[CERRADO] Exploit persistente

Contenedor de incidencias RESUELTAS por los expertos, CERRADAS por el usuario o que han expirado en el tiempo.
CarlosCarvajal
Usuario registrado
Usuario registrado
Mensajes: 6
Registrado: Mié, 14 Ene 2015, 21:42

[CERRADO] Exploit persistente

Mensaje por CarlosCarvajal »

Hola,

Instalé Panda Cloud Antivirus porque identifiqué un proceso y un archivo que aparecía regularmente en los análisis de otros programas antimalware.
El hecho es que una vez eliminado el archivo, realicé análisis con varios programas (Panda, MalwareBytes, etc.) y no detectaba ningún archivo malicioso.

Sin embargo, cada día, Panda detecta un archivo .exe en la misma carpeta y afirma que es un Exploit. Cada día lo elimino y vuelven a aparecer más (generando nuevos exe y archivos temporales en la misma carpeta). Intuyo que se trata de un archivo creado por el verdadero archivo malicioso, pero Panda no parece identificar al Exploit original. Estos archivos se encuentran en ProgramData/Microsoft/Secure/icons/temp (en una partición en la que no está instalado Windows sino que sirve de almacenamiento) y he comprobado que no se trata de archivos de sistema. Sin embargo, creo que los archivos que generan los nuevos archivos EXE a diario son dos DLLs que puede que estén suplantados: IconsCacheHelper.dll y SecureIconsProvider.dll. Pero un análisis de estos archivos me dice que están limpios.

Adjunto el log de Panda Cloud para que vean que es diario y qué tipo de archivos son.

En cuanto a los síntomas, lo único que he notado es que, en ocasiones, utilizando Chrome, los enlaces apuntan a páginas de publicidad. He notado este hecho en múltiples páginas de las que me fío y que no incluyen archivos ocultos (entre ellos la propia página de Panda), así que asumo que tendrá algo que ver con este Exploit.

Muchas gracias
Adjuntos
panda_informe.rar
(1.68 KiB) Descargado 213 veces
Avatar de Usuario
TaTienDo
Moderador Oficial
Moderador Oficial
Mensajes: 2559
Registrado: Mar, 03 Abr 2012, 11:00

Re: Exploit persistente

Mensaje por TaTienDo »

Hola,

¿podrías indicarnos el sistema operativo que usas y si es 32 o 64 bits?
¿El equipo se encuentra totalmente actualizado a nivel de windows update?
¿has verificado en agregar o quitar programas si tienes algún software instalado que no te suene haber instalado?
¿has verificado los complementos del navegador? ¿Tienes alguno que te haga sospechar? ¿si detienes los complementos, el problema persiste? ¿con otro navegador te ocurre lo mismo?

Quedo a la espera de tus comentarios,

Saludos,
CarlosCarvajal
Usuario registrado
Usuario registrado
Mensajes: 6
Registrado: Mié, 14 Ene 2015, 21:42

Re: Exploit persistente

Mensaje por CarlosCarvajal »

Hola, gracias por contestar.

Te respondo a lo que me preguntas:

El SO es Windows 8.1 64 bits e instalo cada una o dos semanas las actualizaciones de Windows Update, siempre las importantes, evito las recomendadas si son para Internet Explorer u otros programas que nunca utilizo. Pero las actualizaciones de seguridad, Windows Defender, Office y demás están actualizadas y el problema persiste. Sí que noté que la última vez me dio un error, pero al revisar las actualizaciones instaladas, estaban todas.

Reviso regularmente si hay programas indeseables instalados y no tengo ninguno, tampoco extensiones en Chrome (a parte de las que conozco y sé que son fiables). Lo que no he probado es a utilizar otro navegador, ya que sólo uso Chrome. Así que lo probaré, pero como los efectos son tan esporádicos, me llevará algo de tiempo ver si Firefox también queda afectado.

Después de publicar el mensaje original, ayer Panda volvió a detectar archivos en esa carpeta tres veces más, con una frecuencia mayor a lo que suele hacer. Realmente no sé qué es, he buscado información sobre posibles suplantaciones de esos archivos pero no he encontrado nada definitivo, sólo indicaciones de que es posible que algunos virus sustituyan esos DLLs. Pero nunca puedo eliminarlos porque, según Windows, están en uso. He probado a reiniciar en modo seguro y eliminarlos, pero tampoco ha sido posible.

Un saludo,
Avatar de Usuario
TaTienDo
Moderador Oficial
Moderador Oficial
Mensajes: 2559
Registrado: Mar, 03 Abr 2012, 11:00

Re: Exploit persistente

Mensaje por TaTienDo »

Hola,

gracias a tí por la amplia explicación del problema planteado.

Entiendo que no has analizado con Panda Cloud Cleaner, si esto es cierto, por favor, analiza siguiendo estos pasos

No olvides indicarnos los resultados obtenidos,

Saludos,
CarlosCarvajal
Usuario registrado
Usuario registrado
Mensajes: 6
Registrado: Mié, 14 Ene 2015, 21:42

Re: Exploit persistente

Mensaje por CarlosCarvajal »

No, tan sólo con Panda Cloud Antivirus. Lo probaré esta noche y te adjuntaré el informe resultante. ¡Gracias!
CarlosCarvajal
Usuario registrado
Usuario registrado
Mensajes: 6
Registrado: Mié, 14 Ene 2015, 21:42

Re: Exploit persistente

Mensaje por CarlosCarvajal »

Aquí dejo el informe de Panda Cloud Cleaner, ha detectado un elemento malicioso en el registro, pero relacionado con Internet Explorer, el cual no he abierto nunca en este PC.
Me extraña porque no ha detectado nada en la carpeta de ProgramData que comentaba, mientras que Panda Cloud Antivirus sí.

EDIT: He eliminado lo que aparece.
Adjuntos
PCloudCleaner_log.rar
(853 Bytes) Descargado 226 veces
Avatar de Usuario
TaTienDo
Moderador Oficial
Moderador Oficial
Mensajes: 2559
Registrado: Mar, 03 Abr 2012, 11:00

Re: Exploit persistente

Mensaje por TaTienDo »

Hola,

entiendo que el problema persiste, ¿verdad?

Es necesario que nos remitas el resto de la información que aquí se indica.

Esperamos tus comentarios,

Saludos,
CarlosCarvajal
Usuario registrado
Usuario registrado
Mensajes: 6
Registrado: Mié, 14 Ene 2015, 21:42

Re: Exploit persistente

Mensaje por CarlosCarvajal »

Entendido, te lo enviaré cuando pueda.

El problema persistió. De todas formas, logré eliminar los archivos de la carpeta "ProgramData/Microsoft/Secure/icons/temp". Según pude comprobar en otros foros, es un virus común que genera los archivos .exe que Panda Antivirus detecta y elimina (pero no detecta los DLLs que los crean). Conseguí eliminarlos tras bloquear el proceso que mantenían activo.

Sin embargo, te enviaré un nuevo log, ya que no estoy seguro de que se hayan eliminado completamente y me gustaría asegurarme. Muchas gracias por tu paciencia.
CarlosCarvajal
Usuario registrado
Usuario registrado
Mensajes: 6
Registrado: Mié, 14 Ene 2015, 21:42

Re: Exploit persistente

Mensaje por CarlosCarvajal »

Hola, adjunto un ZIP con los archivos PCloudCleaner.log, el log generado en el análsis que acabo de hacer y un tercer archivo que he encontrado en la carpeta "temp" (no hay ningún archivo .stats pero sí un archivo con relación a Panda Cloud Cleaner).

Gracias por todo.
Adjuntos
PCloudCleaner.zip
(270.32 KiB) Descargado 237 veces
Avatar de Usuario
TaTienDo
Moderador Oficial
Moderador Oficial
Mensajes: 2559
Registrado: Mar, 03 Abr 2012, 11:00

Re: Exploit persistente

Mensaje por TaTienDo »

Hola,

disculpa la demora en la respuesta.

Una vez analizados los datos me gustaría conectarme al equipo por control remoto y así poder revisarlo.

¿Sería posible? indicarte que el horario para estas conexiones remotas es de lunes a jueves de 8:30 a 17:00 horas y viernes de 7:30 a 13:30 horas.

Remiteme un privado con tus datos de cliente panda e indicame un día y hora preferente.

Ten presente que si no reside en España nuestro huso horario es GMT+2

Quedo a la espera de tus comentarios,

Saludos,
Cerrado

Volver a “Virus - Archivo de Incidencias”