 Autor
|
Tema: Flux 1.1 (Leído 18,717 veces)
|
rulbury
 Desconectado
Mensajes: 19
|
gracias por la respuesta
pero a mi se me ha instalado en el archivo setup.exe, para quitarlo es lo mismo que con server.exe?
gracias de nuevo
|
|
|
|
|
En línea
|
|
|
|
BloCKeadO
Desconectado
Mensajes: 2.247
Made in Spain.
|
gracias por la respuesta
pero a mi se me ha instalado en el archivo setup.exe, para quitarlo es lo mismo que con server.exe?
gracias de nuevo
Si esta en la misma ruta que se indica arriba y escaneandolo te da como resultado un virus borralo. Tambien puede ser que ese sea el cliente o un server y tambien lo detecte, pero no tiene por que estar instalado en tu pc. Para saber si esta o no instaldo, mira las claves que arriban se indican, si estan o no modificadas o añadidas.
|
|
|
|
|
En línea
|
|
|
|
Death_Soul
Desconectado
Mensajes: 35
|
Server:
dropped file:
c:\WINNT\server.exe
size: 22.804 bytes
startup:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
data: C:\WINNT\server.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AED1C65-4C6B-6A7E-0B2D-6B124E5C705A} "StubPath"
data: C:\WINNT\server.exe 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
data: C:\WINNT\server.exe Jajajajaja, no me lo puedo creer, anda BloCKeaDo, bien sabes que ese nombre es facilmente renombrable, la ruta facilmente cambiable, y donde mas razon tienes en el el registro, pero con un rootkit hookeando, creo que no....
|
|
|
|
|
En línea
|
|
|
|
BloCKeadO
Desconectado
Mensajes: 2.247
Made in Spain.
|
Jajajajaja, no me lo puedo creer, anda BloCKeaDo, bien sabes que ese nombre es facilmente renombrable, la ruta facilmente cambiable, y donde mas razon tienes en el el registro, pero con un rootkit hookeando, creo que no....
Evidentemente es el nombre por defecto y el registro que modifica es ese con el nombre que se le haya puesto y si te fijas bien en los procesos no creo que sea muy dificil de encontrar. La info esta sacada de megasecurity. Y si usas rootkits claro que la cosa cambia, pero no se suelen usar frecuentemente.
|
|
|
|
|
En línea
|
|
|
|
Death_Soul
Desconectado
Mensajes: 35
|
Bueno, BloCkeADo no recuerdo bien pero creo que el Flux usaba el ActiveX tambien como metodo de inicio, que es más dificil de detectar.
Además, "no todos usan rootkits", mejor di "los newbies no usan rootkits", pues cualquiera con un nivel medio, tendrá este tipo de programas indetectables junto con el flux, en este caso, el NAv lo detectó, por lo k se deduce que es un newbie o un simple lamer, pero y en los otros casos?
Solución a este caso: Haz copia de todos tus archivos no binarios, formatea, y reza que no te lo haya metido en la firware de la BIOS
Y que mire en los procesos? Vamos, aparte de que con el rootkit se ocultan, iexplore.exe no canta mucho o si?
He ejemplificado casos de un gran nivel, pero estas cosas pasan y vale que tengan conciencia de lo que puede pasar.
|
|
|
|
« Última modificación: 8 Agosto 2005, 23:23 pm por Death_Soul »
|
En línea
|
|
|
|
BloCKeadO
Desconectado
Mensajes: 2.247
Made in Spain.
|
Bueno, BloCkeADo no recuerdo bien pero creo que el Flux usaba el ActiveX tambien como metodo de inicio, que es más dificil de detectar. Si creo que usa fwb. Además, "no todos usan rootkits", mejor di "los newbies no usan rootkits", pues cualquiera con un nivel medio, tendrá este tipo de programas indetectables junto con el flux, en este caso, el NAv lo detectó, por lo k se deduce que es un newbie o un simple lamer, pero y en los otros casos? Ya esta bien dicho, no todos, habra quien los use y habra quien no los use. Solución a este caso: Haz copia de todos tus archivos no binarios, formatea, y reza que no te lo haya metido en la firware de la BIOS No creo que por un troyano se haya que formatear un pc, vamos seria una solucion muy drastica, pero hay que haga lo que mejor vea. Y que mire en los procesos? Vamos, aparte de que con el rootkit se ocultan, iexplore.exe no canta mucho o si? Que pinta el navegador ejecutandose al inicio con el sistema?? El que entienda, vera que se inicia con el sistema, lo cual ya es sospechoso....O no? Para el que no entiende, ni entendera de claves, ni de registro ni de rootkits.
|
|
|
|
|
En línea
|
|
|
|
Death_Soul
Desconectado
Mensajes: 35
|
Bueno, decia que una vez te hayan instaldo un rootkit la solucion es formatear, no me malinterpretes.
Otro punto jajaja, -debes probar mas tus troyanos-, el flux no se ejecuta al inicio del sistema, a ver como explicarme, la clave en el registro existe (se puede ocultar con un rootkit), pero el troyano al ejecutarse inicia una rutina para comprobar si el user está online, GetConnectedState o algo asi, si esta conectado sigue con el intento de conexion, si no se cierra, esto en milisegundos. Asi que tendrías que conectarte nada más, sin iniciar tu browser para detectar su presencia.
Otra forma que yo uso, para evitar esto (ay no se por k te explico tanto), es copiar el navegador a la carpeta donde tengo el rootkit, y luego le hago un poco de reversing al flux para que inyecte al exe en la ruta que yo le puse, entonces inyecta mi copia del navegador que esta en el dir del rootkit, por lo que cuando inicialice el thread será ocultado por el rootkit.
Espero me hayas entendido.
|
|
|
|
|
En línea
|
|
|
|
BloCKeadO
Desconectado
Mensajes: 2.247
Made in Spain.
|
Te he entendido perfectamente.
Se que el uso de un rootkit dificulta bastante detectar un troyano.
|
|
|
|
|
En línea
|
|
|
|
Death_Soul
Desconectado
Mensajes: 35
|
Espero me hayas entendido.
Bueno, un rootkit es las manos de mucha otra gente que sabe, hace imposible la detección de un troyano.
|
|
|
|
|
En línea
|
|
|
|
elgui
Desconectado
Mensajes: 14
|
pos yo estoy intentando hacer flux 1.01 indetectable pero no lo consigo, ya tengo localizadas las firmas con kav, que ya son 7,por que si se hace con el hexworkshop lo dejas inutilizable,y cuando le meto el topo12 para hacerle un hueco para luego modificarlo con ollydbg me lo deja ya inutilizable tambien ,asi que no se como hacerlo.
|
|
|
|
|
En línea
|
|
|
|
|
 |
