Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 15 de abril de 2007

HERRAMIENTAS: COMANDO TASKLIST
Como lo había prometido en el post "Herramientas de Windows XP" les iré mostrando algunas herramientas que nos ayudarán a solucionar algunos problemas, ya sean relacionados a malware, a networking o a otros inconvenientes de seguridad.

En esta oportunidad se trata del comando TaskList. Esta herramienta, que trabaja bajo línea de comados, nos permite ver una lista completa y ordenada alfabetivamente de todas las tareas y procesos que estan activos en nuestro sistema o en un sistema remoto. Por lo tanto nos nos será de mucha utilidad a la hora de verificar la existencia de codigos maliciosos en nuestro equipo.
Para cada proceso, TaskList nos muestra el nombre del proceso y el PID.

Imagen 1: salida del comando tasklist

Es el equivalente al Administrador de tareas (taskmgr) que obtenemos al pulsar las teclas CTRL+ALT+SUPR. Por qué usamos el comando tasklist y no el taskmgr, simplemente porque algunos programas maliciosos (malware) despliegan como mecanismo de defensa intentar bloquear el Administrador de tareas e impedirnos el acceso al mismo.

Podremos utilizar este comando bajo Windows XP y Windows Server 2003, no existe en Windows Home. Para Windows 2000 podemos usar su equivalente , el comando TList.

La sintaxis de esta herramienta es la siguiente:

tasklist [/s equipo [/u dominio\usuario [/p contraseña]]] [{/m módulo /svc /v}] [/fo {TABLE LIST CSV}] [/nh] [/fi filtro [/fi filtro [ ... ]]]
Como parámetro le podemos pasar la siguiente información:

/s equipo: Especifica el nombre o la dirección IP de un equipo remoto (no utilice barras diagonales inversas). El valor predeterminado es el equipo local.

/u dominio\usuario: Ejecuta el comando con los permisos de cuenta del usuario especificado por usuario o dominio\usuario. El valor predeterminado son los permisos del usuario que inició la sesión actual en el equipo que emite el comando.


/p contraseña: Especifica la contraseña de la cuenta de usuario especificada en el parámetro /u.

/m módulo:
Enumera todas las tareas en las que se han cargado módulos DLL que concuerdan con el nombre de patrón especificado. Si no se especifica el nombre de módulo, esta opción muestra todos los módulos cargados por cada tarea.

/SVC: Muestra los servicios en cada proceso.

/V: Especifica que la información sea mostrada.

/?:
Muestra Ayuda en el símbolo del sistema.


La informacion que obtenemos mediante este comando nos servirá luego para poder "matar" los procesos que no nos interese (o que sean objeto de nuestro interés) mediante su "process identification" (PID).

También es muy útil para ser aplicado al analisis forense, por ejemplo, podemos enviar toda la informacion de los procesos a un archivo .txt con el siguiente comando:

tasklist >Procesos.txt &date /t >>Procesos.txt &time /t >>Procesos.txt
o si queremos informacion sobre los servicios que dependen de los procesos podemos usar:

tasklist /SVC >ProcesosYServicios.txt &date /t >>ProcesosYServicios.txt &time /t >>ProcesosYServicios.txt
en este caso, además de generar un archivo con extensión .txt con los procesos activos en el sistema, también obtendremos información sobre los servicios asociados a los procesos.

Otra opción seria ver los servicios asociados sólo a un proceso en particular, para este caso escribiremos lo siguiente:

tasklist /svc /fi "imagename eq svchost.exe"
Imagen 2: servicios asociados al proceso svchost.exe

Ahora, si son un poco paranoicos como yo, podrían chequear la información obtenida con otra herramienta, pslist de Sysinternals, una utilidad similar al tasklist que básicamente hace lo mismo, listar los procesos y tareas en ejecución, y también nos permite obtener información en forma remota.

Imagen 3: salida del comando pslist

Y para los que no son amantes de la línea de comandos, pueden utilizar una muy buena herramienta gráfica, también de sysinternals, llamada Process Explorer. Esta herramienta posee una amplia gama de opciones para obtener información detallada de cada uno de los procesos. En otro post veremos esta utilidad en detalle.

Espero que esta primera entrega sea de vuestra utilidad.
Process Explorer 10.21
http://download.sysinternals.com/Files/ProcessExplorer.zip

PsList 1.28
http://download.sysinternals.com/Files/PsTools.zip


jam

Ver más

NETSKY.BLA BLA BLA BLA

Como vemos en la captura sobre la estadística tomada por el Centro de Alerta Temprana sobre virus y seguridad informática (CAT) de www.alerta-antivirus.es, el Netsky sigue siendo, hace mucho tiempo, el gusano favorito manteniéndose primero en el top ten con casi el 73% de los votos, seguido inescrupulosamente por sus variantes.

El Netsky se propaga a través del envio masivo de email a todas las direcciones que existen en la máquina infectada.

La mayoría de sus varientes explotan una vulnerabilidad bastante antígua del navegador IE de Microsoft en su versión 6 y anteriores llamada MIME header vulnerability que permite la ejecución del código malicioso con sólo visualizar el mensaje con la vista previa o al abrirlo, en tanto otras variantes, buscan eliminar a la competencia, es decir, borran entradas en el registro correspondiente a otros gusanos, en concreto Mydoom, Mimail.T y varias variantes del Beagle.

Quizás, la característica de infectar las máquinas con sólo visualizar el mensaje, sea la responsable de que este gusano siga manteniendo su racha de "number one" en las estadísticas de infecciones; además, obviamente, de la falta de educación que tienen los usuarios con relación a las medidas preventivas referidas al buen uso del correo electrónico.

Según el portal español www.consumer.es, el Netsky.D ya ha infectado a unos 3.828.596 de emails, también advierten que el Netsky.P y el Netsky.B son los responsables de más del 70% de todas las infecciones de la última semana.

El Netsky.B apareció el 18 de febrero y, desde entonces, ha infectado 2.453.955 emails, de ellos 695.161 en la última semana, y 80.534 en las últimas 24 horas.

El Netsky.P, por su parte, comenzó a propagarse el 22 de marzo, y en sólo seis días ya ha contagiado 710.146 correos electrónicos, 53.331 en las últimas 24 horas.

jam

Ver más