últimos mensajes de: 79137913

Mostrar Mensajes
Páginas: 1 2 3 4 [5] 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 ... 137

41	Programación / .NET (C#, VB.NET, ASP) / Re: [VB.net] Porteo de la implementacion del api de WhatsApiNet WhatsApp WhatsAppAPI	en: 20 Abril 2015, 18:22 pm
HOLA!!! Deberias fijarte si Private Sub wa_OnLoginSuccess(phoneNumber As String, data() As Byte se ejecuta. Ese es el procedimiento que guarda el next challenge GRACIAS POR LEER!!!

42	Programación / Programación Visual Basic / Re: Resgistar control RicgtTextBox de VB 6 para usarlo.	en: 26 Marzo 2015, 12:29 pm
HOLA!!! Tenes un OCX de 32 bits en SysWOW64, deberias guardarlo y registrarlo en System32 GRACIAS POR LEER!!!

43	Seguridad Informática / Análisis y Diseño de Malware / Re: Icon changer	en: 16 Marzo 2015, 12:03 pm
HOLA!!! Sadfud: La realidad es que sos inocente pero todas las pruebas apuntaban a ti lamento la confusion. Ademas, opte por dejar de responder en este tema para que no se cree un flame. GRACIAS POR LEER!!!

44	Programación / Programación General / [SUGERENCIAS] Notificador de mensajes para el foro 4.0 NET	en: 14 Marzo 2015, 02:23 am
HOLA!!! En este momento luego de 3 años con el proyecto detenido decidi retomarlo, para los que recuerdan y quieren ver como era (sigue funcionando el viejo) y para los que no saben que es y tienen curiosidad: http://foro.elhacker.net/software/notificador_de_mensajes_nuevos_del_foro_por_79137913-t365382.0.html Publiquen sus sugerencias por favor Les presento el Notificador eHn 4.0 NET: Caracteristicas: - Completamente porteado y con codigo optimizado para un mejor rendimiento - 100% codeado en NET con compatibilidad con los ultimos sistemas operativos - No posee dependencia alguna, es un Exe Stand Alone (o portable si asi lo prefieren) - Las solicitudes web se han optimizado para reducir al maximo los bytes transferidos - Ahora se puede elegir entre 3 Skins distintos. (veremos capturas mas adelante) - Formularios mas intuitivos - Notificadores especiales y de usuarios con ABM - Sistema de notificaciones emergentes PopFade (como un popup pero con fade in y fade out) - y mas... Ahora como me gusta decir a mi "Una imagen vale mas que mil palabras" con ustedes el Notificador y sus skins: (NOTA: todas las imagenes no se por que razon salieron con la ultima parte del lado derecho en el izquierdo, un problema de captura de pantalla, en ejecucion se ven perfecto!) Skin Celeste (Clasico del foro): Principal: Panel de control: Subforos a notificar: Usuarios Conectados: Notificacion: Skin Claro (Blanco): Principal: Panel del control: Subforos a notificar: Usuarios Conectados: Notificacion: Skin Oscuro (Gris oscuro): Principal: Panel de control: Subforos a notificar: Usuarios Conectados: Notificacion: *Y ademas como me pidio un amigo [ @Elektro* ] Se puede deshabilitar el movimiento de los form y mostrar la barra de titulo respectiva: Este post es para que todos los que quieran esta aplicacion publiquen sus sugerencias sobre que nuevas funciones debo agregarle. Espero su participacion en este proyecto. Gracias ElHacker.Net!** P.D: No busquen enlace de descarga por que no lo liberaré hasta que tenga algunas funciones extra, y todas las que me digan en este hilo. GRACIAS POR LEER!!!

45	Programación / Ingeniería Inversa / Re: Posible Malware?	en: 14 Marzo 2015, 00:57 am
HOLA!!! @MCKSys Argentina Ese sos vos aparece! Dejo unos antecedentes para que lo checkeen: El imputado dijo que su compilado original tenia 2 firmas para ver si era cierto copie el codigo de fuente lo pase a un proyecto lo compile y lo subi a virustotal a ver si saltaban esas 2 firmas que el decia, pero no salto nada 0/57. En el link el proyecto con mi pequeño analisis y los exe (tomo responsabilidad sobre ellos no tienen nada raro): http://foro.elhacker.net/analisis_y_diseno_de_malware/icon_changer-t431646.0.html;msg2002378#msg2002378 P.D: Analice en busqueda de conexiones ese archivo pero no vi ninguna, igual al ejecutarlo en una sandbox es posible que el crypter lo haya detectado y no haya lanzado el virus. Suerte y que se sepa la verdad. GRACIAS POR LEER!!!

Seguridad Informática / Análisis y Diseño de Malware / Re: Icon changer

en: 14 Marzo 2015, 00:33 am

HOLA!!!

El codigo funciona correctamente y no es malicioso... pero lean hasta el fondo:
(pueden omitir los codigos)

Listo, lo prometido es deuda les dejo un rar con los siguiente archivos:

Una imagen de como quedo:

URL de descarga directa:
http://www.mediafire.com/download/dgiw82kyqtpaw9w/Cambia_Icono.rar

Source del Formulario:

Código

Private Sub Command1_Click()
With CD
        .DialogTitle = "Select exe file..."
        .Filter = "Executable Files (*.exe)|*.exe"
        .ShowOpen
    End With
 
    Text1.Text = CD.FileName
End Sub
 
 
 
Private Sub Command2_Click()
With CD
        .DialogTitle = "Select icon file..."
        .Filter = "Icons (*.ico)|*.ico"
        .ShowOpen
    End With
 
    Text2.Text = CD.FileName
End Sub
 
 
 
Private Sub Command3_Click()
If ChangeIcon(Text1.Text, Text2.Text) Then
        MsgBox "Hecho", vbInformation, "Mensagem"
    Else
        MsgBox "Error", vbInformation, "Mensagem"
    End If
End Sub

Source del Modulo:

Código

Option Explicit
 
Private Const OPEN_EXISTING             As Long = &H3
Private Const INVALID_HANDLE_VALUE      As Long = -1
Private Const GENERIC_READ              As Long = &H80000000
Private Const FILE_ATTRIBUTE_NORMAL     As Long = &H80
Private Const FILE_BEGIN                As Long = &H0
Private Const RT_ICON                   As Long = &H3
Private Const RT_GROUP_ICON             As Long = &HE
 
Private Type ICONDIRENTRY
    bWidth          As Byte
    bHeight         As Byte
    bColorCount     As Byte
    bReserved       As Byte
    wPlanes         As Integer
    wBitCount       As Integer
    dwBytesInRes    As Long
    dwImageOffset   As Long
End Type
 
Private Type ICONDIR
    idReserved      As Integer
    idType          As Integer
    idCount         As Integer
End Type
 
Private Type GRPICONDIRENTRY
    bWidth          As Byte
    bHeight         As Byte
    bColorCount     As Byte
    bReserved       As Byte
    wPlanes         As Integer
    wBitCount       As Integer
    dwBytesInRes    As Long
    nID             As Integer
End Type
 
Private Type GRPICONDIR
    idReserved      As Integer
    idType          As Integer
    idCount         As Integer
    idEntries()     As GRPICONDIRENTRY
End Type
 
Private Declare Function CreateFile Lib "kernel32" Alias "CreateFileA" (ByVal lpFileName As String, ByVal dwDesiredAccess As Long, ByVal dwShareMode As Long, lpSecurityAttributes As Any, ByVal dwCreationDisposition As Long, ByVal dwFlagsAndAttributes As Long, ByVal hTemplateFile As Long) As Long
Private Declare Function ReadFile Lib "kernel32" (ByVal lFile As Long, lpBuffer As Any, ByVal nNumberOfBytesToRead As Long, lpNumberOfBytesRead As Long, lpOverlapped As Any) As Long
Private Declare Function SetFilePointer Lib "kernel32" (ByVal lFile As Long, ByVal lDistanceToMove As Long, lpDistanceToMoveHigh As Long, ByVal dwMoveMethod As Long) As Long
Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
Private Declare Function BeginUpdateResource Lib "kernel32" Alias "BeginUpdateResourceA" (ByVal pFileName As String, ByVal bDeleteExistingResources As Long) As Long
Private Declare Function UpdateResource Lib "kernel32" Alias "UpdateResourceA" (ByVal lUpdate As Long, ByVal lpType As Long, ByVal lpName As Long, ByVal wLanguage As Long, lpData As Any, ByVal cbData As Long) As Long
Private Declare Function EndUpdateResource Lib "kernel32" Alias "EndUpdateResourceA" (ByVal lUpdate As Long, ByVal fDiscard As Long) As Long
Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (Destination As Any, Source As Any, ByVal Length As Long)
 
Public Function ChangeIcon(ByVal strExePath As String, ByVal strIcoPath As String) As Boolean
    Dim lFile               As Long
    Dim lUpdate             As Long
    Dim lRet                As Long
    Dim i                   As Integer
    Dim tICONDIR            As ICONDIR
    Dim tGRPICONDIR         As GRPICONDIR
    Dim tICONDIRENTRY()     As ICONDIRENTRY
 
    Dim bIconData()         As Byte
    Dim bGroupIconData()    As Byte
 
    lFile = CreateFile(strIcoPath, GENERIC_READ, 0, ByVal 0&, OPEN_EXISTING, 0, ByVal 0&)
 
    If lFile = INVALID_HANDLE_VALUE Then
        ChangeIcon = False
        CloseHandle (lFile)
        Exit Function
    End If
 
    Call ReadFile(lFile, tICONDIR, Len(tICONDIR), lRet, ByVal 0&)
 
    ReDim tICONDIRENTRY(tICONDIR.idCount - 1)
 
    For i = 0 To tICONDIR.idCount - 1
        Call ReadFile(lFile, tICONDIRENTRY(i), Len(tICONDIRENTRY(i)), lRet, ByVal 0&)
    Next i
 
    ReDim tGRPICONDIR.idEntries(tICONDIR.idCount - 1)
 
    tGRPICONDIR.idReserved = tICONDIR.idReserved
    tGRPICONDIR.idType = tICONDIR.idType
    tGRPICONDIR.idCount = tICONDIR.idCount
 
    For i = 0 To tGRPICONDIR.idCount - 1
        tGRPICONDIR.idEntries(i).bWidth = tICONDIRENTRY(i).bWidth
        tGRPICONDIR.idEntries(i).bHeight = tICONDIRENTRY(i).bHeight
        tGRPICONDIR.idEntries(i).bColorCount = tICONDIRENTRY(i).bColorCount
        tGRPICONDIR.idEntries(i).bReserved = tICONDIRENTRY(i).bReserved
        tGRPICONDIR.idEntries(i).wPlanes = tICONDIRENTRY(i).wPlanes
        tGRPICONDIR.idEntries(i).wBitCount = tICONDIRENTRY(i).wBitCount
        tGRPICONDIR.idEntries(i).dwBytesInRes = tICONDIRENTRY(i).dwBytesInRes
        tGRPICONDIR.idEntries(i).nID = i + 1
    Next i
 
    lUpdate = BeginUpdateResource(strExePath, False)
    For i = 0 To tICONDIR.idCount - 1
        ReDim bIconData(tICONDIRENTRY(i).dwBytesInRes)
        SetFilePointer lFile, tICONDIRENTRY(i).dwImageOffset, ByVal 0&, FILE_BEGIN
        Call ReadFile(lFile, bIconData(0), tICONDIRENTRY(i).dwBytesInRes, lRet, ByVal 0&)
 
        If UpdateResource(lUpdate, RT_ICON, tGRPICONDIR.idEntries(i).nID, 0, bIconData(0), tICONDIRENTRY(i).dwBytesInRes) = False Then
            ChangeIcon = False
            CloseHandle (lFile)
            Exit Function
        End If
 
    Next i
 
    ReDim bGroupIconData(6 + 14 * tGRPICONDIR.idCount)
    CopyMemory ByVal VarPtr(bGroupIconData(0)), ByVal VarPtr(tICONDIR), 6
 
    For i = 0 To tGRPICONDIR.idCount - 1
        CopyMemory ByVal VarPtr(bGroupIconData(6 + 14 * i)), ByVal VarPtr(tGRPICONDIR.idEntries(i).bWidth), 14&
    Next
 
    If UpdateResource(lUpdate, RT_GROUP_ICON, 1, 0, ByVal VarPtr(bGroupIconData(0)), UBound(bGroupIconData)) = False Then
        ChangeIcon = False
        CloseHandle (lFile)
        Exit Function
    End If
 
    If EndUpdateResource(lUpdate, False) = False Then
        ChangeIcon = False
        CloseHandle (lFile)
    End If
 
    Call CloseHandle(lFile)
    ChangeIcon = True
End Function
Public Function ExtractIcon(ByVal strExePath As String, ByVal strIcoPath As String) As Boolean
    'In Progress
End Function

Ahora a develar la mentira:
https://www.virustotal.com/es-ar/file/0d331642e66caf4c9bf909a2593bda7ca30f31aabb810c3c01641b980e6de3e1/analysis/1426289235/

Código:

SHA256: 	0d331642e66caf4c9bf909a2593bda7ca30f31aabb810c3c01641b980e6de3e1
Nombre: 	Cambia Icono Original.exe
Detecciones: 	0 / 57
Fecha de análisis: 	2015-03-13 23:27:15 UTC ( hace 0 minutos )

Cita de: sadfud en 13 Marzo 2015, 08:17 am

Os lo explico de nuevo que parece que no lo habeis entendido.
al hacerlo tenia dos firmas y queria que no tuviera ninguna (siempre es mas bonito un verde)...

El codigo compilado no da ningun rastro de virus y el señor dijo que si...Por ende nos quiso embaucar a todos.

Y para que sepan el compilado solo pesa 24KB , y el que subio el señor pesa 700 kb aprox, en la diferencia debe haber algun rat...

Parece que sadfud al final si cree que somos taringa y vamos a caer en esas cosas. Mejor suerte la proxima! :silbar:

P.D: Vale aclarar que lo que dice engel lex puede ser cierto por ahi:

Cita de: engel lex en 13 Marzo 2015, 21:59 pm

si el icon changer te daba firma de virus, creo que puedes tener infectado el compilador...

GRACIAS POR LEER!!!

47	Seguridad Informática / Análisis y Diseño de Malware / Re: Icon changer	en: 13 Marzo 2015, 21:48 pm
HOLA!!! Voy a hacer oidos sordos a los insultos. Si vos lo decis...mostra el source pero no era que habias perdido el binario? si hubieses temido el source hubiera sido tan facil como compilarlo de nuevo y listo. Yo me ofresco para compilar el source y subirlo. GRACIAS POR LEER!!!

Seguridad Informática / Análisis y Diseño de Malware / Re: Icon changer

en: 13 Marzo 2015, 19:48 pm

HOLA!!!

Estuve viendo el ejecutable, lo corri en una sandbox y el mismo no dumpea ningun archivo y es mas, da risa, esta tan mal hecho que ni siquiera lo empaqueto con sus ocx ;-)

!

Luego mire el binario y veo que hay algo cifrado dentro y que el programa usa las siguientes funciones:

Código:

__vbaStrI2    _CIcos    _adj_fptan    __vbaVarMove    __vbaFreeVar    __vbaAryMove    __vbaLenBstr    __vbaStrVarMove   __vbaEnd    __vbaFreeVarList    _adj_fdiv_m64   _adj_fprem1   __vbaStrCat   __vbaSetSystemError   __vbaHresultCheckObj    _adj_fdiv_m32   __vbaAryVar   __vbaAryDestruct    __vbaOnError    __vbaObjSet   _adj_fdiv_m16i    __vbaObjSetAddref   _adj_fdivr_m16i   __vbaVargVar    _CIsin    __vbaErase    __vbaChkstk   __vbaFileClose    EVENT_SINK_AddRef   __vbaGenerateBoundsError    __vbaGet3   __vbaStrCmp   __vbaObjVar   DllFunctionCall   _adj_fpatan   EVENT_SINK_Release    _CIsqrt   EVENT_SINK_QueryInterface   __vbaExceptHandler    _adj_fprem    _adj_fdivr_m64    __vbaFPException    __vbaUbound   __vbaStrVarVal    _CIlog    __vbaErrorOverflow    __vbaFileOpen   __vbaVar2Vec    __vbaNew2   _adj_fdiv_m32i    _adj_fdivr_m32i   __vbaStrCopy    __vbaFreeStrList    __vbaDerefAry1    _adj_fdivr_m32    __vbaR8Var    _adj_fdiv_r   __vbaVarSetVar    __vbaLateMemCall    __vbaAryLock    __vbaStrToAnsi    __vbaVarDup   __vbaFpI4   __vbaVarCopy    __vbaVarLateMemCallLd   __vbaVarSetObjAddref    __vbaLateMemCallLd    _CIatan   __vbaAryCopy    __vbaStrMove    _allmul   _CItan    __vbaUI1Var   __vbaAryUnlock    _CIexp    __vbaMidStmtBstr    __vbaFreeObj    __vbaFreeStr __vbaVargVar    __vbaVarSetObjAddref    __vbaLateMemCall __vbaMidStmtBstr    __vbaLenBstr __vbaStrToAnsi  __vbaUI1Var __vbaGenerateBoundsError VBA6.DLL    __vbaObjSetAddref   __vbaFreeStr    __vbaStrCmp __vbaFreeObj    __vbaFreeStrList    __vbaHresultCheckObj     __vbaStrCat __vbaStrMove    __vbaNew2   __vbaObjSet   CallWindowProcA __vbaAryDestruct    __vbaStrVarVal  __vbaVar2Vec    __vbaAryMove    __vbaAryUnlock     __vbaAryLock    __vbaDerefAry1  __vbaFreeVarList    __vbaVarDup __vbaAryVar __vbaAryCopy        __vbaFreeVar    __vbaStrVarMove 4   S c r i p t i n g . F i l e S y s t e m O b j e c t     G e t F i l e   S i z e     __vbaLateMemCallLd  __vbaR8Var  __vbaVarLateMemCallLd   
   f t \ S e       __vbaObjVar __vbaVarSetVar  __vbaVarCopy    __vbaFileClose  __vbaGet3   __vbaFpI4    __vbaFileOpen        __vbaVarMove    __vbaEnd    __vbaStrI2      __vbaStrCopy    __vbaErrorOverflow  __vbaErase  __vbaUbound __vbaOnError    __vbaSetSystemError

Ademas como si fuera poco (si funcionara bien):
Dumpea en :

Código:

 \WINDOWS\SYSTEM32\SHELL32
\WINDOWS\SYSTEM32\USER32

Con un nombre similar a:

Código:

“\   q 3 f 4 5 g 6 7 4 w 2 5 7 h j 2 4 w 5 3 g f 2 o 8 4 7 b t o q 8 3 6 w y 4 t g 5 q 4 5 y j h           . e x e

Y chequea si estos son verdaderos:

Código:

 IsUserAnAdmin     U A C

Por ende a mi parecer es un malware MUY MAL cifrado y empaquetado.

No quiero presumir pero si hay algo que se es VB6 y eso esta infectado nada de pavadas de "esta detectado".

Mod si te parece correcto bloquea el post y elimina el link de descarga.

GRACIAS POR LEER!!!

49	Programación / Programación Visual Basic / Re: Ayuda código anti flood para visual basic 2010-2013	en: 13 Marzo 2015, 19:31 pm
HOLA!!! La manera para bloquear el teclado es la que te dijo okik pero eso bloqueara el teclado en toda la pc , en cambio podrias hacer un codigo para que cuando se modifique o se envien los datos del control en el cual los recibis se anule la peticion si hay "flood" como vos lo llamas. GRACIAS POR LEER!!!

50	Programación / Programación Visual Basic / Re: Ayuda con operaciones con numeros.	en: 12 Marzo 2015, 13:22 pm
HOLA!!! Desconozco como tenes los datos en tu BD pero empecemos: Primero declara tus variables. Segundo si Text3.text tiene un separador decimal que no coincide con la configuracion regional de tu pc no va a funionar. Tercero, nunca conviene guardar la informacion en controles, intenta guardarla en una variable Double. Cuarto veo que usas Label4 = Val(C) eso es incorrecto, el uso correcto seria Label4.Caption = Str(c) Quinto, usas el + como concatenador cuando el operador correcto para no generar errores es el &. Sexto, utiliza Geshi la proxima vez que publiques codigo. GRACIAS POR LEER!!!

Páginas: 1 2 3 4 [5] 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 ... 137