elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


  Mostrar Mensajes
Páginas: 1 ... 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 [68] 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 ... 122
671  Seguridad Informática / Seguridad / Re: Archivo ADMStorage en: 4 Diciembre 2014, 01:41 am
Limpialo, no creo que tenga nada que ver con tus actividades cotidianas, echa un ojo a su Face:

https://www.facebook.com/pages/ADM-Storage/447516808654026

Has descargado/ejecutado algun downloader o similar?

Saludos.
672  Seguridad Informática / Seguridad / Re: Parecidos a Fail2Ban? [Windows] en: 4 Diciembre 2014, 01:37 am
Tengo un WS´08 para pruebas diversas.
Probaste DenyHosts

Citar
DenyHosts is an open source log-based intrusion prevention security script for SSH servers was written in python programming language that intended to run by Linux system administrators and users to monitor and analyzes SSH server access logs for failed login attempts knows as dictionary based attacks and brute force attacks. The script works by banning IP addresses after set number of failed login attempts and also prevent such attacks from gaining access to server.
DenyHosts Features

    Keeps track of /var/log/secure to find all successful and failed login attempts and filters them.
    Keeps eye on all failed login attempts by user and offending host.
    Keeps watch on each existing and non-existent user (eg. xyz) when a failed login attempts.
    Keeps track of each offending user, host and suspicious login attempts (If number of login failures) bans that host IP address by adding an entry in /etc/hosts.deny file.
    Optionally sends an email notifications of newly blocked hosts and suspicious logins.
    Also maintains all valid and invalid failed user login attempts in separate files, so that it makes easy for identifying which valid or invalid user is under attack. So, that we can delete that account or change password or disable shell for that user.

Read More : Install DenyHosts to Block SSH Server Attacks in RHEL / CentOS / Fedora

No se si Lo probaste, aqui te dejo el enlace:

http://www.tecmint.com/block-ssh-server-attacks-brute-force-attacks-using-denyhosts/

Vi varios más, has usado alguno a parte de ese?

Saludos.
673  Seguridad Informática / Seguridad / Re: He sufrido un ataque? en: 4 Diciembre 2014, 01:31 am
Si repartes recursos en red puede ser se te hayan colado por ahí (no lo se seguro, pregunto), aquí tienes info sobre la IP de prígen:

http://whois.domaintools.com/202.185.4.195

Intenta restaurar sistema o si tienes algun backup, pero antes asegurate tener la máquina limpia.

Puedes subir un log de reporte y le echamos un vistao o tu por tu cuenta pasar algunas herramientas a ver si encuentran algun foco de infección.
Aquí tienes alguna que te pueden servir:

https://foro.elhacker.net/seguridad/guia_rapida_para_descarga_de_herramientas_gratuitas_de_seguridad_y_desinfeccion-t382090.0.html

Saludos.
674  Seguridad Informática / Seguridad / Re: Malware spreading via Steam chat en: 4 Diciembre 2014, 01:22 am
Resultados de RDG:





A ver que saco.

Saludos.
675  Seguridad Informática / Seguridad / Re: Malware spreading via Steam chat en: 4 Diciembre 2014, 01:19 am
Cita de: daryo en 28 Noviembre 2014, 15:15 pm
parece .net se puede decompilar?

Diste en el clavo, aunque PEiD me mostraba compilado en C++/C#.

No me fijé bien en las strings, cada vez voy a peor.

Citar
System.Runtime.CompilerServices
___.netmodule
SteamStealer.Properties.Resources.resources
D_FUFW
Confuser v1.9.0.0
_CorExeMain
mscoree.dll

Hace referéncia a un troyano , en concreto este:

Confuser v1.9.0.0: [ Confuser.zip application, 1057K, uploaded Jun 23, 2012 - 54990 downloads ]

http://www.dev-point.com/vb/t384433.html

http://confuser.codeplex.com/downloads/get/404433

http://confuser.codeplex.com/releases/view/90044

_________________

Para poder ver el código:

ConfuserDeobfuscator:

https://github.com/UbbeLoL/ConfuserDeobfuscator/blob/master/ConfuserDeobfuscator/ConfuserDeobfuscator/Deobfuscators/DeobfuscatorFactory.cs

http://es.scribd.com/doc/207710371/NET-Decrypt-Confuser-1-9-Methods


Desde AT4RE hicieron un anti-confuser:

NoFuser_v1.1

http://www.at4re.com/f/showthread.php?10855-%DF%ED%DD%ED%C9-%DD%DF-%D6%DB%D8-Confuser-v1-9-0-0

Descarga: http://www.gulfup.com/?Wenf4a

Cita:

NoFuser v1.1 - Beta
Deobfuscator for vanilla Confuser v1.8 & v1.9.
By: RazorX

Saludos.
676  Seguridad Informática / Seguridad / Re: Malware spreading via Steam chat en: 28 Noviembre 2014, 14:41 pm
Hola Tremolero aquí tienes la info que he podido sacar, no he indagado del todo pero bueno te puedes hacer a la idea:

URL: hxtp://scr4you.ru/580gop

Source URL: http://pastebin.com/M4Zdya1n
<Ver iframes>

Análisis:

VT: https://www.virustotal.com/es/url/8c4480e7d5b0a5e1e0073f3dd6956afa99fbec7e36247bbd1927ab80f0813e41/analysis/1417056284/
SC: http://sitecheck.sucuri.net/results/scr4you.ru
QT: http://quttera.com/sitescan/scr4you.ru
AI: Anti-Anubis- Fatal error.
 Traffic: --
WI: Anti - Error


Info:

IP address resolution:
178.208.83.13

Whois:
http://whois.domaintools.com/178.208.83.13


HTTP Response headers:
via: HTTP/1.1 GWA
x-google-cache-control: remote-fetch
server: Apache
last-modified: Sun, 23 Nov 2014 23:11:32 GMT
connection: keep-alive
date: Thu, 27 Nov 2014 02:44:45 GMT
content-type: text/html


Archivo que descarga:

hxtps://www.dropbox.com/s/6chcr2y7a28soyo/LmG8gwXIejRa2l.scr?dl=1



Análysis:

VT: https://www.virustotal.com/es/file/acc91e917252fcaa17b216972b92d528fd6eb4c37c0b04e712552d59f73f1b3e/analysis/1417059200/ --> 0/61
Pcap file:
VT: https://www.virustotal.com/es/file/f28910ec609055261f118232157df9b631a47ce2bef9f7288c6656cef7c8a072/analysis/ --> 10 alerts (2 snort/8 suricata)
CC: http://camas.comodo.com/cgi-bin/submit?file=570974d26453a8ee217135a75ac078318a5392f9fcad159b2354b9e25428b6ec
MS: https://www.metascan-online.com/en/scanresult/file/7fa239ab11ff4165b6f542cd2deb3bec
MW: https://malwr.com/analysis/OGI4YzNiMWM3MzI4NDAxMThlNDI3YTIzYzhlZjU1Mjc/


Cambios:
Código:
C:\DOCUME~1\User\LOCALS~1\Temp\LmG8gwXIejRa2l.scr.config
C:\DOCUME~1\User\LOCALS~1\Temp\LmG8gwXIejRa2l.scr
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\config\machine.config
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\config\security.config
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\config\security.config.cch
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\config\enterprisesec.config
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\config\enterprisesec.config.cch
C:\Documents and Settings\User\Application Data\Microsoft\CLR Security Config\v2.0.50727.42\security.config
C:\Documents and Settings\User\Application Data\Microsoft\CLR Security Config\v2.0.50727.42\security.config.cch
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\index12.dat
C:\WINDOWS\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.INI
C:\DOCUME~1
C:\DOCUME~1\User
C:\DOCUME~1\User\LOCALS~1
C:\DOCUME~1\User\LOCALS~1\Temp
C:\DOCUME~1\User\LOCALS~1\Temp\LmG8gwXIejRa2l.INI
C:/DOCUME~1
C:/DOCUME~1/User
C:/DOCUME~1/User/LOCALS~1
C:/DOCUME~1/User/LOCALS~1/Temp
C:\WINDOWS\assembly\pubpol1.dat
C:\WINDOWS\assembly\GAC_MSIL\System\2.0.0.0__b77a5c561934e089\System.INI
C:\WINDOWS\system32\l_intl.nls
C:\WINDOWS\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\sorttbls.nlp
C:\WINDOWS\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\sortkey.nlp
C:\WINDOWS\system32\rsaenh.dll
C:\Documents and Settings\User
C:\Documents and Settings\User\LOCALS~1
C:\Device\Tcp6
C:\Device\Tcp
C:\Device\NetBT_Tcpip_{B83AF3AB-4FED-45D1-A8B8-9E66F3411813}
C:\WINDOWS\assembly\GAC_MSIL\System.Configuration\2.0.0.0__b03f5f7f11d50a3a\System.Configuration.dll
C:\WINDOWS\assembly\GAC_MSIL\System.Configuration\2.0.0.0__b03f5f7f11d50a3a\System.Configuration.INI
C:\WINDOWS\assembly\GAC_MSIL\System.Xml\2.0.0.0__b77a5c561934e089\System.Xml.INI
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Config\machine.config
PIPE\lsarpc
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\config\security.config.cch.1316.21756444
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\config\enterprisesec.config.cch.1316.21756444
C:\Documents and Settings\User\Application Data\Microsoft\CLR Security Config\v2.0.50727.42\security.config.cch.1316.21756454


Reg.Keys:

Código:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\Standards\v2.0.50727
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion
HKEY_CURRENT_USER\Software\Microsoft\Fusion
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Security\Policy\Extensions\NamedPermissionSets
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Security\Policy\Extensions\NamedPermissionSets\Internet
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Security\Policy\Extensions\NamedPermissionSets\LocalIntranet
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1547161642-507921405-839522115-1004
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v2.0.50727\Security\Policy
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\index12
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\NI\181938c6\3c74e9a9
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\NI\181938c6\3c74e9a9\1
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\IL\7950e2c5\319545b3\1
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\GACChangeNotification\Default
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\NI\7ca3778b\4451bff0
HKEY_LOCAL_MACHINE\Software\Microsoft\StrongName
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\PublisherPolicy\Default
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\NI\30bc7c4f\1d498232
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\NI\30bc7c4f\1d498232\8
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\IL\424bd4d8\67e63d5c\6
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\IL\19ab8d57\291a02d0\7
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\IL\3f50fe4f\6e9ac653\8
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\Policy\APTCA
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Defaults\Provider Types\Type 001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Offload
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B83AF3AB-4FED-45D1-A8B8-9E66F3411813}
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\NI\159a66b8\b1a55bd
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\NI\6faf58\7d04a1bb
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\NI\6faf58\7d04a1bb\18
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\IL\75638fee\19057a88\23
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ComputerName
ActiveComputerName
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.net clr networking\Performance
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
HKEY_CLASSES_ROOT\AppID\LmG8gwXIejRa2l.scr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE

Mutexes:
Código:
Global\CLR_CASOFF_MUTEX
CTF.TimListCache.FMPDefaultS-1-5-21-1547161642-507921405-839522115-1004MUTEX.DefaultS-1-5-21-1547161642-507921405-839522115-1004
Global\.net clr networking

Strings:
Código:
#Strings
BinaryReader
System.IO
Stream
RijndaelManaged
System.Security.Cryptography
Exception
System
MemoryStream
CryptoStream
ICryptoTransform
CryptoStreamMode
SymmetricAlgorithm
CreateDecryptor
Encoding
System.Text
GetBytes
ReadBytes
Buffer
BlockCopy
get_Length
AppDomain
get_CurrentDomain
ReadByte
ResolveEventArgs
get_Name
add_AssemblyResolve
ResolveEventHandler
Module
System.Reflection
ResolveMethod
MethodBase
Assembly
GetManifestResourceStream
ReadInt32
GetString
get_UTF8
BitConverter
ToUInt32
Invoke
GetEntryAssembly
GetParameters
ParameterInfo
LoadModule
GetTypeFromHandle
RuntimeTypeHandle
get_Assembly
User.exe
mscorlib
ntdll.dll
kernel32.dll
<Module>
Dictionary`2
System.Collections.Generic
DeflateStream
System.IO.Compression
add_ResourceResolve
ToArray
Create
HashAlgorithm
ComputeHash
CompressionMode
Dispose
MemberInfo
get_Module
get_MetadataToken
ResolveSignature
GetExecutingAssembly
GetCurrentMethod
.cctor
FieldInfo
ConstructorInfo
DynamicMethod
System.Reflection.Emit
ILGenerator
GetFieldFromHandle
RuntimeFieldHandle
get_FieldType
CreateDelegate
Delegate
SetValue
get_ParameterType
OpCodes
Newobj
OpCode
get_DeclaringType
GetILGenerator
Ldarg_S
get_IsInterface
get_IsArray
MethodInfo
get_ReturnType
Object
get_IsStatic
Castclass
String
get_Chars
Callvirt
IDisposable
GetManifestResourceNames
IndexOf
sender
CompressShell
UInt32
UInt64
STAThreadAttribute
ValueType
Boolean
numBitLevels
Marshal
System.Runtime.InteropServices
SizeOf
TryGetValue
set_Item
MulticastDelegate
ProcessHandle
ProcessInformationClass
ProcessInformation
ProcessInformationLength
ReturnLength
NtQueryInformationProcess
NtSetInformationProcess
hObject
CloseHandle
IsDebuggerPresent
OutputDebugString
Thread
System.Threading
Environment
GetEnvironmentVariable
set_IsBackground
FailFast
ParameterizedThreadStart
get_IsAlive
get_CurrentThread
Debugger
System.Diagnostics
get_IsAttached
IsLogging
thread
lpAddress
dwSize
flNewProtect
lpflOldProtect
VirtualProtect
GetHINSTANCE
IntPtr
op_Explicit
get_FullyQualifiedName
op_Inequality
ConfusedByAttribute
Attribute
SuppressIldasmAttribute
System.Runtime.CompilerServices
___.netmodule
SteamStealer.Properties.Resources.resources
D_FUFW
Confuser v1.9.0.0
_CorExeMain
mscoree.dll
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity version="1.0.0.0" name="MyApplication.app"/>
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
<security>
<requestedPrivileges xmlns="urn:schemas-microsoft-com:asm.v3">
<requestedExecutionLevel level="asInvoker" uiAccess="false"/>
</requestedPrivileges>
</security>
</trustInfo>
</assembly>
COR_ENABLE_PROFILING
COR_PROFILER
Profiler detected
Loop broken
Debugger detected (Managed)
<Unknown>
VS_VERSION_INFO
VarFileInfo
Translation
StringFileInfo
000004b0
FileDescription
FileVersion
0.0.0.0
InternalName
User.exe
LegalCopyright
OriginalFilename
User.exe
ProductVersion
0.0.0.0
Assembly Version
0.0.0.0


++++++++++++++++


2º:
hxtp://stearommunity.com/id/OraclE/
VT: https://www.virustotal.com/es/url/3ff2a16e77c157d019881bbde25f77bcd7db34cbbbbdf425a2c8c63badf58c7c/analysis/1417071903/ --> 6/61 Phising Site


Para mi que es el mismo personaje o grupo que intentan esparcir la infección via Steam.

Saludos.
677  Seguridad Informática / Seguridad / Re: ¿Deshabilitar Trend Micro Officescan-cliente? en: 28 Noviembre 2014, 14:24 pm
Buena esa Randomize, no se me ocurrió de esa forma. Lo malo es que todavía no le acabo de entender, quiere matar el proceso del AV, que no puede deshabilitar por estar en una red que el no controla y a la vez crearle una excepción al AV  :huh:.
Si matamos procesos y servicios del AV olvidate de crear una excepción, no tiene sentido.

Ya tienes otra alternativa Zaky.

Saludos.
678  Sistemas Operativos / Windows / Re: una carpeta de red imposible de borrar en: 23 Noviembre 2014, 04:20 am
Probaste la iso de Gparted?
Puede funcionarte, ahí odrás ver particiones ocultas y borrralas.

http://gparted.org/download.php

Saludos.
679  Seguridad Informática / Seguridad / Re: Problema con flash player en: 23 Noviembre 2014, 03:11 am
A parte los LiveCD, probaste ejecutar las herramientas en modo seguro?
Revisa que programas se inician con Windows, puedes subir un log de Hijacthis así vemos por donde anda.

Aquí tienes más herramientas, por si necesitas algo en concreto:

http://foro.elhacker.net/seguridad/guia_rapida_para_descarga_de_herramientas_gratuitas_de_seguridad_y_desinfeccion-t382090.0.html

Saludos.
680  Seguridad Informática / Análisis y Diseño de Malware / Re: Cajero automatico MEXICO en: 23 Noviembre 2014, 03:00 am
El malware Ploutus era el que colaban por el lector de cd en los cajeros de mexico.
No se si serán los mismos.

Saludos.
Páginas: 1 ... 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 [68] 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 ... 122
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines