Páginas: [1] 
|
 |
|
 Autor
|
Tema: NOD 32 ESET Duda (Leído 893 veces)
|
jeireuz
 Desconectado
Mensajes: 38
¿No es curioso encontrar alguien como yo?
|
Me estaba preguntando si hay una forma de "envenenar" las actualizaciones de algun antivirus, si alguno de ustedes tiene alguna idea de como funcionan y como se integran las actualizaciones del antivirus...
Para poder hacer un envenenamiento de actualizaciones ya asi desacernos del poderoso antivirus.
claro tambien kisiera saber si ya existe la tecnica.
|
|
|
|
|
En línea
|
La realidad es la veracidad de la creencia de la propia existencia.
|
|
|
DNSX
Desconectado
Mensajes: 25
Internal-minds
|
Para eso tendrias que intrudicrte en el servidor y cambiar los updates ( los archivos de actualizacion). saludoas  |
|
|
|
|
En línea
|
|
|
|
jeireuz
Desconectado
Mensajes: 38
¿No es curioso encontrar alguien como yo?
|
Ese no es el problema, Puedes cambiar los registros, del nod y hacer que descargue de otra parte los Updates Envenenados.
|
|
|
|
|
En línea
|
La realidad es la veracidad de la creencia de la propia existencia.
|
|
|
|
Man-In-the-Middle
|
Todo es posible , haciendo un snifer de las conexiones, una injeccion, etc , es super complicado, mas no imposible.
La idea es falsear la lista de serviores, si vas a configuraciones puedes ver la lista de todos los server, que estan para el upgarde de firmas diario.
No eres el primero que lo ha pensado, pero se tendria que hacer muchas cosas, desde un ing inversa al NOD(o what ever) hasta ver en un bug o algo.
Ahora pensadolo bien es rependejo, ya que las firmas vienen encriptadas(asumo), no creo que vengan en plano lol.
Y aparte, no se si estoy especulando esto no esta como modo usuario, creo que el que te puede dar una mayor info es Mek, Eon, hendrix
|
|
|
|
|
En línea
|
|
|
|
jeireuz
Desconectado
Mensajes: 38
¿No es curioso encontrar alguien como yo?
|
Espero vean este post...
|
|
|
|
|
En línea
|
La realidad es la veracidad de la creencia de la propia existencia.
|
|
|
DNSX
Desconectado
Mensajes: 25
Internal-minds
|
Si, es verdad no creo que servidores del nod puedan ser vulnerables asi como asi
|
|
|
|
|
En línea
|
|
|
|
E0N
Lab &
Colaborador
Desconectado
Mensajes: 2.669
|
Pues nunca me ha dado por intentar eso, pero así a ojo puedo descartar algunas cosas: Puedes cambiar los registros, del nod y hacer que descargue de otra parte los Updates Envenenados No tiene sentido, para cambiar el registro ya necesitas que el usuario ejecute un programa que cambie el registro o ejecutarlo tu mediante un exploit. Si lo que quieres es "colar" un virus, pues no tiene sentido ejecutar un exe que haga que el av descargue otro exe y lo ejecute... Por otra parte se podría engañar (en red lan casi 100% seguro de que se puede, aunque no soy muy docto en esos temas) al nod para que "pensase" que se está descargando su bd desde el servidor correcto y que en realidad lo haga desde donde tu quieras, pero sigue sin tener sentido, por que una vez se descargue el archivo (suponiendo que lo lograses) imagenemos que se descarga un exe, que te cres que va a hacer con él? ejjecutarlo? pues no creo... si lo que se ha bajado por lo normal sería un archivo de texto encriptado como bien dice MITM no lo va ha ejecutar, si no que lo leera y no le vería mucho sentido, nunca lo va a ejecutar. Para que lo ejecutase tendrías que encontrar un bug muy grave en el nod y explotarlo, vamos, un asunto complicado... Además supongo que las bd's del nod seguirán cierto orden y tiraría tu archivo como no válido directamente... En conclusión, no veo muy factible una infección por este método, no me atrevo a decir que sea imposible, aunque posiblemente si. Salu2 |
|
|
|
|
En línea
|
|
|
|
^HtCc
Desconectado
Mensajes: 30
I Crash Your Mind
|
una cosa si lo que quieres es dejar inutilizado un solo av de una sola makina eso si se podria acer pero si lo que quieres es dejar inutilizado el nod de todas las makinas aciendo una actualizacion falsa poss eso si es imposible xk los trabajadores de nod que digo yo amos utilizaran su Av cuando vean que esta obsoleto y que no actualiza buscaran las causas y tarde o temprano encontraran el update que no anda bien.
|
|
|
|
|
En línea
|
|
|
|
jeireuz
Desconectado
Mensajes: 38
¿No es curioso encontrar alguien como yo?
|
Bien, explico no quiero que descargue un exe,
Cuando Oreans demando a eset, nod descargo una actilizacion que hacia que el nod ya no detectara los archivos pasados por themida, bien, si eso fue posible entonces podriamos hacer una actualizacion que borrara todas las firmas de virus y desabilitara o atrofiara la euristica, asi destruiriamos el antivirus, esto haria que el av continuara funcionando pero ya no detectaria ningun virus
|
|
|
|
|
En línea
|
La realidad es la veracidad de la creencia de la propia existencia.
|
|
|
jeireuz
Desconectado
Mensajes: 38
¿No es curioso encontrar alguien como yo?
|
es de una sola pc logicamente por ahora...
|
|
|
|
|
En línea
|
La realidad es la veracidad de la creencia de la propia existencia.
|
|
|
zarocks
Desconectado
Mensajes: 8
|
claro que se puede hacer lo que tu dices pero vuelves a 2 cosas como hacer que nod baje tus updates cambiadas y debes de editar muy bien y saber como bienen las updates para modificarlas y hasta que punto detienes el antivirus por que de poderse se puede :p
|
|
|
|
|
En línea
|
|
|
|
jeireuz
Desconectado
Mensajes: 38
¿No es curioso encontrar alguien como yo?
|
Como!
|
|
|
|
|
En línea
|
La realidad es la veracidad de la creencia de la propia existencia.
|
|
|
|
Páginas: [1] 
|
|
|
 |
