Mensajes

Hay que recordar que hay antivirus que no solo se basan en firmas. También los hay por comportamiento o heurística. De modo que si el malware no esta en su BD de firmas pero si se comporta de forma sospechosa, el anti-malware puede avisar de dicho comportamiento.

Como ya he mencionado antes es recomendable tener una solución anti malware que ofrezca Firewall, HIPS o IPS, Antivirus y Sandboxing todo ello con unas políticas restrictivas aplicadas a zonas de red y programas, además de establecer el nivel de heurística en alto.

Hemos aportado suficientes argumentos para demostrar que el AV no es suficiente para frenar este tipo de ataques, sobre todo si son dirigidos. Lo mejor es hookear todas las funciones relevantes que puedan cambiar el funcionamiento del sistema o comprometerlo, para eso tenemos los IPS.

En el caso del ramsomware, si el coder es hábil no utilizará una API del sistema que previamente haya podido ser hookeada, por lo que si reescribe esas rutinas en su code seguramente el HIPS lo pase por alto.

Saludos.

En teoria cualquier virus nuevo no masificado es indetectable por la base de datos de A.V, entonces cuando los malware o script son diseñados para una víctima específica, a menos que sea un usuario con conocimientos avanzados, no podria hacer nada ¿o me equivoco?.

Realmente es así, si el usuario que recibe la amenaza sólo dispone de un AV basado en el escaneo de firmas, al ser un malware no analizado todavía, es muy probable que pase desapercibido. Sobre todo si está bien codeado.

Saludos.

El usuario me contactó por PM para preguntarme sobre las IPs del emisor en Gmail.

Ya le comuniqué que Gmail enmascara dicha IP con la de su servidor al igual que Outlook, así que necesita de distintos medios para averiguar la IP. Si la víctima es cconocida me decantaría por la ingeniería social.

Saludos.

en este foro yo dudo que alguien haya llegado con un primer tema "soy el creador de un compilador el triple de eficiente de c++, pero necesito ayuda para compilar en arm"

Mis 10. La mayoría fuimos noobs cuando entramos por primera vez al foro, pero verás que la ignorancia va decreciendo.

Saludos.

Un OVNI no es necesariamente un vehículo alien, simplemente son un fenómeno real y aparentemente puede estar tripulado por humanos. Tesla, los nazis, el gobierno de USA ha desarrollado proyectos relacionados con éstos y no, no es trola, solo que es muy fácil llamar desinformador a alguien sin aportar pruebas cuando las pruebas de que existen están por todos los lados.

Saludos y despierten.

necesito si alguien me puede aclarar algo

alguien me molesta con mails, sospecho que es la misma persona con diferentes mails, por eso miro el código fuente de mi  correo de Hotmail y después el X-originating-ip a ver si coincide, entiendo que el último dígito va aumentando por cada email que me manda, pero mi duda es.... si el ip es de 10 dígitos por ej 209.85.192.53 puede ser la misma persona qe su ip es 209.85.218.44, 209.85.213.170 , 209.85.223.174? puedes estos ips ser de la misma persona? o por ej 157.55.2.90 ,  157.55.2.86  y   157.55.2.107?
ayuda please

No. La proveedora de servicios de Internet (ISP) telefónica u otras asignan rangos de IPs para las redes de sus clientes, por lo tanto cada IP de ese rango correspondería a un cliente. En el caso de empresas, si que podrían contar con varios rangos pertenecientes a la misma.

Si te envían correspondencia no deseada desde TOR lo tienes díficil, pues los medios para deanonimizar a alguien son costosos, no es imposible, pero requiere un análisis de correlación de tráfico.

Saludos.

Pero si virtualizo el navegador, cuando descargue algo con él, ¿donde iría la descarga?.

Descargaría a la carpeta indicada en tu navegador. El navegador funciona de igual manera a la que lo hacía antes, sólo que está en un aislado en memoria, no podría saltar a otro proceso por ejemplo, y otras muchas APIs estarían límitadas o restringidas a nivel de acceso. Pero como hemos visto es capaz de escribir en tu partición (Descargas). COMODO tiene un navegador virtualizado por defecto, COMODO Dragon basado en Chrome, yo lo desinstalé, no sé como tratará el tema de las descargas.

Saludos.

Depende de tu conocimiento sobre aplicaciones o métodos defensivos. El impacto del ataque está directamente relacionado con la seguridad o defensa de la víctima.

A mi me gusta más el término anti-malware, pues en este caso yo no utilizo sólo un AV, también ago uso de: HIPS, FW y Sandbox.

El tema de los crypters ha sido ya analizado aquí numerosas veces, está claro que cuando codeas y liberas un malware, éste todavía no habrá sido detectado por las compañías de AVs, por lo que pasará desapercibido hasta que sea analizado por otros medios. Lo mismo para el crypter, si es detectado todos los ejecutables cifrados por el mismo darán positivo.

Imaginemos que tu crypter es nuevo y mi AV no lo detecta, si el crypter descifra el malware y lo guarda en disco, lo más probable es que de positivo si el malware ya es conocido por los AVs. Para eso el crypter debe descifrar y guardar el binario (malware) en memoria y ejecutar su método de entrada (RunPE). Aquí ya el AV queda inservible, pero tenemos un Firewall que bloquea conexiones dudosas y un HIPS que nos avisa de cualquier cambio relevante en nuestro equipo.

Un buen método de infección para bypassear este tipo de medidas es juntar dos ejecutables, un instalador y el malware, para que el usuario lo añada como excepción en su solución anti-malware, pues el instalador requiere de permisos y el usuario confía. Sino con escalar privilegios y subvertir el SO bastaría.

Saludos.

No habría problema alguno, lo que estás haciendo es bloquear las conexiones locales o remotas por lo que el servicio o programa no se verá comprometido por un atacante. Claro que un firewall se puede subvertir para que acepte conexiones ilegítimas. Lo recomendable es actualizar.

La virtualización (Sandboxing) es recomendable en aplicaciones potencialmente vulnerables y expuestas, por ejemplo, en navegadores, donde es común ver que plugins o el propio navegador son mensualmente comprometidos.

Saludos.

Pueden usar un recuperador de contraseñas perdidos, y en donde se pueden encontrar?, pues en los rats, Dark comet tiene uno y es efectivo.
Puede usar u cripter para que no sea detectado o simplemente desactivar el antivirus.
No es tan complicado.

Saludos.

El usuario supuestamente no tiene ningún malware en su equipo y nadie olisqueando en su red, además es imposible determinar la pass si no la guarda en el navegador o no la recuerda mediante el uso de cookies persistente. Sino se trata de alguna de las técnicas que he expuesto antes o portal alejandra (la más razonable).

Y sí, es trivial extraer cualquier pass o cookie guardada por cualquier navegador tradicional, yo creo que cada vez se ríen más de nosotros con la seguridad que ofrecen, aunque sería imposible (depende de la longitud) extraer una contraseña guardada por el navegador si se utilizara una contraseña maestra, ya que requeriría primero el desciframiento de ésta. FF y Chrome ofrecen esta opción (recomiendo activarla).

Saludos.