elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Pregunta sobre troyanos
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Pregunta sobre troyanos  (Leído 3,794 veces)
Hack-11

Desconectado Desconectado

Mensajes: 103


Ver Perfil
Pregunta sobre troyanos
« en: 6 Junio 2011, 19:46 pm »

Hola pues vi en un foro que colgaron un crypter que en realidad era un fake y consiguieron sacar el no-ip y su ip que usaba para el troyano que se hacia pasar por cryoter como demonios lo hicieron? mas que nada curiosidad xD
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Pregunta sobre troyanos
« Respuesta #1 en: 6 Junio 2011, 19:52 pm »

Pues no se específicamente que técnica utilizarían... Normalmente con abrirlo con un editor hexadecimal ya puedes encontrar la cuenta No-IP en texto plano... Otras se ejecuta desde una maquina virtual y se observan las conexiones salientes... Pero sin duda la más fácil es subirlo a Anubis, allí ya te dicen donde se intenta conectar y mucha más información interesante :D
En línea

Hack-11

Desconectado Desconectado

Mensajes: 103


Ver Perfil
Re: Pregunta sobre troyanos
« Respuesta #2 en: 6 Junio 2011, 20:04 pm »

aa pues muchas gracias la verdad esque pense que seria algo mas complico pero es bastante facil... la pagina esa de anuubis me la llevo a favoritos...

Salu2 (por cierto pitoloko te he enviado un mp si pudiera leerlo y contestarlo te lo agredeceria xDD)
En línea

SuperDraco


Desconectado Desconectado

Mensajes: 2.505


Crew Dragon


Ver Perfil
Re: Pregunta sobre troyanos
« Respuesta #3 en: 6 Junio 2011, 20:33 pm »

¿Pero en anubis distribuyen el sample? porque entonces no sirve para nada xD, si el crypter fuese indetectable y resulta q no está infectado por terceros, entonces a las pocas horas ya lo detectarian 10 av's xD, es arriesgarse demasiado (Si es que lo distribuyen, q no lo se)...


Creo que lo mejor es hacerlo uno mismo, abrir el troyano y con "moo0 connection watcher" monitorizas las conexiones entrantes/salientes y con "Moo0 file monitor" monitorizar si se expande algún regalito... algún archivo no deseado. o hacerlo como ya han mencionado.


PD: he leido tu mp
En línea

No he vuelto, solo estoy de paso.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Pregunta sobre troyanos
« Respuesta #4 en: 6 Junio 2011, 20:53 pm »

@pitoloko: No te preocupes, hasta donde yo tengo entendido Anubis no distribuye las muestras a ninguna casa de AVs
En línea

Edu


Desconectado Desconectado

Mensajes: 1.082


Ex XXX-ZERO-XXX


Ver Perfil
Re: Pregunta sobre troyanos
« Respuesta #5 en: 6 Junio 2011, 23:13 pm »

Pues no se específicamente que técnica utilizarían... Normalmente con abrirlo con un editor hexadecimal ya puedes encontrar la cuenta No-IP en texto plano... Otras se ejecuta desde una maquina virtual y se observan las conexiones salientes... Pero sin duda la más fácil es subirlo a Anubis, allí ya te dicen donde se intenta conectar y mucha más información interesante :D

Pero si el troyano estaba encryptado se vera en texto plano? Decian que el Bifrost sin encryptar se veia clarisimo, pero Spynet y esos ya no, y menos encryptado para los 2 por eso te pregunto.

Una vez que conoces la ip del que intenta crear la conexion, hay programas para saber su no-ip si lo tiene actualizado claro, sabiendo el no-ip con un ping ya sabes la ip, pero yo digo hacer lo contrario, he bajado programas pero ninguno funciona, conocen alguno que funcione 100% ?
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Pregunta sobre troyanos
« Respuesta #6 en: 7 Junio 2011, 00:21 am »

Digo que normalmente se ve en texto plano porque suelen ser RATs cutres que no se toman la molestia ni en cifrar el no-ip...

Se captura directamente la direccion no-ip, al menos en Anubis, ya que este no intercepta solo la conexion una vez efectuada, si no que intercepta el intento de obtener la IP a partir del dominio... es decir... obtiene la cuenta no-ip
En línea

Edu


Desconectado Desconectado

Mensajes: 1.082


Ex XXX-ZERO-XXX


Ver Perfil
Re: Pregunta sobre troyanos
« Respuesta #7 en: 7 Junio 2011, 17:55 pm »

Perfecto, habra que mirar esa web
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Pregunta para los moderadores de troyanos y virus
Sugerencias y dudas sobre el Foro
Snort 2 2,094 Último mensaje 2 Junio 2006, 22:07 pm
por Snort
[Pregunta] Tema [Troyanos,Keylogger,Otros]
Dudas Generales
NightMore 2 2,720 Último mensaje 19 Noviembre 2010, 03:14 am
por jesusarturoes
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines