sábado, 20 de diciembre de 2008

TROYANO BIFROST

Ayer tuve una experiencia religiosa con un nuevo virus, troyano o porculero, como le querais llamar, la experiencia fue la siguiente:

1.- Me descargué de la mula una cosilla y sin darme cuenta ejecuté un fichero llamado LEEME.TXT.exe, a pesar de que en mi Ventanas había puesto que se viera la extensión se me fue el dedo y lo que ocurrió es que se me abrió una ventana del notepad indicándome no se que chorradas sobre un antivirus.

2.- Al cerrar la aplicación el ejecutable desapareció y eso y lo de la dobre extensión me hizo sospechar.

3.- Un hijo de la gran puta me había infectado.

4.- Inmediatamente desconecté internet y esperé a ver que ocurría.

5.- Por suerte mi pc no se había formateado ni había muerto, el creador del troyano me acabada de dar una segunda oportunidad para pararlo.

6.- Presioné CTRL+ALT+SUPR e intenté averiguar que proceso era el que infectaba el equipo, cosa que no conseguí saber pero descubrí algo muy interesante.

7.- Lo que descubrí es que al cerrar el proceso EXPLORER se me cerraba el explorador, por lo que la única ventana activa y visible era la del ADMNISTRADOR DE TAREAS, para restaurar el explorardor le dia ARCHIVO+EJECUTAR y abrí por ejemplo C:\. con eso se restaura el sistema pero OHHHH DIOS UNA VENTANA se abría lentamente mostrándome otra vez la dichosa advertencia sobre el antivirus. Después de ver como se abría la ventana vi como al mismo tiempo y antes de abrir la advertencia del antivirus mi Win ejecutaba algo en alguna ruta porque aparecía eso en una ventana.

8.- Probé varias veces a ver si era posible capturar la pantalla para ver la ruta de lo que se estaba ejecutando.
La ruta era C:\WINDOWS\SYSTEM32\BIFROST\SITE32.EXE. Este programita se autoejecutaba siempre que se "regeneraba" el sistema o se reinciaba. Entonces esto quiere decir que mi troyano se activaba siempre en cada reinicio.

9.- Me fui a esa ruta, me cargué el archivo, y todas las entrada en el registro que hicieran referencia a la ruta o al archivo "site32.exe".

10.- Después de esto me imaginaba que no todo había quedado ahí asi que se me ocurrio ejecutar en el CMD la sentencia NETSTAT -A

11.- Con esto podía ver las conexiones que había desde mi pc y pude comprobar que existía un programita que lanzaba una conexión TCP desde me pc a una ip en algún sitio.

12.- La ip era chuny.no-ip.com:14539.

13.- Por si alguien no conoce lo que es no-ip.com es muy fácil, es un sitio donde tu una persona que no tiene ip fija se conecta con este sitio y le comunica su nueva ip para que la gente siempre en vez de tener que decirle la ip que ha cambiado en este caso su ip fija será siempre CHUNY.NI-IP.COM.

14.- Es decir si mi yo te doy mi pseudóniomo CHUNY.NO-IP.COM y este servidor te redirige a mi ip dinámica ya que yo me encargo de comunicarle al servidor mi nueva ip cuando cambia.

15.- Pero en este caso no es necesario que ocurra todo esto para darse de alta en no-ip. En esta caso el que diseño el troyano que en mi caso se llama TROYANO BIFROST recomienda darse de alta en NO-IP.COM para que no conozcan la IP del atacante.

16.- Así cuando haces un NETSTAT -a no ver la ip del atacante sino la ip de NO-IP.

17.- Como el programa ya no estaba en ningún sitio reinicié el equipo y ya no apareció ni la ventana ni entrada alguna en el registro ni comunicación extraña en NETSTAT.

18.- Después de esto y de varios reinicios comprobe que todo había terminado.

19.- Esto es una experiencia que me he servido para conocerme mejor ....jejejejejej.

20.- El troyano que me infectó se llama BIFROST y es un servidor que se conecta a la ip de un atacante para dejarle vía libre en tu pc, en esta dirección podeis ver un video de como funciona.

http://es.youtube.com/watch?v=LlmqdQxmOGc, si no funciona podeis buscarlos en youtube como "BIFROST"
y se titula BIFROST DESDE 0 PASO A PASO.

Los creadores "creo" que son unos argentinos de la web http://troyanosyvirus.com.ar

Con el programa se pueden capturar pantallas de la víctima, ejecutar el registro, shell, keylogger, y muchas otras cosas.

Por ahora esta ha sido mi experiencia con este troyano que no durá más de media hora en mi pc.

Espero que todo lo que me infect sea como esto. menos mal que siempre nos quedará linux.

Salu2
Publicado por en No hay comentarios:
Etiquetas: ,

miércoles, 3 de septiembre de 2008

Chrome - inspector de carga

Me quito el sombrero ante google, acabo de probar el nuevo google chrome y es acojonante. Como estoy desarrollando una aplicación web basada en php, javascript y bla bla bla, lo he probado y me ha salido un inspector de código que te da la velocidad a la que ha cargado la página, los elementos que ha cargado y los errores obtenidos.


Como se puede ver se obtiene el tiempo de carga de la página y los errores obtenidos en cada uno así como que elemento se carga y en que orden.

Además tenemos un debugger de javascript:


Ahi podemos ver los scripts que están cargados en el explorado.
Podemos ver y poner breakpoints en cada codigo javascript.
Evaluar expresiones.
...

Estas son las opciones que nos permite:

$ help break
usage: break [location]
location is one of | | |
$ help break_info
usage: break_info [breakpoint #]
list the current breakpoints, or the details on a single one
$ help clear
usage: clear
$ help help
usage: help [command]
$ help print
usage: print
$ help scripts
usage: scripts

Otra pantalla interesante es:


En ella podemos la diferente estructura de la página web, lo que se llama DOM, y todas las propiedades que ella tiene.

Por ahora no puedo profundizar más en chrome, si tengo alguna noticia más intentaré documentarlo un poco.
Publicado por en 6 comentarios:
Etiquetas:

lunes, 30 de junio de 2008

Maltido XP - Archivo y carpetas ocultos

No se cual es el motivo por que cual el XP hace lo que le da la gana, menos mal que no lo tengo instalado por obligación sino por diversión, hace unos días iba a intentar mostrar los archivo ocultos en la pantalla:

HERRAMIENTAS >> OPCIONES DE CARPETA >> PESTAÑA VER

Pero como se ve en la imagen, el boton CHECK se ha convertido en un botón RADIO BUTTON que no se puede escoger, y siempre está ACTIVADO y eso quiere decir que siempre se ocultan los archivos ocultos.

La solución está en ir al regedit y desactivarlo, es decir vamos a



    Ve a Inicio-->


    Ejecutar-->




    Teclea regedit




    Se abrirá la pantalla del registro del sistema.




    Accede, pulsando sobre el signo +, hasta la siguiente clave/subclave:




    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced




    En el panel de la derecha de la subclave Advanced, aparecerá el valor:
    Hidden REG_DWORD 0x00000002 (2)




    Actualice el valor teniendo en cuenta lo siguiente:
    Si Hidden tiene asignado el valor hexadecimal 2, no se mostrarán los archivos o carpetas ocultos.
    Si Hidden tiene asignado el valor hexadecimal 1, se mostrarán los archivos o carpetas ocultos.







Publicado por en 2 comentarios:
Etiquetas: , , , , ,

sábado, 31 de mayo de 2008

Administrador de Tareas en Windows XP

Hace unos meses se me ha desactivado en mi Imagen Virtual de XP, el Administrador de Tareas y buscando, buscando aquí os pongo la solución:

Administrador de Tareas

La solución está desactivando una entrada del registro:



El resultado es que se activa otra vez el administrador de tareas:



Salu2
Publicado por en No hay comentarios:
Etiquetas: , , , , , , ,

viernes, 2 de mayo de 2008

Problemas al instalar XP. No más de X veces. OOBETimer es la solución para cambiar la licencia de tu XP.

[gallery]Tengp por mala costumbre trabajar en XP ya que en la sociedad en la que vivimos lo más fácil es siempre el camino más escogido, por lo que no me ha quedado más remedio que convivir con el XP en mi PC al mismo tiempo que permitía a mi LINUX su trocito de CPU.

Como soy una persona a la que le gusta cada X tiempo instalar el XP ya que todos sabemos que se degrada con el tiempo, tuve una mala noticia el otro día.

Cuando me disponía instalaro por mil millonésima con MI LICENCIA DE XP QUE VENÍA EN MI PC, me di cuenta de que Mocosoft se queda con las veces que has instalado una licencia y te pone el mensaje de que tu LICENCIA se ha instalado demasiadas veces.

Buscando por la red la solución la encontré en la palabreja OOBETimer, que posiblemente sea una especie de marca que hay en tu PC sobre su licencia.

Si no queremos leer mucho la solución nos la da Mocosoft para CAMBIAR LA CLAVE DEL PRODUCTO está en http://support.microsoft.com/kb/328874/es información que os transcribo aquí:

1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
2. En el cuadro Abrir, escriba regedit y haga clic en Aceptar.
3. En el panel izquierdo, busque la siguiente clave del Registro y haga clic en ella:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Current Version\WPAEvents
4. En el panel derecho, haga clic con el botón secundario del mouse (ratón) en OOBETimer y, a continuación, haga clic en Modificar.
5. Cambie al menos un d韌ito de este valor para desactivar Windows.
6. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
7. En el cuadro Abrir, escriba el siguiente comando y haga clic en Aceptar.
%systemroot%\system32\oobe\msoobe.exe /a
8. Haga clic en Sí, deseo llamar por teléfono a un representante de servicios al cliente para activar Windows y, después, haga clic en Siguiente.
9. Haga clic en Cambiar la clave del producto.
10. Escriba la nueva clave del producto en los cuadros Nueva clave y haga clic en Actualizar.

Si vuelve a la ventana anterior, haga clic en Recordármelo más tarde y reinicie el equipo.
11. Repita los pasos 6 y 7 para comprobar que Windows está activado. Aparecerá un mensaje similar al siguiente:
Windows ya está activado. Haga clic en Aceptar para salir.
12. Haga clic en Aceptar.
13. Instale el SP1 de Windows XP o una versión posterior de Windows XP.

Si no puede reiniciar Windows después de instalar el SP1 de Windows XP o una versión posterior de Windows XP, presione F8 cuando reinicie el equipo, seleccione Última configuración válida conocida y repita este procedimiento.


Pero mi solución que tuve que hacer QUE NO CONSISTÍA EN CAMBIAR LA CLAVE YA QUE LA MÍA ERA LEGAL (EQUIPO NUEVO), solo hábía que cambiar unos datos en el regedit.

Básicamente lo que tenéis que hacer es:

1. Ejecutas regedit y buscas la clave OOBETimer en HKEY_LOCAL_MACHINE
2. Abres la clave oobetimer, borras por ejemplo el primer valor y pones el que tu quieras, y cierras regedit
3. Vas a Inicio, Ejecutar y escribes %systemroot%\system32\oobe\msoobe.exe /a
4. Te aparecera la pantalla de activación de Windows XP, selecciona activación por telefono, tecleas el la clave que te aparece en pantalla y te dirá que contestes a una encuesta, donde deberás responder que la instalación es de carácter personal y que solo está instalado en 1 equipo. Ellos te enviarán una clave que será la que instales.



Más páginas de información: (02/05/2008)

http://www.trucoswindows.net/foro/topico-49639-cambiar-clave-en-windows-xp.html
http://www.trucoswindows.net/foro/topico-64447-oobetimer.html
http://www.laneros.com/archive/index.php/t-23112.html
http://www.pctools.com/forum/showthread.php?t=42219
Publicado por en 2 comentarios:
Etiquetas: , , ,

lunes, 18 de febrero de 2008

Ultima actualización del apdo. Sistemas Operativos II

Como veis ya hemos terminado Sistemas Operativos 2 y con una buena nota, así que he dado por terminado este curso académico. He subido los últimos archivos que me quedaban y he realizado un programilla cutre para ver que ficheros hemos modificado en MINIX.

Ahora solo queda hacer el TFC, a ver si algún profe se digna a ser mi tutor.

Actualizado: http://haelsite.wordpress.com/practicas-de-soii/
Añadido: http://haelsite.wordpress.com/2007/12/23/cvs-a-lo-cutre/

Salu2.
Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Comentarios (Atom)