El Malware (XP-947EBED2.EXE) que se ejecutaba al conectar un dispositivo. Autoruns, Process Explorer y su solución

Hola,

En esta ocasión, variando un poco también quiero documentar un problema producido por un Malware y la utilización de las herramientas poderosas Autoruns y Process Explorer en conjunto para neutralizarlo y solucionarlo.

El problema

Específicamente, cuando conectábamos un dispositivo móvil en el Equipo ESET detectaba la ejecución de un Malware, pero lamentablemente no lo podía eliminar:

Imagen4

*Nota: Cuando se habla de Malware se está generalizando a cualquier tipo de “virus” que puede ser un gusano, troyano, etc.

El archivo en cuestión era un ejecutable de nombre “XP-947EBED2.EXE” que era llamado desde C:WindowsSystem32, aunque se encontraba oculto y tenía apariencia de una carpeta común de Windows XP (Aun estando sobre Windows 7):

Imagen5

Por supuesto se tornaba bastante molesto para la persona no poder trabajar bien con sus dispositivos puesto que sin importar el tipo que fuera siempre obtenía el mensaje y además afectaba a las copias que hacía.

La pregunta era entonces ¿Por qué no se podía eliminar?

La causa

Para determinar el problema se podría haber recurrido por ejemplo a herramientas como el MSRT de Microsoft para neutralizar el Malware y “tratar de eliminarlo”, pero procedí entonces a utilizar dos de las mejores herramientas de la Suite de Sysinternals que con seguridad podría obtener buenos resultados Autoruns y Process Explorer.

Autoruns se puede definir como un “Mega MSCONFIG”, entregándome como Process Explorer (En comparación con el administrador de tareas) muchísimas más funciones incluyendo las DLL, Drivers y todo lo que se esté cargando con Windows.

Lo primero que hice fue correr Autoruns para determinar si en verdad el Malware estaba iniciando al prender el equipo, así que me fui a la pestaña de “Everything” ya que no sabía si iba a estar con el mismo nombre procedí a seleccionar en el menú superior de Options la opción Hide Microsoft and Windows Entries para visualizar sólo lo de programas de terceros:

Im1

A continuación presioné F5 (También en el botón de Refresh) y pude encontrar algo muy interesante en el resultado:

Imagen1

En efecto “XP-947EBED2.EXE” se estaba ejecutando al iniciar Windows, si hacía clic derecho y “Jump to” para seguir su ubicación me encontraba con que iniciaba en HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun que es donde se hacen las llamadas a las aplicaciones que ejecutan al primer inicio:

Imagen2

*Nota: A manera de información, la configuración de los servicios que se están ejecutando con Windows se encuentran en la clave: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservices

Es importante asegurarse de que nada más extraño se esté iniciando para descartar varios.

Desactivar la ejecución desde Autoruns (O eliminando la entrada desde aquí mismo) sólo me hubiera servido para neutralizar el inicio del Malware pero no hubiera sido la solución puesto que seguiría allí.

Por lo tanto ubiqué el ejecutable y lo traté de eliminar manualmente pero para mi sorpresa no podía (Y quizás explicaba lo que el Antivirus tampoco):

Imagen6

En el Artículo pasado hablamos un poco sobre este problema y que en palabras generales se debía a los Handles que otro proceso podría tener abiertos y que impedían terminar la operación.

Aquí no se escapaba la causa por lo que fue donde entró Process Explorer, siguiendo el mismo procedimiento fui al menú Find y seleccioné Find Handle or Dll…
Como sabía el nombre busqué por XP-947EBED2.EXE y esta fue mi otra sorpresa al ver qué estaba utilizando sus Handles:

iMAGEN7

Increiblemente el XP-947EBED2.EXE se estaba comportando como un proceso tal cual en ejecución que estaba siendo lanzado por su proceso padre “Explorer.exe”:

Imagen3

*Nota: En Process Explorer los proceso que están bajo el color azul son Procesos de Usuario (Existen los que corren en Modo usuario y otros que corren en Modo kernel).

La solución

Como ya sabía cómo se iniciaba y por qué no se dejaba eliminar el proceso realmente se volvía más sencillo.

El proceso fue primero “Matar” el proceso o en general todos los hilos de ejecución haciendo clic derecho desde Process Explorer sobre XP-947EBED2.EXE y seleccionando “Kill Process”:

Im2

Ahora que ya el proceso estaba cerrado no podría haber Handles referenciados por otros objetos (PUesto que todos los estaba utilizando el propio proceso).

A continuación encontré de nuevo el Ejecutable en C:WindowsSystem32XP-947EBED2.EXE y símplemente lo eliminé, en esta ocasión pude hacerlo sin ningún impedimiento.

Lo siguiente era reiniciar el sistema, y empezar a probar si se volvía a crear.

Primero inserté un dispositivo para ver si se ejecutaba pero no hubo mensaje de error, así que abrí Process Explorer pero ahora el proceso no se ejecutaba.

Por último vigilé por Autoruns su ejecución pero aunque se mantenía el resultado era distinto:

Imagen8

La diferencia estaba en “File not found”, por lo que ya no cargaba con Windows así que podía proceder a eliminar la entrada desde ahí haciendo clic derecho y “Delete”.

Realicé varias pruebas con diferentes dispositivos pero ahora no había errores ni detección alguna =)

Por último por supuesto cambiamos NOD 32 por Microsoft Security Essentials, actualicé y analicé y afortunadamente (Por lo menos confiando en el resultado de MSSE) no había peligros.

En el caso de esta máquina donde vimos esto, resultó relativamente fácil poder solucionar el problema, pero realmente Sysinternals nos puede entregar una gran ayuda cuando todo parece “Muy extraño”.

Saludos,

-Checho-

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *