Espero me hayas entendido.
Bueno, un rootkit es las manos de mucha otra gente que sabe, hace imposible la detección de un troyano.
Bueno, un rootkit es las manos de mucha otra gente que sabe, hace imposible la detección de un troyano.
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
Páginas1
#2
Análisis y Diseño de Malware / Re: Flux 1.1
9 Agosto 2005, 01:50 AM
Bueno, decia que una vez te hayan instaldo un rootkit la solucion es formatear, no me malinterpretes.
Otro punto jajaja, -debes probar mas tus troyanos-, el flux no se ejecuta al inicio del sistema, a ver como explicarme, la clave en el registro existe (se puede ocultar con un rootkit), pero el troyano al ejecutarse inicia una rutina para comprobar si el user está online, GetConnectedState o algo asi, si esta conectado sigue con el intento de conexion, si no se cierra, esto en milisegundos. Asi que tendrías que conectarte nada más, sin iniciar tu browser para detectar su presencia.
Otra forma que yo uso, para evitar esto (ay no se por k te explico tanto), es copiar el navegador a la carpeta donde tengo el rootkit, y luego le hago un poco de reversing al flux para que inyecte al exe en la ruta que yo le puse, entonces inyecta mi copia del navegador que esta en el dir del rootkit, por lo que cuando inicialice el thread será ocultado por el rootkit.
Espero me hayas entendido.
Otro punto jajaja, -debes probar mas tus troyanos-, el flux no se ejecuta al inicio del sistema, a ver como explicarme, la clave en el registro existe (se puede ocultar con un rootkit), pero el troyano al ejecutarse inicia una rutina para comprobar si el user está online, GetConnectedState o algo asi, si esta conectado sigue con el intento de conexion, si no se cierra, esto en milisegundos. Asi que tendrías que conectarte nada más, sin iniciar tu browser para detectar su presencia.
Otra forma que yo uso, para evitar esto (ay no se por k te explico tanto), es copiar el navegador a la carpeta donde tengo el rootkit, y luego le hago un poco de reversing al flux para que inyecte al exe en la ruta que yo le puse, entonces inyecta mi copia del navegador que esta en el dir del rootkit, por lo que cuando inicialice el thread será ocultado por el rootkit.
Espero me hayas entendido.
#3
Análisis y Diseño de Malware / Re: Flux 1.1
8 Agosto 2005, 23:18 PM
Bueno, BloCkeADo no recuerdo bien pero creo que el Flux usaba el ActiveX tambien como metodo de inicio, que es más dificil de detectar.
Además, "no todos usan rootkits", mejor di "los newbies no usan rootkits", pues cualquiera con un nivel medio, tendrá este tipo de programas indetectables junto con el flux, en este caso, el NAv lo detectó, por lo k se deduce que es un newbie o un simple lamer, pero y en los otros casos?
Solución a este caso: Haz copia de todos tus archivos no binarios, formatea, y reza que no te lo haya metido en la firware de la BIOS
Y que mire en los procesos? Vamos, aparte de que con el rootkit se ocultan, iexplore.exe no canta mucho o si?
He ejemplificado casos de un gran nivel, pero estas cosas pasan y vale que tengan conciencia de lo que puede pasar.
Además, "no todos usan rootkits", mejor di "los newbies no usan rootkits", pues cualquiera con un nivel medio, tendrá este tipo de programas indetectables junto con el flux, en este caso, el NAv lo detectó, por lo k se deduce que es un newbie o un simple lamer, pero y en los otros casos?
Solución a este caso: Haz copia de todos tus archivos no binarios, formatea, y reza que no te lo haya metido en la firware de la BIOS
Y que mire en los procesos? Vamos, aparte de que con el rootkit se ocultan, iexplore.exe no canta mucho o si?
He ejemplificado casos de un gran nivel, pero estas cosas pasan y vale que tengan conciencia de lo que puede pasar.
#4
Análisis y Diseño de Malware / Re: Flux 1.1
8 Agosto 2005, 05:04 AMCita de: BloCKeadO
Para eliminarlo, si tu antivirus lo detecto, prueba a eliminarlo con el antivirus, sino tendras que modificar estos registros:
quote]
CitarServer:
dropped file:
c:\WINNT\server.exe
size: 22.804 bytes
startup:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
data: C:\WINNT\server.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AED1C65-4C6B-6A7E-0B2D-6B124E5C705A} "StubPath"
data: C:\WINNT\server.exe 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
data: C:\WINNT\server.exe
Jajajajaja, no me lo puedo creer, anda BloCKeaDo, bien sabes que ese nombre es facilmente renombrable, la ruta facilmente cambiable, y donde mas razon tienes en el el registro, pero con un rootkit hookeando, creo que no....
#5
Análisis y Diseño de Malware / Re: Flux 1.1
18 Julio 2005, 03:31 AM
Poz el de trojanfrance no me sirve 
es un msi que no se instala.
en la web de chasenet está
es un msi que no se instala.en la web de chasenet está
Páginas1