Mensajes

despues de ver minusiosamente los LOGS note algo muy curioso tal vez nadie de los presentes se dio cuenta de ello y ahi esta el problema, tardara un poco dependiendo de que Chipset tenga tu equipo.

Me gustaría ver ese detalle pequeñito que se nos ha pasado a todos.. ese detalle tan pequeñito que es capaz de infectar routers, varias placas, varios discos duros, una tele y un móvil y lectores de discos... y que supuestamente permite el control tanto de distros Linux como de Windows...


Saludos

Hombre, lo mismo te explota el mechero en la mano o en la cara cuando te vayas a prender un cigarro.. eso son casos que bueno... supongo que hablas de los  atomizadores internos que son los que convierten el liquido en vapor.. si, pueden ser de mala calidad pero también hay que tener en cuenta que son consumibles, se desgastan y hay que cambiarlos cada X tiempo. Eso de que intoxican.. bueno sera en algún país fuera de la EU.. puede que incluso el aparato sea de contrabando o habrá sido hace tiempo (antes de las regularizaciones). Los materiales de un aparato electrónico en la EU tienen que pasar por un control de calidad.

Es menos dañino que el tabaco mires como lo mires.. casos aislados de componentes tóxicos hay en todos lados.. en el caso de los cigarrillos normales ni se molestan decírtelo porque ya se sabe xD...

@simorg, como digo.. en otros países fuera de la EU pues habrá casos y casos.. en la EU todavía no he visto nada así.

Saludos

Obviamente mas dañino siempre sera el cigarrillo tradicional.. tiene mucha mas ***** en el para que se consuma antes y tengas que fumar mas, aparte de darte el sabor típico de un cigarro.

Ahora, un cigarrillo electrónico.. bueno, para mi no es nada como fumar un cigarro normal. Lo único que notas parecido es el "subidon" de nicotina que te da y ya.. ni el humo sabe igual, ni la sensación de fumar es igual... a mi por lo menos me hace dar muchas mas caladas para sentir la misma sensación que con un cigarro normal. Pero claro, es menos dañino..

http://www.gaceta.es/reportajes/realmente-danino-cigarro-electronico

Saludos

Muchos... el 99% basados en Linux con practicamente los mismos paquetes   Kali, Pentoo, Bugtraq, BackBox, PS, Black Arch, WEAKERTH4N, Matriux, Deft, Caine, NodeZero.. y podríamos seguir así años.. pero ya te digo, los programas son prácticamente los mismos.. incluso puedes instalar una distro generica y meter los mismos paquetes..

Saludos

Alguien me puede aclarar que le pasa a flash?? Por que tantas vulnerabilidades consecutivas?

Es que esos programadores no saben arreglar un agujero sin dejar otro?

Es un software bastante complejo utilizado a nivel mundial por millones de usuarios en diferentes plataformas.. de ahí que haya muchos que lo ataquen y de su complicidad que haya muchos fallos.

D: Si yo fuera "dueño" de flash (por asi decirlo) ya no me daria el rostro para seguir con esa empresa.. 

El dueño es Adobe... y ya han desaconsejado su uso a favor de HTML5.. de hecho lo están retirarndo poco a poco.. y ya han quitado su soporte de linux.

Saludos

[Secure Boot]

fijate en estos  logs de wireshark, donde aparecen mac ajenas que no son mias

MACs ajenas que no son tuyas ? Una MAC solo se obtiene en el ámbito de una red local.
https://es.wikipedia.org/wiki/Direcci%C3%B3n_MAC

Ni idea, pero agradeceria una mayor explicación o lo buscaré por google algún día.Yo como decía lo de sospechoso, y escondido, pues en fin.

Son simplemente directorios ocultos, no tienen porque ser malignos (y no lo son en tu caso).

Pues el log de chkrootkit es muy largo y no puedo postearlo en pastebin.com con usuario free.Si acaso me atreveré a postearlo aquí directamente con tu permiso aunque sea por partes, si das la aprobación.

Si es muy largo no lo postees en el foro ni mucho menos. Intenta usar otros como http://paste.debian.net/ o http://paste.ubuntu.com/ . Tambien lo puedes escribir en un fichero y subirlo a algún host como mediafire o mega.

Código [Seleccionar] Expandir

sudo chkrootkit > log.txt

En cuanto a los archivos, he estado haciendo pruebas en algunos detecta cosas en otros no, voy a ver que pongo:

Todo normal. Las aplicaciones que has mostrado me muestran prácticamente los mismos positivos. Nada anormal.

Con anubis va muy lento,dice que le cuesta mucho, no se por que tanta diferencia de tiempo de uno con otro, por eso no he puesto nada, pero he visto completarse uno mientras escribia el mensaje,y sale mucha información, yo no veo nada en concreto, pero dice muchas cosas , no se como mostrarlo todo, creo que con virus total ya se ve que vienen regalitos.

No vienen regalitos, son o bien falsos positivos o bien adware que viene con el instalador (caso conocido en el de Daemon Tools). Respecto a Anubis, solo te pedia la URL del resultado, no que postearas el informe entero. Anubis tarda mucho mas porque analiza el comportamiento durante la ejecución del programa, no es un antivirus en si sino un servicio que analiza como se comporta el programa cuando es ejecutado.

Ya pero si hago un reset, no pasa nada, se queda mal igual, con el host ajeno a mi red y la entrada de routing con una ip ajena...

host ajeno a tu red ? Routing ? Podrías mostrar unas capturas de pantalla ? Sobre todo en la parte de DNS (del router) y del "Routing".

Hombre mira esto:

Lo que has pegado es valido solo para instalar/ejecutar Windows.. no es valido para distros de GNU/Linux. Es mas, como te he dicho antes, muchas aun tienen problemas con UEFI y las licencias necesarias así que es mas que normal. Te dije que desactivaras el Secure Boot.. no se cuanto caso me habrás hecho.

El otro día instale windows vista, en el compak presario que viene preparado para windows7 y en este no me reconocia los drivers, me alegre y todo, ya que como te comento, con todos los demás me salen automáticamente, supongo que si instalara windows xp , tampoco saldrían los drivers automáticamente.

El caso se da desde Windows 7 en adelante, repito, es normal. Con cada versión de Windows, Microsoft añade mas y mas soporte con drivers genéricos que se activan automáticamente para Plug&Play. Nada de que preocuparte.

¿Unos ingenieros informáticos , con sabiduria en programación, podrían hacerme esto verdad?

Sinceramente ? Si. Realisticamente ? No.

A ver si me explico. Cada dispositivo tiene su propio firmware, sus propios mecanismos, su propia infraestructura. El "cracker" que dices, tendría que saber exactamente que modelo de "lector de discos" usas, tendría que saber exactamente que placa-base usas, exactamente los modelos de tus dispositivos y lo que es mas, tendría que reversar TODO el código de estos firmware para que pueda incluir código malicioso sin dañar o dejar inútil el componente. PERO AUN MAS, tiene que programar el firmware para que inyecte codigo malicioso en dos sistemas operativos COMPLETAMENTE DIFERENTES. No se si te das cuenta pero esto requiere MUCHO MUCHO tiempo y MUCHO conocimiento sobre el tema.. y todo esto solo para joderte ? Venga ya, mas fácil seria contratar un par de sicarios y matarte si tantos problemas tiene contigo...

Por eso te digo que descarto completamente infecciones de firmware.. como mucho el MBR del HDD.



Coincido con @r32 que puede ser un hijacking de las DNS, por eso te recomendé también reiniciar el router a su estado de fabrica (el router también incluye mecanismos de DNS). Y si dices que has reinstalado Windows y/o te pasa lo mismo en las distro Linux descarto que sea a nivel SO.

PD: Sinceramente, espero que nada de esto sea una trolleada... porque ya se esta pasando de rosca todo esto...

Saludos

[pastebin.com]

Pues tengo unas capturas de pantalla con wireshark, que están posteadas por el foro también , donde me dice que tengo la dirección mac duplicada, el router no detecta nada, solo aparece la entrada de routing con la dirección ip desconocida que se me asigna como mi host predeterminado, las capturas de wiresahark son estas:

http://postimg.org/image/tjanlx6yl/
http://postimg.org/image/4skz83rlp/

Ahí no veo nada extraño. Simplemente tienes configurada una IP que tambien esta configurada en otro dispositivo.. es un warn nada mas.

Esto también lo tengo posteado por ahí, , lo hice con el sistema operativo bugtraq , scaneando con zenmap, utilizando ettercap y wireshark, donde encontraba lo de mac duplicada y me marca ataque arp spofing...el metasploit está instalado en este sistema operativo, le hice scans al host 0.0.0.0, pero luego cerré el programa, y utilice los que he comentado anteriormente, el zenmap, ettercap y wireshark

Entonces mas que normal que te reporte esas conexiones y puertos como abiertos. Recuerda que metasploit tiene su servicio.. por mucho que cierres el programa el servicio seguirá corriendo.

Si intenté eliminarlo, pude eliminar todas las entradas en rojo hidden, pero el problema persiste, tuve que batallar bastante...
Pero no está en el disco duro como comento, por que  haciendo las pruebas, poniendo usa placa base nueva en la torre, sin disco duro, haciendo las pruebas con un live cd caine, ya tenía todos los problemas, y lo único antiguo que había en el pc susceptible de llevar algo, era la grabadora dvd, y la pantalla externa, con lo que no me explico.

Me decanto mas por problemas de fuente o conexión de red. Insisto en que las posibilidades de que un malware afecte al firmware de cualquier cosa que no sea la propia BIOS o los HDD son ínfimas. Quien se preocupa en crear un malware para infectar un lector de discos cuando eso esta a punto de ser obsoleto ? Y por que no quitas el lector de discos o lo cambias por otro para ver si el problema persiste ?

Igualmente, compré un chip BIOS nuevo y no funciono, se reescribe con el código malo, el técnico me dijo que tenía la placa base corrupta o defectuosa,me lo dijo el que me vendió el chip y estuvimos hablando del tema.

Estas mezclado temas.. chip BIOS ? BIOS en una UEFI ?

Es verdad que no detecta nada pero dice:

Si, es paranoico y por eso te dice que ha encontrado archivos ocultos. Nada raro.

Si detecta man in the middle y errores , que seguro lo sufro por lo comentado anteriormente, las capturas de wireshark y que todas las descargas me llegan con regalitos y el checksum mal, por que la fecha está bien, los certificados no lo se, puedo poner en un nuevo mensaje el log completo de chkrootkit completo que alomejor dice mucho más pero yo no lo comprendo, pero es muy extenso, no se si cabe en un mensaje, si quieres lo posteo entero, el comando que utilizo es sudo chkrootkit -x , lo saque de una web , y detecta todo.

En todo caso postealo en pastebin.com y pones el enlace. También me gustaría que descargaras un ejecutable cualquiera, lo subieras a:

• https://www.virustotal.com/
• https://anubis.iseclab.org/

y mostraras aquí los correspondientes resultados.

Recuerda: Descargar un ejecutable cualquiera desde el PC infectado, subirlo a esos servios y postear aquí los resultados.

Lo que comentan aqui no lo he probado con la herramienta que aconsejan, puedo probarlo cuando tenga los equipos en casa, pero no creo que sirva de mucho, por que se volverá a infectar otra vez con solo reiniciar el equipo, pero será probarlo y ver que pasa.

La idea de esa herramienta es limpiar el MBR y los archivos que no podría cuando el SO esta en uso. Por probar no pasa nada.

Bueno, lo único que tengo limpio es el cd original windows 8.1, y varios discos más de caine, bugtraq y kali linux, que son los que utilizo, además tengo un disco hirens boot original, pero yo no tengo conexión limpia a internet, ni ningún equipo sano.
Supongo que no podrá hacer nada, además como está grabado desde el pc infectado, pues seguro que hay algo malo en el usb bootable de hirens que utilicé.

Conexión limpia ? Mira, haz un reset al router que tienes (para que vuelva a su configuración por defecto), coge una PC que nunca hayas usado y conectala a la red.. listo. Eso suponiendo que lo quieres hacer desde casa, siempre puedes ir a una biblioteca con ordenadores o a un locutorio o una sala de ordenadores y descargar ahí lo que necesitas.. incluso pedirle prestado el PC y el internet al vecino...

No me puedo cree que prefieras comprar placas bases antes que hacer eso..

Si conozco bastante el tema, mi windows arranca de todas las maneras con uefi , sin uefi como sea.... los linux  arrancan sin uefi mode, pero hay algunas distribuciones y live cd , que soportan el arranque uefi, pues bien, no funcionan, o bien arrancan algunas dando problemas.

Entonces todo normal no veo cual es el problema... Las distros tienen muchos problemas todavia con el Secure Boot.

Pero como te comento no servirá de nada, por que utilizo un live cd sin disco duro ni usb,

Esto ya me parece absurdo. Encima de que se instala en el firmware del lector de cd, también es multiplataforma y funciona igual en windows que en linux, en serio ?  

Esto lo desconozco, pero recuerdo que hace unos años, cuando instalaba linux, siempre me dejaba instalar los controladores adicionales, y ahora no .Con windows, recuerdo que antes no salian los drivers, tenía que instalarlos manualmente, pero ahora salen automáticamente, aún cuando desconecto la actualización automática de los drivers.

Repito es normal. En las distros de linux lo mismo te detecta todo que lo mismo no te detecta nada. Y en Windows una vez instalados los drivers, se los queda a pesar de que los borres para tener el Plug&Play.

Por cierto el log de unhide también detecta algo:

Según he podido leer es un falso positivo.
http://sourceforge.net/p/unhide/discussion/1236874/thread/cb3a1484/



Ahora ya el tema se te va de las manos. Estas hablado que incluso tu Android esta infectado.. estamos hablando de 4 plataformas con diferentes tipos de firmware, diferente software y diferente hardware infectadas por el mismo malware.

Una de tres.

• O eres un espiá súper secreto de la KGB a la que la NSA esta intentando capturar..
• O eres tan paranoico que cualquier falso positivo lo conviertes en un drama.
• O estas trolleando

Es que me niego a creer tal historia.. sinceramente... yo hasta aquí me quedo. Es probable que tengas un PC infectado, otro con problemas de hardware.. que tu Internet tenga cortes y produzca archivos corruptos (o que sea por culpa de los problemas de hardware).. pero de ahí a afirmar que tienes todo infectado es poco realista.

En fin, espero el log y los reportes de virustotal y anubis.. el tema de las infecciones de firmware y cosas así lo dejo de lado..

Saludos

[Secure Boot]

Para la proxima, utiliza las etiquetas [code][/code] para poner los logs. Se ven mucho mejor.

Vamos alla.

Tengo un intruso:solo hay  mi pc, el pc de mi madre y el router, pero sale esto:

En lo que pones a continuación solo hay 3 PCs. Tienes solo 3 MAC en la lista. El 10:fe:ed:xx:xx:xx parace ser el de tu router, las otras dos de una PC (la de tu madre y la tuya). Si te fijas, ambas MACs se repiten. No entiendo de donde sacas que te este suplantando la MAC. El router no debería ser tan idiota como para dejar 2 clientes con MAC igual.

El host 0.0.0.0 esta con los siguientes servicios:

Puedo preguntar en que sistema operativo has conseguido eso ? No vaya a ser Kali y tenga el servicio de Metasploit corriendo   Si estabas en windows, tienes metasploit instalado ? En caso de que la respuesta sea no, probablemente sea el siguiente problema.

El programa OTL detecta zeroacces:

Entonces es muy probable que el rootkit este en el MBR del disco duro. Lo cual explicaría que se vuelva a propagar. Por que no intentas eliminarlo ?

https://www.symantec.com/es/es/security_response/writeup.jsp?docid=2011-121607-4952-99
http://support.eset.com/kb2895/

Ambas herramientas que he puesto arriba, son gratuitas y no te van a costar nada económicamente.

La última parte de rkhunter detecta algo:

No, no detecta nada.

[17:28:47] Suspect files: 0
[17:28:47] Possible rootkits: 0

El log de chkrootkit detecta muchas cosas, hago un resumen por que es muy largo el log:

No te detecta muchas cosas, te detecta unas posible man-in-the-middle que a saber que se puede deber. Lo mismo no lo ejecutas bien (porque en vez de %s/%d se deberían de ver cifras), lo mismo tienes los certificados mal o la fecha mal puesta o lo que sea..

Tras utilizar la herramienta avast mbr, las entradas hidden desaparecieron,pero tiene otras anomalias y unknow mbr:

https://forum.avast.com/index.php?topic=72185.0

Luego con el hirens boot, en un usb bootable ( grabado desde los pc comprometidos), utilizando malewarebytes, me encuentra 7 malwares, le doy eliminar, pero no se pueden eliminar, y con el combofix, me detecta rootkit activity, me dice por favor reiniciar el pc para eliminar rootkit, pero no se puede eliminar, sigue saliendo siempre lo mismo.

A ver, lo primero, todas las herramientas de limpieza que vayas a utilizar, descargalas y si tienes que grabarlas grabalas en un PC limpio. Lo segundo, lo que te comente arriba, si malwarebytes y combofix encuentran ese rootkit del que hablamos antes, poco van a hacer si este esta en el MBR.

Los cd originales de linux con opción de arranque seguro uefi, no se inician en uefi, por que está mal la placa base, incluso windows 8.1 original hace que arranca en uefi mode, pero haciendo unas comprobaciones, no se instala en uefi mode.

Comprueba que en la UEFI tienes la opción de Secure Boot activada.. o en su defecto, desactivala para que arranquen las distros de linux sin problemas (nota que esto puede hacer que Windows no arranque mientras esta desactivada).

Todos los archivos descargados o la gran mayoria , vienen con el cheksum mal, y aparte suelen venir con regalitos, encontrados analizando con clamtk.

Entonces esta claro que tienes algun malware que esta haciendo un ataque man-in-the-middle. REPITO: NO DESCARGUES LA HERRAMIENTAS que vayas a utilizar PARA LIMPIAR, DESDE LOS PCs INFECTADOS. Es como si yo para exterminar una plaga zombie, primero me convierto en uno.. no tiene sentido verdad ?

El cracker me reinicia el navegador cuando le apetece, me desconecta el ratón, me ralentiza la navegación, me cuelga flash player, puede ponerme fotos en una carpeta del firefox, y controla mis movimientos, aparte no se que más hará.

Despues de limpiar el MBR, borra TODO del disco duro, haz un formateo limpio si hace falta de bajo nivel. Descarga una ISO de Windows o de Linux de un sitio FIABLE.

Como dije, el problema no está en el disco duro,es la placa base, pero es probable que afecte los firmwares de la grabadora y del disco duro, aunque no lo se.

Muy poco malware hoy en dia es capaz de hacer eso que dices. Y la mayoria de esos malware tienen prioridades especificas. No atacan a un usuario cualquiera porque a la minima las casas de AV los detectan y se joden. La probabilidad de que algún componente de tu PC (que no sea el disco duro) este infectado es de menos del 1%.

Mira, entiendo tu frustacion de que siempre aparezca a pesar de lo que haces, pero si hacemos mal las cosas es normal. Necesitas librarte primero del virus, descargar las herramientas adecuadas de un ordenador limpio (y el de tu madre no te fíes que este limpio) y ya luego si todo falla entonces es cuando te pones a pensar que eres el elegido.

Con linux, no me deja instalarle los controladores adicionales y con windows,  los drivers me deja desinstalarlos pero se vuelven a cargar solos al reiniciar.

Eso es completamente normal.

Bueno lo he vuelto a poner por que me lo has pedido #!drvy  , pero he repetido un poco más de lo mismo, yo solo preguntaba por si los técnicos profesionales, deberían poder decirme algo, o si ellos no saben estas cosas, cosa que me extrañaria, por que dedicándose profesionalmente a la informática deberían poder decirme algo por lo menos. Pero bueno, un técnico por lo menos me ha reconocido que hay algo y que el no sabe repararlo, algo es algo .

No están obligados a saber de estas cosas. Nadie esta obligado a saber resolver un problema al 100%. Hay técnicos y hay técnicos, no todos saben lo mismo y a nadie le enseñan a como tratar todos los malware que salen por ahí. Es cierto que hay gente especializada pero la mayoría de los técnicos en una tienda son gente que tiene lo suficiente conocimiento como para tratar los problemas mas generales.

Es como si tu vas al medico de atención primaria (el familiar) y le pides que te haga una cirugía o cualquier cosa.... te va a mandar a un especialista. Los profesionales no lo saben todo y porque no sepan algo, no quiere decir que no se puedan dedicar profesionalmente a ello. Para eso existen las ramas de especialización.

Saludos

Podrias mostrar esos logs de los que hablas ? A ver que te reportan ?

Saludos

Has probado con

Código [Seleccionar] Expandir

http://www.pdfunlock.com/es

?

PD: @engel lex, con Acrobat puedes impedir que un usuario "copie" el texto de un PDF al igual que puedes impedir que lo imprima y cosas así

Saludos