Por lo general, las piezas modernas de malware implementan técnicas anti-depuración y anti-VM. Realizan algunas comprobaciones contra el objetivo y cuando se encuentra un resultado positivo, salen en silencio …
Esas comprobaciones pueden estar probando la resolución de la pantalla, la actividad de un usuario conectado, la presencia de archivos en el escritorio, etc. Pero también buscan interesantes procesos que podrían revelar que están siendo monitorizados o depurados. Esto se consigue normalmente a través de la llamada al sistema GetProcessesByName.
Por ejemplo:
processName = «tool_executed_by_analyst»
processList = Process.GetProcessesByName(processName)
If processList.Count > 0 Then
‘ Process is running, exit silently…
Else
‘ Process is not running, do our malicious stuff…
End If
Pero esta vez, Xavier Mertens del blog /dev/random nos hablaba de un artefacto algo mas tosco que no buscaba procesos sospechosos para salir de forma silenciosa, si no que directamente intentaba terminar un montón de procesos directamente con taskkill.exe:
taskkill.exe /IM /T /F
«/IM» se refiere al nombre de la imagen del proceso, «/T» significa terminar todos los procesos secundarios y «/F» significa forzar matar el proceso . Como podéis imaginar, una técnica bastante agresiva.
De cualquier forma, es interesante tener esta lista de procesos que, como veréis a continuación, algunos son bien conocidos y otros bastante exóticos:
AVK.exe AVKProxy.exe AVKService.exe AVKTray.exe AVKWCtlx64.exe AgentSvc.exe BDSSVC.EXE Bav.exe BavSvc.exe BavTray.exe BavUpdater.exe BavWebClient.exe CertReg.exe EMLPROXY.EXE FCDBlog.exe FCHelper64.exe FPAVServer.exe FPWin.exe FProtTray.exe FSHDLL64.exe FSM32.EXE FSMA32.EXE FilMsg.exe FilUp.exe FortiClient.exe FortiClient_Diagnostic_Tool.exe FortiESNAC.exe FortiFW.exe FortiProxy.exe FortiSSLVPNdaemon.exe FortiTray.exe GDKBFltExe32.exe GDSC.exe GDScan.exe GdBgInx64.exe K7AVScan.exe K7CrvSvc.exe K7EmlPxy.EXE K7FWSrvc.exe K7PSSrvc.exe K7RTScan.exe K7SysMon.Exe K7TSMain.exe K7TSMngr.exe K7TSecurity.exe MCS-Uninstall.exe MCShieldCCC.exe MCShieldDS.exe MCShieldRTM.exe NS.exe ONLINENT.EXE OPSSVC.EXE PSANHost.exe PSUAMain.exe PSUAService.exe PtSessionAgent.exe PtSvcHost.exe PtWatchDog.exe QUHLPSVC.EXE SAPISSVC.EXE SASCore64.exe SASTask.exe SBAMSvc.exe SBAMTray.exe SBPIMSvc.exe SCANNER.EXE SCANWSCS.EXE SDFSSvc.exe SDScan.exe SDTray.exe SDWelcome.exe SSUpdate64.exe SUPERAntiSpyware.exe SUPERDelete.exe ScSecSvc.exe TRAYICOS.EXE TRAYSSER.EXE UnThreat.exe UserReg.exee VIEWTCP.EXE VIPREUI.exe Zanda.exe Zlh.exe acs.exe av_task.exe avpmapp.exe bavhm.exe cmd.exetaskkill/IMnwscmon.exe coreFrameworkHost.exe coreServiceShell.exe econceal.exe econser.exe escanmon.exe escanpro.exe fcappdb.exe filwscc.exe fmon.exe freshclam.exe freshclamwrap.exe fsgk32.exe fshoster32.exe fsorsp.exe fssm32.exe guardxkickoff_x64.exe guardxservice.exe iptray.exe nanoav.exe nanosvc.exe nbrowser.exe nfservice.exe njeeves2.exe nnf.exe nprosec.exe nseupdatesvc.exe nvcod.exe nvcsvc.exe nvoy.exe op_mon.exe psview.exe quamgr.exe schmgr.exe scproxysrv.exe trigger.exe twsscan.exe twssrv.exe uiSeAgnt.exe uiUpdateTray.exe uiWatchDog.exe uiWinMgr.exe utsvc.exe virusutilities.exe zlhh.exe