lunes, 4 de mayo de 2009

Analizando malware como servicio

El pasado día 01 de Mayo nos reunimos la gente de Pentester en nuestro "Hacking Day", que no es más que un día en el que nos juntamos para compartir ideas, herramientas, "trucachos", etc. La agenda de ese día era destripar el funcionamiento del malware Asprox (poniendo en práctica las enseñanzas del curso de malware que hace poco hemos recibido por parte de David Pérez).

Durante ese análisis nos encontramos con un pequeño "incoveniente", como era que el bichito una vez infectaba el equipo creaba un servicio, por lo que debíamos depurar un servicio de Windows (cosa que ninguno de los asistentes a la HD había realizado). Para ello le preguntamos al todo poderoso Google y nos llevó hacia una guía que ha sido de mucha utilidad para poder depurar el servicio creado por Asprox. A continuación os pongo el proceso que hemos seguido nosotros para depurar un servicio con Ollydbg:

  1. Configurar las opciones de "ejecución del archivo de imagen", para ello hemos utilizado el metodo 1 de la guía (Nosotros hemos instalado el paquetedbg_x86_6.11.1.402.msi que contiene gflags.exe). A continuación os mostramos las opciones que hemos activado:





  2. El siguiente paso es permitir que el servicio interactúe con el escritorio bajo cuenta del sistema:




  3. Por último subir el tiempo de espera del Administrador de control, el cual tiene un tiempo máximo en el cual el servicio debe haberse iniciado (vamos un timeout). Como vamos a estar trasteando y depurando lo aumentaremos un poco ;).




  4. Por último tendremos que reiniciar (sí, es necesario reiniciar :P) y ya podremos arrancar nuestro servicio (bichito en este caso) junto con Ollydbg para poderlo analizar con detenimiento.

2 comentarios :

Angelillo dijo...

Que envidia me dais! eso de quedar para 'frikear' como en los años mozos de la Universidad, rollo Linux Install party (me pongo melancolico, hehehe)

Un abrazo, A.

Jose Selvi dijo...

Ángel, ya sabes que estás invitado cuando quieras, sólo tienes que venir ;)