Continuamos con la serie de pruebas con malware y como se comporta el nuevo sistema operativo de Microsoft ante diferentes ataques. Ya comprobamos en el primero de los artículos de la serie que el rootkit, HackerDefender, no funcionaba correctamente siendo ejecutado por un usuario del grupo de administradores de la maquina. En la prueba de hoy lo que vamos a hacer es ejecutarlo con el propio usuario administrador y ver que sorpresas nos da, tanto el rootkit como Windows 7.
Este rootkit ya dijimos que tenia, como comportamiento básico, la realización de las siguientes tareas:
- Ocultación de ficheros y carpetas.
- Ocultación de puertos.
- Ocultación de procesos y servicios.
- Ocultación de aplicaciones.
- Componente troyano.
Vamos a revisar si una vez ejecutado, cumple con alguna de ellas. Así que iniciamos sesión y con el archivo de configuración creado de forma correcta ejecutamos el rootkit.
Esto es lo que hemos puesto en el archivo de configuración del rootkit, ocultar los archivos que comiencen por hxdef, la calculadora,etc… además de instalar un servicio de nombre Prueba.
En la parte de ocultación de puertos, una vez ejecutado el rootkit, abrimos el símbolo de sistema y ejecutamos un netstat –an para ver si el programa malicioso ha conseguido ocultar los puertos.
Podemos ver que los puertos 135 y 445 siguen estando visibles, con lo que el primero de sus comportamientos no ha llegado a buen puerto :P
Como hemos comentado más arriba, a su vez debería de habernos ocultado aquellos ficheros que comenzasen por hxdef y también el ejecutable de la calculadora, calc.exe, además de una Shell remota para que el usuario se conectase a través de la puerta trasera que abre el rootkit.
Ya solo con entrar en la propia carpeta del rootkit vemos que todos los archivos siguen estando visibles, con lo que llegamos a la conclusión que la ocultación de ficheros no ha sido lograda.
Pero si vamos al menú de inicio buscando la calculadora, vemos que tampoco ha sido ocultado el ejecutable
Este mismo laboratorio en Windows Vista concluía con resultados parecidos solo que en este paso el rootkit si conseguía ejecutarse con eficacia ocultando el icono de la calculadora, pero no ocurre lo mismo en Windows 7.
Lo último que nos queda por comprobar es si el rootkit ha conseguido instalar el servicio de nombre Prueba y si ha sido así, ver si consigue ejecutarse.
Nos vamos a la ventana de servicios ejecutando Services.msc y buscamos el servicio de nombre prueba
Nada, ni rastro, otra vez las diferentes capas de seguridad de Windows 7 han cumplido su cometido y no han permitido ni el mas mínimo resquicio por el que pueda “colarse” el rootkit aun ejecutándolo el administrador.
Bueno, acabamos el segundo laboratorio con un claro 2-0 a favor de Windows 7 sobre Malware,¿será capaz de mantener la ventaja? Lo veremos en los siguientes artículos.
Saludos
Enviado
ago 18 2009, 11:26
por
Fran Nogal