{"id":4301,"date":"2012-08-27T09:30:04","date_gmt":"2012-08-27T08:30:04","guid":{"rendered":"https:\/\/eltallerdelbit.com\/?p=4301"},"modified":"2020-08-28T02:12:22","modified_gmt":"2020-08-28T00:12:22","slug":"dropper-generic_c-mmi","status":"publish","type":"post","link":"https:\/\/eltallerdelbit.com\/dropper-generic_c-mmi\/","title":{"rendered":"Trojan horse Dropper.Generic_c.MMI"},"content":{"rendered":"

Hoy vamos a exponer un problema real de Contaminaci\u00f3n con el troyano Trojan horse Dropper.Generic_c.MMI<\/strong><\/h2>\n

 
\n

Es una exposici\u00f3n que servir\u00e1 para aclarar lo que pueden llegar a hacer algunas infecciones en un ordenador, y sobre todo, c\u00f3mo funcionan algunos programas esp\u00eda y los troyanos.<\/center>
\n 
\nEl caso empieza as\u00ed:<\/p>\n

Un ordenador es infectado con un troyano del tipo\u00a0Troyano Dropper.Generic_c.MMI<\/strong> <\/em><\/p>\n

<\/em>Este troyano fu\u00e9 detectado con AVG Resident Shield<\/em><\/p>\n

El error nos informaba de que el archivo C:\/Windows\/system32\/services.exe<\/em> estaba infectado
\n 
\nAs\u00ed que nos vamos a la ubicaci\u00f3n (en este caso en Windows) , y averiguamos que aparece el proceso services.exe pero tambi\u00e9n el proceso services(28).exe.<\/p>\n

\u00bfUn servicio de sistema duplicado y adem\u00e1s con ese nombre?<\/p>\n

Est\u00e1 claro que algo no va nada bien…
\nComo consecuencia de esta infecci\u00f3n, el Resident Shield de AVG estaba constantemente avisando de una supuesta infecci\u00f3n en services.exe<\/em> , por parte de\u00a0Dropper.Generic_c.MMI<\/p>\n

Qu\u00e9 raro..\u00a0services.exe<\/em> es mi proceso.. \u00a0y el proceso duplicado se llama services(28).exe ? …<\/p>\n

Lo primero que uno piensa es que el archivo infectado es el que se llama\u00a0services(28).exe , y que services.exe es el bueno. Pero los avisos de AVG denotaban que algo no iba bien en el \u00a0proceso services.exe, supuestamente\u00a0sano..<\/p>\n

\"Resident<\/p>\n

 
\nY claro, aunque intentemos desinfectar el problema, AVG no consigue nada. Y limpiando con otros programas como Ad-aware, Spybots Search&Destroy o SuperAntiSpyware<\/a> , aunque encuentren problemas, no se consigue una soluci\u00f3n.<\/p>\n

Internet casi no funciona, tampoco funciona la direcci\u00f3n de localhost, y por supuesto no se puede trabajar con sitios web en xampp.
\n 
\nRevisando y comparando los 2 archivos, ten\u00edan propiedades completamente similares,as\u00ed que comprobamos la pesta\u00f1a seguridad<\/em> y los permisos de usuarios<\/em>, y extra\u00f1amente, en uno de ellos s\u00ed que estaba el usuario TrustedInstaller<\/strong>, y en el otro no….<\/p>\n

El troyano Dropper.Generic_c.MMI\u00a0debi\u00f3 de adoptar el nombre del proceso original, y cambiarle el nombre a \u00e9ste
\nHemos de comprobar los dos procesos.<\/p>\n

Esto es lo que deber\u00eda aparecer en un proceso verificado del Sistema en Windows 7 (se muestra im\u00e1gen del servicio services.exe original, en un equipo Windows 7 no infectado) :<\/p>\n

\"TrustedInstaller\"<\/p>\n

 
\nY en nuestro equipo infectado, \u00a0es el archivo services.exe(28) el que ten\u00eda permisos para\u00a0TrustedInstaller ..<\/p>\n

Como hemos dicho antes, el troyano Dropper.Generic_c.MMI\u00a0ha estado jugando con nuestro servicio de sistema, y ha cambiado el nombre al archivo del ejecutable del proceso services.exe.
\n <\/p>\n

POSIBLES SOLUCIONES<\/span><\/h3>\n

Como ya hemos limpiado con bastantes programas (aunque nos quedar\u00eda ComboFix) se nos ocurre que podr\u00edamos cambiarle\u00a0el nombre al proceso e intentar desinfectar el troyano despu\u00e9s.<\/p>\n

Pero no podemos hacerlo porque es un proceso de sistema y se encuentra activo… quiz\u00e1s funcione en modo a prueba de fallos. y luego podr\u00edamos pasar alg\u00fan otro programa adecuado para limpiar como ComboFix.<\/p>\n

Tambi\u00e9n podr\u00edamos intentar una Restauraci\u00f3n forzada del sistema, siempre salvaguardando todos los archivos que hayan cambiado o se hayan creado en una fecha posterior a la fecha de restauraci\u00f3n del sistema que usemos.<\/p>\n

Y si nuestro sistema Windows<\/a> se vuelve inestable o no arranca, podemos intentar reparar el sistema Windows con el cd de Win 7.<\/p>\n

En este tipo de infecciones,tambi\u00e9n es importante revisar el archivo hosts<\/em> ,\u00a0que se encuentra en\u00a0C:\\Windows\\System32\\drivers\\etc<\/p>\n

\"Archivo<\/p>\n

En \u00e9l aparece una vinculaci\u00f3n entre el nombre de localhost y la direcci\u00f3n de interfaz loopback.<\/p>\n

127.0.0.1 \u00a0 \u00a0 \u00a0 localhost
\n 
\nEsto significa que el ordenador sabe que \u00e9l es localhost. Esto es necesario para realizar conexiones de red (est\u00e1 relacionado con el servicio DNS<\/a> y el tema de proxies) . Por eso no pod\u00edamos utilizar programas como el xampp, que gestionan los sitios web “en local” gracias a la direcci\u00f3n de localhost.
\nNos decidimos a probar el m\u00e9todo del modo a prueba de errores, as\u00ed que reiniciamos para iniciarlo e intentar cambiar el nombre a los archivos infectados, y despu\u00e9s limpiar de nuevo el sistema con todos los programas anti-spy que hemos comentado hasta ahora.<\/p>\n

Entramos en modo a prueba de fallos y todo parece ir bien, porque conseguimos cambiar el nombre al archivo , y eliminar el troyano.<\/p>\n

Aunque tenemos que seguir revisando el sistema porque no sabemos si existen m\u00e1s componentes infectados por el troyano.
\nAs\u00ed que utilizamos el combo de programas que nombramos antes (Spybot, Adware, Superantispyware) am\u00e9n de nuestro antivirus actualizado, y activados todos los componentes importantes del antivirus.<\/p>\n

Reiniciamos.
\n 
\nPor \u00faltimo, instalamos\u00a0ComboFix<\/a>\u00a0,<\/p>\n

\"combofix\"<\/p>\n

 
\nun potente anti-malware capaz de detectar los programas m\u00e1s maliciosos, nos guardar\u00e1 un archivo de registro al acabar la limpieza, y podremos leerlo al reiniciar, as\u00ed seremos capaces de recavar m\u00e1s informaci\u00f3n acerca del problema.<\/p>\n

\"combofix<\/p>\n

 
\nY as\u00ed se resolvi\u00f3 el problema. Hemos de decir que es muy necesario hacer puntos de restauraci\u00f3n de sistema previos a los cambios, y tener siempre un backup externo por si acontece un gran desastre.
\nEsta es la historia feliz de una infecci\u00f3n detectada a tiempo,estudiada,documentada, investigada y subsanada con \u00e9xito.<\/p>\n

\u00bfQuer\u00e9is saber m\u00e1s sobre esta infecci\u00f3n? \u00a0Pues echad un vistazo a las b\u00fasquedas de Google respecto a<\/p>\n

Trojan horse Dropper.Generic_c.MMI<\/a><\/strong><\/h3>\n\n
<\/div>","protected":false},"excerpt":{"rendered":"

Un ordenador es infectado con un troyano del tipo Dropper.Generic_c.MMI
\nEste troyano fu\u00e9 detectado con AVG Resident Shield y
\nServices.exe estaba infectado<\/p>\n","protected":false},"author":1,"featured_media":4343,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false},"categories":[1276],"tags":[706,752],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/4301"}],"collection":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/comments?post=4301"}],"version-history":[{"count":0,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/4301\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media\/4343"}],"wp:attachment":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media?parent=4301"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/categories?post=4301"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/tags?post=4301"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}