Pages

Ads 468x60px

miércoles, 28 de agosto de 2013

Vídeo X


Tranquilos que no vengo a hablaros de un vídeo porno xD. Es mas bien un problema en uno de los clientes para los que trabajo.

Hace poco me encontré 8 llamadas perdidas en el móvil, 5 mensajes en Line y un correo de una amiga muy preocupada por que en el servidor de su empresa había desaparecido el 95% de las carpetas de una de las particiones ("datos") y otras tantas del disco C. En una carpeta encontraron un archivo llamado X.mpg.
En cuanto pude hablar con ella, le dije que dejase pasando TrendMicro y que eliminase el archivo (fallo mio por que ya "no podría examinarlo").






Había contactado con mi jefe (que estaba de vacaciones) y le comentó el problema. 
Él le contesto que podía ser algo de permisos. ¡WTF!, ¿permisos? si ayer se veían y hoy no, ¿como puede ser eso?...

Total, que al día siguiente me puse manos a la obra. Me conecte al servidor y empecé a revisar todo. Lo primero era pasar Malwarebytes, aunque ya no encontró nada porque lo limpiaría TM.
Así que, lo siguiente era tirar de las herramientas de Sysinternals para ver que más había por allí. Use autoruns, procexp y procmon. 
En el arranque no había nada raro, así que pase a ver los procesos y me encontré con uno que me llamo la atención.






Ya me mosqueó bastante por las fechas, ya que en esos momentos no "existía" el servidor (se compro después), aunque eso no quería decir nada. Entré a ver la pestaña de detalles y más mosqueo.







Me fui al Process Monitor para verlo una vez mas.





No terminaba de convencerme nada, porque parecía que ese proceso era de Windows...


Bueno, volviendo al problema de las "carpetas desaparecidas", me fui a ver en el servidor la carpeta "datos". Solo había un powerpoint donde se supone que tenia que haber muchas más carpetas. ¿Que estaba pasando? Me fui a las opciones de carpeta para habilitar la opción de "ver los archivos ocultos" (ya que pensé que con eso aparecerían las carpetas). Por los c*j*nes xD. No apareció ni una sola carpeta.
Esto me fastidio bastante porque no caía en que podía estar pasando.

Junte las manos en un gesto pensativo (como Roger en la foto xD) y le di un par de vueltas a lo aprendido en el curso de Malware que hice el verano pasado en I64. (Gracias a Germán Sánchez)






Y me vino la luz!!! Tal y como conté en la otra entrada sobre el malware me di cuenta que el problema era que el malware había ocultado las carpetas.
¿Solución ? fácil, la misma que ya use en aquella entrada. Abrir un CMD y dentro escribir...








Ya solo tenia que esperar a que terminase el proceso, y al entrar en la partición ya tendría acceso a todos los archivos y carpetas que no se veían antes.







Repetí el proceso con la carpeta que había en C:/ con el mismo problema y tema resuelto.

O no. Me dio por mirar los archivos de la partición mas detenidamente  (después de que los archivos estuviesen visibles) y me encontré con un "autorun.inf" con esto:







No había ya ni rastro del archivo "kuadu.exe" (debió comérselo el TM), pero lo busqué en VirusTotal y....











Parece ser que el malware aplicaba el atributo ocultar a las carpetas del disco. 
Un buen susto el que te llevas si entras en una particion y ves que faltan todas las carpetas.
Por suerte, esta vez era algo fácil y pude hacerme con ello.

akil3s.

3 comentarios:

  1. Excelente post... El cual me permito renombrar como >>>> Así lo hizo (un compí) ;-)

    Gracias por compartir, paso a paso.

    ResponderEliminar
    Respuestas
    1. Jajaja jaja eres un crack George ;-) gracias compi!!

      Eliminar
  2. Excelente post, es como un (Así se hizo...) explicado paso a paso, genial y enhorabuena. Gracias por compartir experiencias y trabajo, enhorabuena y si lo permites (Si se me diera el caso siempre diria: Así lo hizo mi compí con una gran sonrisa). :-)))

    ResponderEliminar

Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates