Entradas etiquetadas con “Herramientas” de Mixelandia
<Actualización>
He actualizado el fix para que termine la mayor cantidad de nombre posibles, pero no es seguroa, por lo tanto primero intenta con el fix, en caso de que no funcione entonces sigue leyendo y haz lo que dice la otra actualización.
Saludos
</Actualización>
Iniciare por poner el resultado que obtuve ayer en virustotal.com del archivo:
He actualizado el fix para que termine la mayor cantidad de nombre posibles, pero no es seguroa, por lo tanto primero intenta con el fix, en caso de que no funcione entonces sigue leyendo y haz lo que dice la otra actualización.
Saludos
</Actualización>
Iniciare por poner el resultado que obtuve ayer en virustotal.com del archivo:
Análisis del archivo image_0016.jpeg-www.facebook.com recibido el 27.10.2007 02:32:41 (CET)
Estado actual: análisis terminado
Estado actual: análisis terminado
Resultado: 2/32 (6.25%)
Después de algunos cuantos meses que dejé dormido este proyecto, hace unos cuantos días me dí a la tarea de volver a sumergirme en las fuentes del SB Cleaner, optimizar algoritmos, y sobre todo utilizar las librerias que los amigos del projecto de Rootkit Unhooker pusieron a la disposición de todo mundo.
Cambios de la versión:
Se reviso y mejoro el algoritmo de limpieza, basada en autorun.inf
Se corrigio un posible fallo cuando el archivo autorun.inf estaba vacío o mal formado.
Optimización general del código fuente.
Reducción del tamaño del ejecutable de 62KB a solo34 35.5KB.
Se reescribio por completo el algoritmo para obtener las unidades.
Ya no se listan los CD's y los DVD's, es inútil.
Soporte para rutas UNC. (de ahí el \\?\)
Mejoré el proceso de limpieza automática.
**Ya regreso el algoritmo contra el brontok, corregido y mejorado
*** Actualización
Deprecated_
/*por razones que desconosco, el algoritmo de revisión del brontok, generaba un error de corrupción de memoria, por lo que por esta versión no estara disponible. Espero encontrar la falla y publicar un update.*/
Cambios de la versión:
Se reviso y mejoro el algoritmo de limpieza, basada en autorun.inf
Se corrigio un posible fallo cuando el archivo autorun.inf estaba vacío o mal formado.
Optimización general del código fuente.
Reducción del tamaño del ejecutable de 62KB a solo
Se reescribio por completo el algoritmo para obtener las unidades.
Ya no se listan los CD's y los DVD's, es inútil.
Soporte para rutas UNC. (de ahí el \\?\)
Mejoré el proceso de limpieza automática.
**Ya regreso el algoritmo contra el brontok, corregido y mejorado
*** Actualización
Deprecated_
/*por razones que desconosco, el algoritmo de revisión del brontok, generaba un error de corrupción de memoria, por lo que por esta versión no estara disponible. Espero encontrar la falla y publicar un update.*/
Continuar leyendo USB Cleaner ver 1.8.2 esta en la casa.
Después de que mi entrada parece que no fuera muy clara y que algunas personas tubierón algunos problemas con lo de la ejecución de archivos, les dejo este video donde se ve paso a paso como eliminar a lechuck en forma manual y usando el fix, también como recuperar la asociación de archivos exe, bat, pif y com.
Saludos
Saludos
El jueves pasado (27 de septiembre) corina me trajo una laptop que estaba infectada, chucky, segun ella, ese virus no se dejaba y no se que tana cosa...
bueno dijo que el virus se burlo de ella, cosa que no resulta rara pero bueno, a final de cuentas LeChuck.a, no fue pieza, y aunque termina algunos antivirus, y algunas otras herramientas, no lo hace por arte de magia, simplemete es un truquillo o dos, los cuales dare a continuación.
Primero lo primero, LeChuck esta codificado en VB 6, esta empaquetado con Petite 2.0, lo cual hasta cierto punto es tonto, ya que Petite 2.0 puede ser deshecho hasta con procdump, pero bueno sigamos, contiene una Dll, la cual es winzip, empaquetada con UPX, sin modificar, lo cual me permitio ver que esa dll es inofensiva.
bueno dijo que el virus se burlo de ella, cosa que no resulta rara pero bueno, a final de cuentas LeChuck.a, no fue pieza, y aunque termina algunos antivirus, y algunas otras herramientas, no lo hace por arte de magia, simplemete es un truquillo o dos, los cuales dare a continuación.
Primero lo primero, LeChuck esta codificado en VB 6, esta empaquetado con Petite 2.0, lo cual hasta cierto punto es tonto, ya que Petite 2.0 puede ser deshecho hasta con procdump, pero bueno sigamos, contiene una Dll, la cual es winzip, empaquetada con UPX, sin modificar, lo cual me permitio ver que esa dll es inofensiva.
Continuar leyendo Mixel Adm Vs LeChuck is here.
Continuando con esta seir de entradas, le toca el turno a la herramienta Auntouns, que nos permite ver que archivos son ejectuados al iniciarse nuestra computadora. La importancia de esto reside en que los virus, deben de encontrar una manera de sobrevivir a todas y cada una de las apagadas que le das a tu computadora, es decir que de alguna forma deben de volverse a ejecutar cada vez que la enciendes. Para esto hay muchos métodos, y la mayoria, tienen que ver con el registro de windows. Y esto es debido a que el registro es una parte primordial del sistema operativo, es el lugar en el que se guardan la mayoria de las opciones del sistema, opciones de los usuarios y muchas otras cosas más. Sin embargo este no es un lugar seguro para jugar, ya que algun cambio en el registro, que no sea correcto podria dejar tu máquina, y gastar más en la reparación que en el mentado virus.
Si bien es cierto Windows ya biene con un programa que nos permite modificar el registo, llamado regedit.exe, este no es lo más intuitivo ni agradable ala vista para un usuario no muy avanzado. Con esto en mente, un programador llamado Mark Russinovich creo un programa llamado Autoruns, el cual nos permite ver que programas se incian con el sistma, así como otras tantas opciones, de una manera fácil y sobre todo segura. Esto, suena bien para la mayoria de nosotros, sin embargo de que sirve autoruns, cuando no sabemos lo que estamos viendo. Asi esta entrada explica como es que yo recomiendo utilizar autoruns, que de hecho es la manera que lo uso. Bueno iniciemos ya para no distraerlos más.
Lo primero es descargarlo desde aquí
Si bien es cierto Windows ya biene con un programa que nos permite modificar el registo, llamado regedit.exe, este no es lo más intuitivo ni agradable ala vista para un usuario no muy avanzado. Con esto en mente, un programador llamado Mark Russinovich creo un programa llamado Autoruns, el cual nos permite ver que programas se incian con el sistma, así como otras tantas opciones, de una manera fácil y sobre todo segura. Esto, suena bien para la mayoria de nosotros, sin embargo de que sirve autoruns, cuando no sabemos lo que estamos viendo. Asi esta entrada explica como es que yo recomiendo utilizar autoruns, que de hecho es la manera que lo uso. Bueno iniciemos ya para no distraerlos más.
Lo primero es descargarlo desde aquí
Continuar leyendo Como usar autoruns.
Iniciando con esta saga de entradas, que explican como utilizar las diversas herramientas que utilizamos en mixelandia, los dejo con Process Explorer
Como siempre empezaremos por descargarlo desde aquí.
Una vez que lo hemos descargaso se nos presenta una carpeta con tres archivos, de los cuales el que nos interesa es procexp.exe, que es el ejecutable del programa.
bien empecemos por describir que es Process Explorer.
Como siempre empezaremos por descargarlo desde aquí.
Una vez que lo hemos descargaso se nos presenta una carpeta con tres archivos, de los cuales el que nos interesa es procexp.exe, que es el ejecutable del programa.
bien empecemos por describir que es Process Explorer.
Continuar leyendo Usando Process Explorer.
Hace unos momentos estaba yo muy tranquilo chateando con un amigo, y de repente me aparece una conversación de una amiga la cual me manda el siguiente mensaje:
Moquita Bonita dice:
oye voy a agregar esa foto a mi blog ya
Moquita Bonita envía:
IMG-0012.zip
Abrir (Alt+P)
Mixel Adm: Nomas no digas que no Ya casi 25... fiestaaaaaaaa eaaaa party://29.9.7.9:25 dice:
¿¿??¿?
Has recibido satisfactoriamente C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\IMG-0012.zip de Moquita Bonita .
Mixel Adm: Nomas no digas que no Ya casi 25... fiestaaaaaaaa eaaaa party://29.9.7.9:25 dice:
y eso que es ???
ha ya se virus
click en la imagen para ver la conversación
Continuar leyendo Gusano En el messenger... una nueva amenaza.....
Esta entrada es una traducción al español de la entrada que se encuentra en este blog que a su vez ha sido modificada de esta otra
Esto solo funciona con windows y en este momento solo se puede Activar com iPod, es decir despues de esto no se pueden hacer llamadas telefonicas aun.
Esto solo funciona con windows y en este momento solo se puede Activar com iPod, es decir despues de esto no se pueden hacer llamadas telefonicas aun.
Continuar leyendo Como editar iTunes para activar tu iPhone.
Ya en alguna ocación hable de este tema, sin embargo creo que me falto dar una explicación de como saber si alguien te tiene agregado o no.
Hoy vamos a ver este tema que mucha gente busca y muy posiblemente no saben como realizarlo.
Lo primero que dire es que vamos a ver un metodo para averiguar lo mismo, es decir para saber si al alguien nos tiene agregados en su lista o no.
Empezare por decir que usare el AMSN, que es un clon por así decirlo de el MSN Messenger, y que ya trae incorporada esta funcionalidad de ver quien te tiene agregado y quine no. asi que veamos esta imagen la cual nos muestra el AMSN en acción:
Aqui la imagen del AMSN
y aqui otra
En estas dos imégenes tan solo importa una cosa, el pequeño cuadro con una techa en la primera, esa simple marquita nos idica que el contacto no nos tiene agregado en su lista de contactos, y esa es la solución a nuestra pregunta nos tiene o no agregado.
Bien no queda más que decir que para poder usar el AMSN hay que instalarlo primero y para eso se requiere que estes en tu casa o que el encargado del ciber te de permiso..
Saludos
Hoy vamos a ver este tema que mucha gente busca y muy posiblemente no saben como realizarlo.
Lo primero que dire es que vamos a ver un metodo para averiguar lo mismo, es decir para saber si al alguien nos tiene agregados en su lista o no.
Empezare por decir que usare el AMSN, que es un clon por así decirlo de el MSN Messenger, y que ya trae incorporada esta funcionalidad de ver quien te tiene agregado y quine no. asi que veamos esta imagen la cual nos muestra el AMSN en acción:
Aqui la imagen del AMSN
y aqui otraEn estas dos imégenes tan solo importa una cosa, el pequeño cuadro con una techa en la primera, esa simple marquita nos idica que el contacto no nos tiene agregado en su lista de contactos, y esa es la solución a nuestra pregunta nos tiene o no agregado.
Bien no queda más que decir que para poder usar el AMSN hay que instalarlo primero y para eso se requiere que estes en tu casa o que el encargado del ciber te de permiso..
Saludos
Despues de que aparentemente hemos tenido abandonado el blog, tengo que decirles que esto noe s cierto, todo se debio a que estaba haciendo muchas cosas raras en el blog.
La pricipal fue generar un programita para migrar desde blogger a movable type, que es un entorno de blogeo el cual tienes completo contro sobre todo lo que concierne al blog.
El primer paso fue entender el formato del archivo de MT, y lo segundo a prender a interactuar con el servicio de blogger, para al final poder sacar un archivo que contenga todo tu blog.
Listo aqui les dejo este sistema de migración de Blogger a Movable Type
lo primero que tendran que hacer es ingresar a su cuenta de Google para poder darle permiso al sistema de migración para que accese a su blog. Despues seleccionan su blog y pulsan exportar.
La pricipal fue generar un programita para migrar desde blogger a movable type, que es un entorno de blogeo el cual tienes completo contro sobre todo lo que concierne al blog.
El primer paso fue entender el formato del archivo de MT, y lo segundo a prender a interactuar con el servicio de blogger, para al final poder sacar un archivo que contenga todo tu blog.
Listo aqui les dejo este sistema de migración de Blogger a Movable Type
lo primero que tendran que hacer es ingresar a su cuenta de Google para poder darle permiso al sistema de migración para que accese a su blog. Despues seleccionan su blog y pulsan exportar.
Pulsa siguiente para continuar
El día de hoy he estado recibiendo muchas conversaciones de personas que utilizan un servicio del tipo de "noteadmito.info", la cual no deja de ser una reverenda pendejada. Veamos en que me baso para decir esto.
Cuando una persona te bloquea en el Messenger, no ocurre ningún cambio en la lista de admitidos, sino en la lista de bloqueados, la cual es privada, es decir nadie más que el propietario de la cuenta tiene acceso a ella.
Pero veamos un poco del proceso de logue en la cuenta del Messenger para poder entender esto.
El primer paso consiste en enviar el correo electrónico, si este existe se recibe un número de identificación, el cual se concatena con el MD5 de la contraseña y se le saca de nuevo el MD5, esto para evitar enviar contraseñas en texto claro, si el usuario es aceptado, se le indica que se conecte ahora a otro servidor y comienza la transferencia de listas.
Si no mal recuerdo son 4 listas, la lista de Amigos, la lista de Admitidos, la lista de personas bloqueadas y por ultimo algo denominado back list que es la lista de personas que te tienen agregado como amigo.
Si nos fijamos bien veremos que el proceso solo, este solo nos permite saber quién nos tiene agregado como amigo, pero no es posible saber si alguien te tiene loqueado.
¿Pero en qué consiste bloquear a alguien? Bien la respuesta es algo confusa y solamente se puede contestar basándose en el proceso. Una vez que se recibe la lista de amigos, en ella viene un campo que nos indica el estado de esa persona, si está o no conectado o esta como ocupado, etc. Ahora esto es en la parte de cliente, pero en la parte del servidor (en live.com) se hace una comparación algo así como esto:
por cada amigo en lista_de_amigos Checa_estado(amigo, yo)
ahora en la función checa_estado(amigo, yo)
si yo en amigo.lista_bloqueados regresa no_conectado
si no regresa amigo.estado
***este proceso solo es demostrativo y no representa la realidad, ya que también entra la opción de solo permitir ver tu estado a las personas que tienes en tu lista de admitidos
como podemos ver es un trabajo 100% en el servidor, y no es posible saber si estamos bloqueados o no, no hay forma de que no podamos saltar esa pequeña encapsulación de datos.
Pero la página me ha dicho que fulano, zutano y perengano me tiene bloqueado...
Si señor la información que te da la pagina no es otra si no la de quien te elimino de su lista de amigos, lo cual es realmente fácil de saber, solo compara tu lista de amigos, con la back list y listo si no aparece en la back list te elimino y por lo tanto no representa que te hayan bloqueado.
¿Pero bien y como hago para saber si alguien me bloqueo?
Pues al igual que en el hacking, en esto de saber quién te bloqueo en el Messenger entra la Ingeniería Social, la cual es una de las herramientas más potentes que existen.
Veamos cómo es esto:
Lupe tiene agregado a Juan y Pedro
Juan también tiene agregado a Pedro
un día Juan se enoja con Lupe y la bloquea, Lupe trata de saber si la bloquearon o no y recurre a las famosas páginas esas y encuentra que Juan no la bloqueo, sin embargo un día se conecta Pedro.
Lupe le pregunta alguna que otra tontería, y por no dejar le dice que si ha visto a Juan últimamente, a lo que Pedro le contesta "mmm si ahorita está conectado".
Lupe solo contesta ha si ya lo vi gracias y en ese momento sabe que Juan si la tiene bloqueada.
Así funciona esto y no se dejen sorprender por esas páginas que muy posiblemente les estén robando sus contraseñas o agregando sus correos a listas de spam.
Saludos y no se dejen engañar
Cuando una persona te bloquea en el Messenger, no ocurre ningún cambio en la lista de admitidos, sino en la lista de bloqueados, la cual es privada, es decir nadie más que el propietario de la cuenta tiene acceso a ella.
Pero veamos un poco del proceso de logue en la cuenta del Messenger para poder entender esto.
El primer paso consiste en enviar el correo electrónico, si este existe se recibe un número de identificación, el cual se concatena con el MD5 de la contraseña y se le saca de nuevo el MD5, esto para evitar enviar contraseñas en texto claro, si el usuario es aceptado, se le indica que se conecte ahora a otro servidor y comienza la transferencia de listas.
Si no mal recuerdo son 4 listas, la lista de Amigos, la lista de Admitidos, la lista de personas bloqueadas y por ultimo algo denominado back list que es la lista de personas que te tienen agregado como amigo.
Si nos fijamos bien veremos que el proceso solo, este solo nos permite saber quién nos tiene agregado como amigo, pero no es posible saber si alguien te tiene loqueado.
¿Pero en qué consiste bloquear a alguien? Bien la respuesta es algo confusa y solamente se puede contestar basándose en el proceso. Una vez que se recibe la lista de amigos, en ella viene un campo que nos indica el estado de esa persona, si está o no conectado o esta como ocupado, etc. Ahora esto es en la parte de cliente, pero en la parte del servidor (en live.com) se hace una comparación algo así como esto:
por cada amigo en lista_de_amigos Checa_estado(amigo, yo)
ahora en la función checa_estado(amigo, yo)
si yo en amigo.lista_bloqueados regresa no_conectado
si no regresa amigo.estado
***este proceso solo es demostrativo y no representa la realidad, ya que también entra la opción de solo permitir ver tu estado a las personas que tienes en tu lista de admitidos
como podemos ver es un trabajo 100% en el servidor, y no es posible saber si estamos bloqueados o no, no hay forma de que no podamos saltar esa pequeña encapsulación de datos.
Pero la página me ha dicho que fulano, zutano y perengano me tiene bloqueado...
Si señor la información que te da la pagina no es otra si no la de quien te elimino de su lista de amigos, lo cual es realmente fácil de saber, solo compara tu lista de amigos, con la back list y listo si no aparece en la back list te elimino y por lo tanto no representa que te hayan bloqueado.
¿Pero bien y como hago para saber si alguien me bloqueo?
Pues al igual que en el hacking, en esto de saber quién te bloqueo en el Messenger entra la Ingeniería Social, la cual es una de las herramientas más potentes que existen.
Veamos cómo es esto:
Lupe tiene agregado a Juan y Pedro
Juan también tiene agregado a Pedro
un día Juan se enoja con Lupe y la bloquea, Lupe trata de saber si la bloquearon o no y recurre a las famosas páginas esas y encuentra que Juan no la bloqueo, sin embargo un día se conecta Pedro.
Lupe le pregunta alguna que otra tontería, y por no dejar le dice que si ha visto a Juan últimamente, a lo que Pedro le contesta "mmm si ahorita está conectado".
Lupe solo contesta ha si ya lo vi gracias y en ese momento sabe que Juan si la tiene bloqueada.
Así funciona esto y no se dejen sorprender por esas páginas que muy posiblemente les estén robando sus contraseñas o agregando sus correos a listas de spam.
Saludos y no se dejen engañar
Aveces es bueno saber si nuestro sitio va por el buen camino o no y para poder seguirle el curso a nuestro sitio les traigo esta página que predice el pageRank de tu sitio, esto es meramente especulatorio hay que aclararlo, pero no deja de ser una buena guia para saber si has tenido avances y si seguiras subiendo o no en la próxima revisión de google.
Según me infamaron la siguiente vez que google ajstara el pageRank sera en septiembre de este año, con lo que quedan algunos meses para poder mejorar y seguir ganando back links no creen.
Suerte y espero que esta herramienta les de buenas noticias como a mi. Según esto mi pagina tendrá un pagerank de 4, y eso para mi es muy bueno, recordemos que entre más alto se a tu pagerank google te toma mas en cuenta al momento de las búsquedas, por lo cual apareces mas y hay mas visitas a tu web.
el sitio en cuestion es este http://www.iwebtool.com/pagerank_prediction
Saludos
Según me infamaron la siguiente vez que google ajstara el pageRank sera en septiembre de este año, con lo que quedan algunos meses para poder mejorar y seguir ganando back links no creen.
Suerte y espero que esta herramienta les de buenas noticias como a mi. Según esto mi pagina tendrá un pagerank de 4, y eso para mi es muy bueno, recordemos que entre más alto se a tu pagerank google te toma mas en cuenta al momento de las búsquedas, por lo cual apareces mas y hay mas visitas a tu web.
el sitio en cuestion es este http://www.iwebtool.com/pagerank_prediction
Saludos
Después de algunos días no haber podido dedicarle tiempo al este programita, este fin de semana me puse a finalizar lo que a mi punto de vista es la versión 1.7.
El cambio aqu mas me tardo es el hecho de que ya no uso los forms de delphi, lo que hizo que el tamaño del programa se redujera en mucho, pasando a solo unos cuantos kilos (63kilobytes), reduciendo también con esto el uso de memoria RAM y más recurso del sistema.
Otra cosa que le agregue fue que ahora mientras el programa se este ejecutando, al momento de conectar una memoria esta es analizada (y limpiada en caso de ser necesario) en forma automática.
Tambien le puse que al momento de minimizar la ventana se agrega a la barra de iconos de notificación.
Hice alunas limpiezas y mejoras en el código fuente, por lo cual también se redujo el tamaño del ejecutable.
Lo que bien es introducir una hoja de opciones, hacer que el programa se instale como servicio (si que se inicie estomáticamente con windows pero con los privilegios mas elevados).
también un menú y mas cosillas pero eso sera con tiempo y un poco de deificación, por mientras aquí les dejo la versión mas reciente del USBCleaner
Descargar
El cambio aqu mas me tardo es el hecho de que ya no uso los forms de delphi, lo que hizo que el tamaño del programa se redujera en mucho, pasando a solo unos cuantos kilos (63kilobytes), reduciendo también con esto el uso de memoria RAM y más recurso del sistema.
Otra cosa que le agregue fue que ahora mientras el programa se este ejecutando, al momento de conectar una memoria esta es analizada (y limpiada en caso de ser necesario) en forma automática.
Tambien le puse que al momento de minimizar la ventana se agrega a la barra de iconos de notificación.
Hice alunas limpiezas y mejoras en el código fuente, por lo cual también se redujo el tamaño del ejecutable.
Lo que bien es introducir una hoja de opciones, hacer que el programa se instale como servicio (si que se inicie estomáticamente con windows pero con los privilegios mas elevados).
también un menú y mas cosillas pero eso sera con tiempo y un poco de deificación, por mientras aquí les dejo la versión mas reciente del USBCleaner
Descargar
PandaLabs ha descubierto DreamSystem, un sistema para controlar varias variantes de la
familia de bots DreamSocks. la versión 1.3 de esta herramienta es la ultima que se conoce
y esta siendo vendida en varios foros por alrededor de 750 dollares. Por el dinero pagado
se incluyen actualizaciones gratuitas de nuevas versiones.
La herramienta consta de dos partees, La primera permite a los ciber-delincuentes controlar las maquinas comprometidas, convirtiéndolas en servidores, ingresando una URL en los bots,esto es para que se conecten a ella y comiencen a recibir ordenes. La segunda parte es la parte que permite enviar las ordenes a esas maquinas infectadas. Esta ultima ha sido encontrada en muchos foros, lo cual indica que hay varias botnet controladas por esta herramienta.
Los bots controlados mediante DreamSystem permiten que el atacante las convierta en zombies y también las utilice como servidores. Además también permite que el bot descargue y ejecute cualquier tipo de archivos, incluyendo otros códigos maliciosos.
En los foros donde se ha encontrado esta herramienta, esta se esta utilizando para lanzar ataques de Delegación de Servicio Distribuidos(DDoS por sus siglas en ingles) en contra de Servidores web. Esto puede ser en dos protocolos:UDP y TCP.
Los Ciber-delincuentes usan estos ataques para bloquear los servicios proporcionados por compañías que basan sus servicios en internet, -con las perdidas que esto acarrea-, si no pagan una cantidad para detener el ataque.
Las técnicas utilizadas para distribuir estas variantes de los bots van desde la utilización de exploits para infectar la maquina de usuarios, como Mpack o enviando spam con el bot como contenido.
familia de bots DreamSocks. la versión 1.3 de esta herramienta es la ultima que se conoce
y esta siendo vendida en varios foros por alrededor de 750 dollares. Por el dinero pagado
se incluyen actualizaciones gratuitas de nuevas versiones.
La herramienta consta de dos partees, La primera permite a los ciber-delincuentes controlar las maquinas comprometidas, convirtiéndolas en servidores, ingresando una URL en los bots,esto es para que se conecten a ella y comiencen a recibir ordenes. La segunda parte es la parte que permite enviar las ordenes a esas maquinas infectadas. Esta ultima ha sido encontrada en muchos foros, lo cual indica que hay varias botnet controladas por esta herramienta.
Los bots controlados mediante DreamSystem permiten que el atacante las convierta en zombies y también las utilice como servidores. Además también permite que el bot descargue y ejecute cualquier tipo de archivos, incluyendo otros códigos maliciosos.
En los foros donde se ha encontrado esta herramienta, esta se esta utilizando para lanzar ataques de Delegación de Servicio Distribuidos(DDoS por sus siglas en ingles) en contra de Servidores web. Esto puede ser en dos protocolos:UDP y TCP.
Los Ciber-delincuentes usan estos ataques para bloquear los servicios proporcionados por compañías que basan sus servicios en internet, -con las perdidas que esto acarrea-, si no pagan una cantidad para detener el ataque.
Las técnicas utilizadas para distribuir estas variantes de los bots van desde la utilización de exploits para infectar la maquina de usuarios, como Mpack o enviando spam con el bot como contenido.
Programas antivirus de varias compañías de nivel mundial han fallado en la mayor prueba de malware la VB100
Los productos de Kaspersky, Grisoft, y F-Secure han fallado en detectar el 100% del malware que se encuentran en la base de datos de Virus Bulletin, anqué en alguna ocasión ya habían pasado esta prueba.
De los 37 productos probados, 10 fallaron al momento de demostrar sus habilidades de detección necesitarías para obtener la certificación VB100.
Kaspersky Anti-Virus 6.0.2.621 fallo en detectar el gusano de internet llamado allaple. De acuerdo con el consultor de tecnología de Kaspersky, David Emm, Kaspersky había agregado la firma para el gusano en Febrero. Sin embargo al momento de la prueba, Kaspersky se encontraba "optimizando" la firma del allape, y la firma no se encontraba en la base de datos de Kaspersky.
Grisoft AVG 7.5 professional Edition también fallo en el VB100. AVG es una aplicación antimalware gratuita muy conocida, que tiene una gran aceptación.
Larry Bridwellm el estratega general de seguridad de Grisoft, dijo que la parte de este anti-malware, AVG 7.5 Professional Edition, que detecta firmas ha fallado al detectar una de las variantes del Troyano Agobot, pero que la parte anti-spyware del producto lo había detectado. "Las pruebas son al momento de accesar los archivos a nivel hardware" comento Bridwell. Cuando se probo el AVG 7.5 Professional Edition, encontramso el bot en la parte del anty spyware, la cual es sobre demanda [el programa tiene que iniciarse de forma manual]. Deberíamos de haber detectado el malware al momento del acceso.
Al igual que Kaspersky el servicio de protección para clientes de F-Secure (7.00 buil 387) fallo al detectar el Allaple. La compañía dijo que había cometido un error al no enviar las últimas actualizaciones de su base de datos. "El producto enviado a la prueba no incluía las ultimas actualizaciones", comentó F-Secure. "El programa que probado off line, lo cual no permitió al programa actualizarse a la ultima versión en la base de datos. En el ambiente del usuario normal la base de datos se hubiera actualizado de manera automática.
Todas estas pruebas fueron realizadas en Windows XP.
Los productos de Kaspersky, Grisoft, y F-Secure han fallado en detectar el 100% del malware que se encuentran en la base de datos de Virus Bulletin, anqué en alguna ocasión ya habían pasado esta prueba.
De los 37 productos probados, 10 fallaron al momento de demostrar sus habilidades de detección necesitarías para obtener la certificación VB100.
Kaspersky Anti-Virus 6.0.2.621 fallo en detectar el gusano de internet llamado allaple. De acuerdo con el consultor de tecnología de Kaspersky, David Emm, Kaspersky había agregado la firma para el gusano en Febrero. Sin embargo al momento de la prueba, Kaspersky se encontraba "optimizando" la firma del allape, y la firma no se encontraba en la base de datos de Kaspersky.
Grisoft AVG 7.5 professional Edition también fallo en el VB100. AVG es una aplicación antimalware gratuita muy conocida, que tiene una gran aceptación.
Larry Bridwellm el estratega general de seguridad de Grisoft, dijo que la parte de este anti-malware, AVG 7.5 Professional Edition, que detecta firmas ha fallado al detectar una de las variantes del Troyano Agobot, pero que la parte anti-spyware del producto lo había detectado. "Las pruebas son al momento de accesar los archivos a nivel hardware" comento Bridwell. Cuando se probo el AVG 7.5 Professional Edition, encontramso el bot en la parte del anty spyware, la cual es sobre demanda [el programa tiene que iniciarse de forma manual]. Deberíamos de haber detectado el malware al momento del acceso.
Al igual que Kaspersky el servicio de protección para clientes de F-Secure (7.00 buil 387) fallo al detectar el Allaple. La compañía dijo que había cometido un error al no enviar las últimas actualizaciones de su base de datos. "El producto enviado a la prueba no incluía las ultimas actualizaciones", comentó F-Secure. "El programa que probado off line, lo cual no permitió al programa actualizarse a la ultima versión en la base de datos. En el ambiente del usuario normal la base de datos se hubiera actualizado de manera automática.
Todas estas pruebas fueron realizadas en Windows XP.
Hoy tuve un caso algo raro. Después de que el toro día un cliente nos hiciera la observación de que su maquina se reiniciaba sin ningún motivo aparente, nos dimos (bueno el robe) a la tarea de revisarla, encontrando que tenia una falla en el modulo de memoria RAM de 1GB DDR, polo cual se procedió a cambiarse, y dejarse funcionando.
Pero el día de hoy, el cliente se comunico con nosotros diciendonos que ahora solo se apagaba, que ya ni siquiera se reiniciaba, y esta vez me toco atender el caso a mi. Tome mis discos necesarios, mi herramienta y salí con rumbo de la oficina del cliente, para checar la maquinita que no quería quedar. Una vez que arribe al lugar y me comenzaron a relatar las horripilantes historias que estaban viviendo con esa maquina endemoniada que no quería funcionar correctamente desde hacia varió tiempo atras.
Al comenzar mis investigaciones pertinentes, comencé a notar que en efecto la maquina se conjelaba (y no precisamente porque haga frió) y había que aplastar reset para poder continuar. Bueno llego el tiempo de utilizar algunas herramientas de diagnostico, las cuales no arrojaron nada de que preocuparse, y eso me preocupo un poco, ya que eso para mi era un problema.
descartados los fallos por hardware, solo quedaban dos culpables: los programas y los drivers.
Lo primero que pensé fue que algún driver estaría dañado y estaba ocacionando todo este relajo. Sin embargo pronto vi un patrón extraño, la maquina se trababa solamente al ver ciertas páginas, y comencé a revisar este blog, para bajar algunas herramientas mas. Cual seria mi sorpresa al notar que cada vez que trataba de entrar al blog, la maquina se trababa.
Sinceramente pensé que mi blog y esa máquina tenían un serio problema de incompatibilidad, pero después pensé "hasta el día de hoy nadie me ha dicho que mi pagina le trabe su computadora".
Ya en este punto tome la decisión dejarme guiar por mi instinto y me decidí a bajar FireFox ver si ocurría el mismo efecto (algunas veces los drivers encargados de TCP/IP y similares y conexos fallan y pueden generar este tipo de fenómenos).
Como muchos podrán adivinar, desde el momento que se acabo de bajar FireFox, y en cuanto termine de instalarlo, todo lo relacionado a los paros repentinos del Windoze terminaron y pude dejar funcionado la maquina sin ningún problema aparente, así que elimine todos los accesos directos y demás que apuntaban al Internet Explorer y pude regresar a casa a comer feliz y sin mas preocupaciones.
Pero el día de hoy, el cliente se comunico con nosotros diciendonos que ahora solo se apagaba, que ya ni siquiera se reiniciaba, y esta vez me toco atender el caso a mi. Tome mis discos necesarios, mi herramienta y salí con rumbo de la oficina del cliente, para checar la maquinita que no quería quedar. Una vez que arribe al lugar y me comenzaron a relatar las horripilantes historias que estaban viviendo con esa maquina endemoniada que no quería funcionar correctamente desde hacia varió tiempo atras.
Al comenzar mis investigaciones pertinentes, comencé a notar que en efecto la maquina se conjelaba (y no precisamente porque haga frió) y había que aplastar reset para poder continuar. Bueno llego el tiempo de utilizar algunas herramientas de diagnostico, las cuales no arrojaron nada de que preocuparse, y eso me preocupo un poco, ya que eso para mi era un problema.
descartados los fallos por hardware, solo quedaban dos culpables: los programas y los drivers.
Lo primero que pensé fue que algún driver estaría dañado y estaba ocacionando todo este relajo. Sin embargo pronto vi un patrón extraño, la maquina se trababa solamente al ver ciertas páginas, y comencé a revisar este blog, para bajar algunas herramientas mas. Cual seria mi sorpresa al notar que cada vez que trataba de entrar al blog, la maquina se trababa.
Sinceramente pensé que mi blog y esa máquina tenían un serio problema de incompatibilidad, pero después pensé "hasta el día de hoy nadie me ha dicho que mi pagina le trabe su computadora".
Ya en este punto tome la decisión dejarme guiar por mi instinto y me decidí a bajar FireFox ver si ocurría el mismo efecto (algunas veces los drivers encargados de TCP/IP y similares y conexos fallan y pueden generar este tipo de fenómenos).
Como muchos podrán adivinar, desde el momento que se acabo de bajar FireFox, y en cuanto termine de instalarlo, todo lo relacionado a los paros repentinos del Windoze terminaron y pude dejar funcionado la maquina sin ningún problema aparente, así que elimine todos los accesos directos y demás que apuntaban al Internet Explorer y pude regresar a casa a comer feliz y sin mas preocupaciones.
Aquí a quedado otra historia más de Internet Explorer y su servidor, en la cual esta vez gane....
Un saludo
Después de que libere la primer versión del limpiador de memorias, pude observasr varios detalles, el primero y mas primordial para mi fue que no tenia soporte para el brontok, el cual no infecta las memorias de la misma manera que los demás.
Pues bien después de varios días de retroalimentación en los foros de ba-k.com, hice algunos cambios al programa que enlisto a continucación:
agregado: detección y eliminación del brontok en las memorias usb
corregido: bug que hacia que el programa se trabara si el autorun.inf estaba vació o mal formado.
agregado: un espacio donde el programa arroja resultados.
mejorado: se mejoro un poco el aspecto del programa en general y se quito ese horrible icono amarillo.
espero que si alguien encuentra un error me lo haga saber, ya sea dejando un comentario o cualquier cosa que ustedes deseen.
y si les sirve, ayudenme colocando un link a este blog o a esta página en especial.
Descargate el programa aquí
Saludos.
Pues bien después de varios días de retroalimentación en los foros de ba-k.com, hice algunos cambios al programa que enlisto a continucación:
agregado: detección y eliminación del brontok en las memorias usb
corregido: bug que hacia que el programa se trabara si el autorun.inf estaba vació o mal formado.
agregado: un espacio donde el programa arroja resultados.
mejorado: se mejoro un poco el aspecto del programa en general y se quito ese horrible icono amarillo.
espero que si alguien encuentra un error me lo haga saber, ya sea dejando un comentario o cualquier cosa que ustedes deseen.
y si les sirve, ayudenme colocando un link a este blog o a esta página en especial.
Descargate el programa aquí
Saludos.
Navegando por la red me tope con este método para copiar huellas digitales y engañar a los aparatitos que las leen.
articulo original en ingles aquí
Para poder crear huellas digitales falsas, primeramente necesitamos una original. Recordemos que las huellas digitales no son otra cosa sino que sudor y grasa sobre los objetos tocados. Para obtener la huella digital de alguien más (en este caso la huella digital que quieres copiar) uno debe de basarse en las técnicas forenses que han demostrado ser muy efectivas.
En la figura 1 podemos ver una huella digital.
(Figura 1) residuos grasosos de una huella digital.
Una buena fuente para obtener las huellas digitales son los vasos, las chapas de las puertas y el papel brilloso. El método forense estándar que las hace visibles es el siguiente: Espolvorearlo con talco coloreado, el cual se pega a la grasa (figura 2).
Figure 2: Visualización con polvo de grafito
Otra solución envuelve al cianocrilato, el ingrediente principal de la cola loca. Se coloca una pequeña cantidad en el fondo una tapa de refresco, la cual se coloca sobre la huella (Figura 3).
Figure 3: Visualización con súper pegamento
Los gases de Cianocrilato reaccionan con la grasa, generando una substancia blanca y solida (Figura 4).
Figura 4: la huella después del cianocrilato.
Lo siguiente envuelve escanear/fotografiar (figura 5) y un poco de tratamiento gráfico (Figura 6).
Figura 5: Digitalizando la huella.
Figure 6: retocando la imagen para la impresión.
El objetivo de esto es obtener una imagen de la huella digital, para usarla como molde,
Del cual se hace la copia. La manera más fácil de imprimir la imagen es sobre acetatos, (los que se usan comúnmente para el retroproyector) con una impresora laser. El tóner forma un relieve, el cual es usado de una forma parecida al prensado con letras. El pegamento para madera es adecuado para producir la copia (Figura 7).
Figura 7: pegamento para madera usado para la copia.
Se pude usar una pequeña cantidad de glicerina para mejora la humedad y la usabilidad. Después de mezclar bien, el molde es cubierto por una capa del compuesto (Figuras 8,9)
Figura 8: Cubriendo el molde con el pegamento.
Figura 9: Capa de pegamento sobre la impresión.
Después de que el pegamento ha secado (Figura 10), es retirado y cortado del tamaño del dedo.
Figura 10: Pegamento endurecido
Figura 11: Copia, lista para usarse
Pegamento para teatro es usado para pegar la copia al dedo (Figura 12).
Figura 12: La nueva identidad esta lista.
¡La nueva identidad esta lista!
articulo original en ingles aquí
Para poder crear huellas digitales falsas, primeramente necesitamos una original. Recordemos que las huellas digitales no son otra cosa sino que sudor y grasa sobre los objetos tocados. Para obtener la huella digital de alguien más (en este caso la huella digital que quieres copiar) uno debe de basarse en las técnicas forenses que han demostrado ser muy efectivas.
En la figura 1 podemos ver una huella digital.
(Figura 1) residuos grasosos de una huella digital.
Una buena fuente para obtener las huellas digitales son los vasos, las chapas de las puertas y el papel brilloso. El método forense estándar que las hace visibles es el siguiente: Espolvorearlo con talco coloreado, el cual se pega a la grasa (figura 2).
Figure 2: Visualización con polvo de grafito
Otra solución envuelve al cianocrilato, el ingrediente principal de la cola loca. Se coloca una pequeña cantidad en el fondo una tapa de refresco, la cual se coloca sobre la huella (Figura 3).
Figure 3: Visualización con súper pegamento
Los gases de Cianocrilato reaccionan con la grasa, generando una substancia blanca y solida (Figura 4).
Figura 4: la huella después del cianocrilato.
Lo siguiente envuelve escanear/fotografiar (figura 5) y un poco de tratamiento gráfico (Figura 6).
Figura 5: Digitalizando la huella.
Figure 6: retocando la imagen para la impresión.
El objetivo de esto es obtener una imagen de la huella digital, para usarla como molde,
Del cual se hace la copia. La manera más fácil de imprimir la imagen es sobre acetatos, (los que se usan comúnmente para el retroproyector) con una impresora laser. El tóner forma un relieve, el cual es usado de una forma parecida al prensado con letras. El pegamento para madera es adecuado para producir la copia (Figura 7).
Figura 7: pegamento para madera usado para la copia.
Se pude usar una pequeña cantidad de glicerina para mejora la humedad y la usabilidad. Después de mezclar bien, el molde es cubierto por una capa del compuesto (Figuras 8,9)
Figura 8: Cubriendo el molde con el pegamento.
Figura 9: Capa de pegamento sobre la impresión.
Después de que el pegamento ha secado (Figura 10), es retirado y cortado del tamaño del dedo.
Figura 10: Pegamento endurecido
Figura 11: Copia, lista para usarse
Pegamento para teatro es usado para pegar la copia al dedo (Figura 12).
Figura 12: La nueva identidad esta lista.
¡La nueva identidad esta lista!
Esta es una pequeña traducción de un entrevista realizada a los creadores de este ataque.
Lanoa original esta en ingles aquí.
Extracto
WEP esta muerto y aquí la prueba.
Crackear el algoritmo de seguridad para WIFI "WEP" es un juego de probabilidad. el número de paquetes requerido para desencriptar la clave depende de varios factores, incluyendo suerte.
Cuando WEP fue rota en 2001, el ataque necesitaba mas de 5 millones de paquetes para funcionar. Durante el verano de 2004, un hacker llamado KoreK publico un nuevo ataque para WEP llamado Chopper que redujo considerablemente la cantidad de paquetes requeridos, permitiendo que la gente crackeara las llaves, con cientos de miles de paquetes, en vez de millones de estos.
El mes pasado, res investigadores, Erik Tews, Andrei Pychkine y Ralf-Philipp Weinmann
desarrollaron un ataque mas rápido (basándose en el criptoanálisis del RC4 de Andreas Klein),que trabaja con paquetes ARP y que solo necesita 85,000 paquetes para crackear la llave con un 95% de probabilidad. Esto significa obtener la llave en menos de 2 minutos.
pero ¿Cómo funciona el ataque?
Paso1: Encuentra al enemigo (esto es la red de pruebas que creaste en tu laboratorio), solo para verificar los resultados). Puedes usar airodump para encontrarla.
Paso 2: Generar algo de tráfico. Para generar algo de tráfico, usa aireplay-ng en modo ARP injection. Airplay buscara en la red hasta que encuentre un paquete ARP encriptado. Reinjectando este paquete una y otra vez, generaras mucho trafico, y así sabrás que la mayoría de trafico es trafico-ARP. Para un packete ARP, se conocen los 16 primeros Bytes de texto en claro y entonces también los primeros 16 bytes del cipherstream.
Paso 3: Escribe este trafico al disco usando airodump-ng. Esto creara un archivo con el trafico TCP capturado.
Paso 4: Lanza el algoritmo. Necesitaras aircrack-ptw (por cierto, aircrack-ptw ha sido integrado en la versión 0.9-dev de aircrack-ng, la cual esta actualmente en svn, pero no ha sido lanzada).
Desde un punto de vista teórico, el algoritmo se basa en las siguientes ideas.
Andreas Klein, un investigador alemán, demostró que hay una correlación en RC4 entre los Keybytes 1 al i-1, la keystrem y el keybyte i. Si los keybytes 1 al i-1 y la keystream son conocidos, es posible adivinar el siguiente keybyte con una probabilidad de 1.36/256 lo cual es un poco máyor que 1/256. Esto permite que sea posible adivinar la suma de los keybytes i hasta i+k con una probabilidad de mas de 1.24/256.
En el ambiente de WEP, los primeros tres bytes de un paquete clave, siempre son conocidos y son llamados IV. Esta herramienta trata de adivinar la suma de los siguientes 1,2,3, ... hasta 13 keybytes para cada paquete. Si se han capturado los paquetes suficientes, el valor adivinado un numero mayor de veces par una suma, usualmente sera el numero correcto. Si no el valor correcto en la mayoría de los casos sera uno de los mas adivinados.
Aircrack-ptw trata de encontrar la clave, usando la idea descrita anteriormente. Si se tienen de 40,000 a 85,000 paquetes, la probabilidad de éxito, estará entre el 50 y el 95 por ciento.
Lanoa original esta en ingles aquí.
Extracto
WEP esta muerto y aquí la prueba.
Crackear el algoritmo de seguridad para WIFI "WEP" es un juego de probabilidad. el número de paquetes requerido para desencriptar la clave depende de varios factores, incluyendo suerte.
Cuando WEP fue rota en 2001, el ataque necesitaba mas de 5 millones de paquetes para funcionar. Durante el verano de 2004, un hacker llamado KoreK publico un nuevo ataque para WEP llamado Chopper que redujo considerablemente la cantidad de paquetes requeridos, permitiendo que la gente crackeara las llaves, con cientos de miles de paquetes, en vez de millones de estos.
El mes pasado, res investigadores, Erik Tews, Andrei Pychkine y Ralf-Philipp Weinmann
desarrollaron un ataque mas rápido (basándose en el criptoanálisis del RC4 de Andreas Klein),que trabaja con paquetes ARP y que solo necesita 85,000 paquetes para crackear la llave con un 95% de probabilidad. Esto significa obtener la llave en menos de 2 minutos.
pero ¿Cómo funciona el ataque?
Paso1: Encuentra al enemigo (esto es la red de pruebas que creaste en tu laboratorio), solo para verificar los resultados). Puedes usar airodump para encontrarla.
Paso 2: Generar algo de tráfico. Para generar algo de tráfico, usa aireplay-ng en modo ARP injection. Airplay buscara en la red hasta que encuentre un paquete ARP encriptado. Reinjectando este paquete una y otra vez, generaras mucho trafico, y así sabrás que la mayoría de trafico es trafico-ARP. Para un packete ARP, se conocen los 16 primeros Bytes de texto en claro y entonces también los primeros 16 bytes del cipherstream.
Paso 3: Escribe este trafico al disco usando airodump-ng. Esto creara un archivo con el trafico TCP capturado.
Paso 4: Lanza el algoritmo. Necesitaras aircrack-ptw (por cierto, aircrack-ptw ha sido integrado en la versión 0.9-dev de aircrack-ng, la cual esta actualmente en svn, pero no ha sido lanzada).
Desde un punto de vista teórico, el algoritmo se basa en las siguientes ideas.
Andreas Klein, un investigador alemán, demostró que hay una correlación en RC4 entre los Keybytes 1 al i-1, la keystrem y el keybyte i. Si los keybytes 1 al i-1 y la keystream son conocidos, es posible adivinar el siguiente keybyte con una probabilidad de 1.36/256 lo cual es un poco máyor que 1/256. Esto permite que sea posible adivinar la suma de los keybytes i hasta i+k con una probabilidad de mas de 1.24/256.
En el ambiente de WEP, los primeros tres bytes de un paquete clave, siempre son conocidos y son llamados IV. Esta herramienta trata de adivinar la suma de los siguientes 1,2,3, ... hasta 13 keybytes para cada paquete. Si se han capturado los paquetes suficientes, el valor adivinado un numero mayor de veces par una suma, usualmente sera el numero correcto. Si no el valor correcto en la mayoría de los casos sera uno de los mas adivinados.
Aircrack-ptw trata de encontrar la clave, usando la idea descrita anteriormente. Si se tienen de 40,000 a 85,000 paquetes, la probabilidad de éxito, estará entre el 50 y el 95 por ciento.
Cuandorevisaba as estadisticas del blog me he topado que la gente llega al blog intorduciendo la palabra Rootkit Unhooker en google hehe hace referencia a mi blog :| y no me la creo aun.
Saludos a EP, MP_ART, <dny>, Pushick y demas que integran el equipo del RKU.
rootkits
rootkit+unhooker
Saludos a EP, MP_ART, <dny>, Pushick y demas que integran el equipo del RKU.
rootkits
rootkit+unhooker
Ya hacia rato que no escribia algo aqui en el blog, lo que pasa es que he andado un poco ocupado, dando cursos y esas cosas ya saben como es el Rober de enjundioso.
Ultimamente me han estado llegando muchas cuestiones acerca de como pueden quitar el molesto anuncio de que puede ser victima del software pirata con windows. Bueno, aqui les dejo un pequeño tutorial de como quitarlo y dejar su windows genuinamente genuino, asi como para bajar cosas directamente desde la pagina del Microchof sin que la haga de emocion...
1.- Abrir el explorador de windows, ir a C:\Windows\System32
2.- Buscar los archivos wgatray.exe, wgalogon.dll y renombrarlos p.ej wgatray.bak, wgalogon,bak
3.- Descargar y descomprimir este archivo
4.- Mover los archivos descomprimidos a la carpeta C:\Windows\System32
5.- dar click en el boton inicio -> ejecutar
6.- Escribir%systemroot%\system32\oobe\msoobe.exe /a y aceptar y nos abrira la ventana de activacion de windows.
7.- En sus caasos puede aparecer que ya esta activado pero damos clic al boton activar para poder poner el numero de serie que que daremos aqui abajo.
8.- Ahora presionar donde dice llamar por telefono o algo asi.
9.- Ahora presionar donde dice cambiar clave y introducir esta
Q6TD9-9FMQ3-FRVF4-VPF7Y-38JV3
10.- Poner actualizar, y te regresara a la pantalla anterior hacer click donde dice recordar mas tarde.
11.- Reiniciar Windows y orale, ya esta listo todo
Ultimamente me han estado llegando muchas cuestiones acerca de como pueden quitar el molesto anuncio de que puede ser victima del software pirata con windows. Bueno, aqui les dejo un pequeño tutorial de como quitarlo y dejar su windows genuinamente genuino, asi como para bajar cosas directamente desde la pagina del Microchof sin que la haga de emocion...
1.- Abrir el explorador de windows, ir a C:\Windows\System32
2.- Buscar los archivos wgatray.exe, wgalogon.dll y renombrarlos p.ej wgatray.bak, wgalogon,bak
3.- Descargar y descomprimir este archivo
4.- Mover los archivos descomprimidos a la carpeta C:\Windows\System32
5.- dar click en el boton inicio -> ejecutar
6.- Escribir%systemroot%\system32\oobe\msoobe.exe /a y aceptar y nos abrira la ventana de activacion de windows.
7.- En sus caasos puede aparecer que ya esta activado pero damos clic al boton activar para poder poner el numero de serie que que daremos aqui abajo.
8.- Ahora presionar donde dice llamar por telefono o algo asi.
9.- Ahora presionar donde dice cambiar clave y introducir esta
Q6TD9-9FMQ3-FRVF4-VPF7Y-38JV3
10.- Poner actualizar, y te regresara a la pantalla anterior hacer click donde dice recordar mas tarde.
11.- Reiniciar Windows y orale, ya esta listo todo
Hoy vamos a ver un tema que no sule preocupar al usuario normal de internet. Me refiero a las vulneravilidades que habre javaSript (JS). Si bien es cierto que JS da muchas funcionalidades a nuestros sitios, tiene un agran desventaja, permite la ejecucion de codigo que si bien no fue creado para ser malicioso, es muy ampliamente utilizado por lso creadores de malware. Una solucion seria quitar el JS por completo de los navegadores, ya que todos tiene esa opcion, pero esto quitaria la funcionalidad a muchos sitios, ya que si no todos, la una gran cantidad de estos hacen uso de JS,, otro ejemplo es AJAX el cual solo fucniona si JS esta habilitado, y como habran de saber tanto Gmail, Hotmail y Yahoo, entre otros utilizan alguna variante de AJaX en la interfaz de sus correos, por eso ahora solo se tine ke recargar un aparte y no toda la pagina.
Pero bien demos paso a un Add-on de Firefox que nos permite elejir que sitios queremos darles permisos de ejecutar codigo de JS. Este Add-on es No-Script.
Así que dejemos que el texto que esta en la pagina pricncipal del programa sea quien nos de una introducción a este.
y bien no podria faltar el enlace a la pagina principal del add-on
Pero bien demos paso a un Add-on de Firefox que nos permite elejir que sitios queremos darles permisos de ejecutar codigo de JS. Este Add-on es No-Script.
Así que dejemos que el texto que esta en la pagina pricncipal del programa sea quien nos de una introducción a este.
"Hay un navegador mas seguro que Firefox...
... y este es ¡Firefox con NoScript!.
La extención de Firefox NoScript provee proteccion extra para Firefox y otros navegadores basados en Mozilla: este add-on gratuito, de codigo abierto permite la ejecución de JavaScript y Java, solo en dominios los dominios en los que tu decidas (por ejemplo la pagina de tu banco).
y bien no podria faltar el enlace a la pagina principal del add-on
Bien ayer me tope con esto en mi casa.. es un nuevo troyano del tipo que infecta las memorias USB y pues no pude resistir a hacer un fix.
Bien primero conozcamos a nuestro enemigo.
que hace bien crea un archivo llamado KOfcpfwSvcs.exe el cual es creado en el directorio System32.
como se ejecuta ?? sencillo crea un archivo llamado autorun.inf el cual le indica a windowz que ejecute el archivo \RECYCLER\RECYCLER\autorun.exe, el cual al ejecutarse crea el archivo KOfcpfwSvcs.exe en el system32 y también hace una entrada en el registro para poder arrancarse cada vez que inicie windowz.
Bien primero conozcamos a nuestro enemigo.
que hace bien crea un archivo llamado KOfcpfwSvcs.exe el cual es creado en el directorio System32.
como se ejecuta ?? sencillo crea un archivo llamado autorun.inf el cual le indica a windowz que ejecute el archivo \RECYCLER\RECYCLER\autorun.exe, el cual al ejecutarse crea el archivo KOfcpfwSvcs.exe en el system32 y también hace una entrada en el registro para poder arrancarse cada vez que inicie windowz.
El Fix
la vdd es que esto no requiere mucha ciencia tan solo consiste en matar el proceso, eliminar el archivo, la entrada de registro y listo. para limpiar las memorias usb es un poco mas complicado, ya que hay que quitarle los atributos de solo lectura, oculto y sistema a los archivos.
bueno aqui les dejo el KOfcpfwSvcs.exe fixer
modo de usar solo pulsa donde dice iniciar y listo el programa te dirá si el KOfcpfwSvcs.exe se encuentra en tu maquina o no. Si lo encuentra lo borra.
par limpiar tus memorias usb tan solo conectalas precionando la tecla shift del lado izquierdo y haz click donde dice limpiar memoria USB.
he aqui los antivirus y como lo reconocen.. es de exaltar que Micriosft es de los pocos que no lo identifican.
Datos obtenidos de virustotal.com
Saludos desde durrancho
Hola que tal el otro día navegando por la red me encontré estas herramientas que nos servirán al igual que los pingüinos jeje.
Algunas de ellas nos sirven para ver el paswword actual, otras para ver la wep del acces point actual (no se si la wap también, no lo he probado)
trae varias herramientas para recuperar maquinas y otras para el malware...
y bien la descarga aquí
la versión original esta en esta pagina http://www.dailycupoftech.com/usb-drive-systems/3/
(en ingles) y los programas que trae son los siguientes:
y eso es todo por el momento jeje ojala que les sirvan de algo porque a mi si y mucho jajajaaj
Algunas de ellas nos sirven para ver el paswword actual, otras para ver la wep del acces point actual (no se si la wap también, no lo he probado)
trae varias herramientas para recuperar maquinas y otras para el malware...
y bien la descarga aquí
la versión original esta en esta pagina http://www.dailycupoftech.com/usb-drive-systems/3/
(en ingles) y los programas que trae son los siguientes:
- DCoT Menu
- Active@ ISO Burner
- AutoCompress
- Brute Benchmark
- CCleaner
- CDmage
- DriveImage XML
- Double Killer
- DTaskManager
- encopy
- Eraser
- ERUNT
- explore2fs
- File Assassin
- Filemon
- Hash
- HDDScan
- ICE ECC
- LC ISO Creator
- LSASecretsView
- NTREGOPT
- Patcher
- PMMon
- ProcessExplorer
- ProduKey
- Regmon
- Restoration
- Roadkil’s CommTest
- Roadkil’s Disk Image
- Rootkit Revealer
- SequoiaView
- System Information for Windows
- TweakUI
- Universal Extract
- Virtual CD Control Panel
- What Changed?
- Why Reboot?
- WirelessKeyView
y yo he agregado algunos mas
y eso es todo por el momento jeje ojala que les sirvan de algo porque a mi si y mucho jajajaaj
¿Alguna vez se han topado con que su maquina ya no da ni para atrás ni para adelante, que tu Windoze ya no arranca y que tus datos se han perdido?
Bien, a mi si me ha pasado, pero también he encontrado algunas maneras de digamoslo así "solucionarlo".
La primera manera y aue ami me parece algo practica y sobretodo BARATA es utilizar los discos live de las distribuciones de linux.
El primer Pingüino que mencionare es el BackTrack , que esta basado en la version Slackware
tien varias herramientas para recuperar informacion, busqueda de claves wep y algunas otras cosillas forenses.
El link para descargar la imagen es la siguiente: BackTrack Downloads
Espero que sea de su agrado
Bien, a mi si me ha pasado, pero también he encontrado algunas maneras de digamoslo así "solucionarlo".
La primera manera y aue ami me parece algo practica y sobretodo BARATA es utilizar los discos live de las distribuciones de linux.
El primer Pingüino que mencionare es el BackTrack , que esta basado en la version Slackware
tien varias herramientas para recuperar informacion, busqueda de claves wep y algunas otras cosillas forenses.
El link para descargar la imagen es la siguiente: BackTrack Downloads
Espero que sea de su agrado
Suscripción a fuentes
Si usted utiliza un lector de Fuente RSS, usted podrá suscribirse a una fuente de todas las entradas con las etiquetas “Herramientas”.
