« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: Variantes del CWS  (Leído 3814 veces)

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
Variantes del CWS
« en: 20 de Mayo de 2004, 07:09:37 pm »
En este hilo voy a publicar una serie de artículos técnicos escritos por Unzy, Global Moderator de Wilders Security Forums ( http://www.wilderssecurity.com/index.php? ), quien gentilmente accedió a que fueran traducidos al español. Colaboraron en ellos también dvk01, Spyware Moderator en Wilders Security Forums y Pieter Arntz, conocido en muchos foros como Metallica, Administrator en Wilders Security Forums, y otros varios que si bien no publicaron directamente ayudaron en la investigación y desarrollo de soluciones.

Los artículos se encuentran en http://www.wilderssecurity.com/showthread.php?t=28658 para aquel que quiera leerlos en su idioma original.

Si bien están orientados a ser de auto-ayuda, les recomiendo pedir asistencia profesional aquí o en cualquier foro especializado antes de acometer cualquiera de los pasos descriptos, a menos que sepan lo que hacen.

Cada post del hilo tendrá su título propio, el cual se repetirá en el cuerpo del post para mayor claridad.

Estimo que Unzy no pondrá reparos en que esta información se difunda, pero me pidió expresamente que se coloque la autoría y el enlace al original, como se ha hecho aquí.

Muchas gracias.
En línea

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
Introducción (por Unzy)
« Respuesta #1 en: 20 de Mayo de 2004, 10:50:15 pm »
Introducción (por Unzy)

Ultimamente nuevas variantes de CWS (CoolWebSearch) se suceden unas a otras muy rápido.

Se están volviendo cada vez más difíciles de limpiar porque están utilizando todo tipo de trucos para evitar que las herramientas de escaneo las detecten o eliminen (como la re-infección).

Se le hace más difícil a Merijn actualizar el  CWShredder por causa del código más complejo y de la cantidad de nuevos tipos/variantes que aparecen muy regularmente.

Tengan en cuenta que los expertos están trabajando contra reloj buscando indicaciones exitosas de eliminación y parches de prevención.

Esto quiere decir que hasta tanto el CWShredder no se actualice las víctimas deberán limpiar las infecciones manualmente (*). Aunque los expertos y la gente que entiende de computadoras están acostumbrados a trabajar en la Registry y con todo tipo de herramientas que involucran edición en Windows, va a ser más y más difícil para el usuario normal de computadoras la limpieza una vez que él o ella hayan sido infectados. Las instrucciones dadas por los expertos pueden parecer bastante complicadas. Cuando tengan una duda o lo que fuere no duden en pedir más explicaciones.

Los expertos en esta área (en este foro(**)) que están más involucrados en analizar y conocer los últimos detalles son:

Pieter Arntz (alias Metallica en numerosos foros)
dvk01
shadowwar

Contacten a los moderadores si tienen preguntas(**). Ellos tienen conocimientos y serán al menos capaces de ponerlos en la dirección correcta:

dave38, puff-m-d, wizard, Technodrome, JacK, Dan Perez, MickeyTheMan, Detox, Unzy, snowbound, snapdragin, rodsoto, bigc73542

Más abajo sigue un compendio de aquellas variantes más complejas del CWS, comenzando por la drxcount, la cual parece haber sido la primera en introducir un set completo de hijacks CWS invisibles y código engañoso. Trataré de dar las instrucciones más comunes resumidas por los expertos. Algunas funcionan muy bien, otras son un poco complicadas. Algunas funcionan para el usuario X, mientras que el usuario Y se queja de una re-infección después de seguir las mismas instrucciones.(***)

Nota: Luego de limpiar una infección de CWS siempre chequée su carpeta de 'Favoritos' buscando enlaces porno agregados.

(*) NOTA DEL TRADUCTOR (NT): varias versiones del CWS son eliminadas con éxito por el Ad-aware, incluso la denominada about:blank, según lo dicho por la misma gente de Lavasoft, con el último archivo de referencia
(**) NT: en el foro de Wilders. Se copió textual a pedido del autor
(***) NT: en este foro se trabajará siempre con Ad-aware en primer lugar dado que efectúa una limpieza que, en algunos casos, puede terminar con el CWS
En línea

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
drxcount.biz / real-yellow-page.com
« Respuesta #2 en: 24 de Mayo de 2004, 11:00:42 pm »
drxcount.biz / real-yellow-page.com

Un muy buen lugar para empezar, donde concentramos toda la información junto a usuarios infectados es un hilo iniciado por Pieter Arntz (Metallica). Muestra la investigación de los expertos evolucionando desde noches sin dormir hasta las instrucciones para eliminarlo con éxito. Si te interesa leer el desarrollo puedes verlo aquí:

Hazme click

Usualmente se están dando las siguientes instrucciones:

Citar
Si su navegador ha sido tomado por drxcount.biz, real-yellow-page.com o list2004.com:
Estamos trabajando en una cura para esto y estamos cerca de la solución. Esta es la variante CWS más sofisticada vista a la fecha, y llevará algún tiempo antes que el CWShredder sea capaz de eliminarla automáticamente.

De todos modos, la siguiente cura manual va a funcionar:

Descargue PrcView de aquí: http://www.spywareinfo.com/~merijn/files/pv.zip, deszipéelo en el escritorio.

Asegúrese de tener al menos 1 Internet Explorer abierto, luego haga doble click en runme.bat.

Se va a abrir el Bloc de notas con un log en él. Busque una línea con archivo, tamaño y comenzando por el nombre de archivo.
El nombre de archivo siempre será diferente:
winajbm.dll 61c00000 61440 c:\windows\system32\winajbm.dll

Esta parte indica el archivo maligno:
61c00000 61440
Siempre empezará con esa cabecera.

Copie el nombre de archivo que está antes.

Ahora bájese el KillBox:
http://download.broadbandmedic.com/VbStuff/KillBox.zip

Deszipéelo y córralo.

No haga click en ningún botón, en lugar de eso haga click en el menú Action y elija "Delete on Reboot".

En la siguiente pantalla haga click en el menú File y elija "Add File". El archivo que copió antes ahora debe aparecer en la ventana. Si tuvo éxito, elija el menú Action y allí "Process and Reboot". Se le va a pedir que reinicie, así que hágalo.

Luego de reiniciar asegúrese que el archivo no esté más.
En línea

Desconectado FatsGordon

  • Pro Member
  • ****
  • Mensajes: 815
CWS.Systeminit
« Respuesta #3 en: 27 de Mayo de 2004, 12:19:29 am »
CWS.Systeminit (tomado por your-search.info, en algunos casos por otro dominio CWS)

Nota*: CWShredder elimina esta variante con éxito

Entradas responsables en un log del HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://www.your-search.info/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.your-search.info/start.html

O4 - HKLM\..\Run: [system32.dll] C:\WINDOWS\system\systeminit.exe

O4 - Global Startup: sytem32.exe (note the spelling!)

O19 - User stylesheet: C:\WINDOWS\sstyle.css
O19 - User stylesheet: C:\WINDOWS\sstyle.css (HKLM)

Ejemplos de logs:
Aquí
Aquí
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.