aplicación de ethereal ahora wireshark - análisis de paquetes y tráfico de red.pdf
TRANSCRIPT
-
8/4/2019 Aplicacin de Ethereal ahora Wireshark - Anlisis de paquetes y trfico de red.pdf
1/9
PARA FINES INFORMATIVOS
Documento de libre distribucin
09.10.2006
Hace uno s das los usu arios de nuestra red, empe zaron a preguntarnos sobre un archivoSetup.exe y Autorun.inf que aparecan misteriosamente en las carpetas que ellos compartancon los dems usuarios, estas carpetas tenan permisos de escritura.Quisimos saber ms sobre aquel archivo extrao aparentemente un virus. Y lo copiamos a un
entorno virtual aislado de la re d www.vmware.com (Software de virtualizacin que permite laemulacin de mltiples sistemas operativos en mquinas virtuales)Ejecutamos el programa Setup.exe en la mquina virtual y para seguir el rastro y ver que es loque hace, tambin ejecutamos el FileMonitor (www.sysinternals.com ) Monitorea archivos quese ejecutan en el sistema-.
Al revisar el Log, nos mostr lo siguiente:
http://www.vmware.com/http://www.sysinternals.com/http://www.sysinternals.com/http://www.vmware.com/ -
8/4/2019 Aplicacin de Ethereal ahora Wireshark - Anlisis de paquetes y trfico de red.pdf
2/9
Como puede ver, al ejecu tar el archivo Setup.exe comenz la creaci n de 2 nuevo s archivosque son SM SS.exe en la ca rpeta C:\windows\system y el arch ivo nvsvcd.exe en la carpetaC:\windows\system32.
Luego fuimo s a la carpet a C:\windo ws\system y enco ntramos una copi a del virus llam adasmss.exe, que confirma el LOG del FileMonitor.
No confundir con el archivo de si stema SMSS.EXE que se encuent ra en la carpetac:\windows\system32 que es el e ncargado de manejar la s sesiones e n el sistema (SessionManager SubSystem). Hasta el icono es diferente.
Revisamos tambin la carpeta C:\windows\system32 y encontramos el archivo nvsvcd.exe que
confirma nuevamente el Log del FileMonitor.
-
8/4/2019 Aplicacin de Ethereal ahora Wireshark - Anlisis de paquetes y trfico de red.pdf
3/9
Luego eje cutamos el m sconfig y vemo s qu e el archivo C:\windows\system\smss.exe intentaejecutarse al inicio del sistema.
Ahora, usando el RegMonitor ( www.sysinternals.com ) (Monitorea en tiempo real las accionesque se realizan en el Registro del sistema), tambin se d etect que se crea una clave en elRegistro p ara que el archivo nvsvcd .exe se ej ecute como servicio del si stema al inici arWindows.
http://www.sysinternals.com/http://www.sysinternals.com/ -
8/4/2019 Aplicacin de Ethereal ahora Wireshark - Anlisis de paquetes y trfico de red.pdf
4/9
El virus, gusano, troyano o como se le quiera llamar, tambin crea una copia en la Unidad C oD con un archivo llamado autorun.inf que direcciona hacia el archivo Setup.e xe y comen z ahacer copias de s mismo en todas las carpetas compartidas con permisos de escritura de lasdems m quinas virtual es q ue creamos. Como se puede ded ucir esto n o e s uncomportamiento normal dentro de una red.
Por lo tanto sea cual fuere el nombre, lo calificamos de amenaza a la red.
Buscando luego informacin en Inte rnet sobre el archivo nvsvcd.exe, se e ncontr que es unavariante del troyano Medbot, ms informacin en:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=5889Al haber evaluado ya la accin del virus, se procedi a su eliminacin.
Quisimos saber qu mquina de nuestra red es la que estaba copiando el archivo Setup.exe enlas carpetas compartidas de los usuarios de nuestra red. Para e so usamos una Analizador deProtocolos llamado Ethereal (Pgina Oficial: www.ethereal.com, Traduccin al Espaol:http://translate.google.com/translate?u=http%3A%2F%2Fwww.ethereal.com&langpair=en%7Ces&hl=es&ie=UTF-8&oe=UTF-8&prev=%2Flanguage_tools ).
Aclaramos que es una herramienta de anlisis de redes, usada por muchos administradores deredes para localizar errores y anomalas.
As que instalamos y configuramos el Ethereal en una PC de nuestro uso. Luego creamos unacarpeta compartida con permisos de escritura y activamos el ethereal para monitorear el trficodesde y hacia nue stra ta rjeta de red. Tran scurridos alg unos minutos apareci el a rchivoSetup.exe y Autorun.inf en nuestra carpeta compartida.
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=5889http://www.ethereal.com/http://translate.google.com/translate?u=http%3A%2F%2Fwww.ethereal.com&langpair=en%7Ces&hl=es&ie=UTF-8&oe=UTF-8&prev=%2Flanguage_toolshttp://translate.google.com/translate?u=http%3A%2F%2Fwww.ethereal.com&langpair=en%7Ces&hl=es&ie=UTF-8&oe=UTF-8&prev=%2Flanguage_toolshttp://translate.google.com/translate?u=http%3A%2F%2Fwww.ethereal.com&langpair=en%7Ces&hl=es&ie=UTF-8&oe=UTF-8&prev=%2Flanguage_toolshttp://translate.google.com/translate?u=http%3A%2F%2Fwww.ethereal.com&langpair=en%7Ces&hl=es&ie=UTF-8&oe=UTF-8&prev=%2Flanguage_toolshttp://www.ethereal.com/http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=5889 -
8/4/2019 Aplicacin de Ethereal ahora Wireshark - Anlisis de paquetes y trfico de red.pdf
5/9
Previamente usamos un Editor Hexadecimal para visualizar el cdigo del archivo Setup.exe.
Y al analizar la captu ra de trfico de sde y hacia nuest ra tarj eta de re d con el Ethere al,encontramos el mism o cdigo del a rchivo Set up.exe entrando hacia nu estra mquina de la
direccin IP que muestra la captura:
Si analizamos el segundo paquete transferido:
-
8/4/2019 Aplicacin de Ethereal ahora Wireshark - Anlisis de paquetes y trfico de red.pdf
6/9
Y comparado con el editor hexadecimal:
-
8/4/2019 Aplicacin de Ethereal ahora Wireshark - Anlisis de paquetes y trfico de red.pdf
7/9
Analizando el ltimo paquete:
Y comparado con el editor:
Al final de la transferencia del archivo, podemos ver la cantidad de bytes transferidos desde lamquina infectada (IP 10.22.13.226 a nuestro IP 10.22.17.188) lo mismo pasa tambin con lared 10.22.19.x
-
8/4/2019 Aplicacin de Ethereal ahora Wireshark - Anlisis de paquetes y trfico de red.pdf
8/9
Que es exactamente el tamao del archivo Setup.exe descargado:
El antivirus corporativo lo detecta como se puede ver en la figura:
Descubrimos tambin que este virus tiene variantes porque se detecto que se conecta aInternet para descargar una copia actualizada del virus, que luego es copiado nuevamente enlas carpetas compartidas de la red y el antivirus con fecha de ltima actualizacin 08.10.2006no lo detecta el ya nuevo virus.
Como se ve en la figura, nos dimos con sorpresa que el virus provena de otra red, decidimoshacer escaneo de esa re d, para verifi car el IP mostrado, y efectivamente m ostraba una PCactiva:
-
8/4/2019 Aplicacin de Ethereal ahora Wireshark - Anlisis de paquetes y trfico de red.pdf
9/9
Para verificar accedimos a esa mquina. Tena re cursos compartidos y hasta su unida d Cestaba compartida, como se ve en l a figu ra, lo s archivo s Se tup.exe y au torun.inf que secolocan en la Unida d C, lo que indica que la PC estaba infe ctada, y enviando viru s hacianuestra mquina.
Ac demostramos que el virus e scanea automticamente otras rede s dent ro de nue stra redcorporativa; lo que puede ocasionar un ciclo continuo de propagacin.