He acabado un manual de detección y eliminación de malware, mas concretamente virus y troyanos con una amplia explicación con imágenes sobre los puntos mas importantes en cuanto a detectar amenazas y como posteriórmente se les puede hacer frente. El manual tiene varios bloques, con unos objetivos claros.
• Conocer algunas herramientas básicas y gratuitas para la detección de archivos sospechosos.
• Localizar archivos sospechosos y eliminarlos.
• Aprenderá más sobre el sistema operativo Windows y su funcionamiento.
• Aprenderá el funcionamiento de los virus y gusanos más comunes.
• Aumentar la seguridad de su entorno de trabajo así como una actitud activa frente a posibles amenazas.
A demás, el manual tiene un caso real de infección en un pc, donde paso por paso se explica como se ha acabado eliminándo este, de esta forma el lector puede aparte de ver la teória básica que se muestra, un caso práctico donde se ha utilizado.
El manual consta de 16 páginas con buena calidad y todo bien explicado, pensado para aquellos que querais aprender o iniciaros en la seguridad informática referente al campo del malware.
Tipo archivo: PDF
Tamaño: 1 Mb
Compresión: Winrar
Páginas: 16
Descarga: Detección y eliminación de malware (http://killtrojan.googlecode.com/files/Detecci%C3%B3n%20y%20eliminaci%C3%B3n%20de%20Malware.rar)
ponte en descarga ell virus... para practicar tambn
Esto..el virus pasó a mejor vida :xD pero pueden practicar con las chapuzillas que se encuentran por el foro :laugh:
Si alguien está poco seguro de utilizar otros virus y quiere un ejecutable para practicar, puedo programar un programa que haga exáctamente lo mismo que ese virus. Vaya...sería un virus pero se le podría hacer una vacuna sin problemas.
Aunqie de todas formas el manual en parte es para que se anímen con su ordenador o otros ordenadores y puedan aprender.
deeejame ver si tengo algo por aqui... tenia el conficker, y el brontok y el lechuck... pero deja los busco
Hombre, esos para practicar a un usuario que empieza le costará un poc jejjee.
Mañana mismo, haré un programa que simule los efectos de este virus, simplemente el usuario deberá borrarlo y en todo momento tendrá una ventana visible por si no lo consigue poder cerrarlo y eliminar cualquier rastro de este.
Sería como un simulador del virus expuesto :xD
gracias por el manual,aunque sea lo basico siempre esta bien echarle un ojo.
salu2.
Unas pequeñas criticas :P
1- El manual dice que es sobre el malware mas comun y no explicas ni la mayoria de tecnicas que pueden ser la de autoejecucion entre otras cosas :P
2- El virus en que te basas es muy perdonando la exprecion mierda :P
Eso :P
Saludos
Y con imagenes y todo. A mi me parecio muy bueno ojala despues realices otros mas avanzados por que algunos virus hasta freezean la pc
http://www.offensivecomputing.net/
Saludos :P
Hacker_Zero, supongo que lo dices por las muestras no? ;D
A mi me ha gustado el paper, y seguro que a los que empiezan le ha dado más de una idea :P
Saludos
Me ha parecido bueno, hay que tener en cuenta los usuarios objetivo del paper, no es para programadores de malware, ni para administradores de sistemas, ni...
Es para el usuario común, y sin duda si la gente siguiera lo que se expone no habría ni la mitad de máquinas infectadas, el grueso de virus existentes se eliminan sin más complicación.
Saludos.
CitarMe ha parecido bueno, hay que tener en cuenta los usuarios objetivo del paper, no es para programadores de malware, ni para administradores de sistemas, ni...
Es para el usuario común, y sin duda si la gente siguiera lo que se expone no habría ni la mitad de máquinas infectadas, el grueso de virus existentes se eliminan sin más complicación.
Exacto, eso es justamente lo que pretendia, un virus puede copiarse en mas de un sitio, crear mas de una clave, tener mas de un proceso...pero explicadocon una ejemplo de cada después es simplemente aplicarlo a todos los archivos, todos los procesos y todas las claves que existan.
Como se aprende realmente es en la practica, sentarse frente al ordenador, provar los programas que se recomiendan, incluso buscar programas similares o mas avanzados y jugar con ellos.
Por otra parte, me hubiera gustado también explicar sobre la detección de virus o gusanos mediante algún debugger tipo el ollydebug, pero los usuarios que se inician imagino que se asustarian :laugh:, preferí hacer algo básico, que se entienda y que cualquier lo pudiese seguir sin problemas.
Pues a mí también me ha parecido bueno. Directo y sin complicaciones. Explicando las ideas básicas que más de uno -y de 1128- desconoce...
Saludos!
Cita de: Novlucker en 9 Febrero 2010, 11:20 AM
Hacker_Zero, supongo que lo dices por las muestras no? ;D
A mi me ha gustado el paper, y seguro que a los que empiezan le ha dado más de una idea :P
Saludos
Si, de ahí me las bajo yo, aún tengo el netsky corriendo por la otra partición :¬¬ .
Saludos :xD
Cita de: Hacker_Zero en 9 Febrero 2010, 18:47 PM
Cita de: Novlucker en 9 Febrero 2010, 11:20 AM
Hacker_Zero, supongo que lo dices por las muestras no? ;D
A mi me ha gustado el paper, y seguro que a los que empiezan le ha dado más de una idea :P
Saludos
Si, de ahí me las bajo yo, aún tengo el netsky corriendo por la otra partición :¬¬ .
Saludos :xD
:xD vago... le falto algunas cosas basicas al tuto pero esta bueno para empezar
Podrían comentar que creen que le falta y lo añado, tengo el archivo en word y lo puedo modificar ;).
Pues primero creo que te falto el directorio mas usado donde se copian los malware:
USERPROFILE
APPDATA
ALLUSERPROFILE
En esos tres directorios se copia cuando no tiene privilegios y si tiene privilegios de seguro se instalara como servicio en ese caso las LLaves
HKLM\SYSTEM\CurrentControlSet\Services .
y con el comando sc delete [nombre del servicio] se elimina el servicio ......
Por los momentos vi eso :) ...
Saludos ...
Faltaron algunas direcciones del registro que ejecutan aplicaciones en el inicio.
se , lo de las direcciones del registro puede ser
pero es solo por ensima que se las menciona , un analisis muy profundo al registro y a todas las claves demandaria mucho tiempo
tambien destacar que no siempre los archivos se ven mediante el administrador de tareas , pero es buena la informacion volcada en el documento
lo lei entero , es basico , pero bastante explicativo , y nunca deja de destacar que no abarca todo , por eso tambien deberiamos informarnos mejor sobre las claves y esas cosas
saludos
Muy buenas,
Además de la ruta genérica: HKLM. No estaría de más indicar que en la ruta HKCU se inicia el Malware de los usuarios que no tienen privilegios.
Si un ordenador está infectado con un usuario determinado (HKCU), no tiene por qué haber tocado la rama HKLM.
Otra rama a tener en cuenta cuando el usuario tiene privilegios: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Valor Userinit.
De ese modo, el malware se asegura el inicio incluso en modo seguro...
Ahora bien... No sé si sería mejor dejar el manual básico como está -que lo veo perfecto- y aportar ideas para un manual más avanzado...
El cual, tampoco estaría mal que destriparas 'el amigo' con el Ollydbg o cualquier otra herramienta (string de sysinternals)... Si por pedir... :silbar:
Saludos!
Cita de: Arcano. en 10 Febrero 2010, 13:13 PM
Otra rama a tener en cuenta cuando el usuario tiene privilegios: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Valor Userinit.
De ese modo, el malware se asegura el inicio incluso en modo seguro...
si es asi , podriamos usar un cd live cuando no podamos eliminar la clave
saludos
Hombre, por lo que comentan de las claves tienen razón, pero un usuario que toca eso por primera vez creo que ya tiene suficiente con esas dos claves dadas, ya que profundizr en ese tema creo que podría crear confusion en caso de no extenderse en lo que es el registro.
Lo que no estaría mal es un buen tutorial aparte del registro, aunque eso ya es un tema mas específico.
La información dada, rutas y tal si que se pueden añadir mas, pero me he basado sobre todo en quizá las características del 50% de malware que veo y en caso de haber otras claves por ejemplo el propio log del hijackthis ya lo indicaria.
Por mi parte, como ya he dicho, el tutorial, básico como es, está perfecto.
Por otro lado, nos podríamos poner de acuerdo y realizar entre todos un manual 'más' avanzado...
Ahí queda eso...
Quién empieza... :silbar:
____________________________________________-
CitarOtra rama a tener en cuenta cuando el usuario tiene privilegios: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Valor Userinit.
De ese modo, el malware se asegura el inicio incluso en modo seguro...
si es asi , podriamos usar un cd live cuando no podamos eliminar la clave
Podrás eliminar el archivo asociado a esa clave, pero no podrás acceder al registro para eliminar la clave. Vamos, creo yo... ¿Se puede acceder al registro de Windows desde un LiveCD??? :huh:
Si sólo eliminamos el archivo, pero la clave sigue 'vigente'... Estando en Winlogon, no sé cómo se lo tomará el sistema. Supongo que iniciará normalmente, puesto que el userinit propio lo tiene...
CitarLo que no estaría mal es un buen tutorial aparte del registro, aunque eso ya es un tema mas específico.
Pues sí, eso no estaría naaaaaaaaaaada mal...
Saludos.
Citar¿Se puede acceder al registro de Windows desde un LiveCD??? (https://foro.elhacker.net/Smileys/chef/huh.gif)
Bueno, ya han pasado algunos días desde que se hizo la pregunta pero buscando otra cosa recién la veo, además de que igual
Arcano ha estado algo inactivo :P ...
Offline NT Password & Registry Edito (http://pogostick.net/%7Epnh/ntpasswd/)r, si no me equivoco el hiren's lo trae
Otra opción, es desde reparar sistema (con cd de win) o un live-cd de linux (más sencillo) tomar los archivos de registro directamente.
Citarc:\windows\system32\config\system
c:\windows\system32\config\software
c:\windows\system32\config\sam
c:\windows\system32\config\security
c:\windows\system32\config\default
Iniciar Win en otra pc, abrir el regedit y cargar el archivo que necesitemos de los que hemos copiado (según que claves estarán en diferentes archivos) , modificar claves, "descargar", he ir nuevamente al live-cd (o restauración según se haya preferido) y volcar los nuevos archivos (pisamos el original con el nuestro modificado)
Aquí por ejemplo tenemos una explicación similar para un problema dado
:http://support.microsoft.com/kb/811408/es
Y aquí otra explicación de como cargar un subárbol
:http://technet.microsoft.com/es-es/library/cc759303%28WS.10%29.aspx
Saludos :D
lo voy a poner en práctica.