Herramienta de Sophos para la detección del origen de las infecciones

  • N.º del artículo: 111505
  • Actualizado: 10 abr 2013

Qué es la herramienta para la detección del origen de las infecciones
Esta herramienta está diseñada para ayudar a los administradores a localizar el origen de los archivos maliciosos que se copian en determinados equipos de la red.

En este artículo se describe como utilizar la herramienta para la detección del origen de las infecciones.

NOTA: la herramienta no es compatible con equipos que tengan otros productos antivirus en ejecución. 

Sistema operativo
La versión 2.0 de la herramienta es compatible con los siguientes sistemas operativos en 32 y 64 bits:

  • Windows XP SP2+
  • Windows Server 2003 SP1+
  • Windows Vista SP0+
  • Windows 7 SP0+
  • Windows 8
  • Windows 2008 SP0+
  • Windows 2008 R2 SP0+
  • Windows 2012

Vea el vídeo

Utilización de la herramienta

Cómo conseguir la herramienta
Descárguela en http://downloads.sophos.com/tools/SourceOfInfection.exe. Asegúrese de que utiliza la versión más reciente.

NOTA: La herramienta se encuentra en la versión 2.0.

Cómo ejecutar la herramienta
La herramienta debe ejecutarse con derechos de administrador. En Windows Vista y posteriores, con UAC, la herramienta debe ejecutarse con derechos de administrador. La herramienta es compatible con equipos que no dispongan de productos antivirus activados o que utilicen Sophos Anti-Virus.

Opciones de comandos para la herramienta
La herramienta se ejecuta con las opciones siguientes:

-p Registrar solo procesos (no registrar escrituras remotas)
-n Registrar solo escrituras (de red) remotas (no registrar procesos)
-area [carpeta] o -a [carpeta] Limitar registros a archivos abiertos de la carpeta especificada
-ext [extensión](se puede repetir) Restringir registro por extensiones (nuevo en la versión 2.0)
-loglevel [nivel] o -ll [nivel] Nivel de seguimiento (1: todo, 2: errores, 3: ninguno)
-logsize [tamaño] o -ls [tamaño] Tamaño máximo del registro (en MB), 0 para ilimitado
-logfolder [carpeta] o -lf [carpeta] Guardar los registros en la carpeta especificada (nuevo en la versión 2.0)
-timeout [seg] o -t [seg] Capturar tiempo de espera (entre 1 y 86.400 segundos; 0 para ilimitado)
  -runonly o -ro Sólo ejecutar, sin instalar ni desinstalar controlador
-installdriver o -id Instalar controlador, sin ejecutar (instalar controlador para que se ejecute en el arranque)
-uninstalldriver o -ud Desinstalar controlador, sin ejecutar (solo desinstalar el controlador)
-h Muestra el mensaje de ayuda

Nuevas opciones en la versión 2.0.0

La opción -ext permite filtrar las extensiones a registrar; si se omite, se registrarán todos los archivos rechazados. Puede repetir esta opción con las extensiones necesarias.

La opción -lf permite guardar los registros en la carpeta especificada.

Notas sobre las opciones

Las opciones –p y –n se excluyen mutuamente, –n sirve para detectar redes que descargan programas maliciosos y –p se utiliza para detectar programas maliciosos ocultos de forma local. La opción -a puede resultar útil para filtrar eventos innecesarios cuando el administrador conoce la ruta en la que se espera que aparezca el archivo malicioso.

El filtro de área solo puede utilizarse una vez en cada uso de la herramienta. Los valores de los niveles del registro son 1 (se registra toda la información, detallado), 2 (se registra solo la información importante, predeterminado) y 3 (no se crean registros). La opción del tamaño del registro afecta a la información guardada en Soi.log. Al utilizarla, el archivo del registro no podrá superar el valor configurado (en MB). Si cualquiera de los archivos del registro supera el límite especificado, se guarda una copia de seguridad y se vuelve a crear (se conserva solo la última copia de seguridad). Si no se especifica o el valor configurado es 0, el tamaño del registro es ilimitado (opción predeterminada).

Las opciones –h, –id y -ud, si existen, deben estar aisladas. Después de ejecutar la herramienta (excepto si la opción es -h), se recogerá información hasta que se pulse Ctrl-C.

Registro de la herramienta

La herramienta genera dos archivos en el directorio temporal del usuario que ha iniciado sesión según defina la variable del entorno %temp% (Inicio | Ejecutar | Tipo: %temp% | Pulse Intro):

  1. Source of Infection Log.csv: este archivo contiene registros de los eventos indicados anteriormente. Si algún proceso pega un archivo, se registran la fecha y la hora, la ruta completa al archivo y la ruta ejecutable completa del proceso. Si el archivo se pegó de forma remota, se registran la fecha y la hora, la ruta completa del archivo y el nombre del equipo remoto o la dirección IP (si se conoce).
  2. Source of Infection Trace.txt: este es el registro de la herramienta. Normalmente, se registra el inicio y el cierre de la herramienta, y cualquier error que se produzca, pero la herramienta también se puede ejecutar de tal modo que registre mucha otra información (que se puede utilizar para desfragmentar la propia herramienta).

El archivo .csv se puede importar a Microsoft Excel para analizarlo, si es necesario.

Ejemplos de uso

Situación A: archivo colocado en un recurso compartido de red, equipo conectado a la red

En este ejemplo, el equipo de origen coloca el archivo malicioso en el equipo que se está investigando. Recuerde que los archivos solo pueden colocarse en directorios o subdirectorios compartidos. Sin embargo, la mayoría de equipos Windows cuentan con recursos compartidos de administración (C$) que permiten acceder a la unidad completa.

Después de identificar con Sophos Anti-Virus la ubicación compartida en la que se ha colocado el archivo malicioso, podemos utilizar la herramienta para la detección del origen de la infección para encontrar el host infectado. Para ello, utilice los conmutadores de red (-n) y área (-a). Por ejemplo:

SourceofInfection.exe -n -a "c:\carpetacompartida"

La herramienta creará un registro con todos los archivos nuevos o modificados del directorio "carpetacompartida" (el recurso compartido). Abra el archivo del registro “Source of Infection Log.csv”. Una vez identificados los archivos maliciosos en el archivo del registro, pulse Ctrl-C para detener el registro. Aquí tiene un ejemplo de “Source of Infection Log.csv”:

Date/Time,File path,Process/Network,Process path/Machine name
"2010/07/15 12:20:59","C:\sharedfolder\autorun.inf","Network","172.16.100.184"

El registro indica que el archivo autorun.inf se colocó en el equipo a través de la red desde la dirección IP 172.16.100.184 a las 12:20 p.m.

NOTA: aísle el equipo para averiguar si el equipo se está volviendo a infectar de forma local o a través de la red. Si los archivos maliciosos no vuelven a aparecer mientras el equipo está aislado, es muy probable que el programa malicioso se esté propagando a través de la red. Si los archivos maliciosos vuelven a aparecer mientras el equipo está aislado, lea la situación de ejemplo siguiente.

Situación B: archivo colocado en una carpeta local, equipo aislado de la red

En esta situación de ejemplo, un proceso local ha colocado el archivo malicioso en el equipo.

Después de identificar con Sophos Anti-Virus la ubicación en la que se colocó el archivo malicioso, podemos utilizar la herramienta para la detección del origen de la infección de Sophos para localizar el proceso que está provocando la infección. Para ello, utilice el proceso (-p) y el conmutador de área (-a). Por ejemplo:

SourceofInfection.exe -p -a "C:\Documents and settings\Administrator\Local Settings\Temp"

La herramienta crea un registro con todos los archivos nuevos o modificados del directorio seleccionado. Espere a que vuelva a aparecer el archivo malicioso, pulse Ctrl+C para detener la herramienta y abra el archivo del registro “Source of Infection Log.csv” para determinar el origen de la infección. Aquí tiene un ejemplo de “Source of Infection Log.csv”:

Date/Time,File path,Process/Network,Process path/Machine name
"2010/07/15 12:32:55","C:\Documents and Settings\Administrator\Local Settings\Temp\5541syrty.exe","Process","C:\WINDOWS\svvvvhost.exe"

El registro indica que un proceso denominado svvvvhost.exe colocó el archivo 5541syrty.exe en el directorio temporal, por lo que debería enviar una muestra de svvvvhost.exe.

Situación C: ubicación desconocida o cambiante

Esta situación es poco habitual, ya que los programas maliciosos funcionan de forma lógica y, por lo tanto, suele ser posible identificar la ubicación en la que se guardan.

Si necesita registrar todos los archivos, ejecute la herramienta sin conmutadores adicionales.

Recuerde que, en condiciones normales, el sistema operativo y otras aplicaciones crean y modifican muchos archivos por lo que, sin una ubicación precisa, el registro contendrá gran cantidad de entradas irrelevantes.

 
Si necesita más ayuda, póngase en contacto con soporte técnico.

Valore el artículo

Muy malo Excelente

Comentarios