Cómo malware cueros y se instala como un servicio

 

Tabla de Contenidos

Introducción

Un error común cuando se trabaja en la eliminación de malware de un ordenador es que el único lugar una infección comenzará a partir encuentra en una de las entradas enumeradas por HijackThis. En la mayoría de estas entradas son las más comunes, pero no es siempre el caso. Últimamente hay más infecciones de la instalación de una parte de sí mismos como un servicio. Algunos ejemplos son Ssearch.biz y Home Search Assistant.

Al limpiar un ordenador el enfoque estándar es limpiar las entradas de ejecución y las otras entradas de inicio más comunes en primer lugar. En su mayor parte, eso será suficiente para eliminar la infección. El problema surge cuando el registro se ve limpio y sin embargo, todavía hay problemas. Un lugar para seguir buscando la infección está en los servicios del sistema operativo para ver si hay un servicio que no pertenece allí y, posiblemente, podría ser cargando la infección. Un servicio es un programa que se inicia automáticamente por Windows NT / XP / 2000/2003 en el inicio oa través de algún otro medio y se utiliza generalmente para los programas que se ejecutan en segundo plano.

Tenga en cuenta, con el fin de utilizar correctamente las instrucciones que debe ejecutar cualquiera de los programas con privilegios de administrador.

Servicio configuración

Un servicio se carga en el arranque, ya sea usando svchost.exe o ventanas de lanzamiento de la aplicación directamente. Si un servicio se carga directamente por las ventanas, el nombre del archivo asociado que pone en marcha el servicio se pueden encontrar en el valor ImagePath en la siguiente entrada de registro

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services SERVICENAME

Cuando el servicio es siendo lanzada por svchost.exe, se colocará en un grupo de servicio en particular, que a continuación se puso en marcha por svchost.exe. Una lista de estos grupos y los servicios que se ponen en marcha en virtud de ellos se puede encontrar aquí:

HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Svchost

En esta clave se encuentran varios grupos (netsvcs, LocalServices, etc. ) en la que cada uno contiene múltiples servicios que se pondrán en marcha cuando el grupo está cargado por svchost.exe. Estos grupos son cargados por el comando siguiente:

svchost.exe -k netsvcs

Se carga todos los servicios encontrados en el grupo netsvcs en la clave anterior y aparecen como un proceso en la lista de procesos. Así que cada vez que un nuevo grupo es cargado por svchost.exe, se encuentra un nuevo proceso svchost.exe que figuran en la memoria. Es por esta razón por la que hay varios procesos svchost.exe que figuran en una máquina. Si está utilizando Windows XP, ya que este comando no está disponible en Windows 2000, se puede ver qué servicios cada proceso svchost.exe es el control mediante la ejecución del siguiente comando desde un símbolo del sistema: lista de tareas / SVC

Cuando un servicio es puesto en marcha en este modo, el nombre de archivo real para el servicio se puede encontrar aquí:

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services servicename Parámetros \ ServiceDll

el valor de ServiceDLL es el archivo real del servicio que queremos estar preocupado por.

de venta y análisis de los servicios de

Para obtener un informe de los servicios configurados en el equipo, he creado un archivo por lotes simple que utiliza programa de programa de SWSC de Bobbi Flekman para obtener una lista de los servicios y abrir un bloc de notas. Nada de lujos, pero ahorra tiempo en el diagnóstico.

Este archivo se puede encontrar aquí: Getservices.zip

Para utilizar la secuencia de comandos, simplemente descomprimir el archivo en su unidad C: y que ahora se encuentra un directorio llamado c: GetService. Dentro de ese directorio es un archivo por lotes llamado getservice.bat y el archivo psservice.exe. Simplemente haga doble clic en el archivo getservice.bat y se creará un bloc de notas que contiene una lista de servicios instalados en el equipo que está ejecutando en. Nota: Debe estar ejecutando como usuario con privaleges administrador o esta secuencia de comandos, o bien no va a funcionar o no dar suficiente información.

La salida del script contendrá información sobre cada servicio instalado en su ordenador. La información importante tener en cuenta en las entradas de servicio son ::

A continuación se presentan ejemplos de cómo una entrada buscaría dos tipos diferentes de infecciones explicaciones de cómo interpretar la información dada:

El principal Buscar Assistant utiliza un servicio, entre Ejecutar las entradas estándar, como parte de su infección. Los atributos importantes que se desprende de la información anterior son los siguientes:

Armado con esta información que ahora sabemos lo que las entradas del registro del servicio se almacena en el archivo y que se utiliza como parte de la infección Inicio Asistente de búsqueda.

El siguiente ejemplo es para el secuestrador Ssearch.biz, pero se carga de una manera ligeramente diferente, haciendo que nos permite trabajar un poco más en saber lo que es el archivo de la infección.

El SSearch.biz secuestrador utiliza un servicio como parte de su infección, así. Los atributos importantes que se desprende de la información anterior son los siguientes:

Ahora esta información, aunque útil, es algo inútil sin escarbar más en el registro. Sabemos que el archivo que se inicia el servicio es svchost.exe, pero que es un programa legítimo, por lo que no queremos para eliminarlo. ¿Cómo entonces podemos encontrar el archivo adecuado para eliminar? Recordamos lo que hemos hablado anteriormente acerca de cómo funciona svchost.exe?

Desde el BINARY_PATH_NAME sabemos que el archivo es parte del grupo netsvcs. Eso significa que cuando las cargas svchost ese grupo, que puede contener muchos servicios, sino que también cargar el archivo asociado a este servicio. Para encontrar el nombre de archivo real para este servicio en particular, tenemos que comprobar la clave del Registro siguiente:

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services El valor de la clave ServiceDLL es el archivo pnpsvc Parámetros \ ServiceDll

real que queremos eliminar.

En la siguiente sección se discutirá cómo quitar el servicio a través de la supresión de las entradas en el registro.

Extracción de un servicio

Extracción de un servicio manualmente requiere la eliminación de entradas del registro. Esto puede ser una tarea peligrosa para la salud de su equipo. Si usted no se siente cómodo haciendo esto, entonces por favor pedir a alguien que ayuda con este paso del procedimiento de limpieza como cometer un error puede hacer que el equipo que se está trabajando para que no funcione correctamente. entradas

Servicio

se almacenan en el Registro en una sección llamada ControlSet. Un ControlSet se encuentran en la siguiente clave:

HKEY_LOCAL_MACHINE SYSTEM

Un ControlSet es una copia completa de la configuración que se utiliza para lanzar con éxito servicios y otros archivos críticos y controladores para Windows. Cuando nos fijamos en la clave anterior siempre habrá al menos dos ControlSets y una CurrentControlSet. Por el bien de este tutorial voy a utilizar lo que tengo en mi máquina, que es ControlSet1 y ControlSet2 (puede haber más, hasta un máximo de 4). Uno de estos conjuntos de control numerados refiere a la configuración predeterminada que se utiliza cuando los equipos arranca normalmente. El otro conjunto de control numerada se refiere a la utilizada cuando se elige para arrancar utilizando la última configuración válida conocida. El último, CurrentControlSet, es un reflejo exacto de la ControlSet que habíamos usado para arrancar en Windows, por lo que si se realiza un cambio CURRENTCONTROLSET aparecerá automáticamente en el ControlSet que es reflejo y viceversa.

Si quería saber con certeza qué ControlSet la CurrentControlSet está apuntando a usted puede examinar la siguiente clave:

HKEY_LOCAL_MACHINE SYSTEM Select

Esta clave nos da información importante en cuanto a que ControlSet se utilizó en el último inicio , que se utiliza por defecto, y que se designa para LastKnownGoodConfiguration. Esta clave contiene los siguientes valores:

Si quisiéramos quitar manualmente un servicio desde el registro que sólo tendríamos que eliminarlo de los ControlSets numeradas (recuerda CurrentControlSet es un espejo de uno de los contados de ellos). Por ejemplo, para quitar el servicio de un secuestrador SSearch.biz en mi equipo, nos basta con borrar del registro de las siguientes entradas:

HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Services pnpsvc HKEY_LOCAL_MACHINE SYSTEM ControlSet002 Servicios pnpsvc

Una vez que reinicio, estos servicios ya no se mostrarán en el panel de control de servicios. En tiempos

embargo, el malware también se instalará en estas claves:

HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum RootHKEY_LOCAL_MACHINE SYSTEM ControlSet002 Enum Root

como subclaves llamados Legacy_ SVCNAME . Estos Legacy_ SVCNAME entradas deberían suprimirse también, pero por lo general requieren que cambiar los permisos en ellos con el fin de eliminarlos. Basta con cambiar los permisos de seguridad en estas teclas para todos (completa) y luego eliminarlos.

Conclusión

Saber cómo diagnosticar un servicio que se ejecuta como un malware es una parte importante de la lucha contra el software espía. A medida que más y más software espía y virus utiliza esta técnica, la comprensión de cómo funcionan los servicios y se configuran en el Registro hará que la diferencia entre la fijación de un ordenador y no solucionarlo.

Como siempre si tiene cualquier comentario, pregunta o sugerencia acerca de este tutorial por favor, no dude en decirnos en los foros.

Para asistencia de eliminación de malware experto, usted puede pedir ayuda en nuestra virus, troyanos, spyware y eliminación de malware Registros.

Lawrence AbramsBleeping Informática Avanzada Spyware TutorialBleepingComputer.com: Soporte y equipo tutoriales para el usuario de la computadora comienza.