[PAPER] Detección y eliminación de Malware

Iniciado por skapunky, 9 Febrero 2010, 01:35 AM

0 Miembros y 1 Visitante están viendo este tema.

MazarD

Me ha parecido bueno, hay que tener en cuenta los usuarios objetivo del paper, no es para programadores de malware, ni para administradores de sistemas, ni...
Es para el usuario común, y sin duda si la gente siguiera lo que se expone no habría ni la mitad de máquinas infectadas, el grueso de virus existentes se eliminan sin más complicación.

Saludos.
-Learn as if you were to live forever, live as if you were to die tomorrow-

http://www.mazard.info
http://twitter.com/MazarD
irc://irc.freenode.org/elhacker.net

skapunky

CitarMe ha parecido bueno, hay que tener en cuenta los usuarios objetivo del paper, no es para programadores de malware, ni para administradores de sistemas, ni...
Es para el usuario común, y sin duda si la gente siguiera lo que se expone no habría ni la mitad de máquinas infectadas, el grueso de virus existentes se eliminan sin más complicación.

Exacto, eso es justamente lo que pretendia, un virus puede copiarse en mas de un sitio, crear mas de una clave, tener mas de un proceso...pero explicadocon una ejemplo de cada después es simplemente aplicarlo a todos los archivos, todos los procesos y todas las claves que existan.

Como se aprende realmente es en la practica, sentarse frente al ordenador, provar los programas que se recomiendan, incluso buscar programas similares o mas avanzados y jugar con ellos.

Por otra parte, me hubiera gustado también explicar sobre la detección de virus o gusanos mediante algún debugger tipo el ollydebug, pero los usuarios que se inician imagino que se asustarian  :laugh:, preferí hacer algo básico, que se entienda y que cualquier lo pudiese seguir sin problemas.
Killtrojan Syslog v1.44: ENTRAR

Arcano.

Pues a mí también me ha parecido bueno. Directo y sin complicaciones. Explicando las ideas básicas que más de uno -y de 1128- desconoce...

Saludos!
La curiosidad es la antesala al conocimiento...

[Zero]

Cita de: Novlucker en  9 Febrero 2010, 11:20 AM
Hacker_Zero, supongo que lo dices por las muestras no? ;D

A mi me ha gustado el paper, y seguro que a los que empiezan le ha dado más de una idea :P

Saludos


Si, de ahí me las bajo yo, aún tengo el netsky corriendo por la otra partición  :¬¬ .
Saludos  :xD

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

[L]ord [R]NA

Cita de: Hacker_Zero en  9 Febrero 2010, 18:47 PM
Cita de: Novlucker en  9 Febrero 2010, 11:20 AM
Hacker_Zero, supongo que lo dices por las muestras no? ;D

A mi me ha gustado el paper, y seguro que a los que empiezan le ha dado más de una idea :P

Saludos


Si, de ahí me las bajo yo, aún tengo el netsky corriendo por la otra partición  :¬¬ .
Saludos  :xD

:xD vago... le falto algunas cosas basicas al tuto pero esta bueno para empezar

skapunky

Podrían comentar que creen que le falta y lo añado, tengo el archivo en word y lo puedo modificar  ;).
Killtrojan Syslog v1.44: ENTRAR

Jaixon Jax

  Pues primero creo que te falto el directorio mas usado donde se copian los malware:

   USERPROFILE
   APPDATA
   ALLUSERPROFILE

  En esos tres directorios se copia cuando no tiene privilegios y si tiene privilegios de seguro se instalara como servicio en ese caso las LLaves

  HKLM\SYSTEM\CurrentControlSet\Services .

  y con el comando sc delete [nombre del servicio] se elimina el servicio ......

Por los momentos vi eso  :) ...

  Saludos ...

[L]ord [R]NA

Faltaron algunas direcciones del registro que ejecutan aplicaciones en el inicio.

Darioxhcx

se , lo de las direcciones del registro puede ser
pero es solo por ensima que se las menciona , un analisis muy profundo al registro y a todas las claves demandaria mucho tiempo
tambien destacar que no siempre los archivos se ven mediante el administrador de tareas , pero es buena la informacion volcada en el documento
lo lei entero , es basico , pero bastante explicativo , y nunca deja de destacar que no abarca todo , por eso tambien deberiamos informarnos mejor sobre las claves  y esas cosas

saludos

Arcano.

Muy buenas,

Además de la ruta genérica: HKLM. No estaría de más indicar que en la ruta HKCU se inicia el Malware de los usuarios que no tienen privilegios.

Si un ordenador está infectado con un usuario determinado (HKCU), no tiene por qué haber tocado la rama HKLM.

Otra rama a tener en cuenta cuando el usuario tiene privilegios: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Valor Userinit.

De ese modo, el malware se asegura el inicio incluso en modo seguro...

Ahora bien... No sé si sería mejor dejar el manual básico como está -que lo veo perfecto- y aportar ideas para un manual más avanzado...

El cual, tampoco estaría mal que destriparas 'el amigo' con el Ollydbg o cualquier otra herramienta (string de sysinternals)... Si por pedir...  :silbar:

Saludos!
La curiosidad es la antesala al conocimiento...