Windows7 y Malware (I)

Windows Técnico

Sindicación

Proximos HOLs

Loading...

 

Ya que nos encontramos a pocos meses de la salida definitiva del nuevo sistema operativo cliente de Microsoft, y que la versión RTM está ya disponible nos vamos a poner a darle un poco de “caña” a este nuevo sistema operativo a ver cómo se comporta. Para ello, que mejor que tomar como referencia unos artículos realizados por Juan Luis Rambla en vista-técnica y probar lo mismo que realizó él pero en Windows 7.

El primer paso ha sido crear una cuenta de usuario y agregarla al grupo administradores,tal y como se puede ver en la siguiente captura,y que será la cuenta que utilicemos en el laboratorio.

clip_image002

Para probar el comportamiento nos descargamos de la red el mismo rootkit, HackerDefender, que como ya se sabe es un rootkit que trabaja a nivel de Kernel. El funcionamiento de éste consiste en ocultar aquellos procesos, archivos, servicios, etc…que se le indiquen dentro de su archivo de configuración.Una vez descargado y descomprimido el rootkit nos encontramos que viene con los archivos que aparece en la imagen:

clip_image004

Para el laboratorio nos interesan, principalmente,hxdef100.exe y hxdef100.ini, aunque como interesante también está bdcli100.exe, que será el encargado de conectarse a la puerta trasera que abrirá el rootkit en caso de ejecutarse con éxito.

Como he comentado, habrá que realizar la configuración en la que le diremos a nuestro malware aquellos elementos que queremos ocultar, en mi caso he creado este archivo de configuración

clip_image006

en el que como se puede ver oculto aquellos archivos que comiencen por hxdef, por ejemplo, además de la calculadora y los puertos 80,135 y 445.

Además del malware, utilizaremos Process Monitor para ver que tareas realiza el rootkit una vez ejecutado.

Por ultimo reseñar  que el equipo utilizado para las pruebas no tiene instalado ningún antivirus ni actualización de seguridad.

clip_image008

Una vez explicado en entorno pongámonos manos a la obra. Ejecutamos el rootkit y a través del Process Monitor vemos como se va comportando el malware

clip_image010

Pero aunque el estado de nuestro equipo es inseguro, comprobamos que rootkit no se ha ejecutado ya que podemos comprobar cómo aun tenemos disponibles la calculadora y los puertos que habíamos intentado ocultar

clip_image012

clip_image014

Bueno, pues se puede ver que Windows 7 continua en la línea de seguridad que “trajo” Windows Vista y en un entorno totalmente inseguro es capaz de, no ya detener, si no no permitir la ejecución de un malware peligroso. Continuaremos con las pruebas.

Un saludo


Enviado jul 23 2009, 12:40 por Anonymous
Archivado en: ,

Comentarios

david escrito re: Windows7 y Malware (I)
en 07-23-2009 20:19

Pero en realidad el malware no se ejecuto o que lo detuvo?

Supongo que tampoco lo detecta o lo elimina el windows defender.

Me gustaria tambien saber que en realidad hace el Windows defender por que no me detecta nada aun sabiendo que se tienen archivos peligrosos

komooo666 escrito re: Windows7 y Malware (I)
en 07-23-2009 21:58

no se termina de ejecutar porque aun siendo administrador,tiene que elevar los privilegios y no lo puede hacer. Estoy en lo cierto?

un saludo

Fran Nogal escrito re: Windows7 y Malware (I)
en 07-24-2009 10:06

Hola a los dos;

realmente lo que ha pasado es que la estructuracion por capas, tambien llamado MIC, que se introdujo en Windows Vista ha hecho tambien su trabajo en Windows 7 y no ha dejado que el malware ejecutase el driver a nivel de Kernel.

David, que tipo de archivos peligrosos no detecta Windows Defender?¿Algun tipo de virus?

David escrito re: Windows7 y Malware (I)
en 07-26-2009 0:17

Solo una vez he detectado algo con el windows defender

pero realmente no se que es lo que hace seria bueno una busna definicion de esta aplicacion (que hace que elimina )

algunas veces me advierte que el inicio se altero pero detecccion realmente no

Algunos sitios lo comparan con otros productos de la misma categoria y el windows defender sale perdiendo.

¿Que hace el Windows defender?

¿Cuantas definiciones tiene?

comparado con otros productos de la misma categoria ¿vale la pena?

Yo creo que es buena la iniciativa pero no se si el programa en si es efectivo.

Windows Técnico escrito FALTA 1 SÓLO DÍA PARA EL LANZAMIENTO DE WINDOWS 7
en 10-21-2009 10:03

Buenas a todos, a falta de un día para el lanzamiento de Windows 7 al mercado he querido hacer un post

Añadir un comentario

(requerido)  
(opcional)
(requerido)  
Recordarme
If you can't read this number refresh your screen
Enter the numbers above: