Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: skapunky en 9 Febrero 2010, 01:35



Título: [PAPER] Detección y eliminación de Malware
Publicado por: skapunky en 9 Febrero 2010, 01:35
He acabado un manual de detección y eliminación de malware, mas concretamente virus y troyanos con una amplia explicación con imágenes sobre los puntos mas importantes en cuanto a detectar amenazas y como posteriórmente se les puede hacer frente. El manual tiene varios bloques, con unos objetivos claros.

• Conocer algunas herramientas básicas y gratuitas para la detección de archivos sospechosos.
• Localizar archivos sospechosos y eliminarlos.
• Aprenderá más sobre el sistema operativo Windows y su funcionamiento.
• Aprenderá el funcionamiento de los virus y gusanos más comunes.
• Aumentar la seguridad de su entorno de trabajo así como una actitud activa frente a posibles amenazas.

A demás, el manual tiene un caso real de infección en un pc, donde paso por paso se explica como se ha acabado eliminándo este, de esta forma el lector puede aparte de ver la teória básica que se muestra, un caso práctico donde se ha utilizado.

El manual consta de 16 páginas con buena calidad y todo bien explicado, pensado para aquellos que querais aprender o iniciaros en la seguridad informática referente al campo del malware.


Tipo archivo: PDF
Tamaño: 1 Mb
Compresión: Winrar
Páginas: 16
Descarga: Detección y eliminación de malware (http://killtrojan.googlecode.com/files/Detecci%C3%B3n%20y%20eliminaci%C3%B3n%20de%20Malware.rar)


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: rockernault en 9 Febrero 2010, 01:44
ponte en descarga ell virus... para practicar tambn


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: skapunky en 9 Febrero 2010, 01:51
Esto..el virus pasó a mejor vida  :xD pero pueden practicar con las chapuzillas que se encuentran por el foro  :laugh:

Si alguien está poco seguro de utilizar otros virus y quiere un ejecutable para practicar, puedo programar un programa que haga exáctamente lo mismo que ese virus. Vaya...sería un virus pero se le podría hacer una vacuna sin problemas.

Aunqie de todas formas el manual en parte es para que se anímen con su ordenador o otros ordenadores y puedan aprender.


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: rockernault en 9 Febrero 2010, 01:55
deeejame ver si tengo algo por aqui... tenia el conficker, y el brontok y el lechuck... pero deja los busco


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: skapunky en 9 Febrero 2010, 01:57
Hombre, esos para practicar a un usuario que empieza le costará un poc jejjee.

Mañana mismo, haré un programa que simule los efectos de este virus, simplemente el usuario deberá borrarlo y en todo momento tendrá una ventana visible por si no lo consigue poder cerrarlo y eliminar cualquier rastro de este.

Sería como un simulador del virus expuesto  :xD


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: chinox en 9 Febrero 2010, 05:34
gracias por el manual,aunque sea lo basico siempre esta bien echarle un ojo.

salu2.


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: RAID-MAM en 9 Febrero 2010, 05:53
Unas pequeñas criticas :P

 1- El manual dice que es sobre el malware mas comun y no explicas ni la mayoria de tecnicas que pueden ser la de autoejecucion entre otras cosas :P

2- El virus en que te basas es muy perdonando la exprecion mierda :P

 Eso :P

Saludos


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: SOMBRIO en 9 Febrero 2010, 06:23
Y con imagenes y todo. A mi me parecio muy bueno ojala despues realices otros mas avanzados por que algunos virus hasta freezean la pc


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: [Zero] en 9 Febrero 2010, 08:23
Código:
http://www.offensivecomputing.net/


Saludos  :P


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: Novlucker en 9 Febrero 2010, 11:20
Hacker_Zero, supongo que lo dices por las muestras no? ;D

A mi me ha gustado el paper, y seguro que a los que empiezan le ha dado más de una idea :P

Saludos
 


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: MazarD en 9 Febrero 2010, 11:28
Me ha parecido bueno, hay que tener en cuenta los usuarios objetivo del paper, no es para programadores de malware, ni para administradores de sistemas, ni...
Es para el usuario común, y sin duda si la gente siguiera lo que se expone no habría ni la mitad de máquinas infectadas, el grueso de virus existentes se eliminan sin más complicación.

Saludos.


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: skapunky en 9 Febrero 2010, 11:34
Citar
Me ha parecido bueno, hay que tener en cuenta los usuarios objetivo del paper, no es para programadores de malware, ni para administradores de sistemas, ni...
Es para el usuario común, y sin duda si la gente siguiera lo que se expone no habría ni la mitad de máquinas infectadas, el grueso de virus existentes se eliminan sin más complicación.

Exacto, eso es justamente lo que pretendia, un virus puede copiarse en mas de un sitio, crear mas de una clave, tener mas de un proceso...pero explicadocon una ejemplo de cada después es simplemente aplicarlo a todos los archivos, todos los procesos y todas las claves que existan.

Como se aprende realmente es en la practica, sentarse frente al ordenador, provar los programas que se recomiendan, incluso buscar programas similares o mas avanzados y jugar con ellos.

Por otra parte, me hubiera gustado también explicar sobre la detección de virus o gusanos mediante algún debugger tipo el ollydebug, pero los usuarios que se inician imagino que se asustarian  :laugh:, preferí hacer algo básico, que se entienda y que cualquier lo pudiese seguir sin problemas.


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: Arcano. en 9 Febrero 2010, 17:00
Pues a mí también me ha parecido bueno. Directo y sin complicaciones. Explicando las ideas básicas que más de uno -y de 1128- desconoce...

Saludos!


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: [Zero] en 9 Febrero 2010, 18:47
Hacker_Zero, supongo que lo dices por las muestras no? ;D

A mi me ha gustado el paper, y seguro que a los que empiezan le ha dado más de una idea :P

Saludos
 

Si, de ahí me las bajo yo, aún tengo el netsky corriendo por la otra partición  :¬¬ .
Saludos  :xD


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: [L]ord [R]NA en 10 Febrero 2010, 01:08
Hacker_Zero, supongo que lo dices por las muestras no? ;D

A mi me ha gustado el paper, y seguro que a los que empiezan le ha dado más de una idea :P

Saludos
 

Si, de ahí me las bajo yo, aún tengo el netsky corriendo por la otra partición  :¬¬ .
Saludos  :xD

:xD vago... le falto algunas cosas basicas al tuto pero esta bueno para empezar


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: skapunky en 10 Febrero 2010, 02:10
Podrían comentar que creen que le falta y lo añado, tengo el archivo en word y lo puedo modificar  ;).


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: Jaixon Jax en 10 Febrero 2010, 03:21
  Pues primero creo que te falto el directorio mas usado donde se copian los malware:

   USERPROFILE
   APPDATA
   ALLUSERPROFILE

  En esos tres directorios se copia cuando no tiene privilegios y si tiene privilegios de seguro se instalara como servicio en ese caso las LLaves

  HKLM\SYSTEM\CurrentControlSet\Services .

  y con el comando sc delete [nombre del servicio] se elimina el servicio ......

Por los momentos vi eso  :) ...

  Saludos ...


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: [L]ord [R]NA en 10 Febrero 2010, 05:29
Faltaron algunas direcciones del registro que ejecutan aplicaciones en el inicio.


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: Darioxhcx en 10 Febrero 2010, 05:35
se , lo de las direcciones del registro puede ser
pero es solo por ensima que se las menciona , un analisis muy profundo al registro y a todas las claves demandaria mucho tiempo
tambien destacar que no siempre los archivos se ven mediante el administrador de tareas , pero es buena la informacion volcada en el documento
lo lei entero , es basico , pero bastante explicativo , y nunca deja de destacar que no abarca todo , por eso tambien deberiamos informarnos mejor sobre las claves  y esas cosas

saludos


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: Arcano. en 10 Febrero 2010, 13:13
Muy buenas,

Además de la ruta genérica: HKLM. No estaría de más indicar que en la ruta HKCU se inicia el Malware de los usuarios que no tienen privilegios.

Si un ordenador está infectado con un usuario determinado (HKCU), no tiene por qué haber tocado la rama HKLM.

Otra rama a tener en cuenta cuando el usuario tiene privilegios: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Valor Userinit.

De ese modo, el malware se asegura el inicio incluso en modo seguro...

Ahora bien... No sé si sería mejor dejar el manual básico como está -que lo veo perfecto- y aportar ideas para un manual más avanzado...

El cual, tampoco estaría mal que destriparas 'el amigo' con el Ollydbg o cualquier otra herramienta (string de sysinternals)... Si por pedir...  :silbar:

Saludos!


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: Darioxhcx en 10 Febrero 2010, 14:52
Otra rama a tener en cuenta cuando el usuario tiene privilegios: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Valor Userinit.

De ese modo, el malware se asegura el inicio incluso en modo seguro...
si es asi , podriamos usar un cd live cuando no podamos eliminar la clave
saludos


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: skapunky en 10 Febrero 2010, 15:14
Hombre, por lo que comentan de las claves tienen razón, pero un usuario que toca eso por primera vez creo que ya tiene suficiente con esas dos claves dadas, ya que profundizr en ese tema creo que podría crear confusion en caso de no extenderse en lo que es el registro.

Lo que no estaría mal es un buen tutorial aparte del registro, aunque eso ya es un tema mas específico.

La información dada, rutas y tal si que se pueden añadir mas, pero me he basado sobre todo en quizá las características del 50% de malware que veo y en caso de haber otras claves por ejemplo el propio log del hijackthis ya lo indicaria.


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: Arcano. en 10 Febrero 2010, 17:39
Por mi parte, como ya he dicho, el tutorial, básico como es, está perfecto.

Por otro lado, nos podríamos poner de acuerdo y realizar entre todos un manual 'más' avanzado...

Ahí queda eso...

Quién empieza...  :silbar:

____________________________________________-

Citar
Otra rama a tener en cuenta cuando el usuario tiene privilegios: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Valor Userinit.

De ese modo, el malware se asegura el inicio incluso en modo seguro...
si es asi , podriamos usar un cd live cuando no podamos eliminar la clave

Podrás eliminar el archivo asociado a esa clave, pero no podrás acceder al registro para eliminar la clave. Vamos, creo yo... ¿Se puede acceder al registro de Windows desde un LiveCD???  :huh:

Si sólo eliminamos el archivo, pero la clave sigue 'vigente'... Estando en Winlogon, no sé cómo se lo tomará el sistema. Supongo que iniciará normalmente, puesto que el userinit propio lo tiene...

Citar
Lo que no estaría mal es un buen tutorial aparte del registro, aunque eso ya es un tema mas específico.

Pues sí, eso no estaría naaaaaaaaaaada mal...

Saludos.



Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: Novlucker en 8 Abril 2010, 18:02
Citar
¿Se puede acceder al registro de Windows desde un LiveCD??? (https://foro.elhacker.net/Smileys/chef/huh.gif)

Bueno, ya han pasado algunos días desde que se hizo la pregunta pero buscando otra cosa recién la veo, además de que igual Arcano ha estado algo inactivo :P ...

Offline NT Password & Registry Edito (http://pogostick.net/%7Epnh/ntpasswd/)r, si no me equivoco el hiren's lo trae

Otra opción, es desde reparar sistema (con cd de win) o un live-cd de linux (más sencillo) tomar los archivos de registro directamente.
Citar
c:\windows\system32\config\system
c:\windows\system32\config\software
c:\windows\system32\config\sam
c:\windows\system32\config\security
c:\windows\system32\config\default

Iniciar Win en otra pc, abrir el regedit y cargar el archivo que necesitemos de los que hemos copiado (según que claves estarán en diferentes archivos) , modificar claves, "descargar", he ir nuevamente al live-cd (o restauración según se haya preferido) y volcar los nuevos archivos (pisamos el original con el nuestro modificado)

Aquí por ejemplo tenemos una explicación similar para un problema dado
:http://support.microsoft.com/kb/811408/es

Y aquí otra explicación de como cargar un subárbol
:http://technet.microsoft.com/es-es/library/cc759303%28WS.10%29.aspx

Saludos :D


Título: Re: [PAPER] Detección y eliminación de Malware
Publicado por: camelotsa en 15 Agosto 2012, 11:22
lo voy a poner en práctica.