Mensajes

Si un antivirus detectase el Serv-u como malware dirías que es imperdonable ese tipo de falsos positivos

¿Quieres un premio por hacer funcionar un ftp como administrador?

deduzco que usas Avast, y que lo defenderás a capa y espada contra quién intente desprestigiar a tu antivirus favorito, pero he de decirte que tu antivirus deja mucho que desear, cualquiera que sepa un poco del tema sabe que esta versión del serv-u troyanizado es detectado por la mayoria de antivirus, por que no es un servidor ftp que corra como normalmente lo haría cualquier otro, por otro lado,amigo, no necesito ningún premio por correr un ftp como administrador.

Lo que es fácil es criticar un excelente producto por una cosa como esa. Encima con la versión free.

Lo que es fácil es criticar al que critica por el simple hecho de usar el soft, y aún no sabiendo del tema, y yo no critico nada, tan solo muestro sus puntos más débiles, veo que no mencionas nada del radmin ni de netcat, si para ti netcat es un simple falso positivo es por que no conoces realmente lo que puede llegar hacer esta herramienta, que si al menos fuera un falso positivo podrias estar un poco más seguro con tu antivirus, pero por desgracia con dicho soft no podrás detectar a netcat en tu sistema.

Cualquier antivirus hubiera evitado todas las operaciones que logré ejecutar en el sistema, independientemente desde la cuenta que se hiciera, por suerte o por desgracia, cuando usaba windows probé y trasteé con muchos antivirus, y jamás topé con alguno tan torpe e inseguro como Avast, y es que de todos los antivirus solo hay un rey, el señor Kaspersky, porque a este antivirus si se le ha de llamar señor, todo lo que pude hacer con Avast hubiera sido un chiste para KAV, metafóricamente hablando el antivirus se hubiera reido en mi cara al ver lo que intentaba hacer, aún así lo hiciera desde una cuenta de administrador, si es que realmente no he tenido que hacer casi nada para saltear al "excelente" Avast, si hasta un niño puede hacer lo que yo hice, es triste que un antivirus que se encarga de la seguridad no sea seguro,(quién guarda al guarda?)pero es la cruda realidad.

Sobre lo que mencionais Arcano y Novlucker del firewall, está claro que con un firewall todo hubiera sido en vano, pero la intención era testear el antivirus, si lo hubiera hecho con un firewall le habría sacado las castañas del fuego al antivirus, la diferencia real sería hacer el mismo proceso con otros antivirus, ninguno lo permitiria, pero Avast sí.

Un saludo a todos los que usen Avast (y a los que no lo usen también)


PD: Un antivirus que deja correr estos tres procesos y se quede tan ancho...eso no tiene perdón de Diós, ajajaja..
PD2: Ya estoy viendo a algunas personas que hayan visto el video y usen Avast reportando para que netcat sea detectado por el antivirus

[NOTA: Todas las operaciones se hacen bajo Windows XP y en una cuenta de Administrador.]

La seguridad de Avast deja bastante que desear, mostraré algunos motivos que a mi parecer son demasiado "infantiles" en un antivirus, aunque quizás infantiles no sea la palabra adecuada, más bién "limitado" por que cada antivirus hace lo que puede.
No entraré en detalles de ninguna clase en los procesos y/o operaciones necesarias,ya que este hilo no es un manual/tutorial de ataque ni nada por el estilo, me limitaré solo a mostrar la inseguridad del antivirus, aunque cualquiera que sepa algo sobre este tema lo podrá observar con claridad y comprensión.

NOTA: Todas las operaciones se hacen bajo Windows XP y en una cuenta de Administrador.
(Aunque puede hacerse por igual en una cuenta sin privilegios haciendo algunas variaciones)

Una de mis sorpresas al analizar algunos programas con Avast fue que tanto netcat como serv-u (servidor ftp) no levantaba ningún tipo de alarma, para dicho antivirus no son peligrosos estos "programitas" que tanto daño pueden hacer a un sistema. Radmin si lo detecta, pero con algunas sencillas modificaciones se vuelve indetectable, teniendo estos tres programas en una misma carpeta y pasando desapercibido al antivirus, la imaginación empieza "a volar"

Como no pondré codigo alguno, explicaré por encima lo que hice para ocultar y correr los procesos mencionados anteriormente, complementándolo con el video de más abajo.
Para ocultar los archivos lo que hice fue comprimirlo junto a un programa portable (7-Zip en este caso) en un archivo autoextraible, programando la ejecución de 7-Zip portable y un archivo batch que se encargará de agregar las entradas en el registro para ejecutar los procesos en el arranque, copiar todos los archivos en system32 y finalmente ejecutar los tres procesos.

Como una imagen vale más que mil palabras y este post no es un manual de ataque, no me extenderé más, tan solo vea el video y observe todas las operaciones descritas anteriormente. Al finalizar el video, póngase por unos instantes en la piel del cual estaría la persona "hackeada", donde alguién observa todo lo que haces con el ordenador, tiene todo tu disco duro a merced con un servidor ftp instalado donde subir y descargar archivos a su antojo y una shell del sistema pudiendo ejecutar cualquier comando, de paso subirte un keylogger y pillarte todas las contraseñas posibles, a mi me dan escalofríos tan solo de imaginarlo, para desgracia de algunos, actualmente miles de personas se encuentran en una situación similar, ¿qué antivirus usarán? ¿Kaspersky? ¿Avast? ¿Nod32? ¿ninguno?.

El video puede visualizarse en HD

Ver a pantalla completa y en HD ----> http://www.youtube.com/watch?v=J3fjt9uY5To&hd=1

[youtube=640,505]http://www.youtube.com/watch?v=J3fjt9uY5To[/youtube]

by Mytnick

desde la bios se puede, pero supongo que no en todas

Avast es muy cutre, cuando usaba windows hacía virguerías con él, cualquier modificación es suficiente para saltarselo, se lo tragaba todo, lo más curioso es que saltaba la alarma con archivos indefensos y con malwares,troyanos,rootkit,etc...  no saltaba la alarma 

no entiendo el porque cambiarle la versión.
no estoy seguro pero creo que el programa estará protegido en este sentido, al cambiar la versión se queda inutilizable como medida de protección.

saludos

yo pienso que si, sin ir mas lejos,mi caso por ejemplo, llevo desde los ocho años con ordenadores y nunca habia frecuentado ningun foro hasta hace casi 2 años, todo lo que se lo sé a base de práctica, aprendí sin cesar,nunca pregunté nada en un foro, para mi estaba de más ya que perdia tiempo cuando podria hacer otras cosas mas productivas,cuando me decidí registrame en alguno solo lo hice con la intención de expresar y/o publicar mis conocimientos que podrian serle útiles a mucha gente,porque tampoco veo bien adquirir conocimientos y guardarmelo todo para mis adentros, sentí la necesidad de compartir todo lo aprendido, pero tampoco se puede compartir todo,de lo contrario me faltarian horas para postear todos los conocimientos dejando de lado el aprendizaje.

saludos

[youtube=425,350]http://www.youtube.com/watch?v=63AVNnDLogY[/youtube]
Historia Dragon Ball Z en imágenes

[cambioIP.cmd]

para evitar eso yo utilizo netcat, asi los datos se cargan correctamente, he modificado un poco un script que tenia para cambiar la ip (reiniciar router) automáticamente agilizando mucho el tener que cambiar de ip cada X tiempo.

cambioIP.cmd

@echo off
::Script para renovar  la IP automáticamente       - by Mytnick  -
::Para poder utilizar este script  se necesita tener Netcat en system32  "nc.exe"
::Recuerde que Netcat es detectado por casi todos los antivirus  al considerarlo una herramienta de tipo "hacker"
mode con cols=80
mode con lines=25
color 8f
title Renovar IP Automaticamente  - by Mytnick -
if exist %windir%\system32\nc.exe (goto main) else goto error
:main
cls
echo.
echo  [[ by Mytnick ]]
echo.
echo.
echo                           ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
echo                           º Renovar IP Automaticamente º   
echo                           ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
echo.
echo.
echo.
set /p time= Introduzca el tiempo restante en minutos:
echo.
set /p user= Introduzca nombre de usuario:
echo.
set /p pass= Introduzca password:
cls
echo.
echo  [[ by Mytnick ]]
echo.
echo.
echo                           ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
echo                           º Renovar IP Automaticamente º   
echo                           ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
echo.
set /a con=60*time
echo.
echo  - INFORMACION -
echo  ===============
echo.
echo  Puerta de enlace: 192.168.1.1       
echo.
echo  Puerto: 23
echo.
echo  Usuario: %user%       
echo.
echo  Password: ******** (oculto)
echo.
echo  Tiempo restante: %con% seg.  (%time% min.)
echo.
echo  Espere..
ping -n %con% 127.0.0.1 > nul
echo %user%>0.tmp
echo %pass%>>0.tmp
echo reboot>>0.tmp
echo user logout>>0.tmp
nc<0.tmp 192.168.1.1 23 | exit
del /f /q 0.tmp
exit
:error
cls
echo.
echo.
echo  ERROR!! No se ha podido encontrar el archivo nc.exe en system32
echo.
echo.
echo  A continuacion sera redirigido a www.securityfocus.com para su descarga
echo.
echo.
echo  Pulse una tecla...
pause > nul
start http://www.securityfocus.com/tools/139
exit

saludos

solo contiene esa clave?? pufff, me dejaste en fuera de juego, si solo contiene esa clave no debe porque darte error.
en que tipo de cuenta lo intentas? cuenta usuario o administrador??

[S-1-5-21-796845957-1644491937-1606980848-500]

creo que el error es debido a que intentas importar llaves unicas  de otro sistema.

no se como explicarlo técnicamente, a ver como te digo para que me entiendas..

el registro contiene claves y valores unicas de sistema que se crean al instalar windows, claves que se crean aleatoriamente en cada instalación, claves de este tipo:

S-1-5-21-796845957-1644491937-1606980848-500

puedes importar lo que quieras, pero lo que no puedes hacer es importar una clave de otro sistema (distinta), creo que no me expliqué muy bién 

yo creo que es por esto, kizas me equivoque, tan solo mira si en el archivo .reg contiene alguna cadena de este tipo (casi pongo la mano en el fuego que tienes alguna )

Saludos