| |
|
182
|
Seguridad Informática / Análisis y Diseño de Malware / Re: Crear entre todos un Kill AV's
|
en: 17 Octubre 2007, 20:25
|
estaria mejor hacer el if exist con el nombre de la carpeta abreviada y borrar todo el directorio y subdirectorios..
O mejor aún... leer la clave del registro donde esta la InstallPath o usar variables de entorno: %USERPROFILE% para evitar poner C:\Archivos de programa ya que nos podríamos encontrar con: D:\Program Files tambien  |
|
|
|
|
183
|
Seguridad Informática / Análisis y Diseño de Malware / Re: [?] Cactus Joiner 2.71 BETA Release (para BetaTesters)
|
en: 17 Octubre 2007, 20:21
|
Tengo unas preguntas si no es molestia, ¿Van por separado el core y los modulos? ¿Se podrán programar/bajar añadir/actualizar los mismos? o no es tan dinámico... saludos.
Los módulos estarán ya programados dentro del cactus.dll y éste será incluido como recurso dentro del cactus.exe. Teniendo el código fuente del cactus.dll será fácil añadir o quitar módulos, pero me estoy planteando seriamente publicar el código fuente original de esta nueva versión... |
|
|
|
|
184
|
Seguridad Informática / Análisis y Diseño de Malware / Re: [?] Cactus Joiner 2.71 BETA Release (para BetaTesters)
|
en: 16 Octubre 2007, 09:30
|
MadAntrax... cmo llevas el cactus??? toy deseando ya k lo termines, va a se la ostia... 1 salu2
El 'core' del cactus ya está terminado, ahora estoy rematando los módulos dinamicos, es decir: AV-Killer, Frw-Killer, SecurityCenter, etc... Estos módulos son parte del código nuevo y por lo tanto los he tenido que diseñar desde el principio, esto requiere tiempo y a parte tengo que probar cada uno de ellos en máquinas virtuales para comprobar que funcionan correctamente, pido un poco más de paciencia y pronto lo podréis probar. entonces si es para inutilizarlos se puede mandar el server solo , es decir sin el themida o algun cripter , o de todas maneras hay que pasarle?
El funcionamiento de los módulos de AV-Killer los explicaré más adelante, así como el órden de ejecución de los módulos. Pero sí, en teoria no hace falta encriptar el server con themida. Saludos!! |
|
|
|
|
185
|
Programación / Programación VB / Re: Ayuda: Programar módulos para un AV-Killer
|
en: 16 Octubre 2007, 00:28
|
|
Si, cuando insertas un driver no es necesario reiniciar el equipo (por ejemplo el Process Explorer de Sysinternals aloja un driver SYS temporal y no requiere reinicio).
De todas formas si esta parece ser la unica posibilidad de matar el KAV creo que voy a pasar de él y no la implementaré en el Joiner, ahora te dejo la info para crear el driver para matar el KAV
Lo que yo haría sería crear un driver que volcara todo el contenido que hay en la memoria que aloja el driver del KAV, es decir... La idea es conseguir un LOG donde se muestren las llamadas a las APIS que hace el driver del KAV, saber si carga otros drivers, que instrucciones ejecuta, etc...
Una vez con esta información en nuestro poder podríamos centrarnos en atacar esos otros drivers del propio Windows o a las APIS que permiten monitorear todo el sistema
Esta es mi idea, no se si servirá de algo. Lo que si se es que no es tarea facil
|
|
|
|
|
186
|
Programación / Programación VB / Re: Ayuda: Programar módulos para un AV-Killer
|
en: 15 Octubre 2007, 22:40
|
Se nos han adelantado.... recuerdo hace meses que ANELKAOS advirtió de un bug en KAV que permitía la ejecución de código remoto, para ello se basaban en un bug del driver klif.sys Aqui la reviewEste método era bueno, explotar un bug própio del driver, aunque ahora ya está parcheado... Sobre los 3 drivers, uno de ellos es para monitorear el AV el otro el Frw y el otro es una protección adicional. |
|
|
|
|
187
|
Programación / Programación VB / Re: Ayuda: Programar módulos para un AV-Killer
|
en: 15 Octubre 2007, 21:40
|
Y la otra forma se puede hacer desde Ring3, pero según Hendrix eso es imposible hacerlo en VB, la solución sería escribir directamente en el disco duro...es decir, escribir directamente en un sector X de archivo X longitud directamente, lo primero sería hayar el sector del driver, después la longitud (facil) y por ultimo escribir en ese sector del disco con 0's por ejemplo...el driver no te va a poner restriccion alguna pork tocas directamente el hardware... La idea es buena y funcionaría si se tratara de un proceso y no de un driver, me explico... El KAV usa 3 drivers guardados en %SystemRoot%\System32\drivers\kl1.sys
%SystemRoot%\System32\drivers\klif.sys
%SystemRoot%\System32\drivers\klim5.sysSólo uno de estos 3 drivers es el encargado de las protecciones y los otros 2 se protegen entre sí (esta información esta en el registro). La idea de Hendrix es sobreescribir estos archivos directamente en el sector del disco duro, pero para este caso no serviría de nada, pues los drivers SON CARGADOS EN MEMORIA AL INICIO DEL SISTEMA. Para poner en practica la idea de Hendrix tendriamos que cambiar la palabra "disco duro" por "memoria RAM" dejando su teoría en: Crear un programa que localizara los sectores de la memoria RAM donde se hallen cargados los drivers para sobreescribirlos, CON EL INCONVENIENTE que ese espacio de RAM ha sido reservado (con un simple mAlloc por ejemplo) desde Ring0. O lo que es lo mismo, no puedes modificar un espacio de memoria que ya ha sido reservado por un "usuario" más fuerte que tú (Ring0).
Vamos, que nos olvidemos de cargarnos esos 3 drivers, es imposible (o al menos es imposible cargarselos sin necesidad de reiniciar). Alguna idea más? xD |
|
|
|
|
188
|
Programación / Programación VB / Re: Ayuda: Programar módulos para un AV-Killer
|
en: 15 Octubre 2007, 16:18
|
|
A ver, esto del driver que deja el KAV en modo Ring0 no es problema y he conseguido matar el AntiVirus Karspersky 7.0 desde VB6 sin usar el comando AT ni drivers. El único problema es que para que el AV-Killer del KAV funcione requiere un reinicio del PC, y claro, implementar esto en un Joiner es una tontería.
Esto mismo me ocurre con el AVG Free Antivirus (sí, sí, un antivirus gratuito!), me es imposible matarlo sin necesidad de reiniciar el PC antes.
Alguna idea?
Los demás AntiVirus del listado están todos muertos, no he usado ni elevaciones de privilegios (comandos AT ni similares) ni exploits, solo código VB6 puro y duro. Me quedan:
AVP (sin tener que reiniciar)
AVG (sin tener que reiniciar)
Norton 2007 (No me he puesto ni a intentarlo)
Panda (No me he puesto ni a intentarlo)
TrendMicro PC-Cillin (No me he puesto ni a intentarlo)
Por si alguien le interesa como matar el KAV con un reinicio solo decir que investiguen las ACL's, el comando SC y CACLS
|
|
|
|
|
189
|
Programación / Programación VB / Ayuda: Programar módulos para un AV-Killer
|
en: 14 Octubre 2007, 00:59
|
Hola gente, cuanto tiempo!!  Bueno, he estado liado con algunos temas personales pero ya vuelvo ha estar por aquí. He retomado el proyecto del Cactus Joiner y actualmente me estoy centrando en los módulos de AV-Killer para integrarlo todo en el Stub. Os dejo una Screen de lo que llevo hecho:  Ese es el listado que he pensado incluir en esta versión del Cactus, de momento he podido desactivar por código, todos los AV's que aparecen en la imagen excepto: - Kaspersky 7.0: No encuentro la forma de detenerlo
- Norton 2007: No encuentro la forma de detenerlo
- Panda Internet Security: No lo tengo instalado, no podido probar de deshabilitarlo
- BitDefender v10: No lo tengo instalado, no podido probar de deshabilitarlo
- AVG Free 7.5: Lo consigo deshabilitar pero requiere un reinicio del sistema.
- Trend Micro PC-Cillin 2007: Lo tengo instalado y estoy trabajando actualmente con él.
Todos los demás (Nod32, McAffe, Avira, avast!, OnCare, etc...) los he conseguido deshabilitar a través de código VB6 y en menos de 5 segundos. Alguien se anima y me ayuda a encontrar el método para los demás AntiVirus? Muchisimas gracias!! Saludos!!  |
|
|
|
|
192
|
Seguridad Informática / Análisis y Diseño de Malware / Re: borraron el .exe de mi registro!!!
|
en: 09 Agosto 2007, 01:21
|
|
Más fácil. este tipo de virus suele borrar del registro la asociación a los archivos *.exe pero no borra ni los *.com ni los *.bat
Así que como solución temporal puedes renombrar los programas que necesites, ejemplo:
regedit.exe -> regedit.com, regedit.bat, regedit.cmd, regedit.pif, regedit.scr
Cualquiera de esas extensiones funciona EXACTAMENTE igual que un EXE y podrás seguir ejecutándo el programa.
Saludos!! (busca en google: exefix)
|
|
|
|
|
193
|
Informática / Hardware / Re: Procesador -Socket-
|
en: 04 Agosto 2007, 16:21
|
|
Claro, los fabricantes suelen sacar un mismo procesador en varios modelos de sockets, ahora AMD esta apostando por su nuevo socket AM2 y está dejando atrás al anticuado 939. Tienes que buscar uno de esos modelos que estén fabricados bajo 939, a ver si encuentro alguno...
|
|
|
|
|
194
|
Informática / Hardware / Re: Procesador -Socket-
|
en: 04 Agosto 2007, 16:13
|
Veamos, te aclararé un par de términos a ver si así encuentras más facil la solución. El socket es un numero o código que identifica el tipo de conexión de un procesador. Para que sea compatible tu procesador y tu placa base tiene que ser del mismo socket. Como dato extra: Los sockets 939 son oficiales de AMD (no hay ningún procesador Intel fabricado bajo 939), aquí te dejo la lista: - AMD Athlon 64 (2800+ - 4000+)
- AMD Athlon 64 FX
- AMD Athlon 64 X2
- Algunos AMD Opteron 1xx
- Algunos Sempron 3xxx
Fuente: Wikipedia -> Socket_939 |
|
|
|
|
195
|
Seguridad Informática / Análisis y Diseño de Malware / IRC-Bot infecta a traves de MSN con capacidades multilingües (ojo!)
|
en: 04 Agosto 2007, 02:11
|
Bueno, pues hablado hoy con un amigo por el MSN Messenger me suelta esta cariñosa frase:  He buscado algo por internet y he encontrado esta ficha. Parece ser que ahora los programadores de estos "gusanos" se lo curran un poco más y son capaces de detectar cual es el idioma del equipo de la victima para lanzar mensajes de infección a las ventanas de conversación de nuestro Messenger para mejorar su infección. Me imagino que este no debe ser el primer caso, pero al menos esta es la primera vez que veo con mis propios ojos un gusano multilingüe xD FICHA VIRUSPues nada, quedais avisados. Saludos!! |
|
|
|
|
|
| |
|
Mostrar Mensajes
