Bloqueo selectivo de webs - UltraSurf no funciona

Iniciado por AsimoJMSR, 11 Febrero 2010, 11:15 AM

0 Miembros y 2 Visitantes están viendo este tema.

AsimoJMSR

Muchas gracias.
Verás, lo primero, nada más descargar el archivo comprimido me salta el antivirus y automáticamente borra un archivo que detecta como troyano.
Lo segundo, cuando descomprimo el archivo, me dice que el CRC ha fallado en el archivo vdmexploit.c y que este archivo está corrupto.
Por último, veo que el programa no está compilado, como es habitual en los exploits... En el Readme dice que hay que compilarlo con Visual C++...
Nunca he compilado un exploit, de manera que: ¿tengo que compilarlo en la misma máquina en la que lo voy a usar? ¿Es fácil compilar con Visual C++? ¿Puedo compilarlo en Linux (que es donde yo sé compilar) y posteriormente ejecutarlo en la máquina objetivo?
Gracias de nuevo.

toxeek


Hmmm...  ;D

No, lo que ha ocurrido es que el AV ha recnocido, gracias a la firma digital que tenga dicho AV de ese exploit.., el ejecutable como maligno.
Al parecer ya se han actualizado las DBs de lso AVs para reconocer ese ejecutable como maligno.

Lo que dices de compilarlo no deberia de ser viable. Por que?
Primero, lo que importa, mas que compilarlo bajo GNU/Linux, MAC OSX .. es que si el code esta en ANSI C (esta en C no ??).

De todas maneras no te deberia de servir, ya que una vez ejecutado el exploit las instrucciones de ese exploit iran a RAM, y el AV analizara la RAM y lo volvera a detectar como virus. Lo que necesitas quizas es otro modo de acceder a System.

Has probado con el metodo de el comando "at" ?? Es un XP Pro no?
Pues haz el truco. O sea, ve  inicio-Ejecutar (esta activo no??) e introduces:
at 18:52 /interact "cmd.exe"

18:52 es si tu hora local es 18:51, para dar algo de tiempo a que ejecutes el comando antes de que se cumpla la hora 18:52.

Si (siendo ahora las 18:51) a las 18:52 no te sale una ventana de cmd es que no has tenido exito. Si si te sale pues vuelve, dentro de esa ventana, a hacer lo que te recomende de matar procesos en el hilo anterior.

Bueno Saludos!
"La envidia es una declaración de inferioridad"
Napoleón.

AsimoJMSR

He probado lo que me has dicho. La ventana de línea de comandos salió. Intenté matar el proceso primero gráficamente mediante taskmgr, pero eso no funcionó. Luego intenté hacerlo mediante el siguiente comando:
taskkill /IM TmProxy.exe /F
Pero me salió un mensaje por la línea de comandos que decía: "acceso denegado".

He probado a abrir una línea de comandos (inicio->todos los programas, etc...) en los ordenadores en los que es posible desactivar el bloqueo. Resulta que en estos ordenadores tengo privilegios de administrador y puede que en los otros (en los que tienen activado el bloqueo) también. El caso es que tras abrir la línea de comandos e introducir la misma orden que antes (en un ordenador en el que tengo privilegios de administrador) me vuelve a salir el mismo mensaje: "acceso denegado".
¡Saludos!

toxeek

Bueno,

antes que adentrarnos en el registro o usar cacls y tal prueba algo.
Prueba, con tus privilegios normales (si acceso a SYSTEM), a bajarte la aplicacion "process explorer":
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Tras ello ejecutalo y prueba a matar el/los procesos con process explorer. Esto lo haras una vez ejecutado el programa, haciendo click derecho en el/los procesos adecuados y matandolos.

Si esto no te funciona vuelve y di.

Saludos.
"La envidia es una declaración de inferioridad"
Napoleón.

AsimoJMSR

Me sigue dando acceso denegado.
He aprovechado para comprobarlo y, efectivamente, tal y como yo pensaba o suponía, en los ordenadores en los que no me es posible (por ahora) desactivar el filtro o el bloqueo de navegación tengo privilegios de administrador by the face.
¡Un saludo!

toxeek


No eso suele ocurrir. Estas dentro del grupo Administradores para que tengas mas libertad de expresion ! :D
Pero despues estas atado a una serie de filtrados y discapacidades como las que experimentas :P

Bueno no conseguistes matar el proceso con el cmd de System usanndo windows taskmgr y taskkill, y tampoco has podido con process explorer.

Ahora prueba a lanzar una ventana de cmd cmo SYSTEM con lo de "at".
Cuando te salga la ventana tipea
services.msc

Dentro de los Servicios prueba a parar/deshabilitar los que veas con nombres relevantes.

Avisa como te va..


Saludos.
"La envidia es una declaración de inferioridad"
Napoleón.

AsimoJMSR

Vale, mañana lo probaré. Solo una pregunta: si ya tengo privilegios de administrador, ¿de qué me sirve lanzar un terminal con el comando at? Es decir, ¿no podría ejecutar cmd.exe simplemente desde inicio->todos los programas->accesorios?
¡Un saludo!

toxeek


Haz un "cacls" sobre el proceso (mira a ver si esta bajo system32, dir C:\windows\system32\Nombre_del_proceso O buscalo) y mira a ver si SYSTEM tiene F (Full) permisos. Normalmente con System tienes mas privilegios y puedes saltarte ciertas restricciones. Resulta util a veces dependiendo de lo que se quiera hacer..

Saludos.

(el cmd que te sale tiene permisos de SYSTEM, todo proceso que salga de ahi tendra supuestamente permisos de SYSTEM. Es por ello que si matas el proceso "explorer" con el taskmgr y despues desde esa ventana ejecutas un "explorer.exe" tendras un Desktop de SYSTEM)
"La envidia es una declaración de inferioridad"
Napoleón.

AsimoJMSR

Esta terminología no la entiendo:
CitarHaz un "cacls" sobre el proceso
¿Te refieres a esto o es solo una aclaración?
Citarmira a ver si esta bajo system32, dir C:\windows\system32\Nombre_del_proceso O buscalo) y mira a ver si SYSTEM tiene F (Full) permisos
El proceso no está en C:\Windows\System32, sino en C:\Archivos de Programa\Trend Micro Internet Security.
Para ver si System tiene F (Full) permisos, clic con el botón derecho y propiedades no?
Bueno y si System no tiene Full permisos entonces se los doy verdad? ;-)
¡Un saludo!

toxeek

Cacls es un programa, un comando que puedes ejecutar desde la terminal de SYSTEM par cambiarle los permisos. Si quieres puedes ir primero al ejecutable y comprobar con Propiedades-Seguridad quien tiene control total de la aplicacion y quien no.
Yo decia desde el cmd de SYSTEM para hacerlo todo desde ese cmd.

Asegurate, y despues intenta lo del services.msc.
Tras ello incluso en services.msc puedes mirar como estan configurados los/el servico (busca por el nombre del proceso o similar).

De todas maneras prueba desde el mismo cmd SYSTEM con el comando "sc" a tu gusto, algo como :
sc stop nombre_del_servicio

prueba a ver que tal. Si no pues intenta con services.msc ir l servicio y haz 2 click. Tras ello ve a la casilla "Iniciar sesion" y mira si el servicio comienza bajo la cuenta de sistema local (System). Si eso, marca la casilla "permitir a los servicios que interactuen con el escritorio". Tras ello intenta matar le proceso. Si no, pues cambiale la cuenta... no se, paralo AH!

Hehe, Suerte.
"La envidia es una declaración de inferioridad"
Napoleón.