últimos mensajes de: r32

Mostrar Mensajes
Páginas: 1 ... 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 [121] 122

1201	Seguridad Informática / Seguridad / Re: Problema ¿Virus? Xp	en: 9 Febrero 2012, 14:48 pm
Hola Bolox como te comenta elbrujo parace una variante del malware este de la policia, la captura parece diferente a las anteriores que vimos en el foro. Quizás este aprendiendo y actue de forma diferente, si tienes un momento sube un log de Hijackthis para ver cambios. Si quieres pasar herramientas de desinfección directamente te aconsejaría en "Modo seguro" (tendrías que comprobar que no cargue el malware tambien en modo seguro): CCleaner: http://download.piriform.com/ccsetup315.exe Malwarebytes: http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button Gmer: http://www2.gmer.net/gmer.zip o TDDSKiller: http://support.kaspersky.com/sp/downloads/utils/tdsskiller.zip

1202	Seguridad Informática / Seguridad / Re: Porque se me direcciona a abnow.com	en: 6 Febrero 2012, 22:18 pm
Hola Darkuba intentar no abrir temas dentro de otro, de esta forma nadie te responderá porque pensará que es una respuesta mas. Abre un nuevo tema, aunque sea casi por la misma infección y pega allí el log de Hijackthis. Pd: Yo de ti eliminaría esta barra "pdfforgeToolbarIE" no se habla muy bien de ella, mas bien al revés. Casi seguro te vengan las redirecciones por ahí... Saludos

1203	Seguridad Informática / Seguridad / Re: como harian un software para extraer meta datos	en: 5 Febrero 2012, 15:46 pm
Hola s3bok, si lo que quieres es realizar el proyecto como algo personal no te puedo ayudar en mucho apenas se programar. Por si te sirve de algo ya hay programas que hacen esta tarea, "la foca" extrae los metadatos de los documentos y la ofrecen desde Informatica64. Link: http://www.informatica64.com/foca.aspx Al final de la pagina introduce una direccion de mail valida y te enviarán el link de descarga, actualmente la version 3.0 en version FREE. Existe otra version mas completa de Foca, pero solo se consigue asistiendo a las charlas que va dando chema. Olvidé comentarte que tambien esta el servicio online: Link: http://www.informatica64.com/foca/ Saludos

1204	Seguridad Informática / Seguridad / Re: Porque se me direcciona a abnow.com	en: 2 Febrero 2012, 14:47 pm
Hola WiseHidden, una vez tengas creado el reporte, intenta guardarlo en el escritorio. Si reemplaza el log es porque existe, una vez tengas el scan hecho, mira de guardar el LOG en el escritorio desde el boton "Save log", a unas malas cambiale el nombre al archivo que crea, por ejemplo "wise.log". Has probado a pasar alguna herramienta de desinfección? Intenta pasar Malwarebytes y TDSSKiller a ver que encuentran... Malwarebytes: http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button TDSSKiller: http://support.kaspersky.com/sp/faq/?qid=208280686 Hitman Pro (analisis en la nube): http://www.surfright.nl/en/hitmanpro (Elige el modo SIN instalación, es portable)

1205	Foros Generales / Dudas Generales / Re: Como recuperar lo que habia escrito en el navegador?	en: 2 Febrero 2012, 05:22 am
Me funcionó cuando se queda colgado el navegador o cualquier otro problema. Si se reinicia el navegador y no guardas historial y demás creo no se podría, ya no estarian disponibles esos datos. Si necesitas el editor te dejo el link, es free y si lo quieres esta en version portable: http://mh-nexus.de/en/downloads.php?product=HxD Ahí eliges idioma y version.

1206	Foros Generales / Dudas Generales / Re: Como recuperar lo que habia escrito en el navegador?	en: 2 Febrero 2012, 04:52 am
Hola me ha pasado alguna vez esto que comentais y acudí a un editor hexadecimal, (HxD en concreto), puedes usar otro cualquiera que lea la ram del sistema. Abres la ram con el editor, buscas el proceso, por ejemplo firefox y ahí estará todo lo que has escrito, no se si es eso a lo que te referias.

1207	Seguridad Informática / Seguridad / Re: Porque se me direcciona a abnow.com	en: 2 Febrero 2012, 03:24 am
Hola batexito, si persiste que se habra cualquier pagina, si usas firefox busca en el "about:config", ahí modificas esa url por la de google o tu buscador favorito. Pasaba lo mismo con la barra de Facemoods que modificaba el about:config del navegador.

1208	Seguridad Informática / Seguridad / Re: Archivo de la practica del taller de malware	en: 2 Febrero 2012, 03:20 am
Hola Skapunky lo he subido a Fileserve con cuenta registrada, Multiupload no me funciona, no carga. Aqui el proyecto: http://www.fileserve.com/file/TVRU7cy/Proyecto analisis infeccion Skapunky.rar Aqui decompilado: http://www.fileserve.com/file/PgEXUZZ/kj33ks decompilado.rar Putada enorme lo de megaupload, con lo que tenia subido a ese servidor... En fin, buscaremos alternativas pero a este paso nos tendremos que fabricar un server casero. Citar PD2: Si alguien me lo sube revisare el link, si tiene algo que no es mi taller, o es mi taller con un "amijito" ya puede correr. Sabes de sobras que no lo haría, por cierto en breve te subo el AIO compilado, ya estan todos los programas, estoy revisando y pruebas en tu w7 x64, yo lo estoy haciendo en el mio, ya hablaremos.

1209

Seguridad Informática / Seguridad / Malware en correo: financeiro@ddprag.com.br

en: 30 Enero 2012, 19:30 pm

Hoy me encontré este correo de parte de un contacto y bueno analicé un poco los archivos y encontré lo siguiente:

Cita del mensaje:
Segue em anexo o comprovante de depósito em sua conta corrente.

Aqui el codigo fuente:

Código:

x-store-info:4r51+eLowCe79NzwdU2kRyU+pBy2R9QCTJuRFCxvGsoxm+RIG1Qs+ROPj8eKukn2kW1bviD12a26uvM/wNXQrPRz5lPTwd5t0qoJWbDwAIxx1S6JKkxymw==
Authentication-Results: hotmail.com; sender-id=softfail (sender IP is 69.164.222.202) header.from=         @hotmail.com; dkim=none header.d=hotmail.com; x-hmca=fail
X-Message-Status: n:0:n
X-SID-PRA: financeiro@ddprag.com.br <          @hotmail.com>
X-SID-Result: SoftFail
X-DKIM-Result: None
X-AUTH-Result: FAIL
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTmjqhOzvWWho7JRFyayOF2GOwYRpr8Z3iGGzkINWxzdCRrFnGOL3C5DcuR1i+LlvOhGCLviNjXtGP086YnxN83M6SrC2zrOZnouq8RKw4rY9eQl+aamBs8k
Received: from li137-202.members.linode.com ([69.164.222.202]) by COL0-MC2-F16.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
	 Sun, 29 Jan 2012 14:05:53 -0800
Received: from li137-202.members.linode.com (localhost [127.0.0.1])
	by li137-202.members.linode.com (8.14.3/8.14.3/Debian-9.4) with ESMTP id q0TM5r0o000640
	for <Tocallo106@hotmail.com>; Sun, 29 Jan 2012 17:05:53 -0500
Received: (from www-data@localhost)
	by li137-202.members.linode.com (8.14.3/8.14.3/Submit) id q0TM5rFt000639;
	Sun, 29 Jan 2012 17:05:53 -0500
Date: Sun, 29 Jan 2012 17:05:53 -0500
Message-Id: <201201292205.q0TM5rFt000639@li137-202.members.linode.com>
To:         @hotmail.com
Subject: Segue em anexo o comprovante de depósito em sua conta corrente.
X-PHP-Originating-Script: 0:index.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: "financeiro@ddprag.com.br" <         @hotmail.com>
Return-Path: www-data@debian
X-OriginalArrivalTime: 29 Jan 2012 22:05:54.0165 (UTC) FILETIME=[2B86BA50:01CCDED2]

</head>
<body bgcolor="#ffffff">
<img name="comprovante" src="http://s3.amazonaws.com/Comprovanteonline/comprovante.jpg" width="1249" height="356" border="0" id="comprovante" usemap="#m_comprovante" alt="" /><map name="m_comprovante" id="m_comprovante">
<area shape="rect" coords="8,0,215,149" href="http://s3.amazonaws.com/Comprovanteonline/Comprovante_Deposito.pdf.exe" title="Comprovante_Deposito.pdf" alt="Comprovante_Deposito.pdf" />
</map>
</body>
</html>

Doble extensión en el archivo a descargar:

:http://s3.amazonaws.com/Comprovanteonline/Comprovante_Deposito.pdf.exe

Al ver los Resources desde el PE Explorer nos encontramos esto tanto curioso:

Código:

// <DFM>  TFORM1 = class(TForm);

object Form1: TForm1
  Left = 221
  Top = 121
  BorderStyle = bsNone
  Caption = 'Euro Currency Convertor'
  ClientHeight = 584
  ClientWidth = 1171
  Color = clBtnFace
  Font.Charset = ANSI_CHARSET
  Font.Color = clWindowText
  Font.Height = -12
  Font.Name = 'MS Sans Serif'
  Font.Style = []
  OldCreateOrder = False
  OnCreate = FormCreate
  OnShow = FormShow
  PixelsPerInch = 96
  TextHeight = 13
  object EuroLabel: TLabel
    Left = 170
    Top = 48
    Width = 48
    Height = 13
    Caption = 'EuroLabel'
  end
  object BEFLabel: TLabel
    Left = 170
    Top = 78
    Width = 46
    Height = 13
    Caption = 'BEFLabel'
  end
  object CurrLabel: TLabel
    Left = 110
    Top = 14
    Width = 45
    Height = 13
    Caption = 'CurrLabel'
  end
  object Label2: TLabel
    Left = 170
    Top = 14
    Width = 34
    Height = 13
    Caption = 'equals:'
  end
  object Label5: TLabel
    Left = 246
    Top = 48
    Width = 22
    Height = 13
    Caption = 'Euro'
  end
  object Label6: TLabel
    Left = 246
    Top = 78
    Width = 20
    Height = 13
    Caption = 'BEF'
  end
  object Image1: TImage
    Left = 24
    Top = 176
    Width = 241
    Height = 145
  end
  object Image2: TImage
    Left = 376
    Top = 104
    Width = 105
    Height = 105
  end
  object InputEdit: TEdit
    Left = 7
    Top = 9
    Width = 88
    Height = 21
    TabOrder = 0
    Text = '100'
  end
  object EuroButton: TButton
    Left = 383
    Top = 333
    Width = 354
    Height = 96
    Caption = 'Euro -- BEF'
    TabOrder = 1
    OnClick = EuroButtonClick
  end
  object BEFButton: TButton
    Left = 7
    Top = 74
    Width = 411
    Height = 235
    Caption = 'BEF -- Euro'
    TabOrder = 2
    OnClick = BEFButtonClick
  end
  object Button1: TButton
    Left = 160
    Top = 96
    Width = 75
    Height = 25
    Caption = 'Button1'
    TabOrder = 3
    OnClick = Button1Click
  end
  object Edit1: TEdit
    Left = 97
    Top = 288
    Width = 121
    Height = 21
    TabOrder = 4
    Text = 'http://s3.amazonaws.com/marinho/wmi.dll'
  end
  object Edit2: TEdit
    Left = 264
    Top = 208
    Width = 121
    Height = 21
    TabOrder = 5
    Text = 'c:\winsys\wmi.dll'
  end
  object Edit3: TEdit
    Left = 272
    Top = 232
    Width = 121
    Height = 21
    TabOrder = 6
    Text = 'http://s3.amazonaws.com/marinho/wmsan.exe'
  end
  object Edit4: TEdit
    Left = 114
    Top = 360
    Width = 121
    Height = 21
    TabOrder = 7
    Text = 'c:\winsys\wmsan.exe'
  end
  object Edit5: TEdit
    Left = 83
    Top = 208
    Width = 121
    Height = 21
    TabOrder = 8
    Text = 'http://s3.amazonaws.com/marinho/wsan.exe'
  end
  object Edit6: TEdit
    Left = 424
    Top = 232
    Width = 121
    Height = 21
    TabOrder = 9
    Text = 'c:\winsys\wsan.exe'
  end
  object Edit7: TEdit
    Left = 360
    Top = 333
    Width = 121
    Height = 21
    TabOrder = 10
    Text = 'http://s3.amazonaws.com/marinho/wmita.exe'
  end
  object Edit8: TEdit
    Left = 640
    Top = 136
    Width = 121
    Height = 21
    TabOrder = 11
    Text = 'c:\winsys\wmita.exe'
  end
  object Edit9: TEdit
    Left = 704
    Top = 333
    Width = 121
    Height = 21
    TabOrder = 12
    Text = 'http://s3.amazonaws.com/marinho/BROWN.exe'
  end
  object Edit10: TEdit
    Left = 608
    Top = 483
    Width = 121
    Height = 21
    TabOrder = 13
    Text = 'c:\winsys\BROWN.exe'
  end
  object Timer1: TTimer
    Interval = 100
    OnTimer = Timer1Timer
    Left = 272
    Top = 56
  end
end

Código:

UPX0 / UPX1

Código:

Borland Edition (c) 2004 - 2008 Pierre le Riche / Professional Software Development

Código:

This program must be run under Win32..$7

El analisis fue mas bien estatico, no lo ejecute, pero con un hexa o PE Explorer se ven las rutas, archivos que crea, otros que descarga.
Crea una carpeta oculta al administrador en:

c:\winsys\

Donde se alojan los demas ejecutables:

c:\winsys\BROWN.exe

c:\winsys\wmita.exe

c:\winsys\wsan.exe

c:\winsys\wmsan.exe

c:\winsys\wmi.dll

Aqui algunas capturas:

Analisis online:

Analisis Anubis: http://anubis.iseclab.org/?action=result&task_id=1ac567298a7aa0ef49991a1b01813af36&call=first

Analisis VirusTotal: https://www.virustotal.com/file/24030137d3bf55a81b687bc3df719a8c5708e35fb1232eec94ae5b9ae59b2370/analysis/1327946094/

Pd: Antes de subirlo a VirusTotal la tasa era 22/41, en este ultimo scan la tasa baja a 19, con lo que lo van modificando aunque no queda FUD a todos los AV´s.

Malwarebytes solo detecta el archivo BROWN.exe (heuristics shuriken), de los demas no dice nada.

Saludos.

1210	Seguridad Informática / Seguridad / Re: Virus en el PC	en: 19 Enero 2012, 21:17 pm
Hay varios temas con errores en por corrupcion del fichero con el driver del AVG, por eso le comentaba, pero es que se autodetecta como malware o se le han inyectado. De todas formas le aconsejaría pasar Malwarebytes o similar y salir de dudas con los otros dos .exe Si necesitas pasar algun antivirus online pasa por este tema: https://foro.elhacker.net/seguridad/eliminar_spywares_adwares_hijackers_malware_virus_y_rootkits-t95234.0.html Saludos. Editado: He estado mirando un poco mas sobre ese driver y es posible algun malware este inyectado a el, ya en estos temas pasaría herramientas antirrotkit tipo GMer, TDDSKiller y ver realmente que sucede en el PC.

Páginas: 1 ... 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 [121] 122