Consejos prácticos que los autores han previsto para la comprensión y la lucha contra el malware. El libro no hace una mezcla de todos los conocimientos existentes sobre el tema, pero presenta numerosas herramientas y enfoques originales. El DVD que viene con el texto ofrece un montón de secuencias de comandos útiles y herramientas no disponibles en ningún otro lugar.

Adverténcia: El archivo que descargas con el DVD contiene ejemplos prácticos con malware real. Aunque todo viene explicado hay que tener ojo con los ejecutables infectados a manipular!!!

Titulo: Malware Analysts Cookbook and DVD:

PDF: http://lh.rs/drpcMJptEIm5
PDF y DVD: http://thepiratebay.se/torrent/6851543/

Más información:
http://www.malwarecookbook.com/
http://www.malwarecookbook.com/?p=119

Hola y bienvenido al foro.


No hagas enemigos para eso ya están los amigos   (solo algunos, ehh)

Al lio, si realmente estás infectado tendrías que limpiar tu sistema, para eso te adjunto algunos links con herramientas.
El tema de la Geolocalización es relativo:
En muchos casos un geolocalizador cojerá la IP de tu ISP desde la centralita desde donde conecta inicialmente la conexión, con lo que el dato en un principio es erroneo. Luego ya hay programas que van más allá de la centralita y llegan a pocos metros de tu localización exacta.

Para asegurarte de que el PC está limpio empezaría pasando algunos de éstos programas:

Limpia el sistema de archivos:
CCleaner: http://download.piriform.com/ccsetup321.exe

Para eliminar malware (Actualizar bases de firmas cuando lo pida...):
Malwarebytes: http://es.malwarebytes.org/mwb-download
KasperskyVirusRemovalTool: http://www.kaspersky.com/antivirus-removal-tool?form=1
Hitman Pro: http://files.surfright.nl/HitmanPro36.exe (neceasrio internet, trabaja en la nube).

¿Tienes instalado algun antivirus?

Cualquier duda aquí estamos, saludos.

Echa un vistazo a este tema:

http://www.corrupteddatarecovery.com/Repair/Signature-Default-Program-Settings-File-Repair-DFL-Data-Conversion.asp

Saludos.

No indagaste mucho 

Mover el tema a "Electrónica"

Saludos.

cifra el disco  , PGP es una muy buena opción y proporciona un buen nivel de seguridad, si no Truecrypt también te puede hacer el servicio.

Creo que con lo que has hecho ya bastaría, todo depende de la importáncia de documentos o proyectos que tengas en el disco.

Saludos.

En la página de descargas revisa "VirtualBox 4.1.18 Oracle VM VirtualBox Extension Pack":

https://www.virtualbox.org/wiki/Downloads


Prueba instalando el pack de extensiones, a ver si eso lo que falla.
¿Usas la última versión?


Aquí tienes la guia por si no funcionase (en ingles):

https://www.virtualbox.org/manual/UserManual.html

Puedes revisar los FAQ con problemas con dispositivos USB.

Saludos.

Buenos tutoriales los de Inteco, referente al contenido muy interesante.
Subscríbete si tienes un rato a Damballa, tambien tienen nuevos contenidos referente a casi todo lo que afecte a la seguridad.

Saludos.

Si el administrador lo tiene restringido tendrá sus razones, supongo tendrías que encontrar alguna falla para listar todo el directorio que contiene la página web.


¿Probaste hacerte amigo suyo? 

Tiene su sección de descargas, si no lo añadió u oculto algún motivo habrá.
Prueba a hablar con el admin o dueño del archivo, si no es algo TOP_SECRET no creo tenga inconveniente en darte una url, pero lo mismo no lo quiere dejar al público, entiendes.

Saludos.

Uno de los muchos problemas con los que me he encontrado al echarle un vistazo a equipos de amigos y familiares es que al abrir cualquier navegador tienen entre 3 y 5 barras de navegación que se añaden como plugin al instalar algunos programas.
Para el ejemplo utilizaré el downloader de Softonic, el cual descarga el programa y al lanzarlo nos muestra una guía paso a paso en la que nos dan la opción de añadir un complemento para el/los navegador/es. Por supuesto hay otros muchos programas que utilizan la misma técnica, es simplemente publicidad que recibiremos, de algun lado tendrán que sacar beneficios, pobrecitos!!!

Os pongo el ejemplo de mis primos, donde al instalar un programa, si viene en español apenas leen, solo dan a siguiente, siguiente hasta finalizar la instalación, si viene en ingles pues next, next sin leer nada hasta exit (mis primos no son una excepción ehh)...

Expongo las capturas del downloader, si es el caso se añadirán más ejemplos.

Primer paso del instalador:


Pasando a modo personalizado para poder destildar los casilleros correspondientes de instalación de basura:


Aqui ya destildado ya podemos proceder a instalar el programa de forma segura:


Cada cierto tiempo cambian el esponsor, supongo el que de más dinero es el que sale en sus instaladores.
Casi todos los instaladores de éste tipo y que sean de compañias medio/conocidas nos darán ésta opción de eliminar la instalación de barras de publicidad.

Saludos.

** Faltan algunas descripciones que en breve se añadirán y subirlo al ftp para descarga en pdf, mientras quien quiera probar puede analizar su equipo y subir un log al sub-foro de seguridad!!!


Guia de análisis de sistemas con AVZ Antiviral Toolkit de Kaspersky

AVZ es una herramienta de análisis avanzada que se va actualizando periódicamente desde la base de datos de Kaspersky. Se creó con el objetivo de analizar un equipo a fondo de la misma forma que lo suele hacer un antivirus, pero a su vez contiene una buena cantidad de opciones para extraer datos generando log´s para su posterior examen.
Desde Kaspersky utilizan AVZ para los usuarios que usan sus productos de seguridad y aun así están infectados. Desde la página oficial ofrecen un breve tutorial al respecto que puede serle útil a usuarios con soluciones de Kaspersky. Desde este link podemos ver la guia:

http://support.kaspersky.com/sp/faq/?qid=208279710

Con ésta herramienta podemos analizar nuestro sistema en busca de infecciones de todo tipo, tanto en sistema de archivos, registro y sectores de arranque en discos. También es capaz de realizar consultas y extraer mucha información del equipo a analizar que nos será de utilidad.
Como opciones podemos encontrar la detección de ganchos (modos: User y Kernel), típicos de los Rootkit (API hooking) y posterior bloqueo de éstos.

Otro elemento es el análisis extendido de la heurística, donde se pueden encontrar infecciones sin tener un firma catalogada que lo delate, ya sea por comportamiento, inyección, etc.
Contiene una opción para bloquear la ejecución de medios extraibles (AVZGuard).
Aunque es opcional es muy aconsejable instalar un driver específico para el análisis exhaustivo del equipo (AVZPM), una vez eliminadas las infecciones encontradas se desactiva y listo, ya que AVZ no instala nada en el equipo, es portable.


Descargar AVZ:

Link: http://z-oleg.com/avz4.zip
Plugins (descargar solo en caso necesario...):
AVZ_SE: http://z-oleg.com/avz_se.zip
AVZ4_The_Bat: http://z-oleg.com/avz4thebat.zip
Wiki.ru: http://ru.wikipedia.org/wiki/AVZ
Guia rápida: http://support.kaspersky.com/sp/faq/?qid=208279710


Actualizar AVZ (recomendado actualización automática):

Automático: Desde el menú principal: File --> Database Update (De esta forma no hace falta descargar el archivo “base”).
Manual: El contenido de la carpeta Base tiene que ser "substituido" en la carpeta principal del AVZ (donde lo descargaste). El archivo “base” son las actualizaciones                                                                          
Link: http://z-oleg.com/secur/avz_up/avzbase.zip (este archivo son las últimas actualizaciones)



Una vez actualizado iniciamos el programa desde "AVZ.exe".

Comenzaremos instalando un driver específico para la monitorización del sistema (no hay que descargar nada):



En el menu superior, ir hasta la pestaña AVZPM y activar el driver desde la primera casilla.
Yo en mi caso ya lo instalé, cuando ya se acabe de analizar y eliminar si hubiera algo, se desinstala el AVZ.
Recuerda desintalarlo, pues si luego analizas con otras tools (sobre todo anti-rootkit) te advertirán de este driver, aunque con omitir el aviso ya está.

Ventana principal:



- Menu principal;  
      
- File:  

   - Start/Pause/Stop scanning: Inicia, pausa o detiene el análisis del sistema.
-------------------------------------
   - System Analysis: Análisis independiente sobre áreas específicas del sistema de archivos con opciones para procesos y servicios. Guarda un log en formato html (htm).
   - System Restore: Opciones de restauración de las configuraciones originales de windows (cambio de extensiones en ficheros, configuraciones de I.Explorer, entrar en modo seguro, desbloquear administrador de tareas y registro, reemplazo de DNS,etc).
   - Backup: Opción de hacer un respaldo de ficheros de configuración esenciales para el buen funcionamiento de Windows (configuraciones SPI/LSP, asociación de archivos, configuración de I.Explorer, el Firewall, drivers y servicioos, protocolo TCP/IP). Estos respaldos se realizan en formato de archivo .reg y serán guardados en la carpeta ...avz4\Backup.
   - Disc Inspector:
   - Troubleshooting wizard:
-------------------------------------
   - Standard scripts: Scripts pre-establecidos. Dependiendo del script utilizado veremos que en la ventana del AVZ se nos darán los datos correspondientes que podremos salvar a un log y subirlo al foro, por ejemplo.
   - Custom scripts: Trabajar con un script creado, nos dará la opción de ejecutarlo y revisar la sintaxis del código.
-------------------------------------
   - Database Update: Actualizar la base de firmas automáticamente.
-------------------------------------
   - View souspicious objects list: Ver listado de archivos sospechos (se genera después de un análisis).
   - Save log: Guardar un log de registro de los datos proporcionados por AVZ
   - Clear log: Limipar el log de registro creado.
-------------------------------------
   - Infected Folder Viewer: Ver listado de carpetas infectadas.
   - Quarantine Folder Viewer: Ver carpeta de objetos sospechosos en cuarentena.
   - Copy files to Quarantine by inputting their list:
   - Automatic Qaurantining:
-------------------------------------
   - Delayed File Deleting: Opción para eliminar archivos.
-------------------------------------
   - Save configuration profile: Guarda un perfil creado en función de los parámetros modificados para el análisis.
   - Load configuration profile: Carga un perfil guardado previamente
-------------------------------------
   - Exit: Salir y cerrar AVZ.

- Service:  
   - Process Manager:
   - Services and Drivers Manager:
   - Kernel Space Modules Viewer:
   - Injected DLLs Manager:
-------------------------------------
   - Registry Search:
   - File Search:
   - Cookies Search:
-------------------------------------
   - Autoruns Manager:
   - IE Extensions Manager (BHOs, Toolbars):
   - Control Panel Applets (CPL) Manager:
   - Windows Explorer Extensions Manager:
   - Printing System Extensions Manager:
   - Task Schaeduler Jobs Manager:
   - Protocolos and Handlers Manager:
   - Downloaded Program Files Manager:
-------------------------------------
   - Winsock SPI (LSP,NSP,TSP) Manager:
   - Hosts File Manager:
   - Open TCP/UDP Ports Viewer:
   - Shared Resources and Network Sessions Manager:
-------------------------------------
   - System Utilities:
      - Regedit - Registry editor
      - MsConfig - System setup
      - SFC -  Check system files
-------------------------------------
   - Check file by Trusted Objects Database
   - Check file authenticity by Microsoft Security Catalogue
   - Compute MD5 hash of a file

-  AVZGuard:  
   - Enable AVZGuard:
   - Run application as trusted:
   - Disable AVZGuard:

- AVZPM:
   - Install extended monitoring driver:
   - Delete extended monitoring driver:
   - Delete and unload extended monitoring driver:

-  Help: Archivo de ayuda incluido en inglés.
 
  Identificación de unidades y carpetas a selecionar para el análisis.

- Search scope: Identificación unidades de discos y carpetas a selecionar para el análisis.



- File types: Configuración del tipo de archivos a analizar (dejar por defecto).  

                                                                                 

- Search parameters: Aquí se configuran diferentes parámetros divididos en apartados:



* Análisis heurístico (Heuristic analysis): Selección del análisis heurístico pudiendo utilizar el análisis extendido.
* Módulo anti-rootkit (AntiRootkit):
* Verificación de modificaciones en SPI (Service Provider Interface):
* Search for keyloggers:
* Search for TCP/UDP ports used by Trojan horses:
* Fix system errors automatically

Activar:
* Fix SPI/LSP errors automatically (Winsock Service Provider)
* Search for TCP/UDP ports used by Trojan horses
* Fix system errors automatically (opcional)

- Automatic actions:

Enable malware removal mode: Al habilitar éste módulo, AVZ eliminará directamente las infecciones detectadas en función de la configuración elegida. Podemos elegir que elimine lo encontrado o nos pregunte que hacer.



Para cada tipo de malware encontrado durante el análisis tendremos tres opciones automáticas.
Viruses, AdvWare, Spy/Spyware y Dialer/PorWare lo dejaremos en “Remove” para que elimine los archivos infectados, pero para HackTool y RiskWare, pues bueno puede ir en función de si tienes algunos crack´s o keygen´s y éste los detectará y avisará al usuario de que el archivo “puede” tener un riesgo alto.
Que advierta no quiere decir que esté infectado, de ahí que por defecto venga como “Report Only”. Si no sueles usar éste tipo de archivos, es mejor modificar la opción y que elimine lo que encuentre.
 Opcionalmente tenemos dos opciones destildadas que podemos añadir si queremos que envie los archivos sospechosos a la cuarentena o enviar los archivos infectados a la carpeta por defecto “Infected”.

 * Log;

En la ventana del log´s podremos ir viendo conforme se analiza el equipo todos los datos que va encontrando, una vez terminado podemos utlizar los botones del panel derecho para:

   - Guardar un log en un lugar predeterminado.
   - Ver los objetos detectados en el análisis del equipo.
   - Limpiar el campo del log de los datos genarados.
   - Actualizar la base de datos (otra forma...).



Log de ejemplo solo con las cabeceras (Este log lo hice sin actualizar la base de datos para que se vea la advertencia, en tal caso actualizar y volver a escanear el PC):


Terminado de configurar clickamos sobre el boton y esperamos a que analice el sistema...
Donde más se puede demorar el tiempo de análisis es cuando configuremos al máximo nivel el análisis extendido de heurística. Una vez terminado guardamos el log.

Opcionalmente el administrador/m-oderador que lleve tu tema puede pedirte otros datos más concretos como procesos en ejecución, drivers instalados, contenido del archivo Hosts de Windows, etc.
De todas las opciones que se pidan se guradará un log desde el icono y se subirá el reporte al tema.
Aquí una guia de como sacar esa información desde la herramienta AVZ (desde el menu principal del AVZ):



*   Procesos en ejecución: Service --> Process Manager
*   Servicios y drivers: Service --> Services and drivers manager
*   Autorun: Service --> Autoruns Manager
*   Hosts: Service --> Hosts file Manager
*   Conexiones: Service --> Open TCP/UDP Ports Viewer


Si hacen falta añadir otras opciones de configuración se irá añadiendo a este tema, para no tener la información desperdigada.

Saludos.