-[ 0x0B ]--------------------------------------------------------------------
-[ Musica y Rootkits ]-------------------------------------------------------
-[ by SET ]----------------------------------------------------------SET-32--


El claxon sonaba insistentemente. El vehiculo se desplazaba lanzado a alta 
velocidad sobe una autopista de nueva construccion. Tan nueva que de hecho no 
se encontraba senyalizada en el mapa que con cierta dificultad intentaba 
descifrar, dados los brusco cambios de direccion que el chofer imprimia al 
bolido. Las reglas del codigo de circulacion eran las mismas que regian en el 
viejo continente, le habia asegurado su interprete y acompanyante, pero 
aparentemente habia otras reglas no escritas que eran las seguidas por el tipo 
que se encontraba al volante y del resto de usuarios de la via de comunicacion.
Mas valia no hacer demasiadas preguntas, guardar el intil mapa y dedicarse a 
conversar con su hiertico acompanyante. Podia ser mas til que intentar 
convencer al energmeno al volante que de todas formas no tenia prisa ya que 
ibamos con adelanto y que no eran necesarias semejantes velocidades. Nuestro 
viejo conocido Perico Viajero se encaro con el pasivo pasajero que se 
encontraba a su lado. "Sabes cuanto falta para llegar ?". "Pues me parece que 
cerca de media hora". Contesto escuetamente en primera instancia, aunque 
despues de reflexionar unos instantes, anyadio lentamente. "De todas formas ten 
en cuenta que en estos paises nunca se esta seguro de las distancias ni de los 
objetivos. Reljate y disfruta del paisaje"

Viajero no encontraba nada de excepcional en una monotona llanura que se 
extendia hasta el horizonte, asi que puso su cerebro en stand-by y entro en una
fatigosa duermevela interrumpida por los frecuentes cambios de velocidad y de 
direccion del vehiculo. En su cabeza se mezclaron confusamente imgenes reales 
de sus ltimos viajes con productos de su imaginacion fruto de sus multiples 
lecturas. Nunca supo si fue un violento bandazo del coche o bien la angustia de
la pesadilla, pero de pronto se desperto empapado de sudor y con la certeza de 
que habian instalado un rootkit en su PC porttil y que toda la informacion de 
la corporacion que hacia referencia a su ultimo y ultrasecreto "know-how" se 
encontraba fluyendo hacia una maquina enemiga y puesta en venta en circulos 
reducidos pero bien provistos de contaminadoras divisas. No hay nada como el 
subconsciente para hacernos descubrir algo que estaba delante de nuestros ojos 
pero que no acabamos de ver. En el cerebro se le quedo grabado el concepto y 
juro mentalmente que en cuanto se encontrara en la habitacion del hotel pasaria
el ultimo descubridor automtico de rootkits que habia descargado de la red.

INSPECCION DE RUTINA 

Tuvo que esperar mas de lo que hubiera deseado. Una recepcion ceremoniosa, una 
cena copiosa, plagada de extranyos manjares y exoticas bebidas, una despedida 
todavia mas lenta, todo ello complicado con un raro y nunca claramente 
explicado problema con la llave electronica de la puerta de su habitacion, que 
le impidio entrar donde habia podido sin problemas tan solo hacia unas horas. 
Siempre tuvo la sospecha que alguien habia aprovechado su paso por el 
restaurante para echar un vistazo a sus pertenencias y la penetrante e 
inquietante mirada de la pequenya ninya que en el ascensor casi le traspaso la 
cara no contribuyo a tranquilizarle los nimos. 

De todas formas todo en este mundo llega a su fin y finalmente se encontro 
tranquilamente y a solas con su PC porttil. No se si alguna vez os habeis 
encontrado atrapados por una pequenya mania tal como ser incapaces de dejar de 
mirar si realmente habeis apagado el gas antes de irse a dormir o apagar la 
plancha despues de una sesion de eliminacion de arrugas de la camisa. Es intil
que esteis mas que seguros que la accion ha sido ejecutada. La nica forma de 
recuperar la tranquilidad de espiritu y la total cordura es comprobar que la 
plancha este apagada, aunque os encontreis a punto de dormirse. Esto es lo que 
le ocurria a Viajero mientras rpidamente manipulaba el software que por 
casualidad se habia bajado hacia unos dias de www.sysinternals.com Era un 
scanners de esos sencillitos que simplemente buscan archivos ocultos y 
registros de caracteristicas esotericas. Rpidamente lo lanzo y ante su 
sorpresa le empezo a darle positivos. Lo que internamente esperaba que tan solo
fuera una confirmacion de sus neuras se convirtio por obra y gracia de la mala 
suerte en una verdadera pesadilla que no le iba a dejar dormir en toda la noche.

Lo que estaba pasando es que el maldito programa le comunicaba con extrema 
claridad que en un directorio que empezaba por $sys$ se encontraban toda una 
serie de archivos tal como aries.sys, crater.sys y otros. Para empezar os 
podeis preguntar que tienen de raro. En realidad no es que sean raros, 
simplemente es que eran invisibles para la mayoria de las utilidades que 
Microsoft pone a nuestra disposicion. O sea que se habia parcheado el sistema 
para evitar que vieramos ciertos directorios, caracteristica muy utilizada por 
los amigos de los ordenadores ajenos, afin de esconder sus programas una vez 
que han conseguido control de nuestro ordenador y con la intencion de mantenerse
dentro el mayor tiempo posible. Viajero estaba totalmente seguro de no haber 
instalado ningn programa de origen dudoso, que en la mayoria de los casos son 
la fuente de este tipo de intrusiones, pero la evidencia ahi estaba, asi que en
lugar de iniciar un anlisis forense de su maquina decidio que lo mas rpido 
era ver que decia google acerca de aquellos misteriosos programas.

Una rpida bsqueda le dio la solucion, aunque sus ojos no daban credito a lo 
que veia. Segn lo publicado el 31 de Octubre de 2005 en el blog de Mark 
Russinovich alojado en Sysinternals todo el mal venia de un sistema de 
proteccion anticopia de un CD producido por SONY. Segn la informacion a ahi 
ofrecida, a fin de evitar copias piratas, los chicos de SONY habian 
subcontratado a los nenes de "First 4 Internet" para que les disenyaran un 
sistema que evitara que alguien hiciera mas de tres copias de su magnifico 
producto. El trabajo se habia realizado utilizando las mismas tecnicas que 
ciertos hackers emplean para instalar rootkits y con tan poca profesionalidad 
que el Windows atacado producto resultante de la manipulacion quedaba 
comprometido y podia incluso ser inestable o irrecuperable bajo ciertas 
condiciones.

"Es que uno ya no se puede fiar de nadie", penso Viajero, aunque con un poco de
mala conciencia, ya que empezaba a entender el mecanismo por el cual se habia 
infectado. Casi lo primero que habia hecho al bajar del avion, fue comprar una 
serie de CDs de esos que venden por un EURO en algunas partes de este mundo. 
Con el pecado vino la penitencia, ya que los copiadores piratas habian sido lo 
bastante listos para saltarse los sistemas de proteccion pero no se habian 
tomado la molestia de limpiar los CDs de las inmundicias puestas ahi por la 
pareja SONY First4, que, todo hay que decirlo, ya anunciaban en la publicacion 
de su producto que este se encontraba dotado con un regalo en forma de 
proteccion.

En el mismo blog de Sysinternals se daban las instrucciones para eliminar tan 
molesto inquilino, y aunque no eran de lo mas evidentes tampoco eran realmente 
complicadas. Mientras se encontraba metido en tan ingrata operacion, Viajero 
recorrio mentalmente los diferentes pasos que se deben seguir si se sospecha 
que hemos sido infectados. 

BUSCANDO SENALES     

En ningn momento pretendia sentar catedra ni dejar simplemente un sistema 
totalmente seguro. Para eso con una reinstalacion desde cero de todo el sistema
era mas que suficiente. Lo que en principio mueve a la gente como Viajero es la
curiosidad. Es saber como se ha entrado y que esta haciendo. Si lo que queremos
es iniciar una accion legal, mejor que se sigan otros procedimientos. 
Centrndose en un Windows, tampoco es de total seguridad hacer una 
actualizacion del Sistema Operativo, ya que esta te va a hacer justamente eso. 
Una actualizacion de los archivos que juegan con el ncleo del OS, pero nada 
dice ni hace con el resto de miriadas de archivos que componen el arco de 
trabajo de una maquina moderna. Todo lo que se relaciona con editores de 
textos, bases de datos y un largo etcetera, queda como estaba al principio e 
igual de vulnerables que antes.

Para empezar hay que buscar que es lo que han registrados los logs del sistema.
En el caso del mundo Windows el asunto es un tanto anemico y ademas lo primero 
que hace un atacante avisado es borrar todas las huellas, por tanto no os 
debierais sorprender mucho si no se encuentra nada. Solo los sistemas que hacen
copias de seguridad sobre otras estaciones se encuentran libres o al menos 
alejadas de un borrado completo de cualquier evidencia. De todas, si no se 
busca desde luego no vais a encontrar nada.

Tampoco debemos fiarnos de los antivirus. No es su funcion el buscar algo que 
por propia definicion se va a esconder. Los virus son agentes que no buscan 
esconder su presencia como primer objetivo, buscan replicarse, sobretodo eso. 
Los rootkits estn pensados en primer lugar a quedar escondidos y queda a la 
habilidad del que lo instala el buscar la brecha para plantarlo. Insistimos, 
que normalmente los antivirus fallan estrepitosamente como buscadores de 
rootkits. Hay otro problema que esta ligado a los anteriores. Si intentamos 
recuperar el sistema en base a copias de seguridad, nunca estaremos seguros de 
que no estemos reinstalando nosotros mismo el adherente rookits. La destruccion
o el compromiso de los logs impedir saber cual es la ultima copia de seguridad
que esta realmente limpia.

Siempre hay que mantener la cabeza despejada y no dejarse llevar por el pnico.
No seremos los primeros ni vamos a ser los ltimos en ser victimas de alguna 
broma de este tipo. Por tanto lo mejor es tomrselo con filosofia y empezar a 
trabajar sistemticamente. Tomar nota de todo lo que se hace, lo que se borra y
lo que se encuentra es una buena forma de hacer un trabajo limpio y recuperable
para otras ocasiones. Tambien es de mucha utilidad cuando borramos algo que no 
debieramos. 

Para empezar a mirar he ahi algunas pistas. Los archivos del sistema y sus 
asociados. Para investigarlos lo mejor es utilizar la herramientas que ya nos 
viene con el sistema. Por ejemplo el normal "dir /O:D" para que nos de los 
archivos ordenados por fecha descendente y que nos dar una pista sobre los 
ltimos modificados. Tambien el buscador que viene con Windows nos puede ser de
utilidad para localizar archivos que guarden similitud con los legitimos. No 
debemos sorprendernos de encontrar cosas como "serv1ces.exe" ademas del 
legitimo "services.exe". El siguiente punto  a comprobar es el registro, sobre 
todo aquellos que lanzan archivos o inicializan servicios al arranque del PC. 
Debemos revisar los registros que se encuentran en 
HKLM\Softaware\Microsoft\Windows\CurrentVersion\Run, 
                             ...\RunOnce, 
                             ...\RunOnceEx, 
                             ...\RunServices, 
                             ...\Run ServicesOnce 
entre otros deben ser revisados con atencion y a la primer duda buscar en 
google a ver que se cuenta sobre ellos.

Los siguientes pasos son buscar usuarios extranyos, para ello simplemente con 
"net users" ya estamos servidos y despues ver si estamos ofreciendo al mundo 
algo que no tenemos intencion de vender, o sea los "share". Otra vez con un 
comando de windows ya tenemos bastante, "net share". Se pueden buscar otras 
cosas pero imagino que la idea ya la teneis bastante clara. Hay que buscar 
usuarios, grupos de usuarios o dispositivos compartidos que sean extranyos a 
nuestros procedimientos normales. 

INVESTIGANDO EL SISTEMA  

Otro punto de bsqueda son los directorios de extranyas caracteristicas. Nos 
estamos refiriendo a los nombres reservados, ta les como lpt1, com1,... muchas 
veces nuestros atacantes se disfrazan de ovejas anyadiendo un gran numero de 
caracteres en blanco despues de estas letras, de esta forma parecen normales 
cuando en realidad son lobos disfrazados de ovejas. Este tipo de trucos los 
hacen particularmente dificiles de encontrar y bastante mas de borrar. Muy a 
menudo, dado que el interes de los atacantes no es el de una maquina en 
concreto, sino simplemente estn interesados en poseer una gran cantidad de 
ellas, se utilizan para la configuracion ficheros bat. La bsqueda de ficheros 
que contengan instrucciones tales como "dtreg -AddKey \HKLM\SYSTEM\RAdmin" y en
general que manipulen el registro o instalen servicios son buenos candidatos de
instaladores de rookits. Si localizamos el fichero, puede que su creador haya 
dejado en su interior alguna pista de su origen y podamos localizar al 
energmeno. Si lo conseguimos, cada cual que haga lo que quiera, nosotros somos
partidarios del "vive y deja vivir", pero tengan en cuenta los creadores de 
rootkits que un mal dia lo puede tener cualquiera y que la venganza de alguien 
con dolor de cabeza por la ultima jugada que le ha hecho la corporacion para la
que trabaja, puede ser muy dolorosa.

El siguiente paso es comprobar si todos los ficheros del sistema son lo que 
dicen ser. Para ello hay que comprobar su firma electronica y esto se puede 
hacer rpidamente con una herramienta que todos los usuarios de Windows tienen 
instalada, pero pocos  se han enterado de su existencia. Estamos hablando de 
"sigverif". Lanzado asi tal cual desde la linea de comandos, nos da paso a una 
pequenya utilidad que nos permitir checkear si nuestro sistema tiene demasiados
ficheros sin firma. Tampoco se trata de borrar todos los positivos porque de 
todo hay en la vinya del Senyor y siempre encontraremos algo legitimo que por 
alguna razon no esta firmado. Como siempre la precaucion es lo que debe primar 
y despues Google que para esto lo ha puesto Dios en la tierra.

A parte de las propias herramientas que el sistema nos trae, existen algunas 
utilidades que son realmente practicas. Ahi tambien la prudencia debe ser 
maxima asi como la prevision. Todas las herramientas de este tipo debieran 
haber sido descargadas con anterioridad y estar guardadas en algn medio que no
sea modificable. Sino pueden haber sido tambien comprometidas y los resultados 
que den sean totalmente erroneos. En webs tales como www.sysinternals.com, 
www.execsoft.com, www.systemtools.com, www.foundstone.com, entre otras, nos 
brindan una serie de herramientas que nos pueden alegrar el dia y la noche.

MAS DATOS, SITIOS Y COMO BUSCAR  

Si alguien se ha hecho duenyo de vuestra maquina de lo que podemos estar seguros
es de que ha planificado como volver a ella de forma comoda y sin que otros 
puedan utilizar el mismo camino. Esto significa poner en marcha servicios, 
esconderlos para que no los puedas ver ni tocar. Hay siempre un punto debil a 
tu favor, si el servicio esta en marcha alguna puerta ha quedado abierta con el
servicio a la escucha. Si el intruso a parcheado nuestro sistema para que no lo
podamos ver desde dentro, lo que no puede evitar es que lo veamos desde fuera 
de la misma manera que ellos lo puede ver. Por tanto una forma fcil de 
comprobar que no haya nada raro es lanzar desde nuestra maquina el "netstat" y 
comparar los resultados con un escaneo externo y para eso creo que todo el 
mundo estar de acuerdo que nmap (www.insecure.org) es la opcion ideal.

Sin animo de hacer publicidad, deberiais considerar la posibilidad de pasaros 
por sitios tales como http://www.security.nnov.ru/files/ de donde os podes 
bajar el fichero rkdetect.zip. Esta utilidad detecta i enumera servicio a nivel
de usuario y de kernel. Compara los resultados y muestra las diferencias. 
Microsoft tambien a empezado desarrollar utilidades especificas que pueden 
bajarse desde 
http://www.microsoft.com/windows2000/techinfo/reskit/tools/default.asp
http://go.microsoft.com/fwlink/?LinkId=4544
http://www.microsoft.com/ntworkstation/downloads/Recommended/Featured/NTKit.asp
Mas cosas se pueden bajar de 
http://bagpuss.swan.ac.uk/comms/RKDetectorv0[1].62.zip 
Ahi hay una utilidad que descubre procesos ocultos y los mata. De paso limpia 
tambien el registro. Para evitar destruir lo que no deberia, dispone de una 
base de datos MD5 de los rootkits mas comunes.

En www.f-secure.com/blacklight/ esta Blacklight. Actualmente en forma de beta, 
por tanto puede cambiar en cualquier momento. Hasta ahora es gratis su descarga
y requiere ser administrador para lanzarlo. De www.sysinternals.com hemos hecho
referencia reiterada aqui. El Rootkitrevealer es tambien libre y su 
funcionamiento no es automtico. Tan solo analiza y hace una descripcion de lo 
que descubre. Unhackme de www.greatis.com/unhackme/ es tambien libre de 
descarga pero en version de evaluacion. Requiere instalacion previa antes de 
utilizarse. Finalmente RegdatXP de http://people.freenet.de/h.ulbrich/, no es 
estrictamente un detector de rootkits sino mas bien un editor bsico de 
registro.  Esto significa que puede cargar copias del registro y que facilita 
la vida a los usuarios cuyo rootkit particular a tenido el delicioso detalle de
dejarle el "regedit" oficial de Windows fuera de servicio o de utilidad dudosa. 
El programa es shareware.

ELIMINANDO EL ROOTKIT  

Eliminar un rootkit es siempre una operacion delicada. Se han instalado drivers
y se han modificado programas fundamentales, por tanto es altamente probable 
que el sistema quede inestable si dejamos alguna pieza suelta. Por ello creemos
que la mejor estrategia es arrancar con el CD original de instalacion de 
Windows (estamos hablando de Windows 2000 y XP), elegir la opcion "R" para 
indicar que deseamos arrancar con la consola de recuperacion, eliges la 
instalacion que quieres reparar, en el caso de que tengas mas de una y entras 
como administrador. En la pantalla negra que a tantos les producen escalofrios 
y a otros un intima excitacion, el comando a utilizar de entrada es "listsvc" 
para ver todos los servicios que estamos corriendo.

Los servicios que nos sean desconocidos debemos desactivarlos con el comando 
"disable" que tiene la ventaja que indica ademas en que estado se encontraba 
anteriormente. No espereis encontrar nombres evidentes, normalmente los 
rootkits intentan camuflarse bajo nombres que parecen oficiales o con sutiles 
diferencias respecto a u servicio legal. Es la misma tecnica que emplean los 
que falsifican piezas o equipos y cambian ligeramente algo para aprovecharse de
la propagando oficial pagada por un tercero. Una vez hemos desactivado el 
servicio, podemos arrancar normalmente y el siguiente paso es luchar con el 
registro.

Hay que buscar en el registro todos las referencias a los servicios 
desactivados. Probablemente encontrareis mas de uno, ya que la imaginacion de 
algunos es inagotable. El objetivo no es solo borrar las referencias sino 
encontrar los archivos de configuracion. Estos archivos en el Windows legal 
terminan en .ini pero no espereis encontraros con las mismas extensiones en 
este caso. Cualquier terminacion es valida y de nuevo la imaginacion para 
esconderse puede ser infinita. Hay ademas una dificultad adicional. Muchas 
veces no solo se cambian las terminaciones sino que se enmascaran los nombres 
para evitar ser encontrados o dificultar su borrado. Una de las tecnicas 
consiste anyadir una gran cantidad de caracteres en blanco despues de un nombre 
legal o tambien el colocar caracteres especiales.

REFLEXIONES

Dias despues, Viajero reflexionaba frente a la pantalla de su maquina. Como se 
podia haber esperado no habian pasado ni dos semanas despues del descubrimiento
de Mark y ya habia aparecido un malware que se aprovechaba de las instalaciones
de Sony. Esta siempre lo habia negado pero el hecho era que el hacer invisibles
cualquier archivo, directorio o registro que empezara por $sys$ era una 
magnifica ocasion que podia ser aprovechada por otros. En este caso el 
10/11/2005 un correo spam intentaba instalar en el directorio de Windows un 
fichero llamada $sys$drv.exe". En esencia era un troyano que intentaba 
conectarse con un servidor IRC y desde ahi recibir ordenes de cualquier tipo. 
Lo menos relevante era que el malware no funcionara por un problema de 
programacion. Era simplemente la prueba que las acciones de Sony habian, ya, 
perjudicado a sus clientes.

Pero no solo estaba perjudicando a sus clientes, sino tambien ya habia 
maltratado a los clientes de otras empresas. El 4/11/2005 salto a la luz otra 
noticia procedente de otro grupo "World of Warcraft hackers" comunicando que se
podia aprovechar las manazas de Sony para poder disfrutar del popular juego de 
Blizzard Entertainment. Esta tambien habia instalado un sistema de proteccion 
que detectaba a los falsificadores investigando los servicios que corrian en la
maquina del jugador. En este caso bastaba con anteponer el famoso $sys$ de Sony
a todo archivo y servicio que se utilizara para falsificar el juego y el 
sistema se convertia en invisible para la proteccion de Blizzard. Probablemente
una cosa es meterse con unos miles de usuarios amantes de la msica, poco 
avezados con la informtica y que no acaban de entender muy bien a que viene 
tanto jaleo y otro muy distinto es atacar la cuenta de resultados de otra 
corporacion. Fue probablemente esta noticia la que obligo a Sony a sacar su 
desinstalador. 

Y ahi no acababa la historia. El desintalador de Sony lo que hacia entre otras 
cosas era quitar un driver en marcha, cosa que segn los expertos de Windows no
debe hacerse si se trata de un patch que juega con la tabla de llamadas de los 
procesos. Esto podia provocar un pantallazo azul de lo mas bonito. La actitud 
de la multinacional no ha sido precisamente brillante. Desde negar la 
evidencia, pasando por no suministrar herramientas de desintalacion sino era 
previo envio de informacion mas o menos sensible, hasta intoxicacion 
sistemtica en los medios de comunicacion. 

CONCLUSIONES
   
Creiamos que lo habiamos visto todo bajo la luz del sol, pero parece que no es 
asi. Siempre debemos dejar espacio para que nuestra capacidad de sorpresa no se
agote. No todos los dias sucede que al comprar un cd de msica legal y despues 
de escucharlo tranquilamente en nuestro ordenador, este se contagie con un 
rookit de todos los demonios que ademas sino tomamos algunas precauciones a la 
hora de eliminarlo, nos puede dejar nuestra maquina inestable o simplemente no 
bootable. No cuestionamos el animo de lucro de algunas corporaciones, pero que 
al menos contraten a alguien que sepa lo que esta haciendo y no haga un trabajo
a medias.

Las companyias creadoras de software antivirus tampoco se encuentran en muy 
buena posicion. F-Secure, por ejemplo, senyala que el software de Sony no se 
autorreproduce y por tanto no puede considerarse como un virus. De hecho no 
parece que ningn software antivirus lo detecte, aunque solo F-Secure ha hecho 
una declaracion publica. Sin embargo nuestra opinion es un tanto diferente. 
Sony ha instalada algo que hace vulnerable nuestras maquinas a ataques de 
terceros y esto debiera ser detectado. Lo que ocurre es que atacar a una gran 
corporacion y sobre todo en un tema de proteccion de copias es un asunto 
espinoso que nadie quiere afrontar directamente.

La noticia de la chapuza de Sony, aparecio el 31 de octubre de 2005 y estas 
lineas han sido escritas pocos dias mas tarde, pero mas que suficientes como 
para que la noticia hubiese aparecido de forma extendida en los medios de 
comunicacion. Muy poco de eso se ha producido. Las primeras noticias 
aparecieron en el USA Today y en la BBC. Despues timidamente y siempre 
escondidos en terceras paginas han ido apareciendo pequenyas notas en algunas 
publicaciones de habla hispnica. Fueron los blogs de la red que dieron 
difusion a la noticia en los grandes medios. En la red se pueden encontrar 
multiples comentarios y despues que Sony se viera obligada a sacar una 
herramienta que permitiera eliminar el engendro, pocos medios siguieron 
haciendo eco de la historia. Parece que "nobleza obliga" pero "intereses 
economicos" obligan mucho mas. Cada vez tenemos menos confianza en los medios 
de comunicacion y contra mas potentes son, mas compromisos tienen que 
justificar y menos fiables son. Esta es simplemente nuestra opinion. Una mas 
entre tantas otras. 

2005 SET, Saqueadores Ediciones Tecnicas. Informacion libre para gente libre
www.set-ezine.org 
*EOF* 