Mensajes

[MCKSys]

Muy cierto lo de las VM MCKSys, evitan muchos problemas y a dia de hoy es muy simple montarse una incluso gratuita, lo del S.O lo dejamos a parte (si es legal o no, copia pirata).
Para los perezosos que usen Sandboxie  

Cita de Flamer:

La unica solucion que le encuentro es crear antivirus inteligentes, que analisen el archivo traseandolo para que analise el codigo y que el desida si es virus o no

El último paso de los AV será la IA??? (InteligénciaArtifiacial) basada en computación, pero es aún complejo de llevar a cabo e implementarlo.
http://www.monografias.com/trabajos16/la-inteligencia-artificial/la-inteligencia-artificial.shtml

En la Wiki pone más o menos lo mismo:
http://es.wikipedia.org/wiki/Inteligencia_artificial

Este es más reciente:
http://www.um.es/docencia/barzana/IATS/IATS3-Inteligencia-artificial.html

En un futuro nos venderán los AV en un chip tipo procesador para añadir a la placa, como en las peliculas... Otro buen negocio y menos pirateable, con el tiempo luego ya se vería.

Saberuneko, y si os cuelan uno que se inyecte en el navegador? El AV puede usar la heurística pero el firewall, deja o no deja pasar. Quizás sea lo de menos pero ni AV teneis?

Saludos

[SysInspector de ESET]

Hola, comentar sobre esta vulnerabilidad en Winrar, ingeniosa y fácil de llevar a cabo con éxito.
La primera referéncia la encuentro sobre marzo de 2014, supongo pueda ser un poco más antigua pero que se ha de tener en cuenta pues puede ser otro posible foco de infección.

Referéncias:

http://www.exploit-db.com/papers/32480/

http://an7isec.blogspot.co.il/2014_03_01_archive.html

http://intelcrawler.com/report_2603.pdf

http://www.youtube.com/watch?v=P5OAAoptv6E#t=11

http://thehackernews.com/2014/04/winrar-file-extension-spoofing.html


Curioso que en versiones anteriores no funcionaba, por ejemplo con la versión 3.7 podemos hacer la modificación al archivo con el editor hexadecimal, pero al intentar abrir el archivo lo ejecuta por la asociación de archivo por defecto del sistema, entonces nos da un error, ya sea con el reproductor de windows media si modificamos la extensión a .mp3, png u otro formato de archivo.

Versiones afectadas:

< v3.70: NO
v4.20: SI
v5.01: SI
v5.10(beta4): NO

A continuación se expone la forma de modificar el archivo, como posibles formas de ver el archivo sin llegarlo a ejecutar y de esta forma no infectarnos.
Para el PoC utilicé un ejecutable de SysInspector de ESET:



El fallo consiste en poder modificar el nombre mediante un editor, editando el último nombre del archivo. Abrimos el archivo comprimido con un editor hexadecimal:



Podemos usar el comando "buscar" o manualmente para localizar el segundo nombre dentro del código:



Modificamos la extensión de archivo a imagen tipo png o archivo de música mp3, en este caso elegí .mp3:





En las opciones de Winrar, podemos elegir mejor compresión, comentarios y el password necesario para pasar los antivirus.
Una vez creado el nuevo archivo comprimido modificado, le echamos un vistazo:



Modificaciones del archivo y resultado:



Viendo las propiedades del nuevo archivo modificado:



Propiedades del archivo desde el análisis en VirusTotal:



Aquí el error que comentaba si se dispone de una versión de Winrar < 4.20:



En esta captura podemos observar un .zip modificado enviados masivamente al correo (cortesía TheHackerNews):



Otra prueba que hice fue cojer un archivo infectado y alta tasa en VT (35/53) y realizar la modificación con extensión .mp3. Con un password débil este fue el resultado:

Musica.zip

SHA256:    5aa2e11777fe646dfadead0b3f492a690032f99bd7a460eb93c63ce044b79497
Nombre:    musica.zip
Detecciones:    2 / 53
https://www.virustotal.com/es/file/5aa2e11777fe646dfadead0b3f492a690032f99bd7a460eb93c63ce044b79497/analysis/1401131332/

NANO-Antivirus    Trojan.Script.Dinihou.cuefgi
Qihoo-360    virus.exp.20140401

Un password un poco más largo:

SHA256:    4d9e8cfd6f920d28ca7bdeb1d91b433de07279ecd7e8d8a34fe294343a9fd5f6
Nombre:    musica.zip
Detecciones:    1 / 53
https://www.virustotal.com/es/file/4d9e8cfd6f920d28ca7bdeb1d91b433de07279ecd7e8d8a34fe294343a9fd5f6/analysis/1401131956/

Qihoo-360    virus.exp.20140401

Otro claro ejemplo de que los antivirus no hacen bien su faena, cojemos un ejecutable limpio "SysInspector.exe" (Eset) y hacemos
la modificación al archivo (protegido con password), el resultado es este:

https://www.virustotal.com/es/file/026ca98e4e52c7296eb733a387eb22a1f17aba1757bc0bb48e468803b1385008/analysis/1401199917/ --> 1/53

La misma firma para un ejecutable limpio como para uno infectado:

Qihoo-360    virus.exp.20140401

Vería más lógico una descripción de firma tipo "Mod.ext.20140401", aunque nuca está demás ya sabiendo que el archivo ha sido modificado colocar esa alerta tipo "virus.exp.FECHA".

Ahora podremos ver un par de formas, para que cuando nos llegue un correo similar podamos ver sin llegar a infectarnos si se trata de una imagen real o se ha modificado.
Podemos hacer uso del mismo editor hexadecimal para ver su contenido y fijarnos en la cabecera del archivo:



Podemos ver como el inicio de la cabecera es típica de un ejecutable "MZ".
Para imagenes .bmp (BM)
Para imagenes .jpg (ÿØÿà..JFIF)

Mediante el mismo Winrar, desde el menú Commands --> View File, se nos abre un editor en ventana nueva, donde podemos ver en texto plano el código del archivo:



Otra forma es visualizar las Strings del archivo, también podmeos ver si se trata de una imagen o un ejecutable:



No se si el error será solucinable, de momento las últimas versiones están todas afectadas.

PD:
Comentar que solo funciona siempre y cuando creemos el archivo mediante Winrar cambiando la extensión a .zip antes de crear el archivo comprimido. Puedes hacer la prueba con extensión .rar y se dañará el archivo.

Saludos.

[loquesea]

Hola, no digo que abunden este tipo de malware, pero en versiones anteriores de DeepFreeze se podía evadir las llamadas que hacia al kernel, las parcheaba por ende las saltaba...
Un rootkit en modo kernel podría saltearlo en teoría.
Un bootkit, tres cuartos de los mismo, puede cargar su modulo y evadir las modificaciones de restauración de DeepFreeze.
Mejor utilizar DeepFreeze que nada, pero no creo que se pueda decir que tu equipo no se pueda infectar (es una opinión, no pretendo crear polémica).

Con respecto al tema de los antivirus, lo de siempre... Hay diversas formas de evadir las actuales soluciones antivirus, incluso con "herramientas" extra tipo anti-loquesea en ocasiones es complejo restaurar un sistema si se ha infectado a nivel de driver, bios, mbr...

Saludos.

Hola, también puedes revisar estos temas,:

http://www.rubenortiz.es/2008/04/03/server-service-is-not-started/

http://en.wikipedia.org/wiki/Administrative_share

Volúmenes de disco: Cada volumen de disco en el sistema se comparte como un recurso compartido administrativo. El nombre de estas acciones consiste en las letras de las unidades de volumen compartido más un signo de dólar ($). Por ejemplo, un sistema que tiene volúmenes de C, D y E tiene tres recursos compartidos administrativos nombrados C $, D $ o E $. (Microsoft Windows no distingue entre mayúsculas y minúsculas.)

Saludos.

Hola, "en teoria" formateando el disco y reinstalando el sistema operativo, nada harias con el virus de la Bios,
pues esto se carga antes que el sistema.
El MBR es el "Master Boot Record" y es el primer sector de cualquier sistema de almacenamiento.
Sirve, a grandes rasgos, para guardar información importante como el arranque de sistemas operativos o particiones.
Esto implica que aunque limpiemos el virus del disco duro éste regresará cada vez que arranquemos la BIOS.

Si con suerte te infectaste con un Bootkit, podrías usar alguna de estas tools:
AntiBootkit: http://en.wikipedia.org/wiki/Rootkit#Bootkits

AVG Bootkit Removal Tool:
- Web: http://free.avg.com/es-es/remove-win32-bootkit
- D.Directa: http://download.avg.com/filedir/util/avgrem/avg_remover_bootkit.exe

BitDefender Bootkit Removal Tool:
- Web: http://www.hotforsecurity.com/download/bitdefender-bootkit-removal-tool-32-bit-and-64-bit
- D.Directa: http://www.hotforsecurity.com/?downloadkey=804a5265650d8145d9b094c2b62cfe60&file=19 --> Elegir versión de vuestro sistema, 32 o 64 bits.

Otras herramientas para desinfectar MBR:

MBR: Analizan y eliminan infecciones en el sector de arranque del disco.

MBR rootkit detector:
- Web: http://www.gmer.net/
- D.Directa: http://www2.gmer.net/mbr/mbr.exe

Avast aswMBR:
- Web: http://public.avast.com/~gmerek/aswMBR.htm
- D.Directa: http://public.avast.com/~gmerek/aswMBR.exe

Avira Boot Sector Removal Tool:
- Web: http://www.avira.com/en/download/product/avira-boot-sector-repair-tool/product/avira-boot-sector-repair-tool/product/avira-boot-sector-repair-tool
- D.Directa: http://dlpro.antivir.com/down/windows/bootwizard.exe

Si no logró desinfectar el boot, ya tiraría a actualizar o reinstalar el firmware de tu bios, lo mismo te lo cargas y se arregla.

Ahora mismo no se me ocurre nada, con lo que ya has hecho.

Saludos.

Hola, está muy interesante, gracias.
El pdf tambíen muy bueno, intentaré hacer una recopilación sobre los cursos que vais aportando.

Saludos.

Hola, en el encabezado de correos/codigo fuente no podrás ver ese dato, por lo menos desde el terminal que se enviaron.
Con "IP compartida" te refieres a que compartes tu línea con otros usuarios, ¿no?
Que compartas tu línea de internet no siginifica que compartais los accesos a correos.
Si llegases a tener más problemas, como comentas que te están acusando pues si deberías acudir a la policia, probablemente algun vecino/amigo "escuche" en la red y consiguió hacerse con tus datos y esté enviando correos masivos "spam".
Lo ideal, pienso, sería comprobar que tu sistema está limpio, cambiar contraseñas de los correos y al conectarse a una página de loggin usar conexión segura.

Saludos.

[AdwCleaner:]

Hola, pasaremos este tema al foro de Seguridad.
Adjunto unas capturas de las modificaciones en navegador y acceso directos:





Ejecuta y actualiza uno de estos programas:

AdwCleaner:
- Web: http://general-changelog-team.fr/en/tools/15-adwcleaner
- D.Directa: http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner
- Guía: http://general-changelog-team.fr/en/tutorials/44-english/tutorials/software/313-how-to-use-adwcleaner-version-3-x

Malwarebytes antimalware:
- Web: http://es.malwarebytes.org/
- D.Directa: http://es.malwarebytes.org/mwb-download

Hitman Pro:
- Web: http://www.surfright.nl/en/downloads/
- D.Directa (32 bits): http://dl.surfright.nl/HitmanPro.exe
- D.Directa (64 bits): http://dl.surfright.nl/HitmanPro_x64.exe
- Guía pdf: http://files.surfright.nl/hmp-brochure-en.pdf


Saludos.

Insertar Cita
Como puede ser que la gente se infecte desde una imagen web.?

https://foro.elhacker.net/seguridad/pero_iquestcomo_se_puede_infectar_mi_ordenador_si_solo_he_visitado_una_web-t413649.0.html

Hay muchas formas, y no es por una imagen sino por lo que hay detrás de esta...

Saludos.

Hola, tampoco soy experto en el tema, pero por lo que he podido ir viendo depende mucho como es de sofisticado el "animalito", de ahí el comentario de el-brujo (almenos así lo entiendo)... Puedes encontrarte con strings en un archivo como aquel que dice en texto plano que te están casi diciendo que acciones va a realizar y otras más curradas ya codificadas, ya sea base64 o lo que sea.
En muchos casos por mucho "sleep" que lleve en algun momento ha de conectar con el panel, irc o trojan. Sea para subir logs o descargar nuevas muestras con otras opciones más complejas. Ya sabes en un principio descarga un archivo livianito y casi FUD y al rato te descarga como 7 u 8 que van realizando otras nuevas tareas.

Saludos