Ya que nos encontramos a pocos meses de la salida definitiva del nuevo sistema operativo cliente de Microsoft, y que la versión RTM está ya disponible nos vamos a poner a darle un poco de “caña” a este nuevo sistema operativo a ver cómo se comporta. Para ello, que mejor que tomar como referencia unos artículos realizados por Juan Luis Rambla en vista-técnica y probar lo mismo que realizó él pero en Windows 7.
El primer paso ha sido crear una cuenta de usuario y agregarla al grupo administradores,tal y como se puede ver en la siguiente captura,y que será la cuenta que utilicemos en el laboratorio.
Para probar el comportamiento nos descargamos de la red el mismo rootkit, HackerDefender, que como ya se sabe es un rootkit que trabaja a nivel de Kernel. El funcionamiento de éste consiste en ocultar aquellos procesos, archivos, servicios, etc…que se le indiquen dentro de su archivo de configuración.Una vez descargado y descomprimido el rootkit nos encontramos que viene con los archivos que aparece en la imagen:
Para el laboratorio nos interesan, principalmente,hxdef100.exe y hxdef100.ini, aunque como interesante también está bdcli100.exe, que será el encargado de conectarse a la puerta trasera que abrirá el rootkit en caso de ejecutarse con éxito.
Como he comentado, habrá que realizar la configuración en la que le diremos a nuestro malware aquellos elementos que queremos ocultar, en mi caso he creado este archivo de configuración
en el que como se puede ver oculto aquellos archivos que comiencen por hxdef, por ejemplo, además de la calculadora y los puertos 80,135 y 445.
Además del malware, utilizaremos Process Monitor para ver que tareas realiza el rootkit una vez ejecutado.
Por ultimo reseñar que el equipo utilizado para las pruebas no tiene instalado ningún antivirus ni actualización de seguridad.
Una vez explicado en entorno pongámonos manos a la obra. Ejecutamos el rootkit y a través del Process Monitor vemos como se va comportando el malware
Pero aunque el estado de nuestro equipo es inseguro, comprobamos que rootkit no se ha ejecutado ya que podemos comprobar cómo aun tenemos disponibles la calculadora y los puertos que habíamos intentado ocultar
Bueno, pues se puede ver que Windows 7 continua en la línea de seguridad que “trajo” Windows Vista y en un entorno totalmente inseguro es capaz de, no ya detener, si no no permitir la ejecución de un malware peligroso. Continuaremos con las pruebas.
Un saludo
Enviado
jul 23 2009, 12:40
por
Anonymous