El Malware “Umgqgk.exe”, la carpeta “RECYCLER” que se creaba al conectar USB, Process Monitor y su solución.

Checho — Mon, 13 Jun 2011 07:28:00 GMT

Hay algo que personalmente me molesta y son los diferentes tipos de Malware en los que puede resultar infectado un Equipo por culpa de un dispositivo USB y es que lamentablemente, están los que a pesar de ser muy comunes los Antivirus por ejemplo no los detectan y por supuesto el dispositivo en sí es el que resulta más afectado.

Problema y Solución

En este caso, al conectar cualquier dispositivo USB al equipo en cuestión, me encontraba con una no tan grata sorpresa y es que se creaba una carpeta oculta llamada RECYCLER que incluía un archivo .ini y un ejecutable en su interior:

Los archivos se denominaban “b845ef76.exe” y “Desktop.ini”.

Además de todo esto, cada carpeta que incluyera la USB se modificaba como Acceso directo por lo que al portar esto la USB, fácilmente podía infectar otro equipo con sólo intentar abrir los directorios.

Por más que analizara el dispositivo con la solución de seguridad (Microsoft Security Essentials) o le diera formato al dispositivo, cuando se reconectaba volvía a reproducirse.

Es ahí entonces cuando decidí ejecutar la mejor herramienta que se puede tener cuando lo demás siempre está perdido, Process Monitor de Sysinternals.

Como no sabía qué proceso analizar (El más opcionado a lo mejor sería Explorer.exe) corrí el monitoreo completo del sistema, di formato al USB previamente y reproducí todo el comportamiento, al terminar paré Process Monitor y empecé a revisar el Log.

Como en estas situaciones de novato con la herramienta, lo que empecé a buscar fue patrones o nombres que tuvieran relación con el problema, por ejemplo RECYLCER y el nombre en cuestión del ejecutable “b845ef76.exe”.

Es normal que en toda la Traza que captura Process Monitor hayan múltiples llamadas y operaciones con estos mismos nombres pues las Aplicaciones o Windows puede verificar siempre que la llave o el registro exista y después realizar las consultas.

Tenía entonces que tratar de subir hasta donde empezaba el llamado y desde ahí ver los comportamientos y bajando un poco me encontré con esto:

La creación de la carpeta no lo podía impedir ya que era un proceso de Explorer.exe y se completaba satisfactoriamente (No sé cómo impedir que haga algo que no se esté llamando por Registro todavía ) , sin embargo, como ven hay una serie de consultas a un directorio del sistema: C:\Users\Hader\AppData\Roaming\Umgqgk.exe

Después de esto era que se completaba satisfactoriamente la creación a b845ef76.exe lo que indicaba que ya el dispositivo quedaba infectado y con los archivos dentro de la carpeta.

Ahí estuvo mi primera pista, lo que hice fue entonces desde el Process Monitor hacer clic derecho y Jump To para ir a ese directorio y en efecto habían dos Aplicaciones de extraña procedencia:

Supuse que éstas eran las que estaba ocultando la carpeta y que además estaban creando tanto los directorios como los archivos que incluían.

Verificando primero con Autoruns que estos archivos no estuvieran arrancando con Windows, procedí a eliminarlos de este directorio.

A continuación, le di formato otra vez al dispositivo, lo desconecte y reconecté para ver si se volvía a reproducir el problema.
Para mi fortuna, ya no se hacían los accesos directos en las carpetas que incluyera el dispositivo y no había nada oculto pero la carpeta “RECYCLER” seguía creándose aunque ya sin ningun archivo.

Afortunadamente, las llamadas a los ejecutables y demás archivos ya no se encontraban por lo que había salido ya de algo pero, aún me faltaba descubrir el por qué la carpeta se seguía creando (Esto indicaba además, que la infección en parte seguía).

Volví a correr Process Monitor, reproducí el comportamiento y de nuevo ¡A buscar!

Por más que trataba de encontrar otra llamada a algun ejecutable o que fuera extraño (Dentro de mis pocos conocimientos) no logré tener un buen resultado por lo que se empezaba a volver más complicado de lo que había pensado en un primer momento.

Es aquí cuando recordé que una práctica que puede ayudar con Process Monitor en estos casos es ver dónde empieza a reproducirse el problema (Ya encontrado) y monitorear qué operaciones se estaban realizando antes y esto fue lo que encontré:

Lo primero que hacía antes es realizar unas consultas a controladores de dispositivos USB (La lista era larga antes de que empezara el problema).

No sabía realmente qué hacer, pero, algunas veces el “probar” suele traer buenos resultados, lo que supuse es que la infección podría venir de un controlador USB de los tantos que se estaban llamando y que se activaba al conectar el dispositivo y hacer la consulta.

Por este motivo, abrí el Administrador de dispositivos, localicé todos los Controladores USB y empecé a desinstalarlos uno por uno desde el controlador de Raíz:

Además de esto, también desinstalé el Controlador USB en el nodo de Controlador de Disco más abajo, le di formato (Otra vez) al dispositivo USB, reinicié el equipo, lo volví a conectar y ¡Wualá! Ya no se creaba la carpeta ni se reproducía comportamiento extraño dentro del dispositivo.

Probé en todos los puertos puesto que en cada uno se reproducía pero para mi alegría, el Malware se había ido!

Queda la duda de cuál controlador en cuestión estaba cargando el Malware sin embargo, quedó un buen aprendizaje de todo esto y es primero siempre tratar de encontrar el origen del problema para poder aprender que considero lo más importante y en ocasiones se vale seguir nuestras propias teorías.

Por supuesto… ¡Continuar aprendiendo Sysinternals!

Espero que le pueda ser útil a alguien el procedimiento que seguí por si tiene un comportamiento similar.

Saludos,

Checho

Checho's Blog : Process Monitor, Windows Sysinternals, Solución a problemas, Malware

El Malware “Umgqgk.exe”, la carpeta “RECYCLER” que se creaba al conectar USB, Process Monitor y su solución.

Problema y Solución