PDF de programación - Identificación y eliminación de malware en Windows XP

Identificación y eliminación de malware en Windows XP

Ramiro Encinas Alarza – 2008

[email protected]

Índice:

– Definición de malware........................................................................................ 1
– Vías y formas de infección por malware........................................................... 2
– Procesos fiables comunes................................................................................... 3
– Analizando procesos........................................................................................... 5
– Dentro de un proceso.......................................................................................... 7
– Otras opciones útiles de Process Explorer......................................................... 11
– Análisis longitudinal de procesos...................................................................... 11
– Verificación de archivos no firmados digitalmente........................................... 15
Inicialización automática de malware............................................................... 17
–
– Rootkits............................................................................................................. 19
– Eliminación de malware.................................................................................... 22
– Conclusión......................................................................................................... 25
– Referencias......................................................................................................... 26

Definición de malware

Puede denominarse como malware todo software que, una vez ejecutado en un sistema operativo
realiza acciones no solicitadas por el usuario y que, normalmente, tiene fines ilegales y/o negativos
hacia éste.

El malware, desde el punto de vista de la atención del usuario, se puede dividir en dos grupos:

– Los que permanecen ocultos al usuario: que son virus del tipo puertas traseras (backdoors),

gusanos (worms), polimórficos, rootkits y demás fauna oculta.

–

Los que se presentan al usuario: en forma de ventanas no solicitadas, avisos o formularios que
pretenden modificar el comportamiento del usuario. Los fines son publicitarios, engañosos para
hacerlo formar parte en procesos ilícitos, publicidad engañosa, SPAM, phising, ingeniería
social, etc.

1

Vías y formas de infección por malware

Las vías físicas por donde accede el malware son cualquiera de los dispositivos de entrada y
entrada/salida que tiene un sistema operativo. Actualmente, las vías más comunes son Internet
(dispositivos de red) y los dispositivos USB, como los pendrives. Atrás quedaron los tiempos de
infección mediante el sector de arranque de los disquetes, aunque todavía se da algún caso.

Podemos clasificar en dos grupos las formas de infectar con malware un sistema operativo:

– Con intervención del usuario: el usuario con los privilegios suficientes ejecuta un proceso
maligno de forma no intencionada. La forma más común es abrir algún archivo ejecutable
infectado descargado de la red o de un dispositivo de almacenamiento (pendrive, disquete, etc).

Otra de las formas más sigilosas y peligrosas que existen es que el usuario abra algún archivo no
ejecutable especialmente diseñado con una aplicación vulnerable. En estos casos y dependiendo
del tipo de vulnerabilidad, la aplicación afectada fomenta la infección según el contenido
“especial” del archivo no ejecutable que fue abierto, todo esto sin que se entere el usuario.

Este último caso es bastante frecuente en muchas aplicaciones y, por ejemplo, desde hace
tiempo existía la famosa vulnerabilidad de Adobe Acrobat Reader (versiones inferiores a la
8.1.1) junto con Microsoft Internet Explorer 7. Este tipo de infección se produce al abrir un
documento PDF modificado a propósito con una versión de Adobe Acrobat Reader vulnerable.
El contenido de este documento PDF puede utilizar la función (mailto:) de Microsoft Internet
Explorer 7 parametrizada de una forma especial que permite la ejecución de cualquier archivo
(malware incluido), ya sea de forma local o red, y al margen del usuario.

–

Sin intervención del usuario: algún servicio del sistema operativo recibe un ataque puntual
desde otro host a través de un dispositivo de entrada activo. Los objetivos más comunes en este
tipo de ataque son servicios de red vulnerables. Mediante el servicio vulnerado se ejecuta el
proceso vírico con los mismos privilegios que tiene el servicio (normalmente son muy
elevados).

Otra vía de ataque sin intervención del usuario es la autoejecución del contenido del archivo
autorun.ini ubicado en algunos CD's y pendrives al introducirlos en el sistema. Para evitar este
comportamiento hay que desactivar la reproducción automática desde las plantillas
administrativas del sistema con la herramienta gpedit.msc.

En cualquier caso, es necesario que algún componente del sistema operativo víctima sea vulnerable
de alguna manera. El componente más fácil de vulnerar es el usuario.

El malware, en muchas ocasiones, una vez vulnerado algún servicio de entrada, tiende a su
persistencia en el sistema (como los backdoors) alojándose en el disco duro en forma de archivo
ejecutable (con extensión exe, dll, drv, ocx, sys) o de script (vbs, bat, cmd) ejecutándose en cada
inicio mediante la inserción o modificación de alguna entrada en el registro de Windows o mediante
el uso de alguno de los procedicimiento de inicialización de procesos de Windows. Esto lo veremos
más tarde en el apartado Inicialización automática del malware.

2

Procesos fiables comunes

En un sistema operativo como Windows XP, en condiciones normales, existen muchísimos procesos
en ejecución. Cada uno de estos procesos realiza una función o funciones distintas según su
naturaleza dentro de una jerarquía.

Identificar un proceso de malware puede ser sencillo o muy complicado, depende de las
herramientas e intuición según la experiencia. En cualquier caso es conveniente conocer bien los
procesos de Windows XP más importantes que se suponen “fiables”. También hay que conocer los
procesos que no son de Windows XP y también son fiables; éstos últimos suelen ser de otros
fabricantes. El resto de procesos que quedan serán sospechosos.

Los procesos de Windows XP, (o de sistema) son bastantes y están repartidos por todos los niveles
del sistema operativo, desde el núcleo hasta las aplicaciones de usuario. La mayoría de los archivos
de estos procesos se encuentran en la carpeta C:\Windows\system32 y los podemos clasificar de la
siguiente forma:

– Componentes centrales: para empezar, el proceso padre de todos los procesos es el kernel de
Windows representado en el archivo C:\WINDOWS\system32\Ntoskrnl.exe. Este es el archivo
del proceso maestro que se encarga entre otras cosas de la gestión principal de procesos y
administración de la memoria. Con él se encuentra C:\WINDOWS\system32\hal.dll que se
encarga, durante el arranque de la máquina, de recibir de la BIOS los datos de los dispositivos
hardware reconocidos y ofrecerlos a Windows de acuerdo a la configuración de hardware del
registro de Windows.

En la misma carpeta también tenemos a Win32k.sys que se encarga del subsistema gráfico y
otras funciones base del subsistema Win32, además de Ntdll.dll (muy atacado) que procesa las
funciones internas y los servicios del sistema a nivel ejecutivo y por último tenemos a
Kernel32.dll, Advapi32.dll, User32.dll y Gdi32.dll que terminan de completar el subsistema
central e interactúan con Ntoskrnl.exe y Win32k.sys para ofrecer las API's principales de
Windows a las aplicaciones de los usuarios.

– Drivers o controladores de sistema: son procesos que controlan los distintos dispositivos

hardware instalados en la máquina. Se distinguen dos tipos:

– Los drivers ya incorporados por Microsoft en la instalación de Windows XP. Los

fabricantes de los drivers aportan a Microsoft los archivos de los drivers para incluirlos
en el CD de instalación de Windows XP. Los drivers de este tipo suelen localizarse en la
carpeta C:\Windows\system32\drivers. Ejemplos de estos drivers son los controladores
de la mayoría de las tarjetas gráficas, modems, tarjetas de red, etc. Otros drivers más
estandarizados (IDE, PCI, USB, etc.) y otros componentes centrales ya los incorpora
Microsoft en el CD de Windows XP.

– Los archivos de los drivers que instala el usuario cuando compra un dispositivo para la
máquina (como una tarjeta de video) pueden alojarse también en C:\Windows\system32.
En la Figura 1, mediante el administrador de dispositivos, podemos ver la ubicación de
los drivers de la tarjeta gráfica NVIDIA GeForce FX5200.

3

Figura 1. Archivos del driver de NVIDIA GeForce FX5200

Como vemos en la Figura 1, los archivos del driver de NVIDIA están identificados por
su Proveedor, Versión, Copyright y están firmados digitalmente en la lista de
compatibilidad de hardware de Microsoft. Por tanto estos archivos y sus
correspondientes procesos son, en principio, fiables.

– Procesos de administración de sesión: aquí nos encontramos con tres procesos muy importantes

que son:

– El subsistema de administración de sesión: C:\Windows\system32\smss.exe
– El subsistema Win32 en modo usuario: C:\Windows\system32\csrss.exe
– El administrador de inicio de sesión: C:\Windows\system32\winlogon.exe

–

Servicios de Sistema: este grupo es el más ámplio. Aquí tenemos al servicio LSASS ubicado
en C:\Windows\System32\lsass.exe que administra la seguridad del sistema, controla a las
cuentas de los usuarios, ofrece el almacenamiento protegido y el inicio de sesión en red y a C:\
Windows\System32\services.exe que es el padre de los servicios comunes de Windows (los
famosos svchost.exe y alguno que otro más).

Cada svchost.exe activo en memoria es un grupo de servicios y los grupos principales son:

– DCOMLAUNCH: Iniciador de procesos DCOM, representado en el archivo

C:\Windows\system32\rpcss.dll. En este grupo también se inicia el servicio de T