Principal

Categorías

Troyanos inteligentes

Por Rolo Tomasi - 25 de Enero, 2009, 10:24, Categoría: Seguridad

Hace poco he tenido un caso digno del Doctor House. Desde hacía un par de semanas, Internet me iba muy lento lo que achaqué a un problema de ONO o del tiempo que siempre que hace un poco de viento o llueve se arma un estropicio (parece que hagan las infraestructuras de papel calco). El caso es que esta lentitud solo afectaba a la navegación Web; la P2P, IRC y demás iba normal.

Pero un día empezaron a aparecer denegaciones de servicio cuando intentaba cargar algunas páginas, la mayoría con unos buenos servidores como la Wikipedia o Youtube que no hacían pensar que los servidores estaban mal. Pregunté a amigos y sí les cargaban las páginas, pregunté a vecinos y a ellos también. El problema tenía que ser yo.

Pasé todos los antivirus online que me ayudaron en el pasado y ninguno detectó nada. Estaba pensando seriamente en formatear cuando de manera casual, hallé la solución gracias al servicio de protección de ataques proxy de un blog que visito. Dicho servicio, llamado Bad Behavior me avisó que estaba entrando en las webs a través de un proxy y que la lentitud de mi conexión era porque estaban usando la conexión para atacar a las webs que visitaba. Una persona sola supongo que no podría tumbar una página pero muchas, sobre todo las páginas que generan mucho tráfico como las que antes he mencionado, puede ser todo un ataque DDOS.

Antes de dar con la tecla probé a navegar con IE (glups), Firefox y con Chrome; en todos el mismo problema. Desde la página que me avisó de lo que pasaba me dieron la solución "The free Google Pack provides trustworthy anti-virus and anti-spyware software". Así que dicho y hecho el Google Pack fue la solución, concretamente el Spyware Doctor. Hice un scan y me detecto un troyano, pero no un troyano cualquiera, uno muy listo.

Al parecer estaba oculto tras un proceso de Windows, el winlogon.exe. Normalmete los troyanos que he visto son bastante torpes, crean archivos o carpetas fácilmente identificables que los descubren con nombres aleatorios sin sentido pero este se estaba ejecutando junto a otro que usaba la misma táctica pero con el proceso ssms.exe y me estaban friendo vivo. Este además no se basaba en un EXE sino en un DLL con un nombre bastante bien camuflado, Winlab32.dll localizado en Windows/System32. El reporte del Spyware Doctor me dio además unas claves del registro de Windows que borró él solito y yo más feliz que unas pascuas.

Lo único raro fue que al quitarlo no funcionaba Internet (seguía conectado via proxy pero este ya no se servía de los archivos que había borrado) asi que
mirando la configuración del Firefox
lo arreglé en un periquete.

Permalink :: Comentar | Referencias (0)
Etiquetas: