elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el ttwitter! de elhacker.NET


  Mostrar Mensajes
Páginas: 1 2 3 4 [5] 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 ... 133
41  Programación / .NET (C#, VB.NET, ASP) / Re: [VB.net] Porteo de la implementacion del api de WhatsApiNet WhatsApp WhatsAppAPI en: 20 Abril 2015, 18:22
HOLA!!!

Deberias fijarte si Private Sub wa_OnLoginSuccess(phoneNumber As String, data() As Byte se ejecuta. Ese es el procedimiento que guarda el next challenge

GRACIAS POR LEER!!!
42  Programación / Programación Visual Basic / Re: Resgistar control RicgtTextBox de VB 6 para usarlo. en: 26 Marzo 2015, 12:29
HOLA!!!

Tenes un OCX de 32 bits en SysWOW64, deberias guardarlo y registrarlo en System32

GRACIAS POR LEER!!!
43  Seguridad Informática / Análisis y Diseño de Malware / Re: Icon changer en: 16 Marzo 2015, 12:03
HOLA!!!

Sadfud: La realidad es que sos inocente pero todas las pruebas apuntaban a ti lamento la confusion.

Ademas, opte por dejar de responder en este tema para que no se cree un flame.

GRACIAS POR LEER!!!
44  Programación / Programación General / [SUGERENCIAS] Notificador de mensajes para el foro 4.0 NET en: 14 Marzo 2015, 02:23
HOLA!!!

En este momento luego de 3 años con el proyecto detenido decidi retomarlo, para los que recuerdan y quieren ver como era (sigue funcionando el viejo) y para los que no saben que es y tienen curiosidad:
http://foro.elhacker.net/software/notificador_de_mensajes_nuevos_del_foro_por_79137913-t365382.0.html

Publiquen sus sugerencias por favor

Les presento el Notificador eHn 4.0 NET:
Caracteristicas:
- Completamente porteado y con codigo optimizado para un mejor rendimiento
- 100% codeado en NET con compatibilidad con los ultimos sistemas operativos
- No posee dependencia alguna, es un Exe Stand Alone (o portable si asi lo prefieren)
- Las solicitudes web se han optimizado para reducir al maximo los bytes transferidos
- Ahora se puede elegir entre 3 Skins distintos. (veremos capturas mas adelante)
- Formularios mas intuitivos
- Notificadores especiales y de usuarios con ABM
- Sistema de notificaciones emergentes PopFade (como un popup pero con fade in y fade out)
- y mas...

Ahora como me gusta decir a mi "Una imagen vale mas que mil palabras" con ustedes el Notificador y sus skins:

(NOTA: todas las imagenes no se por que razon salieron con la ultima parte del lado derecho en el izquierdo, un problema de captura de pantalla, en ejecucion se ven perfecto!)

Skin Celeste (Clasico del foro):
Principal:

Panel de control:

Subforos a notificar:

Usuarios Conectados:

Notificacion:




Skin Claro (Blanco):
Principal:

Panel del control:

Subforos a notificar:

Usuarios Conectados:

Notificacion:




Skin Oscuro (Gris oscuro):
Principal:

Panel de control:

Subforos a notificar:

Usuarios Conectados:

Notificacion:


Y ademas como me pidio un amigo [ @Elektro ] Se puede deshabilitar el movimiento de los form y mostrar la barra de titulo respectiva:





Este post es para que todos los que quieran esta aplicacion publiquen sus sugerencias sobre que nuevas funciones debo agregarle.

Espero su participacion en este proyecto.

;-) Gracias ElHacker.Net!  ;-)
P.D: No busquen enlace de descarga por que no lo liberaré hasta que tenga algunas funciones extra, y todas las que me digan en este hilo.

GRACIAS POR LEER!!!
45  Programación / Ingeniería Inversa / Re: Posible Malware? en: 14 Marzo 2015, 00:57
HOLA!!!

@MCKSys Argentina Ese sos vos aparece!

Dejo unos antecedentes para que lo checkeen:

El imputado dijo que su compilado original tenia 2 firmas para ver si era cierto copie el codigo de fuente lo pase a un proyecto lo compile y lo subi a virustotal a ver si saltaban esas 2 firmas que el decia, pero no salto nada 0/57.
En el link el proyecto con mi pequeño analisis y los exe (tomo responsabilidad sobre ellos no tienen nada raro):
http://foro.elhacker.net/analisis_y_diseno_de_malware/icon_changer-t431646.0.html;msg2002378#msg2002378

P.D: Analice en busqueda de conexiones ese archivo pero no vi ninguna, igual al ejecutarlo en una sandbox es posible que el crypter lo haya detectado y no haya lanzado el virus.

Suerte y que se sepa la verdad.

GRACIAS POR LEER!!!
46  Seguridad Informática / Análisis y Diseño de Malware / Re: Icon changer en: 14 Marzo 2015, 00:33
HOLA!!!

El codigo funciona correctamente y no es malicioso... pero lean hasta el fondo:
(pueden omitir los codigos)

Listo, lo prometido es deuda les dejo un rar con los siguiente archivos:


Una imagen de como quedo:


URL de descarga directa:
http://www.mediafire.com/download/dgiw82kyqtpaw9w/Cambia_Icono.rar

Source del Formulario:
Código
  1. Private Sub Command1_Click()
  2. With CD
  3.        .DialogTitle = "Select exe file..."
  4.        .Filter = "Executable Files (*.exe)|*.exe"
  5.        .ShowOpen
  6.    End With
  7.  
  8.    Text1.Text = CD.FileName
  9. End Sub
  10.  
  11.  
  12.  
  13. Private Sub Command2_Click()
  14. With CD
  15.        .DialogTitle = "Select icon file..."
  16.        .Filter = "Icons (*.ico)|*.ico"
  17.        .ShowOpen
  18.    End With
  19.  
  20.    Text2.Text = CD.FileName
  21. End Sub
  22.  
  23.  
  24.  
  25. Private Sub Command3_Click()
  26. If ChangeIcon(Text1.Text, Text2.Text) Then
  27.        MsgBox "Hecho", vbInformation, "Mensagem"
  28.    Else
  29.        MsgBox "Error", vbInformation, "Mensagem"
  30.    End If
  31. End Sub

Source del Modulo:
Código
  1. Option Explicit
  2.  
  3. Private Const OPEN_EXISTING             As Long = &H3
  4. Private Const INVALID_HANDLE_VALUE      As Long = -1
  5. Private Const GENERIC_READ              As Long = &H80000000
  6. Private Const FILE_ATTRIBUTE_NORMAL     As Long = &H80
  7. Private Const FILE_BEGIN                As Long = &H0
  8. Private Const RT_ICON                   As Long = &H3
  9. Private Const RT_GROUP_ICON             As Long = &HE
  10.  
  11. Private Type ICONDIRENTRY
  12.    bWidth          As Byte
  13.    bHeight         As Byte
  14.    bColorCount     As Byte
  15.    bReserved       As Byte
  16.    wPlanes         As Integer
  17.    wBitCount       As Integer
  18.    dwBytesInRes    As Long
  19.    dwImageOffset   As Long
  20. End Type
  21.  
  22. Private Type ICONDIR
  23.    idReserved      As Integer
  24.    idType          As Integer
  25.    idCount         As Integer
  26. End Type
  27.  
  28. Private Type GRPICONDIRENTRY
  29.    bWidth          As Byte
  30.    bHeight         As Byte
  31.    bColorCount     As Byte
  32.    bReserved       As Byte
  33.    wPlanes         As Integer
  34.    wBitCount       As Integer
  35.    dwBytesInRes    As Long
  36.    nID             As Integer
  37. End Type
  38.  
  39. Private Type GRPICONDIR
  40.    idReserved      As Integer
  41.    idType          As Integer
  42.    idCount         As Integer
  43.    idEntries()     As GRPICONDIRENTRY
  44. End Type
  45.  
  46. Private Declare Function CreateFile Lib "kernel32" Alias "CreateFileA" (ByVal lpFileName As String, ByVal dwDesiredAccess As Long, ByVal dwShareMode As Long, lpSecurityAttributes As Any, ByVal dwCreationDisposition As Long, ByVal dwFlagsAndAttributes As Long, ByVal hTemplateFile As Long) As Long
  47. Private Declare Function ReadFile Lib "kernel32" (ByVal lFile As Long, lpBuffer As Any, ByVal nNumberOfBytesToRead As Long, lpNumberOfBytesRead As Long, lpOverlapped As Any) As Long
  48. Private Declare Function SetFilePointer Lib "kernel32" (ByVal lFile As Long, ByVal lDistanceToMove As Long, lpDistanceToMoveHigh As Long, ByVal dwMoveMethod As Long) As Long
  49. Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
  50. Private Declare Function BeginUpdateResource Lib "kernel32" Alias "BeginUpdateResourceA" (ByVal pFileName As String, ByVal bDeleteExistingResources As Long) As Long
  51. Private Declare Function UpdateResource Lib "kernel32" Alias "UpdateResourceA" (ByVal lUpdate As Long, ByVal lpType As Long, ByVal lpName As Long, ByVal wLanguage As Long, lpData As Any, ByVal cbData As Long) As Long
  52. Private Declare Function EndUpdateResource Lib "kernel32" Alias "EndUpdateResourceA" (ByVal lUpdate As Long, ByVal fDiscard As Long) As Long
  53. Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (Destination As Any, Source As Any, ByVal Length As Long)
  54.  
  55. Public Function ChangeIcon(ByVal strExePath As String, ByVal strIcoPath As String) As Boolean
  56.    Dim lFile               As Long
  57.    Dim lUpdate             As Long
  58.    Dim lRet                As Long
  59.    Dim i                   As Integer
  60.    Dim tICONDIR            As ICONDIR
  61.    Dim tGRPICONDIR         As GRPICONDIR
  62.    Dim tICONDIRENTRY()     As ICONDIRENTRY
  63.  
  64.    Dim bIconData()         As Byte
  65.    Dim bGroupIconData()    As Byte
  66.  
  67.    lFile = CreateFile(strIcoPath, GENERIC_READ, 0, ByVal 0&, OPEN_EXISTING, 0, ByVal 0&)
  68.  
  69.    If lFile = INVALID_HANDLE_VALUE Then
  70.        ChangeIcon = False
  71.        CloseHandle (lFile)
  72.        Exit Function
  73.    End If
  74.  
  75.    Call ReadFile(lFile, tICONDIR, Len(tICONDIR), lRet, ByVal 0&)
  76.  
  77.    ReDim tICONDIRENTRY(tICONDIR.idCount - 1)
  78.  
  79.    For i = 0 To tICONDIR.idCount - 1
  80.        Call ReadFile(lFile, tICONDIRENTRY(i), Len(tICONDIRENTRY(i)), lRet, ByVal 0&)
  81.    Next i
  82.  
  83.    ReDim tGRPICONDIR.idEntries(tICONDIR.idCount - 1)
  84.  
  85.    tGRPICONDIR.idReserved = tICONDIR.idReserved
  86.    tGRPICONDIR.idType = tICONDIR.idType
  87.    tGRPICONDIR.idCount = tICONDIR.idCount
  88.  
  89.    For i = 0 To tGRPICONDIR.idCount - 1
  90.        tGRPICONDIR.idEntries(i).bWidth = tICONDIRENTRY(i).bWidth
  91.        tGRPICONDIR.idEntries(i).bHeight = tICONDIRENTRY(i).bHeight
  92.        tGRPICONDIR.idEntries(i).bColorCount = tICONDIRENTRY(i).bColorCount
  93.        tGRPICONDIR.idEntries(i).bReserved = tICONDIRENTRY(i).bReserved
  94.        tGRPICONDIR.idEntries(i).wPlanes = tICONDIRENTRY(i).wPlanes
  95.        tGRPICONDIR.idEntries(i).wBitCount = tICONDIRENTRY(i).wBitCount
  96.        tGRPICONDIR.idEntries(i).dwBytesInRes = tICONDIRENTRY(i).dwBytesInRes
  97.        tGRPICONDIR.idEntries(i).nID = i + 1
  98.    Next i
  99.  
  100.    lUpdate = BeginUpdateResource(strExePath, False)
  101.    For i = 0 To tICONDIR.idCount - 1
  102.        ReDim bIconData(tICONDIRENTRY(i).dwBytesInRes)
  103.        SetFilePointer lFile, tICONDIRENTRY(i).dwImageOffset, ByVal 0&, FILE_BEGIN
  104.        Call ReadFile(lFile, bIconData(0), tICONDIRENTRY(i).dwBytesInRes, lRet, ByVal 0&)
  105.  
  106.        If UpdateResource(lUpdate, RT_ICON, tGRPICONDIR.idEntries(i).nID, 0, bIconData(0), tICONDIRENTRY(i).dwBytesInRes) = False Then
  107.            ChangeIcon = False
  108.            CloseHandle (lFile)
  109.            Exit Function
  110.        End If
  111.  
  112.    Next i
  113.  
  114.    ReDim bGroupIconData(6 + 14 * tGRPICONDIR.idCount)
  115.    CopyMemory ByVal VarPtr(bGroupIconData(0)), ByVal VarPtr(tICONDIR), 6
  116.  
  117.    For i = 0 To tGRPICONDIR.idCount - 1
  118.        CopyMemory ByVal VarPtr(bGroupIconData(6 + 14 * i)), ByVal VarPtr(tGRPICONDIR.idEntries(i).bWidth), 14&
  119.    Next
  120.  
  121.    If UpdateResource(lUpdate, RT_GROUP_ICON, 1, 0, ByVal VarPtr(bGroupIconData(0)), UBound(bGroupIconData)) = False Then
  122.        ChangeIcon = False
  123.        CloseHandle (lFile)
  124.        Exit Function
  125.    End If
  126.  
  127.    If EndUpdateResource(lUpdate, False) = False Then
  128.        ChangeIcon = False
  129.        CloseHandle (lFile)
  130.    End If
  131.  
  132.    Call CloseHandle(lFile)
  133.    ChangeIcon = True
  134. End Function
  135. Public Function ExtractIcon(ByVal strExePath As String, ByVal strIcoPath As String) As Boolean
  136.    'In Progress
  137. End Function



Ahora a develar la mentira:
https://www.virustotal.com/es-ar/file/0d331642e66caf4c9bf909a2593bda7ca30f31aabb810c3c01641b980e6de3e1/analysis/1426289235/
Código:
SHA256: 0d331642e66caf4c9bf909a2593bda7ca30f31aabb810c3c01641b980e6de3e1
Nombre: Cambia Icono Original.exe
Detecciones: 0 / 57
Fecha de análisis: 2015-03-13 23:27:15 UTC ( hace 0 minutos )

Os lo explico de nuevo que parece que no lo habeis entendido.
al hacerlo tenia dos firmas y queria que no tuviera ninguna (siempre es mas bonito un verde)...

El codigo compilado no da ningun rastro de virus y el señor dijo que si...Por ende nos quiso embaucar a todos.

Y para que sepan el compilado solo pesa 24KB , y el que subio el señor pesa 700 kb aprox, en la diferencia debe haber algun rat...

Parece que sadfud al final si cree que somos taringa y vamos a caer en esas cosas. Mejor suerte la proxima!  :silbar: ;-)  :laugh:  :xD

P.D: Vale aclarar que lo que dice engel lex puede ser cierto por ahi:
si el icon changer te daba firma de virus, creo que puedes tener infectado el compilador...

GRACIAS POR LEER!!!
47  Seguridad Informática / Análisis y Diseño de Malware / Re: Icon changer en: 13 Marzo 2015, 21:48
HOLA!!!

Voy a hacer oidos sordos a los insultos. :laugh:

Si vos lo decis...mostra el source  :silbar:  pero no era que habias perdido el binario? si hubieses temido el source hubiera sido tan facil como compilarlo de nuevo y listo.

Yo me ofresco para compilar el source y subirlo.

GRACIAS POR LEER!!!
48  Seguridad Informática / Análisis y Diseño de Malware / Re: Icon changer en: 13 Marzo 2015, 19:48
HOLA!!!

Estuve viendo el ejecutable, lo corri en una sandbox y el mismo no dumpea ningun archivo y es mas, da risa, esta tan mal hecho que ni siquiera lo empaqueto con sus ocx  ;-) !

Luego mire el binario y veo que hay algo cifrado dentro y que el programa usa las siguientes funciones: 
Código:
__vbaStrI2    _CIcos    _adj_fptan    __vbaVarMove    __vbaFreeVar    __vbaAryMove    __vbaLenBstr    __vbaStrVarMove   __vbaEnd    __vbaFreeVarList    _adj_fdiv_m64   _adj_fprem1   __vbaStrCat   __vbaSetSystemError   __vbaHresultCheckObj    _adj_fdiv_m32   __vbaAryVar   __vbaAryDestruct    __vbaOnError    __vbaObjSet   _adj_fdiv_m16i    __vbaObjSetAddref   _adj_fdivr_m16i   __vbaVargVar    _CIsin    __vbaErase    __vbaChkstk   __vbaFileClose    EVENT_SINK_AddRef   __vbaGenerateBoundsError    __vbaGet3   __vbaStrCmp   __vbaObjVar   DllFunctionCall   _adj_fpatan   EVENT_SINK_Release    _CIsqrt   EVENT_SINK_QueryInterface   __vbaExceptHandler    _adj_fprem    _adj_fdivr_m64    __vbaFPException    __vbaUbound   __vbaStrVarVal    _CIlog    __vbaErrorOverflow    __vbaFileOpen   __vbaVar2Vec    __vbaNew2   _adj_fdiv_m32i    _adj_fdivr_m32i   __vbaStrCopy    __vbaFreeStrList    __vbaDerefAry1    _adj_fdivr_m32    __vbaR8Var    _adj_fdiv_r   __vbaVarSetVar    __vbaLateMemCall    __vbaAryLock    __vbaStrToAnsi    __vbaVarDup   __vbaFpI4   __vbaVarCopy    __vbaVarLateMemCallLd   __vbaVarSetObjAddref    __vbaLateMemCallLd    _CIatan   __vbaAryCopy    __vbaStrMove    _allmul   _CItan    __vbaUI1Var   __vbaAryUnlock    _CIexp    __vbaMidStmtBstr    __vbaFreeObj    __vbaFreeStr __vbaVargVar    __vbaVarSetObjAddref    __vbaLateMemCall __vbaMidStmtBstr    __vbaLenBstr __vbaStrToAnsi  __vbaUI1Var __vbaGenerateBoundsError VBA6.DLL    __vbaObjSetAddref   __vbaFreeStr    __vbaStrCmp __vbaFreeObj    __vbaFreeStrList    __vbaHresultCheckObj     __vbaStrCat __vbaStrMove    __vbaNew2   __vbaObjSet   CallWindowProcA __vbaAryDestruct    __vbaStrVarVal  __vbaVar2Vec    __vbaAryMove    __vbaAryUnlock     __vbaAryLock    __vbaDerefAry1  __vbaFreeVarList    __vbaVarDup __vbaAryVar __vbaAryCopy        __vbaFreeVar    __vbaStrVarMove 4   S c r i p t i n g . F i l e S y s t e m O b j e c t     G e t F i l e   S i z e     __vbaLateMemCallLd  __vbaR8Var  __vbaVarLateMemCallLd   
   f t \ S e       __vbaObjVar __vbaVarSetVar  __vbaVarCopy    __vbaFileClose  __vbaGet3   __vbaFpI4    __vbaFileOpen        __vbaVarMove    __vbaEnd    __vbaStrI2      __vbaStrCopy    __vbaErrorOverflow  __vbaErase  __vbaUbound __vbaOnError    __vbaSetSystemError

Ademas como si fuera poco (si funcionara bien):
Dumpea en :
Código:
\WINDOWS\SYSTEM32\SHELL32
\WINDOWS\SYSTEM32\USER32
Con un nombre similar a:
Código:
“\   q 3 f 4 5 g 6 7 4 w 2 5 7 h j 2 4 w 5 3 g f 2 o 8 4 7 b t o q 8 3 6 w y 4 t g 5 q 4 5 y j h           . e x e

Y chequea si estos son verdaderos:
Código:
IsUserAnAdmin     U A C   

Por ende a mi parecer es un malware MUY MAL  ;-) :laugh: :xD cifrado y empaquetado.

No quiero presumir pero si hay algo que se es VB6 y eso esta infectado nada de pavadas de "esta detectado".

Mod si te parece correcto bloquea el post y elimina el link de descarga.


GRACIAS POR LEER!!!
49  Programación / Programación Visual Basic / Re: Ayuda código anti flood para visual basic 2010-2013 en: 13 Marzo 2015, 19:31
HOLA!!!

La manera para bloquear el teclado es la que te dijo okik pero eso bloqueara el teclado en toda la pc  :o , en cambio podrias hacer un codigo para que cuando se modifique o se envien los datos del control en el cual los recibis se anule la peticion si hay "flood" como vos lo llamas.

GRACIAS POR LEER!!!
50  Programación / Programación Visual Basic / Re: Ayuda con operaciones con numeros. en: 12 Marzo 2015, 13:22
HOLA!!!

Desconozco como tenes los datos en tu BD pero empecemos:
Primero declara tus variables.
Segundo si Text3.text tiene un separador decimal que no coincide con la configuracion regional de tu pc no va a funionar.
Tercero, nunca conviene guardar la informacion en controles, intenta guardarla en una variable Double.
Cuarto veo que usas Label4 = Val(C) eso es incorrecto, el uso correcto seria Label4.Caption = Str(c)
Quinto, usas el +  como concatenador cuando el operador correcto para no generar errores  es el &.
Sexto, utiliza Geshi la proxima vez que publiques codigo.

GRACIAS POR LEER!!!
Páginas: 1 2 3 4 [5] 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 ... 133
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines