Créditos:
Para Ripper.
Le he puesto un enlace a LA RED ARGENTINA,
(www.laredarg.com).
Muchas gracias, Ripper. ;-)
Desde
aquí puedes descargar:
mataprocesos.zip, pero te aviso que algunos antivirus (en un afán de notoriedad), lo detectan como virus. En mi humilde opinión se trata de una falsa alarma, pues Mataprocesos NO es un virus.
Mi recomendación es que por si acaso, no descargues mataprocesos, y de hacerlo le pases varios antivirus (No sólo el Norton), y además lo instales en un ordenador aislado de la red.
Para ser justos, también he de decirte que yo en tu lugar NO lo instalaría, pues no me conoces de nada, y podría estar mintiéndote. Tu mismo.
Date: Wed, 14 Mar 2001 20:16:52 -0300
From: "Ripper" < ripper@interlap.com.ar >
Subject: defensa
Extraido de D Zone, una de las mejores zines de argentina!!
1) Mataprocesos
Este es el primer artículo que decidí escribir para el DZone número 27. En
este momento estoy frente a una ventana en blanco. Usualmente armo primero
el temario para no dejar afuera nada de lo que recopilé en las dos semanas
que hay entre un boletín y otro, pero esta vez sucedieron dos cosas: La
primera, lo que recopilé no me pareció suficiente como para emitir un
DZone. La segunda, leyendo MiniBytes (una revista colega y amiga, a la que
pueden suscribirse en http://minibytes.findhere.com ) me encontré con que
ellos se me habían adelantado en cuanto a uno de los temas que yo iba a
tratar (el programa freeware Go!Zilla), dejándome todavía con menos temática
para esta emisión (no hay rencores, por supuesto ;) ). Pero continué
leyendo MiniBytes y me acordé de un pequeño programa que hice cuando comenzó
el furor del Back Orifice...
Lo llamé "MataProcesos" y es una pequeña
utilidad que cumple la función que debería cumplir la ventana de
CTRL-ALT-DEL. Curiosamente esta utilidad tan "pequeña" (ocupa 40 Kb y
cumple una tarea muy sencilla) nos será de enorme ayuda sobre todo con el
tema de la seguridad, y se va a llevar una buena porción de esta emisión.
(Se trata, en realidad, del tema que estaba buscando para justificar la
emisión de hoy)
Cuando uno ejecuta el MataProcesos un icono (una señal de STOP) se coloca en
la barra de tareas. si queremos cerrar un programa rápidamente (alguno que
se colgó, o de esos que no aparecen en el CTR-ALT-DEL, como por ejemplo UN
BACKDOOR como el patch del NetBus, si es que algún "vivo" nos lo metió)
haremos doble click en el STOP y se abrirá una ventana con un listado de
todos los procesos reales que se están ejecutando en el momento, listados
por nombre de archivo ejecutable.
Para cerrar (matar) un proceso, basta con hacer doble click en el ítem
de la lista que lo representa, y responder que SI a la pregunta que MataProcesos
nos hace cuando pide la confirmación. Notemos que dije que con MataProcesos podemos matar a "todos los procesos",
lo cual incluye también a los procesos vitales del Windows, por lo que la
primera vez, por falta de experiencia, podríamos "matar" al Windows mismo,
obligándonos a reiniciar el ordenador.
Este programa es útil, por ejemplo, si estamos siendo víctima de un ataque
de NetBus, es decir, alguien nos está "molestando", mostrando mensajes
extraños en nuestra pantalla sin nuestra autorización, mostrándonos
imágenes y abriendo y cerrando la bandeja de nuestro CD-ROM...
1.1) Usando el Mataprocesos para sacarnos de un apuro
En ese caso, estamos frente a un auténtico "Lamer" (que vendría a ser algo
así como un tonto que quiere ser Hacker y utiliza programas como el NetBus
para asustar o abusarse de los que no saben). ¿Cómo llegó hasta aquí este
individuo? El, u otro similar a él, nos pasó un archivo EXE o SCR
haciéndonos creer que se trataba de algo muy interesante, y cuando
(incautos) lo ejecutamos... probablemente no pasó nada, o algo no muy
interesante que digamos... Pero en realidad lo que ocurrió fué que
acabamos de instalar un "control remoto" para que este "Lamer" pueda
controlar nuestro sistema a su antojo. Fuimos vilmente engañados.
Ejecutamos, sin saberlo, un troyano.
Tenemos que apurarnos a quitárnoslo de encima, porque por el momento también
tiene acceso a nuestros archivos, para robarlos o borrarlos.
El modo de usar el MataProcesos en este caso sería simplemente seleccionar
el proceso adecuado (el del troyano) y terminarlo. ¿Cómo reconocemos al troyano? Bueno, suponiendo que la lista que
MataProcesos nos muestra es la siguiente:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSVR32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\PATCH.EXE
C:\WINDOWS\WINDOW.EXE
C:\WINDOWS\SYSTEM\ .EXE
C:\WINDOWS\SYSTEM\NSSX.EXE
C:\WINDOWS\RNAAPP.EXE
C:\WINDOWS\TAPISVR.EXE
C:\ARCHIVOS DE PROGRAMA\ICQ\ICQ.EXE
C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE
C:\ARCHIVOS DE PROGRAMA\MATAPROCESOS\MATAPROCESOS.EXE
En este caso nos encontramos con un ordenador LLENO DE TROYANOS, es decir,
su seguridad ha sido totalmente violada. ¿Cómo nos damos cuenta de eso?
Hace flata estar acostumbrado al MataProcesos, en otras palabras, saber el
proceso que cada archivo está ejecutando. Si tenemos en cuenta que es muy
difícil que un troyano se instale en otro lado que no sea los directorios WINDOWS o SYSTEM, ya descartamos tres
posibilidades (las tres últimas, pero es más seguro descartarlas cuando
conocemos la función de cada una de ellas), veamos:
C:\ARCHIVOS DE PROGRAMA\ICQ\ICQ.EXE es ni más ni menos que el ICQ, si lo matamos, se nos cierra el ICQ.
C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE se trata, como se podrán imaginar, del Outlook Express. Es que en este
momento estoy escribiendo en él la DZone.
C:\ARCHIVOS DE PROGRAMA\MATAPROCESOS\MATAPROCESOS.EXE este es tanto o más obvio que los anteriores, nosotros mismos acabamos de
ejecutarlo.
También hay que conocer otros procesos comunes de Windows, ¿y cómo lo
hacemos? si se trata de algunos de los que ya nombré, yo mismo voy a
presentarselos, pero si son otros que no se mustran aquí, probablemente con
el método de "prueba y error".
Veamos:
C:\WINDOWS\SYSTEM\KERNEL32.DLL Este es el "corazón" del Windows, si lo cerramos, tendremos que reiniciar.
C:\WINDOWS\SYSTEM\MSGSVR32.EXE Este es una utilidad interna, si la cerramos el sistema probablemente pierda
estabilidad.
C:\WINDOWS\SYSTEM\mmtask.tsk Cerrar este es imposible. Siempre vuelve a aparecer. Tiene que ver con las
tareas multimedia que el Windows realiza.
C:\WINDOWS\EXPLORER.EXE Se trata del explorador. Gestiona tanto al Internet Explorer como al
Windows Explorer. También gestiona la barra de tareas. Si lo cerramos se
nos cierran estas tres cosas. (Generalmente se vuelve a ejecutar automáticamente)
C:\WINDOWS\TASKMON.EXE Es el monitor de tareas de Windows. Si lo cerramos aparentemente no ocurre
nada, pero no recomiendo cerrar procesos sin saber exactamente qué función
cumplen, a menos que no nos moleste vernos obligados a reiniciar...
C:\WINDOWS\SYSTEM\SYSTRAY.EXE Es el "parlantito" (la bocinita) que aparece en la barra de tareas, el
programa que nos dá el control del volumen de sonidos de Windows. Si lo
cerramos, el parlante (la bocina) desaparece.
C:\WINDOWS\RNAAPP.EXE
C:\WINDOWS\TAPISVR.EXE
Estos dos son los que se ejecutaron cuando nos conectamos a Internet. Si
los cerramos la conexión se corta y no podremos volver a conectarnos hasta
reiniciar la computadora. Pues bien, ¿qué nos queda?
C:\WINDOWS\PATCH.EXE
C:\WINDOWS\WINDOW.EXE
C:\WINDOWS\SYSTEM\ .EXE
C:\WINDOWS\SYSTEM\NSSX.EXE
¡Ja! se trata ni más ni menos que de ¡cuatro troyanos! Toda una
exageración... Nuestra seguridad (la de nuestros archivos) se ve totalmente
violada por culpa de cada uno de estos procesos... ¿Cómo podemos estar
seguros de que se trata de troyanos? Eso lo explico en el apartado que
viene, pero en el caso de estos cuatro, basta con decir que ya son tán
famosos que no hace falta hacer las comprobaciones...
C:\WINDOWS\PATCH.EXE es el maldito patch del NETBUS
C:\WINDOWS\SYSTEM\ .EXE es el servidor del Back Orifice
C:\WINDOWS\SYSTEM\NSSX.EXE es el servidor del nuevo troyano NetSphere
C:\WINDOWS\WINDOW.EXE es un troyano, aunque no sé exactamente cuál... (probablemente SubSeven o
una versión levemente modificada del NetBus)
Matando a LOS CUATRO podemos continuar navegando tranquilos, ya que el
agresor perdió totalmente su poder. PERO CUIDADO, nuestro sistema
seguramente fué modificado para que estos programas se ejecuten cada vez que
arrancamos, y como el MataProceso no los borra del disco, sino simplemente
los erradica de la memoria, no estamos a salvo de que la próxima vez que
reiniciemos ¡los troyanos estén nuevamente allí!
Para librarnos de ellos para siempre leamos los puntos siguientes...
Aclaraciones:
El MataProcesos va adjunto a esta emisión de DZone, y para que funcione hace
falta tener instalados los 'runtimes' de Visual Basic 5. Si no los tenés los
podés conseguir en:
ftp://ftp.simtel.net/pub/simtelnet/win95/dll/vb5a.zip
ó en el mirror: ftp://ftp.cdrom.com/pub/simtelnet/win95/dll/vb500a.zip
1.2) Mataprocesos y Netstat, suficiente para erradicar cualquier troyano.
Existe una aplicación llamada Netstat, y está ubicada en C:\WINDOWS. Con
ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos.
Para hacerlo correctamente hay que seguir los siguientes pasos:
a) Nos desconectamos de Internet
b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por
ejemplo: ICQ - Internet Explorer o Netscape - GetRight - Go!Zilla - Telnet - mIRC -
MSChat - Outlook - Outlook Express - etc...
c) Ejecutamos el MataProcesos
d) Ejecutamos una ventana de DOS
e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de
todos los "puertos" que aparecen como "abiertos", estos aparecen en la
columna "Dirección local" con el formato: <nombre_de_nuestra_pc>:<puerto>
Por ejemplo, podríamos tener el siguiente listado:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:30100 0.0.0.0:0 LISTENING
TCP Donatien:30101 0.0.0.0:0 LISTENING
TCP Donatien:30102 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Lo cual significa que tenemos procesos en nuestro ordenador que están
esperando conexión en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y
1035.
f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función
cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya
sabemos para la próxima vez que ese proceso no es un troyano, y que no hay
que matarlo
Ejemplo: decido matar al proceso llamado: C:\WINDOWS\SYSTEM\NSSX.EXE
que es muy sospechoso...
Acto seguido, volvemos a la ventana de DOS y pedimos otro listado de
"Netstat -a", que nos devuelve lo siguiente:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Por supuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que
ya no aparecen en el listado). Al estar seguros que NSSX.EXE no pertenece a ningún programa que nosotros
hayamos instalado, y de que el sistema continúa ejecutándose sin ningún
problema (o sea que no era parte del Windows), podemos cambiarle el nombre
al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos.
Para eso usamos el comando "RENAME C:\WINDOWS\SYSTEM\NSSX.EXE C:\WINDOWS\SYSTEM\NSSX.EX_".
Nótese que tán solo le cambiamos la extensión, para, en caso de habernos
equivocado, recuperar el archivo fácilmente.
Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso
estuviera ejecutándose no podríamos modificar ni borrar el NSSX.EXE
Otro modo de cambiarle el nombre es ir con el Explorador hasta el directorio
C:\WINDOWS\SYSTEM, buscar el archivo NSSX.EXE y situados sobre él presionar
F2, escribir el nuevo nombre y <aceptar>.
Ahora, aunque no es del todo indispensable, y no es recomendable para los
novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y
eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos
la máquina.
La entrada está dentro de la rama: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
y es la siguiente: "NSSX" y su valor es "C:\WINDOWS\system\nssx.exe".
Para borrarla basta con marcarla de azul, pulsar DEL, y confirmar.
Es importante no andar borrando cualquier cosa del registro. Para aprender
más sobre qué es el registro y qué programas ejecuta Windows al arrancar,
lean la emisión Nro. 16 de esta misma revista en http://dzone.findhere.com .
Allí también aprenderán que la rama del registro "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" no es el
único lugar en el cual un troyano puede asegurarse el ser ejecutado en cada
sesión.
El caso de este ejemplo se trataba del famoso NetSphere, un troyano bastante
nuevo. Pueden usarlo para practicar, pero por favor, no sean "Lamers", no lo usen con otras personas,
porque dejarían sus máquinas a merced de cualquiera, y si lo usan con
ustedes mismos, tengan en cuenta de que no deben conectarse a Internet
mientras tengan el troyano instalado. (justamente, para evitar eso es que
explico todo esto).
Sigamos con otro ejemplo, sabemos que la lista del "Netstat -a" es ahora más
corta:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Pues bien, ahora procedamos a cerrar el proceso: C:\WINDOWS\WINDOW.EXE
El sistema sigue perfectamente estable, y volvemos a pedir el "Netstat -a"
y...
Proto Dirección local Dirección remota Estado
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Ohhhhh!! Se han cerrado otros tres puertos! (aclaro que un troyano no
necesariamente utiliza 3 puertos, puede utilizar más, o menos).
Próximo paso: renombramos el archivo para que no vuelva a ejecutarse nunca
más, vamos a la ventana de DOS, y escribimos: "RENAME C:\WINDOWS\WINDOW.EXE C:\WINDOWS\WINDOW.EX_"
Como ya dije, también podemos eliminar la entrada del registro que lo
ejecuta, pero como, habiendo renombrado el archivo, ya no es necesario, lo
dejo librado al lector.
Como en mi caso, por experiencia, sé que el puerto 1035 no se trata de un
troyano, no voy a continuar matando procesos, pero si tuviera más puertos
abiertos, (en el ejemplo que dí al principio había cuatro troyanos y no dos)
continuaría haciéndolo hasta encontrarlos todos.
Quiero aclarar que no es muy común que un ordenador esté lleno de troyanos
como en estos ejemplos, pero si notan que alguien está molestándolos de un
modo extraño cuando entran a Internet, intenten con esta "limpieza".
Otra aclaración: Si matan procesos que no son troyanos NO HAY PROBLEMA, lo
peor que puede ocurrir es que tengan que reiniciar la máquina. Sólo
asegúrense de no tener archivos sin grabar (como un documento de Word) para
no perderlo, al momento de estar haciendo estas comprobaciones.
También cabe aclarar que, aunque yo no conozco ninguno, pueden existir
troyanos más "inteligentes", que no tengan puertos abiertos cuando no
estamos conectados, a esos hay que detectarlos por un método diferente, o
bien, intentar hacerlo mientras estamos conectados a Internet (aunque en ese
caso la cosa se complicaría debido a los demás programas que utilizan
Internet -como el ICQ- y abren a su vez sus propios puertos, con lo cual la
lista se hace más difícil de interpretar).
Ripper
