Hola TrashAmbishion, echale un ojo a éste tema:

http://foro.elhacker.net/seguridad/recomendacion_antivirus_para_servidor-t311406.0.html

Saludos.

Herramienta de BitDefender para eliminar este nuevo malware, está disponible para sistemas de 32 y 64 bits.

x32: http://labs.bitdefender.com/wp-content/plugins/download-monitor/download.php?id=TrojanFlamer_BDRemovalToolDropper_x86.exe

x64: http://labs.bitdefender.com/wp-content/plugins/download-monitor/download.php?id=TrojanFlamer_BDRemovalToolDropper_x64.exe


Link: http://labs.bitdefender.com/2012/05/cyber-espionage-reaches-new-levels-with-flamer/

Cualquier tema relacionado con una infección con éste malware abrir un nuevo tema.

Saludos.

Hola alirio FERNANDEZ sería mejor que creases un nuevo tema y explicases bien el motivo de tu consulta.
El tema donde has realizado tu pregunta es de: 9 Mayo 2008, 03:19 y probablemente no tenga nada que ver con tu problema.

Un saludo, esperamos tu consulta...

Bueno porque no pruebas a pasarle un Live-Cd de Kaspersky por ejemplo, aunque hay varios.
Antes de empezar a modificar cosas, asegurate de que el equipo está limpio, si quieres probar te adjunto el link para descarga:

http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

Saludos y suerte.

Cada vez pedís cosas más raras  
Personalmente lo tengo hecho de ésta forma:
Eliminas los iconos del escritorio, te instalas una barra tipo Rocketdock y pasas ahí todos los accesos directos a programas y demás. Con Rocketdock por ejemplo puedes hacer que se inicie con Win y se auto-oculte dicha barra.
Ahora te queda la barra de tareas de Win, para que se oculte automáticamente al iniciar Windows:
Click derecho en la barra de tareas y Propiedades
Tildar "Ocultar automáticamente la barra de tareas".

Cuando inicie Windows, se verá por un segundo la barra y se ocultará y te quedará sólo el fondo de escritorio sin nada visible.

Te sirve eso?

Si cancelas el proceso explorer.exe te quedas a ciegas...

PD: Que alguien lo mueva al foro de Windows si es el caso.

Saludos.

  Te refieres a Google Analytics?
Si es así esto iría en Web ¿no?

Saludos.

Breve tutorial de análisis con la herramienta SysInspector de Eset.

Link: http://www.eset-la.com/support/sysinspector.php

Versión en Español;   
ESET SysInspector 32-bit:    http://download.eset.com/download/sysinspector/32/ESN/SysInspector.exe
ESET SysInspector 64-bit:    http://download.eset.com/download/sysinspector/64/ESN/SysInspector.exe
   
Versión en Ingles;    
ESET SysInspector 32-bit:    http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe
ESET SysInspector 64-bit:    http://download.eset.com/download/sysinspector/64/ENU/SysInspector.exe



ESET SysInspector es un software gratuito desarrollado por ESET que permite recolectar información crítica relacionada a determinadas
actividades que se realizan en un sistema operativo. Extrae todos los datos posibles, para poder tener un mayor control de que aplicaciones
están ejecutándose, el uso de librerías, quien las utiliza, conexiones de red y alguna cosilla más que iremos viendo sobre la marcha.

“ESET SysInspector está concebido como herramienta de análisis y no como herramienta
de desinfección o reparación de los daños ocasionados por códigos maliciosos u otras aplicaciones”

No necesita privilegios de Administrador para ser ejecutado, pero la cantidad y
detallle de información que suministre dependerá de los permisos que posea el usuario que lo ejecute.

Ejecutando ESET SysInspector : hay que aceptar el acuerdo de licencia…



• Interfaz principal:



El metodo de filtrado utilizado consiste en mostrar los procesos/datos asignando un color según su peligrosidad:

Verde: Aplicación conocida (fiable)
Naranja: Aplicación dudosa o con modificaciones en el archivo original (no por ello un virus)
Rojo: Vendría a ser un proceso no reconocido o peligroso (no por ello un virus).

En la ventana de la izquierda nos mostrará toda la información obtenida del sistema. Haremos un click sobre la descripción que queramos visualizar y en la ventana de la derecha podrás ver todo lo relacionado a ese proceso/archivo.
Arriba a la derecha tenemos un menú para administrar los log´s, filtrado por elementos, comparativas…



Para cualquier duda puedes consultar el archivo de “ayuda” incluido, accediendo al Menu/Ayuda (superior/derecha) o pulsando F1.

• Procesos en ejecución :



Todos los procesos que actualmente se ejecutan en tu Pc estarán aquí (algunos Rootkit pueden no aparecer…). Haremos un click sobre un proceso aleatorio o sospechoso y en la ventana de la derecha, abajo nos mostrará información sobre quien utiliza la aplicación, su PID (identificador de proceso), modo de ejecución (administrador, usuario…).
Haciendo doble click sobre el proceso, nos mostrará las dependencias del archivo (archivos de librerías utilizados y otros relacionados con él).
Es “muy importante” fijarse en los archivos que crean conexiones externas, como son: svchost.exe, lsaas.exe, al clickar sobre ellos, en la ventana de información nos mostrará las IP´s que utiliza en las conexiones y el estado (listen, established, etc). Estas IP´s tendrán que ser las normales de tu red (ejemplo: 127.0.01; 0.0.0.0).
Si utilizas maquinas virtuales se asignara una diferente (ejemplo: 10.02.0.14)
Sobre svchost.exe, hay que mencionar que puedes tener múltiples instancias en ejecución, pues cada uno sirve para una tarea diferente (actualizaciones, red…), pero nunca con diferente nombre, es decir "svcchost.exe", "svhost.exe" pues esto te indicaría la presencia de un “troyano” o similar.

• Conexiones de red :




En éste apartado podremos observar que programas crean una conexión, divididas por el protocolo utilizado (TCP/UDP). Dependiendo de los programas utilizados mostrará más o menos conexiones, pero para una pc normal de casa, sólo tendrían que haber las conexiones utilizadas por el sistema operativo ( System, lsaas.exe, svchost.exe y alg.exe), suponiendo que el navegador y todo programa que se conecte a internet estén cerrados. Las IP´s contenidas en ésta categoría tendrían que ser las normales utilizadas en tu red, ( 0.0.0.0 , 127.0.0.1 ,192.168.x.x), ésta última puede variar en función de tu proveedor de internet (ISP).
Un dato importante sería el asociar cualquier proceso que corre en la máquina con su identificador (PID).
Para entenderlo mejor haremos lo siguiente : ve a <Inicio> y clicka en <Ejecutar>, en ésa ventana escribe cmd y pulsamos <Intro> para acceder a la consola de comandos.
Usaremos el comando netstat. Para dudas escribir “netstat ?”. Escribiremos “netstat –aon” (un espacio entre netstat y -aon) y pulsamos <Intro> para poder ver las conexiones activas. Nos encontramos ante cinco descripciones donde se nos muestra el protocolo que utiliza en la conexión, direcciones IP remota y local, el estado y el PID. Si tienes algún P2P conectado, mejor ciérralo pues te vas a volver loco con tanta conexión. Siempre tendrás alguna conexión en estado “Listening” (Escuchando), que son normalmente <svchost> y <lsaas> en los diferentes puertos utilizados (135; 443; 139;1025) . También mostrará las conexiones establecidas (Established) que son las que nos interesan, como son el navegador, el ftp y todo lo que se conecte a Internet:



Si algún proceso mostrado en Eset-SysInspector te resulta sospechoso, no tienes más que poner el nombre del proceso en “Google” (ejemplo: svchost.exe) y buscar información sobre el proceso. Hay páginas Web dedicadas a esto. Cuando Google te muestre los links referentes al proceso, busca que pertenezcan a los siguientes enlaces pues son bastante fiables:

http://www.alegsa.com.ar/index.php
http://www.processlibrary.com/es/
http://www.file.net/

• Entradas de registro importantes:



En este apartado se extraen algunas entradas del registro, sobre todo las relacionadas con:
- Programas de arranque junto al S.O
- Configuraciones del navegador
- Listado de drivers con asociación de archivo
- Algunas configuraciones del antivirus instalado
- Configuraciones de la red.

• Servicios:



Conexiones con dispositivos, instancias internas del S.O, etc.
Muestra la descripción del proceso, ruta en disco, modo de inicio, estado del dispositivo, descripción del servicio y nombre de la compañía/empresa.
Los servicios normales utilizados por el S.O y aquellas aplicaciones conocidas estarán marcadas en verde.
Hay que tener en cuenta que ciertos drivers/servicios pueden aparecer de color naranja o incluso rojo y no por ello quiere decir que el sistema esté infectado. En estos casos nos veremos obligados a buscar en google información sobre el nombre del proceso, carpeta de instalación y sobre todo si se trata de un servicio esencial del S.O, en este caso no se debería desactivar.
Para gestionar los servicios en Windows, haremos uso del comando “services.msc” en Inicio --> Ejecutar



Para desactivar algún servicio haremos click sobre el proceso y si da la opción desde el menú contextual, procederemos a “desactivar” el servicio. Se puede dar el caso de que no muestre la opción, entonces clickamos sobre “Propiedades” en ese mismo menú contextual, y ahora podremos elegir la opción de detener o incluso eliminarlo.
Es muy importante que verifiques que el servicio no lo ejecute ninguna aplicación de Windows o otros programas, es preferible informarse bien y luego realizar la acción.

• Controladores:



Aquí podremos ver todos los drivers/controladores de los dispositivos, ya estén en “ejecución” o “detenidos”.

• Archivos críticos:




En esta sección podremos ver tres apartados: <win.ini>, <system.ini> y el archivo de <hosts>. Los analizaremos por separado pues éstos son muy importantes para el buen funcionamiento del sistema. La carga de controladores, etc, que hacen los archivos <win.ini> y <System.ini> los podremos ver en la “Utilidad de configuración del sistema”. Para esto haremos click en “Inicio”, clickamos en “Ejecutar”, en la ventana nueva escribiremos msconfig y aceptamos. Ahora veremos una ventana como ésta :



<win.ini> : Este archivo es leído por Windows al iniciar el sistema. Contiene datos acerca del hardware instalado y el entorno actual utilizado (escritorio, etc). En el log de SysInspector tendrían que estar todas las entradas marcadas en verde, pues Eset las reconoce como verdaderas. Cualquier entrada en color rojo tendría que ser revisada y/o corregida.
<system.ini> : Este archivo también se carga al iniciar Windows y está directamente relacionado con <msconfig>. La tarea principal es la de mostrarle a Windows los archivos de los controladores instalados (drivers). En el log de Eset también tendrían que estar en verde todas las entradas.
<hosts> : Dependiendo del tipo de infección (en caso hipotético) este archivo será modificado para redireccionar y/o modificar todas las peticiones de tu navegador. En el log de Eset solo tendría que aparecer una línea con la dirección de tu red (normalmente 127.0.0.1) y marcada en verde. (dependerá también del tipo de red o redes configuradas, esto como administrador tendrás que averiguarlo por tu cuenta).



Dejo un ejemplo de un análisis en la computadora infectada de un amigo:



Esta es de una infección posterior:



Como podemos ver, aparte de la línea marcada en verde “127.0.0.1 localhost”, hay otras entradas que no son validas que son las marcadas en rojo. Ahora para comprobarlo manualmente abriremos el archivo de hosts en la siguiente ubicación: C:\WINDOWS\System32\drivers\etc, para abrirlo haz doble click y elige abrir con el bloc de notas. Veras un archivo de texto como éste:



• System Scheduler Tasks:



En esta sección se enumerarían las tareas programadas en el S.O. Si no tienes ninguna tarea cotidiana, aparecerá en blanco…

• Información del sistema:



• Detalles del archivo:



• Ejemplos:

Esto es un ejemplo de un análisis con entradas marcadas en color rojo (supuestamente sospechosas), pero no es por ninguna infección, al no estar reconocido en las bases de datos de Eset este es un servicio de dudosa procedencia y de ahí que lo filtre como peligroso.
En esta captura podemos observar varios procesos en ejecucuión que SysInspector toma como sospechosos.
Ahora tocaría buscar info sobre esos procesos para ver que aplicación se encarga de ejecutarlas. Estos procesos son de un SAI (Sistema de Alimentación Ininterrumpida). En el casillero de abajo/derecha podrás ver cierta información interesante sobre cada proceso, dependencias…





Creo no haber olvidado nada, en cualquier caso se ampliaría o modificaría

Reconocimiento - NoComercial (by-nc): Se permite la generación de obras derivadas siempre que no se haga un usocomercial. Tampoco se puede utilizar la obra original con finalidades comerciales.

Con la colaboración de Skapunky.
Un saludo.

Hola a todos estuve buscando información sobre los heap de Windows, me resultó curioso y encontré un texto bastante explicativo al respecto, también se incluyen referéncias hacia la msdn y wiki por alguna duda en concreto. Se incluye un programa para ver los heap de cada proceso, en sí la herramienta no tiene mucho misterio.


* Referencias:

+ http://msdn.microsoft.com/en-us/library/aa366711%28v=vs.85%29.aspx

+ http://msdn.microsoft.com/en-us/library/aa366750%28v=vs.85%29.aspx

+ http://en.wikipedia.org/wiki/Dynamic_memory_allocation

Introduccion al heap de Windows:

En Windows Vista el tipo de heap que las aplicaciones usan por defecto es el llamado low-fragmentation heap. Esta situacion es diferente a la que
nos podemos encontrar en otras versiones de Windows. Pero, ¿Que es esto del low-fragmentation heap?¿Que beneficios aporta?

En este post voy a intentar despejar estas incognitas al mismo tiempo que doy una vision global de como funciona el Heap de Windows.
En Windows el heap tiene dos niveles bien diferenciados. El primero de ellos se llama el back end Allocator, mientras que el segundo nivel se deno
mina front end Allocator.

El back end Allocator proporciona una implementacion sencilla y flexible. Estableciendo un paralelismo con el campo de la algoritmica podriamos decir que el back end allocator es una especie de “Uninformed allocator” en el sentido de que no trata de dar ventaja a unas situaciones respecto a otras. El back end allocator organiza la memoria que gestiona en diferentes segmentos que reserva a traves de las funciones del sistema operativo destinadas al tratamiento de la memoria virtual (vg. ZwAllocateVirtualMemory). Estos segmentos contienen las diferentes reservas de memoria que los usuarios requieren. El heap tiene una granularidad (normalmente de ocho bytes, lo que quiere decir que toda reserva de memoria en el heap sera necesariamente de tamaño multiplo de ocho) que asegura el alineamiento y simplifica la gestion. Para cada bloque existe una cabecera con diversa informacion.

La cabecera indica el tamaño del bloque y el tamaño del bloque anterior. De esta forma los bloques contiguos estan enlazados entre si. La cabecera tambien indica si un bloque de memoria esta en uso o libre. Con esta informacion el back end allocator es capaz de unir los bloques libres contiguos para formar bloques mas grandes y para de esta forma combatir la fragmentacion.  El back end allocator gestiona otras dos estructuras de importancia. Un array de listas doblemente enlazadas que agrupan bloques libres de igual tamaño y un bitmap que indica si para una entrada del array anterior la lista doblemente enlazada contiene o no bloques disponibles. Con estas dos estructuras el back end allocator es capaz de mantener el heap sin una fragmentacion excesiva, puesto que es capaz de elegir el mejor bloque de los libres disponibles para satisfacer la demanda de un usuario.

Hay peticiones de memoria que por ser demasiado grandes no son gestionadas por este sistema de listas. En estos casos la peticion de memoria se satisface directamente a traves de las funciones de gestion de memoria virtual del sistema operativo. Ademas de los aspectos basicos sobre la algoritmia del back end allocator que he descrito antes, este allocator permite diferentes modos de funcionamiento dependiendo de los flags usados en la creacion del heap y en el momento de una reserva concreta por parte del usuario. Por ejemplo, el heap puede ser inicializado con sincronia interna o sin sincronia en caso de que el usuario gestione la sincronia por su cuenta. El heap tambien puede crecer segun sus necesidades o tener un tamaño fijo. Puede tener activadas diferentes opciones de depuracion. O puede tener asignada una direccion fija asignada por el usuario. Este ultimo caso de uso muy poco comun pero muy util para mapear heaps sobre ficheros mapeados en memoria, pudiendo compartir el heap entre varios procesos.
Esta es la tecnica usada por muchos componentes de Windows para el paso de mensajes de gran tamaño. El ejemplo mas clasico es la comunicacion que se establece entre el CSRSS y los procesos del subsistema. Otras de las funcionalidades no demasiado conocidas que proporciona algunas implementaciones del heap de windows es la posibilidad de cifrar las cabeceras de los heaps mediante un XOR con un numero aleatorio obtenido en el momento de creacion del propio heap.

El front end Allocator es una capa por encima del back end allocator que pretende proporcionar algoritmos que se adapten a las necesidades especificas de diferentes aplicaciones. Windows proporciona dos front end allocators diferentes. El primero de ellos se denomina Look Aside List allocator y el segundo se denominar Low Fragmentation allocator. Tambien se puede dedicir no usar ninguno de los dos Frond End Allocators disponibles. La mayor parte de las versiones de Windows usan el Look Aside List Allocator como Front end allocator por defecto, pero Windows vista usa el Low Fragmentation heap como Front end Allocator, y parece que las sucesivas versiones de sistemas operativos NT seguiran esta misma linea. De los dos front end allocators disponibles, el Look Aside list allocator es el mas sencillo. El Look Aside list allocator cuenta con un array de listas enlazadas que son thread-safe. Estas listas se basan en una estructura de datos de caracter general conocida como “sequenced singly linked list”. Cuando un usuario lleva a cabo la peticion de un nuevo bloque, el look aside list allocator trata de satisfacer la peticion usando estas listas. Si la peticion no se puede satisfacer entonces se intenta satisfar a traves del back end allocator. Cuando el usuario libera un bloque de memoria, el look aside list allocator guarda el bloque para poder atender posteriormente nuevas peticiones. Si el front end allocator no puede gestionar el bloque en sus listas, entonces pide al back end allocator su liberacion. Este allocator proporciona algunas ventajas respecto al uso del back end allocator, pero tambien plantea algunos problemas. La principal de las ventajas es que para satisfacer una peticion de reserva a traves del Look Aside List allocator no es necesario bloquear el heap, puesto que las listas que usa son seguras. Esto nos proporciona un mayor rendimiento en entornos multithread, puesto que el back end allocator serializaria las peticiones de los usuarios. La principal desventaja es que los bloques gestionados por el look aside list allocator no son liberados y permanencen en uso desde el punto de vista del back end allocator. En esta situacion los bloques libres contiguos no pueden ser unidos. Por tanto, el look aside list allocator proporciona un rendimiento mayor pero tambien provoca una mayor fragmentacion del heap.


El low fragmentation heap allocator pone sobre el tapete un algoritmo relativamente complejo que pretende aunar las ventajas tanto del Look Aside List allocator como del algoritmo expuesto por el back end allocator. Una de las primeras cosas que diferencia este allocator es la granularidad variable. Si en el back end allocator ( y por ende en el Look Aside allcoator) la granularidad del heap es normalmente de ocho bytes, y es asi independientemente de los tamaños de las reservas de los usuarios, el low fragmentation allocator tiene una granularidad variable, que aumenta gradualmente al aumentar los tamaños de las peticiones. Esto le permite gestionar mejor los bloques de memoria, haciendo a veces pequeños gastos extra de memoria, pero evitando la fragmentacion y acelerando el proceso de reserva. Este allocator gestiona las reservas de memoria de diferentes tamaños de forma indpendiente. De esta forma solo tiene que sincronizar el acceso para alojos del mismo tamaño. Pero esto tambien le obliga a implementar objetos mas complejos para satisfacer las peticiones de un mismo tamaño. Si alguno de los que han comenzado a leer esto ha llegado hasta aqui y ademas ha programado drivers para
versiones antiguas de Windows, seguramente recuerde las estructuras del kernel conocidas como zonas. Una zona es, simplificando mucho, un heap en el que las reservas son de un tamaño fijo establecido en el momento de creacion de la zona. Bien, basicamente el low fragmentation heap redondea el tamaño de la peticion de reserva conforme a la granularidad que le toca y seguidamente lleva a cabo la reserva en una zona. Al definir zonas de memoria especificas para los diferentes tamaños de reserva intenta minimizar la fragmentacion aunque aumenta la cantida de memoria que necesita para las esturcturas de control. La granularidad variable permite minimizar el numero de tamaños de reserva minimizando asi el numero de zonas que es necesario gestionar. El ultimo punto clave que diferencia el low fragmentation heap es la gestion de la sincronia. El Look Aside List allocator basa su sincronia en las listas enlazadas que hemos comentado, que son una estructura de datos de uso general. El back end allocator basa su sincronia en un objeto de
sincronia estandar, una sección critica. En cambio, el low fragmentation heap implementa internamente su propia sincronia , no apoyandose en objetos proporcionados por el sistema operativo o en estructuras de datos genericas. Uno de los objetivos de esta implementacion es el poder saber si el hilo que lleva a cabo la reserva esta viendose obligado a esperar por otro hilo que esta llevando a cabo otra rerseva del mismo tamaño. Cuando un hilo se ve obligado a esperar por primera vez, entonces el low fragmentation heap generara una zona auxiliar para uso exclusivo de este hilo, evitando que en el futuro se vuelva a tener que esperar. Al disponer de una granularidad variable las posibilidades de colision aumentan pero disminuyen la cantidad de estructuras que potencialmente se podrian llegar a duplicar.

Uniendo todos los aspectos expuestos sobre el low fragmentation allocator, podemos ver que pretende minimizar la perdida de rendimiento debido a la serializacion en entornos multithread, y lo hace detectando las situaciones de colision y solucionandolas mediante estructuras auxilieras. Al mismo tiempo intenta minimizar la fragmentacion mediante el uso de zonas. El low fragmentation heap plantea cosas interesantes pero es dificil saber a priori cual es el front end allocator adecuado para una aplicacion dada. En la practica los desarrolladores deberan probar los diferentes allocators para sus aplicaciones con el fin de averiguar cual es el que le proporciona mejores resultados. Una de las ventajas que he visto empiricamente es que este allocator suele comportarse mejor con aplicaciones cuyo uso de memoria es bastante determinista. Cuano el uso de memoria es herratico, entonces no parece haber una diferencia apreciable entre ninguno de los dos front end heaps. El low fragmentation heap hace mas visibles los bugs, pero tambien mas dificiles de analizar debido a que su funcionamiento es menos determinista.

Por otro lado actualmente no existen (o al menos yo no las conozco) pruebas de concepto que exploten overlows u otro tipo de erroresen low fragmentation heaps. Claro que esta situacion se me antoja efimera, puesto que no he visto mayor problema en hacerlo. Y aqui pongo el punto y final a esta pequeña introduccion al heap de windows. He intentando centrarme ligeramente en el punto de vista del programador

Autor del texto: 48 bits

Para poder leer los Heap cargados en la memoria, podemos hacer uso de esta tool:



Peso: 1,54 MB
S.O: XP/Vista/7
Link: http://securityxploded.com/ProcHeapViewer.php
Descarga directa: http://securityxploded.com/getfile_plus.php?id=7211
Dentro de la carpeta encontrarás la versión para instalar y la versión portable.
Mas info: http://securityxploded.com/ProcHeapViewer.php (en Ingles)

Análisis online:

http://www.avgthreatlabs.com/sitereports/domain/aquitato.com  -- Safe

http://urlvoid.com/scan/aquitato.com/   -- Safe

Dr.Web   -- Safe

https://safeweb.norton.com/report/show?url=http%3A%2F%2Fwww.aquitato.com%2F   -- ???

Tan sólo Norton SafeWeb no ha analizado el sitio.


El código fuente es bastante simple, no se ve nada relacionado con lo que comentas,parece una página obsoleta con publicidad.
A ver si a alguien más le pasa, saludos.

No utilizo apenas el msn, pero si no creo recordar mal había una opción que te advertía si se utilizaba tu sesión en diferentes equipos, comprueba eso a ver...
No sabría decirte si sale la IP con la que se conectó la última sesión, creo es a lo que te refieres.

Saludos.