envío de datos a través de conexiones TCP de cualquier proceso del sistema.

Nos debería quedar un filtro como el siguiente:



Antes de hacer clic en ‘OK’, deberíamos cerrar todas las aplicaciones posibles que estemos usando, ya que si realizan escrituras en disco o conexiones TCP, sus eventos se verán reflejados y podrían interferir en nuestro análisis, siendo más complejo para nosotros la localización del ‘keylogger’.

Una vez esté todo cerrado excepto el ProcessMonitor (ProcMon) , podremos hacer clic en ‘OK’.

Ahora, si hacemos clic en la lupa que se ve en la captura de pantalla, empezará a capturar eventos. Si sobre la lupa aparece una ‘X’ roja es que la captura de eventos está parada, y puede ser iniciada haciendo clic sobre ella.



Ahora, deberíamos forzar al keylogger a que guarde el buffer de lo que estamos escribiendo en un fichero, o lo envíe por TCP a algún equipo. Para ello, abriremos la aplicación Notepad, y escribiremos en ella. Utilizaremos también combinaciones de teclas como ‘copiar y pegar’, ya que la mayoría de los keyloggers capturan esta combinación y guardan su contenido inmediatamente.



Se puede ver, que la aplicación ‘SVCHOST.EXE’ está realizando escrituras en la ruta ‘C:\Windows\System32\DGL\INFO.DGL’ a la par que me dedicaba a escribir en el notepad.

La aplicación ‘SVCHOST.EXE’ es la encargada de lanzar los servicios instalados en nuestro servicio, por lo que lo más probable es que el ‘keylogger’ se haya instalado como tal.

Para asegurarnos de que se trata de la aplicación que estamos buscando, analizaremos el contenido del archivo sobre el cual se está escribiendo:



Evidentemente, tal y como se sospechaba, el fichero INFO.DGL contiene el contenido capturado de las pulsaciones de mi teclado.

Ahora ejecutaremos la otra herramienta de Sysinternals: ProcessExplorer (ProcExp.exe). Es importante ejecutar esta aplicación con permisos de administrador.

Ordenaremos la lista de aplicaciones por nombre de proceso, y buscaremos el nombre del servicio para poder pararlo y eliminarlo.



Al analizar los procesos con Process Explorer, observamos varias cosas:

· El ‘keylogger’ se hace pasar por un servicio que ejecutado a través de SVCHOST.exe original (c:\windows\system32\svchost.exe), sin embargo es ejecutado desde otra ruta (c:\windows\system32\DGL\SVCHOST.EXE).

· El proceso SVCHOST.EXE que corre el ‘keylogger’ no está firmado por Microsoft, el cual si debería estarlo si fuera un servicio.



Una vez matamos el proceso, vemos que vuelve a ejecutarse. Esto significa que hay otro proceso en memoria que se encarga de la ejecución de c:\Windows\DGL\SVCHOST.EXE cada vez que este no está en ejecución.

Para localizar que proceso se está encargando de la ejecución del ‘keylogger’ volvemos a utilizar Process Monitor (ProcMon.exe), borraremos los filtros introducidos anteriormente y pondremos un filtro en la detección del evento de operación ‘Process Create’, quedando como la siguiente captura:



Ahora que estamos auditando los eventos de ejecución de procesos, volveremos a utilizar Process Explorer para matar al proceso ‘SVCHOST.EXE’, y podremos ver que el proceso que lo vuelve a ejecutar es ‘C:\WINDOWS\SYSTEM32\DGL\SERVICES.EXE’.



Tras matar el proceso SERVICES.EXE, se detectó que SVHOST.EXE volvía a llamarlo para asegurarse su ejecución.

Ante estos casos donde existen dos procesos que se ejecutan el uno al otro, es necesario matar al proceso padre y todo el árbol de subprocesos. Esto es posible en Process Explorer haciendo clic sobre ‘Kill Process Tree’.



Ahora que no tenemos el Keylogger ejecutado en memoria, deberíamos asegurarnos de su deshabilitación eliminando las entradas del registro, o los mecanismos que utilize para su ejecución en el proximo arranque del sistema. Para ello utilizaremos Autoruns (autoruns.exe) de Sysinternals.



Buscando la cadena ‘\dgl\’ (En File -> Find) localizaremos las entradas que contengan el directorio \DGL\ en su ruta de ejecución, detectando una entrada en ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run’ con el nombre de ‘SystemKbs’.

Basta con eliminar dicha entrada del registro para asegurarse de que esa aplicación no se volverá a ejecutar en el arranque del sistema. Ahora solo queda eliminar los ficheros de C:\Windows\System32\DGL\ y el ‘keylogger’ estará completamente borrado.



You are not allowed to view links. Register or Login

Y Esto mismo se puede aplicar a los troyanos y virus.

Saludos!

You are not allowed to view links. Register or Login

Desconectado KnoX_Rus

  • *
  • Underc0der
  • Mensajes: 176
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #1 en: Febrero 10, 2010, 07:39:33 pm »
Muy bueno  ;D gracias compañero

salu2

Desconectado AGNES

  • *
  • Underc0der
  • Mensajes: 145
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Febrero 15, 2010, 10:18:05 am »
muy bueno el tuto gracias amigo ;D
en busca de alguna firma...

Desconectado Dharok

  • *
  • Underc0der
  • Mensajes: 111
  • Actividad:
    0%
  • Reputación 0
  • Siempre atento! Aun vivo.
    • Ver Perfil
    • Email
« Respuesta #3 en: Febrero 17, 2010, 08:46:00 pm »
Una pregunta...mmm...Existe un viruz troyano creo yo..que se pueda llamar "Svchost"? Se que es para seguridad no se que..pero no se si es real o no por que me salen como 8!  ???
You are not allowed to view links. Register or Login

Desconectado OSX

  • *
  • Underc0der
  • Mensajes: 111
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #4 en: Febrero 17, 2010, 10:42:24 pm »
svchost es un proceso del sistema se suele ejecutar varias veces , lo que te tienes que fijar es si abre alguna conexion


P.D bonita firma Dharok!

 

¿Te gustó el post? COMPARTILO!



¿Qué son y cómo funcionan los troyanos bancarios?

Iniciado por DeuSer

Respuestas: 5
Vistas: 2447
Último mensaje Marzo 28, 2010, 01:31:04 pm
por RevoluHack
Desinfeccion de Troyanos by ANTRAX

Iniciado por ANTRAX

Respuestas: 0
Vistas: 1607
Último mensaje Febrero 23, 2010, 08:17:42 am
por ANTRAX
Ing. Inversa De Troyanos By bloodday

Iniciado por ANTRAX

Respuestas: 6
Vistas: 3203
Último mensaje Agosto 23, 2012, 01:34:40 pm
por dracko.rx
Lista de nombres de Troyanos..

Iniciado por Cygog

Respuestas: 8
Vistas: 5486
Último mensaje Abril 05, 2012, 04:08:39 pm
por REC
Guia Completa de Troyanos

Iniciado por ANTRAX

Respuestas: 0
Vistas: 1617
Último mensaje Febrero 23, 2010, 08:20:21 am
por ANTRAX