Windows Vista y Malware III

Tal y como comenté en el anterior post de Malware y Windows Vista, hoy procederemos a realizar un análisis sobre un rootkit de Kernell más agresivo con las librerías, que el Hacker Defender y comprobar el comportamiento de Windows Vista con el mismo. En Windows XP modificaba el comportamiento de las librerías dependientes de Rundll32 y colgándose del QueryInformation del sistema, impidiendo incluso posteriormente el acceso al administrador de tareas.

 

A diferencia con el anterior, el AFX-Rootkit no presenta un dichero de configuración sino que mediante una herramienta para la construcción del malware ya implementaremos los objetivos iniciales del ataque. Por un lado presenta la ventaja de que solo genera un ejecutable y no el fichero ini de configuración, pero por otra parte lo hace menos flexible al no permitir una configuración posterior de las operaciones del mismo.

 

En una primera instancia procederemos a crear un Rootkit que tenga como objetivo ocultar todos aquellos ficheros y carpetas que contengan la palabra “oculto”. Posteriormente procederemos a intentar su instalación con un usuario con privilegios de administrador. Para este procedimiento dejaremos Windows Vista como viene de serie con la configuración del UAC activa y Windows Defender también activo.

  Fig. 1.- Creación del Rootkit 

 


Una vez generado lo copiamos a una carpeta llamada oculta generada en el escritorio que contiene un fichero llamado “fichero oculto.txt”

 

Procedemos inicialmente a ejecutarlo sin elevar nuestros privilegios, pero no se observa ningún cambio, modificación de dll o ejecución de servicios y procesos. Ante esta ejecución infructuosa procederemos a elevar los privilegios.

 

Puesto que no proviene de un editor de confianza el UAC nos advierte de cambios que pudieran perjudicar a la máquina. Aún así procedemos a permitir la ejecución del programa.

 

El primer hecho descriptivo consiste en la desestabilización del escritorio que debe volver a ejecutarse, y que en 30 segundo vuelve a reiniciarse sin un aparente cambio significativo evidente, aunque lo comprobaremos.


 


Fig. 2.- Ejecución del Rootkit en modo Administrador.  

La primera comprobación consiste en determinar si se ha producido la ocultación, cosa que no se ha realizado, con lo cual seguramente no ha podido modificar las librerías del Kernell. La siguiente evidencia es que no ha podido bloquear ni el administrador de tareas, ni ha podido ejecutar el servicio correspondiente.

 

¿A que se debe la ineficacia de este Rootkit frente a su ejecución en Windows XP? Pues la respuesta es bastante clara, la nueva estructuración de capas y servicios de Windows Vista, con respecto a las capas presentes en Windows XP.


 



Fig. 3.- Estructura de capas de Windows Vista

 

Para las siguientes pruebas pasaremos a evaluar el comportamiento de Troyanos y Troyanos reversos y las respuestas ofrecidas por Windows Vista.


Referencias Externas


—————————————————–


AFX Rootkit


Ejecución de Servicios en Windows Vista

4 comentarios en “Windows Vista y Malware III”

  1. Muy buenas Juan Carlos.

    Estaría de acuerdo contigo, pero por que he leído hasta ahora, al igual que pasó con Windows XP SP2 y Windows 2003 SP1 tanto Patch Guard (que ya estaba implementado, como la nueva implementación de KCMS solo está soportado para las versiones de 64 bits (de todas formas si estoy equivocado me gustaría saberlo para poder rectificarlo), y estas pruebas las realicé con una versión de Windows Vista Ultimate de 32 bits.

    Una de las funciones principales de la acción malicionsa del AFX Rootkit, le exige la modificación también de algunos Servicios y DLL, por lo cual al intervenir el mecanismo de protección de ASRL, no continúa con el resto de los procedimientos.

    De todas formas agradezco el comentario y está bien que saliera el tema de la protección de Kernell Patch Protection porque era algo a lo que no me había referido en ninguno de los post en los que había tratado sobre Rootkit puesto que por ahora solo he expuesto funcionalidades sobre máquinas de 32 bits.

  2. Hola, primero daros la enhorabuena por el blogg.
    Segundo una duda, siento que sea offtopic pero como sois la polla igual sabéis qué puede ser, he buscado en los foros de technet y nada dicen que puede ser del “disco duro”, cosa que dudo muchísimo porque los portátiles actuales tienen todos 5400 rpm y un señor lo atribuye a éso.
    Tengo instalado Vista Ultimate en un amd x2 3800+ con 1gb de ram ddr 400 y va muy bien. Me compré un portátil y me puse el Vista Business x32 que nos daban en la Universidad (el portátil es un Core 2 Duo a 2 Ghz y tengo 1 gb de ram ddr2 533). La cosa es que me dan “lagazos” cada dos segundos o así. El problema es un proceso (me puse a matar procesos uno por uno hasta que di con él), el taskeng.exe, cuando lo quito va como un tiro, pero exageradamente bien. La cosa es que taskeng es muy importante. ¿Alguien sabe qué puede ser? He leído que si virus y tal. No es un virus porque he mirado la versión del ejecutable y estaba recién instalado.
    Saludos y muchas gracias de antemano.

  3. Buenas tardes
    Me gustaría saber si alguien me puede dar algún dato, de como mejorar la velocidad
    De mis PC.
    Las tengo con 1 gb de memoria, los usuarios solo tienen office 2003??
    Que programa de limpieza puedo utilizar?
    Como le puedo mejorar la velocidad.??

    Victor
    Panama

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *