{"id":4301,"date":"2012-08-27T09:30:04","date_gmt":"2012-08-27T08:30:04","guid":{"rendered":"https:\/\/eltallerdelbit.com\/?p=4301"},"modified":"2020-08-28T02:12:22","modified_gmt":"2020-08-28T00:12:22","slug":"dropper-generic_c-mmi","status":"publish","type":"post","link":"https:\/\/eltallerdelbit.com\/dropper-generic_c-mmi\/","title":{"rendered":"Trojan horse Dropper.Generic_c.MMI"},"content":{"rendered":"
\n
Un ordenador es infectado con un troyano del tipo\u00a0Troyano Dropper.Generic_c.MMI<\/strong> <\/em><\/p>\n <\/em>Este troyano fu\u00e9 detectado con AVG Resident Shield<\/em><\/p>\n El error nos informaba de que el archivo C:\/Windows\/system32\/services.exe<\/em> estaba infectado \u00bfUn servicio de sistema duplicado y adem\u00e1s con ese nombre?<\/p>\n Est\u00e1 claro que algo no va nada bien… Qu\u00e9 raro..\u00a0services.exe<\/em> es mi proceso.. \u00a0y el proceso duplicado se llama services(28).exe ? …<\/p>\n Lo primero que uno piensa es que el archivo infectado es el que se llama\u00a0services(28).exe , y que services.exe es el bueno. Pero los avisos de AVG denotaban que algo no iba bien en el \u00a0proceso services.exe, supuestamente\u00a0sano..<\/p>\n <\/p>\n Internet casi no funciona, tampoco funciona la direcci\u00f3n de localhost, y por supuesto no se puede trabajar con sitios web en xampp. El troyano Dropper.Generic_c.MMI\u00a0debi\u00f3 de adoptar el nombre del proceso original, y cambiarle el nombre a \u00e9ste Esto es lo que deber\u00eda aparecer en un proceso verificado del Sistema en Windows 7 (se muestra im\u00e1gen del servicio services.exe original, en un equipo Windows 7 no infectado) :<\/p>\n <\/p>\n Como hemos dicho antes, el troyano Dropper.Generic_c.MMI\u00a0ha estado jugando con nuestro servicio de sistema, y ha cambiado el nombre al archivo del ejecutable del proceso services.exe. Como ya hemos limpiado con bastantes programas (aunque nos quedar\u00eda ComboFix) se nos ocurre que podr\u00edamos cambiarle\u00a0el nombre al proceso e intentar desinfectar el troyano despu\u00e9s.<\/p>\n Pero no podemos hacerlo porque es un proceso de sistema y se encuentra activo… quiz\u00e1s funcione en modo a prueba de fallos. y luego podr\u00edamos pasar alg\u00fan otro programa adecuado para limpiar como ComboFix.<\/p>\n Tambi\u00e9n podr\u00edamos intentar una Restauraci\u00f3n forzada del sistema, siempre salvaguardando todos los archivos que hayan cambiado o se hayan creado en una fecha posterior a la fecha de restauraci\u00f3n del sistema que usemos.<\/p>\n Y si nuestro sistema Windows<\/a> se vuelve inestable o no arranca, podemos intentar reparar el sistema Windows con el cd de Win 7.<\/p>\n En este tipo de infecciones,tambi\u00e9n es importante revisar el archivo hosts<\/em> ,\u00a0que se encuentra en\u00a0C:\\Windows\\System32\\drivers\\etc<\/p>\n <\/p>\n En \u00e9l aparece una vinculaci\u00f3n entre el nombre de localhost y la direcci\u00f3n de interfaz loopback.<\/p>\n 127.0.0.1 \u00a0 \u00a0 \u00a0 localhost Entramos en modo a prueba de fallos y todo parece ir bien, porque conseguimos cambiar el nombre al archivo , y eliminar el troyano.<\/p>\n Aunque tenemos que seguir revisando el sistema porque no sabemos si existen m\u00e1s componentes infectados por el troyano. Reiniciamos. <\/p>\n <\/p>\n \u00bfQuer\u00e9is saber m\u00e1s sobre esta infecci\u00f3n? \u00a0Pues echad un vistazo a las b\u00fasquedas de Google respecto a<\/p>\n Un ordenador es infectado con un troyano del tipo Dropper.Generic_c.MMI
\n
\nAs\u00ed que nos vamos a la ubicaci\u00f3n (en este caso en Windows) , y averiguamos que aparece el proceso services.exe pero tambi\u00e9n el proceso services(28).exe.<\/p>\n
\nComo consecuencia de esta infecci\u00f3n, el Resident Shield de AVG estaba constantemente avisando de una supuesta infecci\u00f3n en services.exe<\/em> , por parte de\u00a0Dropper.Generic_c.MMI<\/p>\n
\nY claro, aunque intentemos desinfectar el problema, AVG no consigue nada. Y limpiando con otros programas como Ad-aware, Spybots Search&Destroy o SuperAntiSpyware<\/a> , aunque encuentren problemas, no se consigue una soluci\u00f3n.<\/p>\n
\n
\nRevisando y comparando los 2 archivos, ten\u00edan propiedades completamente similares,as\u00ed que comprobamos la pesta\u00f1a seguridad<\/em> y los permisos de usuarios<\/em>, y extra\u00f1amente, en uno de ellos s\u00ed que estaba el usuario TrustedInstaller<\/strong>, y en el otro no….<\/p>\n
\nHemos de comprobar los dos procesos.<\/p>\n
\nY en nuestro equipo infectado, \u00a0es el archivo services.exe(28) el que ten\u00eda permisos para\u00a0TrustedInstaller ..<\/p>\n
\n <\/p>\nPOSIBLES SOLUCIONES<\/span><\/h3>\n
\n
\nEsto significa que el ordenador sabe que \u00e9l es localhost. Esto es necesario para realizar conexiones de red (est\u00e1 relacionado con el servicio DNS<\/a> y el tema de proxies) . Por eso no pod\u00edamos utilizar programas como el xampp, que gestionan los sitios web “en local” gracias a la direcci\u00f3n de localhost.
\nNos decidimos a probar el m\u00e9todo del modo a prueba de errores, as\u00ed que reiniciamos para iniciarlo e intentar cambiar el nombre a los archivos infectados, y despu\u00e9s limpiar de nuevo el sistema con todos los programas anti-spy que hemos comentado hasta ahora.<\/p>\n
\nAs\u00ed que utilizamos el combo de programas que nombramos antes (Spybot, Adware, Superantispyware) am\u00e9n de nuestro antivirus actualizado, y activados todos los componentes importantes del antivirus.<\/p>\n
\n
\nPor \u00faltimo, instalamos\u00a0ComboFix<\/a>\u00a0,<\/p>\n
\nun potente anti-malware capaz de detectar los programas m\u00e1s maliciosos, nos guardar\u00e1 un archivo de registro al acabar la limpieza, y podremos leerlo al reiniciar, as\u00ed seremos capaces de recavar m\u00e1s informaci\u00f3n acerca del problema.<\/p>\n
\nY as\u00ed se resolvi\u00f3 el problema. Hemos de decir que es muy necesario hacer puntos de restauraci\u00f3n de sistema previos a los cambios, y tener siempre un backup externo por si acontece un gran desastre.
\nEsta es la historia feliz de una infecci\u00f3n detectada a tiempo,estudiada,documentada, investigada y subsanada con \u00e9xito.<\/p>\nTrojan horse Dropper.Generic_c.MMI<\/a><\/strong><\/h3>\n\n
\nEste troyano fu\u00e9 detectado con AVG Resident Shield y
\nServices.exe estaba infectado<\/p>\n","protected":false},"author":1,"featured_media":4343,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false},"categories":[1276],"tags":[706,752],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/4301"}],"collection":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/comments?post=4301"}],"version-history":[{"count":0,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/4301\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media\/4343"}],"wp:attachment":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media?parent=4301"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/categories?post=4301"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/tags?post=4301"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}