Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - r32

#361
Pues básicamente esa es la duda, llevamos ya mucho tiempo con la versión 2.0.4.
Desde la página oficial no comentan nada, pero desde el forospyware se puede ver la última fecha de actualización correspondiente a esa versión.
No quiero decir que esté obsoleto, solo que pueden haberle buscado la vuelta para evadir el análisis, tipo rootkit con un antivirus.

Otras herramientas que se pueden utilizar para generar log´s se van actualizando en mayor o menor medida:

OTL (GeeksToGo)
AVZ (Kaspersky)
SysInspector (Eset)

Que opinais o si alguien sabe algo al respecto?

Saludos.
#362
Redes / Error servidores DNS de telefonica.
22 Febrero 2012, 14:48 PM
Hola, ésta mañana fui a entrar al foro y me saltaba error en la conexión de los navegadores (I.Explorer y Firefox).
Anoche estuve navegando con normalidad. Tenia puesto los DNS de telefonica:
80.58.61.250
80.58.61.254

Buscando a ver de donde podía venir el fallo, al final opte por cambiar los servidores DNS y le puse las direcciones DNS prefijadas en el router (es de Orange) y al cambiarselos ya resuelve bien los dominios...

En un principio pensé que el router no me aceptaba esos DNS pero, en si da lo mismo, siempre que sean válidos, puedes utilizar diferentes servidores DNS.

Puede haber pasado algún percance con esos DNS de telefonica?
Llevo utilizandolos mucho tiempo y que yo sepa nunca me han  fallado, pero...

Es solo comentar esta curiosidad y si le ha pasado a alguien más...

Saludos.
#363
Hola a todos desde elhacker.net os presentamos esta compilación (AIO - All In One, Todo en Uno) de herramientas para desinfectar, monitorizar y securizar sistemas basados en Windows (32 y 64 bits) en todas sus versiones disponibles.
Está disponible en formato ejecutable (.exe) y en imagen (.iso). El ejecutable puede guardarse por ejemplo en un Pendrive ya que todo el AIO es "portable" y no nos instalará nada en el PC. La imagen ISO es para poder grabarlo en un CD y poder tenerlo a mano.

El objetivo de ésta compilación es intentar deshacerse de cualquier tipo de Malware teniendo a mano un buen arsenal de herramientas para la desinfección del equipo, cada una con un objetivo distinto y porque no, securizar un sistema previamente vulnerado.
Este proyecto nació en la comunidad de Infomalware.net con la colaboración de Skapunky, Fitoschido, Raul338, Novlucker, Invisible_hack, Roy_mustang y yo mismo.
Actualmente se ha retocado la interfaz/mejorado algunos aspectos y se realizó el proyecto para éste foro.

A continuación se exponen las descripciones y herramientas incluidas con sus correspondientes capturas:


Interfaz principal:



Menú principal:



Sección de Análisis Online:



 - Análisis del Pc online:
    - ESET online Scanner.
    - Kaspersky online Scanner (no disponible todavia...)
    - Panda online Scanner.
    - TrendMicro online Scanner.
    - CA online Scanner.
    - Sunbelt online Scanner.
    - BitDefender online Scanner.
    - Mcafee online Scanner.
    - F-Secure online Scanner.
    - CA Threat online Scanner.

 - Análisis de ejecutables:
    - Anubis online Scanner.
    - VirusChief online Scanner.
    - Jotti online Scanner.
    - Norman online Scanner.
    - Virscan online Scanner.
    - Kaspersky online Scanner.
    - SunbeltLabs online Scanner.
    - FortiGuard online Scanner.
    - ThreatExpert online Scanner.
    - VirusTotal online Scanner.
    - Webroot online Scanner.
    - Dr. Web online Scanner.
    - Avast online Scanner.

 - Puertos:
    - Upseros.
    - PcFlank.
    - Security Metrics.
    - T1 Shopper.

 - Archivos pdf, word, excel:
    - Foca online.
    - Malware Tracker.
    - JSUnpack.
    - Webawet Iseclab.

 - Páginas web:
    - Url Void.
    - Link Scan.
    - Norton safe web.
    - Prevention Labs.
    - Dr. Web.
    - AVG Link Checker

 - Log´s Hijackthis:
    - Hijackthis.de
    - Networktechs

 - Javascsript y flash:
    - Wepawet-Iseclab

 - Vulnerabilidades:
    - Secunia
    - F-Secure Health Check  

 - Redes Wi-Fi:
    - McAfee Wi-FiScan

Sección de herramientas de desinfección:





 - Firewall:
    - Outpost Agnitum Free (link).
    - Zone Alarm (link).
    - PC Tools Firewall Plus (link).
    - Comodo (link).

 - Antivirus portable + removal tool:
    - Immunet Protect (incluido).
    - Mcafee Stinger (incluido).
    - Avira Antivir Removal Tool (incluido).
    - ClamWin (incluido).
    - Msn Cleaner (incluido).
    - Mcafee GetSusp (incluido).
    - Kapersky virus removal tool (incluido).
    - Microsoft Safety scanner (32 y 64 bits) (incluido).

 - Antivirus residentes free:
    - AVG (link).
    - Avira antivir (link).
    - Avast (link).
    - Panda Cloud (link).
    - PcTools (link).
    - Ad-Aware internet security (link).
    - Microsoft Security Essentials (link).
    - Comodo

 - Antispyware:
    - Malwarebytes Antimalware (incluido).
    - Hitman Pro (32 y 64 bits) (incluido).
    - Ad-Aware (incluido).
    - Superantispyware portable scanner  (incluido).
    - RunScanner (incluido).
    - Dr.Web Cure It  (link).
    - ComboFix (incluido).
    - A-Squared (link).
    - F-Secure Easy Clean. (link).

 - Antirootkit:
    - Gmer (incluido).
    - F-Secure BlackLight (incluido).
    - Rootkit Revealer (incluido).
    - Sophos antirootkit (link).
    - Root Repeal (link).

- Análisis sector de arranque (MBR):
    - Avast aswMBR (link).
    - TDSSKiller (incluido).
    - Rootkit Buster (link).
    - BitDefender Bootkit Removal Tool (32 y 64 bits) (link).
    - MBR Fix (link).
    - Stealth MBR Rootkit Detector (link).


Sección de análisis del sistema con log de reporte:



 - Procesos:
    - Process Explorer (incluido).
    - Process Monitor (incluido).
    - Process Hacker (incluido).
    - Process Lasso (32 y 64 bits) (link).

 - Servicios y vulnerabilidades:
    - Advanced Windows service Manager (incluido).
    - Secunia PSI (link).

 - Optimización y limpieza:
    - CCleaner (incluido).
    - RegSeeker (incluido).
    - JetClean (link).
    - Glary Utilities portable (link).

 - Eliminación segura, registro:
    - Unlocker (32 y 64 bits) (incluido).
    - File Assassin (incluido).
    - Reg Assassin (incluido).
    - OTM (incluido).

 - Información y reporte:
    - SysInspector (32 y 64 bits) (incluido).
    - Hijackthis (incluido).
    - Get System Info (incluido).
    - Autoruns (incluido).
    - Killtrojan Syslog (incluido).
    - System Information (incluido).
    - OTL (incluido).
    - AVZ (incluido).


Reparación:



    - RegUnlocker (incluido).
    - SM Fixer (incluido).
    - WinSock Fix "XP"(incluido).
    - WinSock Fix "Vista/ 7" (incluido).
    - Windows Repair portable (incluido).

LiveCD en imagen ISO:



    - Kaspersky Rescue Disc (link).
    - AVG Rescue Disc (link).
    - Panda Safe CD (link).
    - BitDefender Rescue CD (link).
    - F-Secure Rescue CD (link).
    - Antivir Rescue System (link).
    - Dr. Web Live CD (link).
    - Spybot S&D Live CD (link).
    - eScan Life CD (link).
    - Emisoft Emergency Kit (link).

Complementos/Plugins para diferentes navegadores:



 - Google Chrome:
    - WOT.
    - NoScript.
    - Ad-Block Plus.
    - Dr.Web Link Checker.

 - Internet Explorer:
    - WOT.
    - Trend Protect.
    - Dr.Web Link Checker.
    - Windows Defender.
    - G-Data Cloud Security.

 - Opera:
    - WOT.
    - NoScript.
    - Ad-Block Plus.
    - Dr.Web Link Checker.

 - Mozilla Firefox:
    - WOT.
    - NoScript.
    - Ad-Block Plus.
    - Dr.Web Link Checker.
    - G-Data Cloud Security.


Análisis de conexiones:



- Conexiones:
    - Current ports (32 y 64 bits) (incluido).
    - TCP View (incluido).

 - Redes:
    - Wireshark (32 y 64 bits) (incluido).
    - Network Monitor (32 y 64 bits) (incluido).
    - SmartSniff (32 y 64 bits) (incluido).


Tutoriales:



    - Modo seguro.
    - Archivo Hosts.
    - System Volume information.
    - Eliminación de malware.
    - Desfragmentación de discos.

Sección de ayuda online desde el foro:



- Se incluyen los links hacia el foro para poder hacer login, registrarse como nuevo usuario o crear un nuevo tema en el foro de seguridad con el tipo de problema relacionado con Malware que tengas.

Información acerca del AIO:




Terminar comentado que para el funcionamiento correcto del AIO se necesita tener instalado:

Adobe Flash y Adobe Reader.

Cualquier fallo o link roto se agradecería reportase el error en este mismo tema para poder solucionarlo lo antes posible.
Comentar tambien que en cuanto se tenga más información o herramientas nuevas éstas se irán incluyendo al proyecto y así crear una compilación los más completa posible.

Nota:

- Hay que tener en cuenta que los programas están casi todos incluidos y es conveniente leer la descripción del programa a usar, el programa puede estar incluido o se mostrará el link para proceder a su descarga.
- Para sistema de 64 bits, junto a cada boton hay uno exclusivo para este sistema,
con lo que si estamos en un Windows Vista o 7 de 32 bits no debemos clickar sobre los botones marcados como "X64".
- Todas las herramientas de desinfección incluidas fueron descargadas 3 dias antes de la compilación del AIO. Algunas herraminetas al ejecutarse pedirán de actualizarse, es normal este procedimineto para que se tengan las últimas bases de firmas incluidas.
- Por seguridad cuando se descargaron las herramientas se "renombraron" los nombre originales de los archivos, por ejemplo:

El antirootkit de GMer, como nombre de proceso tiene "gmer.exe" y se renombró a "gm.exe", dado que algunos malware bloquean el nombre de proceso de alguna de estas aplicaciones (Gmer descargado desde su web tendrá un nombre aleatório "a2er35j47.exe").



Descarga del AIO:

Ejecutable:
Link: http://ns2.elhacker.net/aio/AIO_elhacker_2012.rar
Peso: 167MB
MD5: 4a7a9cb44e94277d936b3a6df1fe1e81


Imagen ISO:
Link: http://ns2.elhacker.net/aio/AIO_elhacker_2012.iso
Peso: 188 MB
MD5: 08d7046f39326078e333546a47c7fd00


Lo mejor de todo es que lo pueden descargar directamente desde un servidor que el-brujo ha preparado, descarga directa y sin esperas  ;-)  ;-)  ;-)...

Un saludo y se espera desde el Staff les sea de ayuda esta compilación de herramientas.

Editado:
Ha habido algun usuario que no ha podido visualizar al AiO correctamente, es por la falta de Adobe Flash ActiveX, no tiene nada que ver con el Plugin del navegador.
Lo pueden descargar desde aqui (32 y 64 bits):

Link: http://download.macromedia.com/pub/flashplayer/updaters/10/flashplayer_10_ax_debug.exe


No tienes lector de CD en tu equipo:

Para ejecutar cualquier LiveCD incluido en el AIO sin tener un dispositivo lector de CD/DVD, se puede hacer uso de cualquiera de estos programas que a continuación se comentan para  grabar la imagen ISO en una unidad USB y poderla arrancar desde ahí.

Casi todos los LiveCD tienen diseñada una utilidad específica para su versión, para arrancar la imagen ISO desde una unidad USB, si no fijamos en el Live CD de F-Secure, en el tutorial PDF adjunto nos da el link para dicha utilidad:

Citarhttp://download.f-secure.com/latest/fsdbupdate9.run

Siguiendo los pasos del tutorial de F-Secure con esa herramienta podremos arrancar el LiveCd desde el USB.

Kaspersky, para su LiveCD ofrece ésta herramienta (Rescue2USB):



Descarga: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/rescue2usb.exe


Si no encontramos dicha utilidad podemos hacer uso de ésta otra herramienta que nos hará la misma función (Unetbootin):



Web: http://unetbootin.sourceforge.net/#other
Descarga: http://sourceforge.net/projects/unetbootin/files/UNetbootin/568/unetbootin-windows-568.exe/download

Tutorial PDF: http://ns2.elhacker.net/aio/Instrucciones_para_grabar_los_LiveCD_en_una_unidad_USB.pdf
#364
Hoy me encontré este correo de parte de un contacto y bueno analicé un poco los archivos y encontré lo siguiente:

Cita del mensaje:
Segue em anexo o comprovante de depósito em sua conta corrente.

Aqui el codigo fuente:

x-store-info:4r51+eLowCe79NzwdU2kRyU+pBy2R9QCTJuRFCxvGsoxm+RIG1Qs+ROPj8eKukn2kW1bviD12a26uvM/wNXQrPRz5lPTwd5t0qoJWbDwAIxx1S6JKkxymw==
Authentication-Results: hotmail.com; sender-id=softfail (sender IP is 69.164.222.202) header.from=         @hotmail.com; dkim=none header.d=hotmail.com; x-hmca=fail
X-Message-Status: n:0:n
X-SID-PRA: financeiro@ddprag.com.br <          @hotmail.com>
X-SID-Result: SoftFail
X-DKIM-Result: None
X-AUTH-Result: FAIL
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTmjqhOzvWWho7JRFyayOF2GOwYRpr8Z3iGGzkINWxzdCRrFnGOL3C5DcuR1i+LlvOhGCLviNjXtGP086YnxN83M6SrC2zrOZnouq8RKw4rY9eQl+aamBs8k
Received: from li137-202.members.linode.com ([69.164.222.202]) by COL0-MC2-F16.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Sun, 29 Jan 2012 14:05:53 -0800
Received: from li137-202.members.linode.com (localhost [127.0.0.1])
by li137-202.members.linode.com (8.14.3/8.14.3/Debian-9.4) with ESMTP id q0TM5r0o000640
for <Tocallo106@hotmail.com>; Sun, 29 Jan 2012 17:05:53 -0500
Received: (from www-data@localhost)
by li137-202.members.linode.com (8.14.3/8.14.3/Submit) id q0TM5rFt000639;
Sun, 29 Jan 2012 17:05:53 -0500
Date: Sun, 29 Jan 2012 17:05:53 -0500
Message-Id: <201201292205.q0TM5rFt000639@li137-202.members.linode.com>
To:         @hotmail.com
Subject: Segue em anexo o comprovante de depósito em sua conta corrente.
X-PHP-Originating-Script: 0:index.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: "financeiro@ddprag.com.br" <         @hotmail.com>
Return-Path: www-data@debian
X-OriginalArrivalTime: 29 Jan 2012 22:05:54.0165 (UTC) FILETIME=[2B86BA50:01CCDED2]

</head>
<body bgcolor="#ffffff">
<img name="comprovante" src="http://s3.amazonaws.com/Comprovanteonline/comprovante.jpg" width="1249" height="356" border="0" id="comprovante" usemap="#m_comprovante" alt="" /><map name="m_comprovante" id="m_comprovante">
<area shape="rect" coords="8,0,215,149" href="http://s3.amazonaws.com/Comprovanteonline/Comprovante_Deposito.pdf.exe" title="Comprovante_Deposito.pdf" alt="Comprovante_Deposito.pdf" />
</map>
</body>
</html>


Doble extensión en el archivo a descargar:

:http://s3.amazonaws.com/Comprovanteonline/Comprovante_Deposito.pdf.exe

Al ver los Resources desde el PE Explorer nos encontramos esto tanto curioso:

// <DFM>  TFORM1 = class(TForm);

object Form1: TForm1
  Left = 221
  Top = 121
  BorderStyle = bsNone
  Caption = 'Euro Currency Convertor'
  ClientHeight = 584
  ClientWidth = 1171
  Color = clBtnFace
  Font.Charset = ANSI_CHARSET
  Font.Color = clWindowText
  Font.Height = -12
  Font.Name = 'MS Sans Serif'
  Font.Style = []
  OldCreateOrder = False
  OnCreate = FormCreate
  OnShow = FormShow
  PixelsPerInch = 96
  TextHeight = 13
  object EuroLabel: TLabel
    Left = 170
    Top = 48
    Width = 48
    Height = 13
    Caption = 'EuroLabel'
  end
  object BEFLabel: TLabel
    Left = 170
    Top = 78
    Width = 46
    Height = 13
    Caption = 'BEFLabel'
  end
  object CurrLabel: TLabel
    Left = 110
    Top = 14
    Width = 45
    Height = 13
    Caption = 'CurrLabel'
  end
  object Label2: TLabel
    Left = 170
    Top = 14
    Width = 34
    Height = 13
    Caption = 'equals:'
  end
  object Label5: TLabel
    Left = 246
    Top = 48
    Width = 22
    Height = 13
    Caption = 'Euro'
  end
  object Label6: TLabel
    Left = 246
    Top = 78
    Width = 20
    Height = 13
    Caption = 'BEF'
  end
  object Image1: TImage
    Left = 24
    Top = 176
    Width = 241
    Height = 145
  end
  object Image2: TImage
    Left = 376
    Top = 104
    Width = 105
    Height = 105
  end
  object InputEdit: TEdit
    Left = 7
    Top = 9
    Width = 88
    Height = 21
    TabOrder = 0
    Text = '100'
  end
  object EuroButton: TButton
    Left = 383
    Top = 333
    Width = 354
    Height = 96
    Caption = 'Euro -- BEF'
    TabOrder = 1
    OnClick = EuroButtonClick
  end
  object BEFButton: TButton
    Left = 7
    Top = 74
    Width = 411
    Height = 235
    Caption = 'BEF -- Euro'
    TabOrder = 2
    OnClick = BEFButtonClick
  end
  object Button1: TButton
    Left = 160
    Top = 96
    Width = 75
    Height = 25
    Caption = 'Button1'
    TabOrder = 3
    OnClick = Button1Click
  end
  object Edit1: TEdit
    Left = 97
    Top = 288
    Width = 121
    Height = 21
    TabOrder = 4
    Text = 'http://s3.amazonaws.com/marinho/wmi.dll'
  end
  object Edit2: TEdit
    Left = 264
    Top = 208
    Width = 121
    Height = 21
    TabOrder = 5
    Text = 'c:\winsys\wmi.dll'
  end
  object Edit3: TEdit
    Left = 272
    Top = 232
    Width = 121
    Height = 21
    TabOrder = 6
    Text = 'http://s3.amazonaws.com/marinho/wmsan.exe'
  end
  object Edit4: TEdit
    Left = 114
    Top = 360
    Width = 121
    Height = 21
    TabOrder = 7
    Text = 'c:\winsys\wmsan.exe'
  end
  object Edit5: TEdit
    Left = 83
    Top = 208
    Width = 121
    Height = 21
    TabOrder = 8
    Text = 'http://s3.amazonaws.com/marinho/wsan.exe'
  end
  object Edit6: TEdit
    Left = 424
    Top = 232
    Width = 121
    Height = 21
    TabOrder = 9
    Text = 'c:\winsys\wsan.exe'
  end
  object Edit7: TEdit
    Left = 360
    Top = 333
    Width = 121
    Height = 21
    TabOrder = 10
    Text = 'http://s3.amazonaws.com/marinho/wmita.exe'
  end
  object Edit8: TEdit
    Left = 640
    Top = 136
    Width = 121
    Height = 21
    TabOrder = 11
    Text = 'c:\winsys\wmita.exe'
  end
  object Edit9: TEdit
    Left = 704
    Top = 333
    Width = 121
    Height = 21
    TabOrder = 12
    Text = 'http://s3.amazonaws.com/marinho/BROWN.exe'
  end
  object Edit10: TEdit
    Left = 608
    Top = 483
    Width = 121
    Height = 21
    TabOrder = 13
    Text = 'c:\winsys\BROWN.exe'
  end
  object Timer1: TTimer
    Interval = 100
    OnTimer = Timer1Timer
    Left = 272
    Top = 56
  end
end


UPX0 / UPX1

Borland Edition (c) 2004 - 2008 Pierre le Riche / Professional Software Development

This program must be run under Win32..$7


El analisis fue mas bien estatico, no lo ejecute, pero con un hexa o PE Explorer se ven las rutas, archivos que crea, otros que descarga.
Crea una carpeta oculta al administrador en:

c:\winsys\

Donde se alojan los demas ejecutables:

c:\winsys\BROWN.exe

c:\winsys\wmita.exe

c:\winsys\wsan.exe

c:\winsys\wmsan.exe

c:\winsys\wmi.dll



Aqui algunas capturas:








Analisis online:

Analisis Anubis: http://anubis.iseclab.org/?action=result&task_id=1ac567298a7aa0ef49991a1b01813af36&call=first

Analisis VirusTotal:  https://www.virustotal.com/file/24030137d3bf55a81b687bc3df719a8c5708e35fb1232eec94ae5b9ae59b2370/analysis/1327946094/

Pd: Antes de subirlo a VirusTotal la tasa era 22/41, en este ultimo scan la tasa baja a 19, con lo que lo van modificando aunque no queda FUD a todos los AV´s.

Malwarebytes solo detecta el archivo BROWN.exe (heuristics shuriken), de los demas no dice nada.

Saludos.