Por lo general, las piezas modernas de malware implementan técnicas anti-depuración y anti-VM. Realizan algunas comprobaciones contra el objetivo y cuando se encuentra un resultado positivo, salen en silencio …

Esas comprobaciones pueden estar probando la resolución de la pantalla, la actividad de un usuario conectado, la presencia de archivos en el escritorio, etc. Pero también buscan interesantes procesos que podrían revelar que están siendo monitorizados o depurados. Esto se consigue normalmente a través de la llamada al sistema GetProcessesByName.
Por ejemplo:

processName = «tool_executed_by_analyst»
processList = Process.GetProcessesByName(processName)
If processList.Count > 0 Then
‘ Process is running, exit silently…
Else
‘ Process is not running, do our malicious stuff…
End If

Pero esta vez, Xavier Mertens del blog /dev/random nos hablaba de un artefacto algo mas tosco que no buscaba procesos sospechosos para salir de forma silenciosa, si no que directamente intentaba terminar un montón de procesos directamente con taskkill.exe:

taskkill.exe /IM /T /F

«/IM» se refiere al nombre de la imagen del proceso, «/T» significa terminar todos los procesos secundarios y «/F» significa forzar matar el proceso . Como podéis imaginar, una técnica bastante agresiva.

De cualquier forma, es interesante tener esta lista de procesos que, como veréis a continuación, algunos son bien conocidos y otros bastante exóticos:

AVK.exe
AVKProxy.exe
AVKService.exe
AVKTray.exe
AVKWCtlx64.exe
AgentSvc.exe
BDSSVC.EXE
Bav.exe
BavSvc.exe
BavTray.exe
BavUpdater.exe
BavWebClient.exe
CertReg.exe
EMLPROXY.EXE
FCDBlog.exe
FCHelper64.exe
FPAVServer.exe
FPWin.exe
FProtTray.exe
FSHDLL64.exe
FSM32.EXE
FSMA32.EXE
FilMsg.exe
FilUp.exe
FortiClient.exe
FortiClient_Diagnostic_Tool.exe
FortiESNAC.exe
FortiFW.exe
FortiProxy.exe
FortiSSLVPNdaemon.exe
FortiTray.exe
GDKBFltExe32.exe
GDSC.exe
GDScan.exe
GdBgInx64.exe
K7AVScan.exe
K7CrvSvc.exe
K7EmlPxy.EXE
K7FWSrvc.exe
K7PSSrvc.exe
K7RTScan.exe
K7SysMon.Exe
K7TSMain.exe
K7TSMngr.exe
K7TSecurity.exe
MCS-Uninstall.exe
MCShieldCCC.exe
MCShieldDS.exe
MCShieldRTM.exe
NS.exe
ONLINENT.EXE
OPSSVC.EXE
PSANHost.exe
PSUAMain.exe
PSUAService.exe
PtSessionAgent.exe
PtSvcHost.exe
PtWatchDog.exe
QUHLPSVC.EXE
SAPISSVC.EXE
SASCore64.exe
SASTask.exe
SBAMSvc.exe
SBAMTray.exe
SBPIMSvc.exe
SCANNER.EXE
SCANWSCS.EXE
SDFSSvc.exe
SDScan.exe
SDTray.exe
SDWelcome.exe
SSUpdate64.exe
SUPERAntiSpyware.exe
SUPERDelete.exe
ScSecSvc.exe
TRAYICOS.EXE
TRAYSSER.EXE
UnThreat.exe
UserReg.exee
VIEWTCP.EXE
VIPREUI.exe
Zanda.exe
Zlh.exe
acs.exe
av_task.exe
avpmapp.exe
bavhm.exe
cmd.exetaskkill/IMnwscmon.exe
coreFrameworkHost.exe
coreServiceShell.exe
econceal.exe
econser.exe
escanmon.exe
escanpro.exe
fcappdb.exe
filwscc.exe
fmon.exe
freshclam.exe
freshclamwrap.exe
fsgk32.exe
fshoster32.exe
fsorsp.exe
fssm32.exe
guardxkickoff_x64.exe
guardxservice.exe
iptray.exe
nanoav.exe
nanosvc.exe
nbrowser.exe
nfservice.exe
njeeves2.exe
nnf.exe
nprosec.exe
nseupdatesvc.exe
nvcod.exe
nvcsvc.exe
nvoy.exe
op_mon.exe
psview.exe
quamgr.exe
schmgr.exe
scproxysrv.exe
trigger.exe
twsscan.exe
twssrv.exe
uiSeAgnt.exe
uiUpdateTray.exe
uiWatchDog.exe
uiWinMgr.exe
utsvc.exe
virusutilities.exe
zlhh.exe

Compartir