elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


  Mostrar Mensajes
Páginas: [1] 2 3 4 5 6
1  Seguridad Informática / Wireless en Windows / Re: Escarmentar a un tio que me roba wi-fi en: 20 Diciembre 2013, 16:03 pm
El mejor escarmiento es que cuando vaya a intentar conectarse de nuevo, no pueda.

Le cortas el acceso entrando en el menú de configuración de tu router y dejando entrar sólo a los dispositivos que tú digas, filtrado por MAC address.
2  Seguridad Informática / Análisis y Diseño de Malware / Re: ¿Como funciona internamente el virus de la policia? en: 11 Noviembre 2013, 22:18 pm
Cita de: paulagarcum
Por cierto no es ningún virus. Es un troyano.

Cita de: daryo

no lo creo. un troyano permite el control remoto de un computador e intenta pasar desapercibido , evidentemente el virus de la policia no intenta pasarse desapercibido ni es la intencion el control remoto del pc

mas bien es un ransomware
https://en.wikipedia.org/wiki/Ransomware_%28malware%29


El PDF que tú mismo pones de TrendMicro me sirve para responderte: tiene este título: The “Police Trojan”.
En el PDF se refieren a él como Trojan.
Ramsonware es un tipo de malware (sea del tipo que sea ese malware) que tiene como característica principal que pide un rescate: ransom = rescate, de ahí su nombre. Pero no es ningún tipo de clasificación genérica como virus, worm, trojan, ... Y por supuesto vuelvo a aclarar que no es ningún virus (ya que no infecta ejecutables, boot sectors, etcs), sino un troyano. Por cierto, un troyano no implica forzosamente el control remoto de un computador. A partir de aquí que cada uno siga pensando lo que guste. Mi respuesta sobre esto es ésta, no entro a más.
3  Seguridad Informática / Análisis y Diseño de Malware / Re: ¿Como funciona internamente el virus de la policia? en: 11 Noviembre 2013, 20:31 pm
Está bien la cuestión que planteas. Igual para ello sería conveniente hacerse con el ejecutable y analizarlo. O en su defecto mirar alguna descripción técnica de alguna casa AV o similar, aunque mucho no ponen ni explican, la verdad.

Siguiendo con lo que preguntabas, a mí ya puestos, me intriga cómo puede hacer para que al reiniciar no se pueda entrar con F8 en modo seguro al sistema.

Sé que en Windows XP (y quizás 9X) es modificando unas claves en el registro. Pero esas claves están protegidas en Windows Vista, 7, 8. Luego entonces parece que no lo hace así por registro en esas versiones del SO.

¿Cargará algún driver? ¿? Que yo sepa, o imagine, es un malware en Ring3 sólo ¿no?
Por cierto no es ningún virus. Es un troyano.
4  Seguridad Informática / Seguridad / Re: Nuevo virus de la POLICIA con foto del Rey en: 11 Noviembre 2013, 12:25 pm
Bolox gracias por el enlace al live cd de Kaspersky.

No usaba ese live cd. No lo conocía. Pero ahora me lo estoy bajando y lo tendré en un cd listo para usarlo si lo necesito.

Gracias.


Yo he eliminado más de dos y más de tres virus de estos (no con la cara del rey, las versiones más antiguas) dos de ellas en mi PC.

-Si tienes windows 7, puedes (o al menos con las antiguas se podía) darle a ctrl + alt+ supr y le das a cerrar sesión, el proceso del virus fallará, y pedirá que finalices la tarea, la finalizas, pasas el antivirus y ya está.

-Si tienes winXP es algo más complicado, tendrías que meterte en modo consola y hacer unos cambios en el registro.

O, siempre puedes tirar por la opción fácil y sencilla (siempre y cuando tengas otro PC, claro está) que es la que te recomienda la compañera paulagarcum, un livecd antivirus, yo, personalmente uso el Karpesky rescue disk, te lo bajas, actualizas la base de datos del antivirus (requiere conexión a internet) y lo puedes limpiar fácilmente. A mi me ha dado muy buenos resultados y ya siempre que me viene algún amigo/amiga con este problema tiro del Karpesky rescue disk directo xD.

Aquí te dejo el link (gratuito), cualquier problema o lo que sea, ando por aquí, aunque no postee mucho xD.
http://support.kaspersky.com/viruses/rescuedisk#downloads
5  Seguridad Informática / Seguridad / Re: Nuevo virus de la POLICIA con foto del Rey en: 9 Noviembre 2013, 20:24 pm
No me extraña que no haya manera de cerrar la página. Ni siquiera se ve el enlace que has pasado ;-)

Imagino que seas español como yo. Entonces te digo que los ElistarA y demás herramientas de esa familia, son de SATINFO España, filial de Mcafee, así que son de pago, te conectes a donde te conectes para bajarlas. (Difícil de conseguirlas free de algún servidor)

Aquí tienes el enlace de Panda para bajarte una herramienta gratis antivirus de la policía. No te sé decir si vale para la última esa del Rey. ¿?
Pero a mí me salió el clásico de la policía y sí me lo quitó.

http://www.pandasecurity.com/security-promotion/solutions/spain/desinfectar-virus-policia/?utm_medium=cpc&utm_source=google&utm_term=virus%20policia&utm_content=g_31371101550_p&gclid=CMzAwaO22LoCFRMftAodDVwAaw&partnerid=cb55b55afda9a5c4c0dba1a33

PD:
debes tener un ordenador limpio para bajarte el programa y prepararlo en un USB.
luego lo aplicas a tu ordenador infectado.
6  Programación / Ingeniería Inversa / Re: Carga de DLLs Forward en: 7 Noviembre 2013, 00:33 am
¡¡Muy bueno!! Gracias por tu respuesta MCKSys Argentina. Me has aclarado finalmente.

Mira, (mirad), he hecho la prueba con este programilla ASM:

;------------------------------------------------------------------------------
.386p
.model flat

extrn   LoadLibraryA: proc
extrn   GetProcAddress: proc
extrn   ExitProcess: proc


.data
kernel32            db   "KERNEL32.DLL", 0
funcion              db   "SetDefaultDllDirectories", 0

.code
@inicio:   push   offset kernel32
               call      LoadLibraryA
         
               push     offset funcion
               push   eax
               call      GetProcAddress

               push     200h
               call      eax ; llama a SetDefaultDllDirectories

               push   0
               call      ExitProcess

               end     @inicio
;------------------------------------------------------------------------------

La API SetDefaultDllDirectories está declarada en la DLL Kernel32.dll
Sin embargo está forwarded y está implementada en la API API-MS-WIN-CORE-LIBRARYLOADER-L1-1-0.DLL (Windows 7)

Cuando el programilla EXE se carga, el Loader de Windows carga la Kernel32.dll ya que el EXE importa 3 funciones de ella: LoadLibraryA, GetProcAddress y ExitProcess. Aún así, quizás de forma redundante, el propio programa vuelve a cargar la Kernel32.dll al inicio.

Cuando el programilla se ejecuta y llama a la función SetDefaultDllDirectories, (call  eax), la llamada se hace correctamente y todo va ok.
Eso permite concluir que como decía MCKSys Argentina, al llamar a LoadLibrary, se carga no sólo la DLL que se le pasa, sino todas las demás DLLs que son importadas por la primera. O sea, se carga API-MS-WIN-CORE-LIBRARYLOADER-L1-1-0.DLL, ya que es importada por la Kernel32.dll.
(yo no había importado a mano  API-MS-WIN-CORE-LIBRARYLOADER-L1-1-0.DLL)

Gracias de nuevo MCKSys. Saludo a todos.
7  Programación / Ingeniería Inversa / Re: Carga de DLLs Forward en: 6 Noviembre 2013, 17:07 pm
Gracias por responderme,

Sin embargo decirte que eso no responde a lo que yo preguntaba.

Ahí en lo que tú me has puesto explica cómo se ve en la EAT (Export Address Table) si una función está o no Forwarded.

Pero no explica lo que yo preguntaba:

¿Si cargo una DLL, por ejemplo con LoadLibrary, todas las DLLs que esa DLL importa, LoadLibrary también las carga? ¿O sólo carga la DLL que se le pasa a LoadLibrary?


8  Programación / Ingeniería Inversa / Carga de DLLs Forward en: 6 Noviembre 2013, 14:06 pm
Hola a todos.

Pregunto sobre una DLL que tiene funciones que a su vez importa de otras DLL. Ejemplo:

El Kernel32.dll tiene funciones que están implementadas dentro del Kernel32.dll por ejemplo Beep. Pero tiene otras funciones que son implementadas en otras DLLs, por ejemplo OpenProcessToken que está implementada en la DLL API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL. (Hablo por ejemplo en Windows 7)

Es por ello que si se ve la Export Address Table del Kernel32.dll, la función OpenProcessToken aparece como Forwarded a API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0.DLL.

Entonces, la pregunta por la que viene todo esto:

¿Cuando mi programa se carga en memoria para ejecutarse, y el loader de Windows carga la Kernel32.dll en el espacio de direcciones del proceso de mi programa, también carga automáticamente la DLL API-MS-WIN-CORE-PROCESSTHREADS-L1-1-0?

O sea: ¿cuando el loader de Windows carga una DLL que un programa necesita, también carga automáticamente todas las DLL Forwarded, que la primera DLL necesita?

Dicho de otra manera: Si yo cargo una DLL con LoadLibrary, pongamos la Kernel32.dll -> LoadLibrary("kernel32.dll") ¿LoadLibrary cargará además de la Kernel32, también todas las DLL Forwarded que la Kernel32 importe?

Gracias.
9  Seguridad Informática / Análisis y Diseño de Malware / Re: Gráfico de malware en: 31 Octubre 2013, 17:49 pm
Mirad, unos enlaces:

Bajar Pydot:
https://code.google.com/p/pydot/downloads/detail?name=pydot-1.0.28.tar.gz

Página inicio: enlace de la derecha:
http://pythonarsenal.erpscan.com/taxonomy/term/10


Generating Graph Visualizations with pydot and Graphviz:
http://pythonhaven.wordpress.com/2009/12/09/generating_graphs_with_pydot/



10  Seguridad Informática / Análisis y Diseño de Malware / Re: Gráfico de malware en: 31 Octubre 2013, 17:23 pm
Sí, mirad, he encontrado esto:

http://www.infovis.info/index.php?words=exhibiting

Por ejemplo en la segunda noticia, que se titula:
"Graphing Malware - Netsky.AD vs Buchon"

Dice:

They use a series of tools for reverse engineering malware such as: IDA - the Interactive DisAssembler, IDAPython - Python extension for IDA, and pydot - Python interface to Graphviz utilities. IDAPython and pydot were developed by the authors and released as open source. The resulting graphs are done by exploring the code of a malware sample looking for all the functions and the relationships between them (who calls who). This information, together with text references, are then exported using pydot into a format that Graphviz utilities can read.


Pero nunca lo he utilizado y no sé cómo va. Pero parece que se hace con esas herramientas. Bueno si a alguien le interesa el tema y le sale algo, pues que ponga cómo lo hizo, los pasos :-) Bueno un saludo a todos.
Páginas: [1] 2 3 4 5 6
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines