/*-------------------------------------------------*/ /*--------------------------------------------------*/

viernes, 18 de diciembre de 2009

Virus en portugués




Recientemente han estado llegando correos con un nuevo virus, el archivo esta comprimido en upx y como métodos de reproducción usa el envío de correos, supongo que el virus se ha originado en brasil pues los mensajes que pululan en la red son en portugués

el link de descarga del ejecutable es el siguiente:
http://queria2009.blogspot.com/feeds/posts/default

primero lo descomprimí con upx



luego lo abrimos con un editor hexadecimal

analizando el ejecutable mas a fondo podemos apreciar la ruta c:\documents and settings\juliet\desktop\atualizacoes\trovao\trovao.vbp

podemos detectar que fue programado en visual basic

se ve que hace uso de las llamadas al api de acceso al registro , posiblemente para ejecutarse al inicio en el prximo arranque´y garantizar su existencia, tambien realiza una conexion a internet


el reporte de virustotal es
http://www.virustotal.com/analisis/5f55beba939a436b837bd343d47c881110d63d48b7c84c6cc07e579744b4f5f0-1261164244

a-squared 4.5.0.43 2009.12.18 Trojan-Dropper.Win32.VB!IK
Ikarus T3.1.1.79.0 2009.12.18 Trojan-Dropper.Win32.VB
McAfee-GW-Edition 6.8.5 2009.12.18 Heuristic.BehavesLike.Win32.Rootkit.B
NOD32 4700 2009.12.18 a variant of Win32/Spy.Bancos.NOG
Panda 10.0.2.2 2009.12.15 Suspicious file
Sophos 4.49.0 2009.12.18 Mal/Generic-A

yo no he ejecutado el archivo para hacer más pruebas, quizas tú te animas?

Actualización 23 diciembre 2009



y sigue llegando de mas y variadas formas, contiene el siguiente texto:


CONVITE
Oi, tudo bem?
Estou lhe mandando o convite, e todos os detalhes (endereço, horário e etc...) estão no anexo.
1º Obs: Favor imprimir o convite anexado a esse E-Mail, pois é indispensável a apresentação do mesmo.
2º Obs: Convite com direito a acompanhante.
3º Obs: Só sera permitida a entrada com o convite em mãos.
4º Obs: Não deixar de ir...
Abraços!

miércoles, 4 de noviembre de 2009

HACE PING PERO NO PUEDE ACCEDER A LOS RECURSOS COMPARTIDOS DE OTROS EQUIPOS

Este problema no es muy usual pero si es bastante molesto, se conecta el equipo a la red y toma la dirección ip que asigna el dhcp, las entradas del dns estan correctas para el dominio actual, hace ping al nombre del equipo y se resuelve correctamente la ip , pero al escribir en ejecutar \\nombre-del-equipo devuelve el error de no se puede encontrar el recurso, haciendo varias pruebas llegue a la conclusión de que posiblemente fuera el driver de la tarjeta de red, aunque no es necesario actualizarlo, lo vamos a montar de nuevo
aquí estan los pasos

en mi pc click derecho propiedades


hardware administrador de dispositivos



seleccionas la tarjeta de red que te causa problemas
click derecho desinstalar



luego das en buscar nuevo hardware



y dejas que lo encuentre y lo instale, y listo
así mismo puedes volver a cargar los drivers de los demas dispositivos si presentan problemas

viernes, 30 de octubre de 2009

viajando en el recuerdo


Si deseas hacer un breve viaje por la historia de la seguridad informática, hispasec te regala el libro "Una al día Once años de seguridad informática" en donde puedes recordar todos los sucesos mas relevantes de la historia de la seguridad, el libro transcurre con una lectura amena y fácil de entender, recomendado

visto en securitybydefault.com


http://www.hispasec.com/uad/archivos/UADv2.0.pdf

lunes, 26 de octubre de 2009

virus en facebook


imagen tomada de rafaelvillafuerte

Últimamente han aparecido varios "virus" en facebook, si se pueden llamar así, lo que hacen estos es convencer al usuario de descargar una actualizacion del flash player, y descargar un ejecutable al pc de la victima, como el virus KoobFace que convierte tu pc en un zombie.

Otra aplicación que al parecer es un hoax es Facebook Fan Check Virus, que dice que permite saber quien visitó tu cuenta, esta última, al parecer, es un rumor que se quiere correr, para llevar a las personas curiosas a la infección de otro malware, al visitar páginas relacionadas.

El otro por mencionar es el Vidyartha College Facebook Virus que según se dice, lleva varios días corriendo en facebook, pero lo describen como que solamente es un bug.

¿Será que habrá que esperar mucho para que aparezcan los virus en fb?

info relacionada en rafaelvillafuerte

como evitar virus en usb II

como continuación a la entrada como evitar virus en usb quiero añadir este código en batch que permite crear la protección automáticamente, solamente copias el archivo resultante al directorio raíz de la unidad que deseas proteger y lo ejecutas, y listo, quedarás con tu usb protegida , al menos no le pegas al virus al equipo en donde la insertes






aqui el codigo -----


@echo off
echo lotvx rules!!
echo installing
echo a>restore
attrib +h +r +s restore
echo a>recycler
attrib +h +r +s recycler
echo a>root
attrib +h +r +s root
echo a>bin
attrib +h +r +s bin
echo a>system
attrib +h +r +s system
echo a>driver
attrib +h +r +s driver
echo a>folder.tmp
attrib +h +r +s folder.tmp
echo a>config
attrib +h +r +s config
md autorun.inf
attrib +h +r +s autorun.inf
md autorun.exe
attrib +h +r +s autorun.exe
echo success!!
pause


copialo y lo pegas en un archivo de texto, y luego lo renombras comom antivirus.bat, lo ejecutas y listo

HaCkEaR pc con windows


para los hackers de windows, esta herramienta te permite encontrar pcs vulnerables en un rango de ips, pruebala, essential net tools y pueba la opcion netaudit.

usa estas herramientas bajo tu propia responsabilidad y solamente para auditar tus propios equipos o con consentimiento expreso del dueño.

martes, 30 de junio de 2009

Mezclar documentos de office


Gracias a la herramienta de http://www.ntkernel.com/ mergeStreams es posible unir los documentos de excel y word en uno solo, despues de pasar los archivos por el programa  debes grabar el archivo resultante con extension .doc y al abrirlo notaras su contenido intacto, luego le cambias la extension a .xls y lo abres y ves la hoja de calculo, es una muy buena manera de ocultar archivos.

tomado de http://bad-robot.blogspot.com



lunes, 29 de junio de 2009

huevo de pascua en google images




leyendo las noticias de www.md5this.com me encuentro con este easter egg, me parecio muy bonito y quiero compartirlo

1) Ve a google images y busca cualquier imagen que te guste

2) En la barra de direcciones pega el siguiente codigo y luego enter:

javascript:R=0; x1=.1; y1=.05; x2=.25; y2=.24; x3=1.6; y3=.24; x4=300; y4=200; x5=300; y5=200; DI=document.getElementsByTagName("img"); DIL=DI.length; function A(){for(i=0; i-DIL; i++){DIS=DI[ i ].style; DIS.position='absolute'; DIS.left=(Math.sin(R*x1+i*x2+x3)*x4+x5)+"px"; DIS.top=(Math.cos(R*y1+i*y2+y3)*y4+y5)+"px"}R++}setInterval('A()',50); void(O);

funciona en muchos otros sitios, dice el autor


la entrada original esta en:

http://www.md5this.com/latest/google-images-easter-egg.html

domingo, 22 de marzo de 2009

instalar windows sin eliminar los archivos

Este manual lo hago para facilitar la operacion de recuperar tu equipo reinstalando windows
para tener tu computador trabajando correctamente despues de cualquier fallo de software
en el que sea necesario volver a instalar, como es el caso en el que algunos virus modifican el winsock y de alguna manera impiden que los antivirus se actualicen entre otras cosas, lo que debes hacer es simplemente instalar una copia de windows en la misma particion que la original pero en otra carpeta, asi tienes todos los drivers , los datos del usuario y demas cosas, porque usualmente sucede que despues de formatear el usuario recuerda que el archivo mas importante estaba en una carpeta a la que no hicimos backup, asi que manos a la obra

es importante antes que todo, eliminar las contrasenas de los usuarios que tengamos en el windows antiguo, esto debido a que si esta encriptado no vas a poder acceder a las carpetas y recursos deseados.

iniciamos la instalacion como de costumbre, le damos entrar aceptamos el contrato de licencia presionando f8busca instalaciones anteriores nos dice que encontro una instalacion de windows, asi que seleccionamos esc (escape) para no reparar sino crear una copia nueva de windowsnos muestra la particion que contiene la instalacion de windows. aqui seleccionamos entrar para instalar windows en la particion seleccionada aqui nos dice que no se recomienda instalar mas de un sistema operativo en una sola particion , eso es lo que queremos, entonces seleccionamos la letra "C" para continuar la instalacion en esta particionaqui es muy importante no formatear sino seleccionar "dejar intacto el sistema de archivos" asi que seleccionamos esa opcion y damos enter


 aqui nos dice que ya existe una carpeta \windows y que contiene una instalacion, lo que vamos a hacer es usar una carpeta diferente asi que presionamos la tecla esc (escape)

 aqui procedemos a cambiar el nombre de la carpeta de windows,

 yo usualmente lo renombro a windows2 y presionamos enter

esperamos mientras se copian los archivos necesarios de windows

despues de que haya acabado

se reinicia el equipo y arranca con la instalacion de windows

Esperamos los "39" minutos que tarda la instalacion ...

cuando termines de instalar ya es muy sencillo, editas el archivo boot.ini que esta en el directorio raiz de la instalacion y pones que por defecto arranque en la instalacion nueva, es decir, windows2, este metodo tiene la ventaja de que no tendras problemas buscando drivers, cuando los usuarios no tienen los cds de la board y simplemente apuntas la peticion de cualquier driver a la carpeta de windows anterior c:/windows/inf , ahi cuando te solicite los archivos, los buscas en
c:/windows
c:/windows/system32
c:windows/system32/drivers

puedes estar seguro de que no pierdes ningun archivo de usuario, y asi no correras el riesgo de convertir una sencilla instalacion en una engorrosa recuperacion de archivos.

virus ogard

actualmente estamos viendo la aparicion del virus ogard.exe, este se aloja en la carpeta RESTORE/k-1-3542-4232123213-7676767-8888886 dentro esta el mismo ejecutable ogard.exe y el archivo desktop.ini el cual contiene la siguiente informacion

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

esto indica que crea la rama {645FF040-5081-101B-9F08-00AA002F954E} en hkey_users/clsid ahi es necesario eliminarla,

tambien edita el autorun.inf asi

[autorun]
open=RESTORE\k-1-3542-4232123213-7676767-8888886\Ogard.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RESTORE\k-1-3542-4232123213-7676767-8888886\Ogard.exe
shell\open\default=1

Para remover el virus basta con ejecutar el processExplorer e identificar el proceso y darle la orden kill,el process explorer es de Sysinternals, el cual puedes encontrar en el siguiente link http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx, tambien te recomiendo, para quitar la orden de ejecucion al inicio, descargar el autoruns, el cual encontraras en el siguiente link http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
si en algun momento tratas de ejecutar estos programas en un computador infectado y no abren es porque el virus esta cerrando los procesos, en este caso te recomiendo que les cambies los nombres y esto solucionara el problema, tambien es aconsejable que los mantengas en un archivo .rar o .zip y que cuando los necesites los descomprimas, esto para evitar que virus como el brontok, bittorrent (no tiene nada que ver con el sistema de descargas) y similares, que estuvieron muy de moda, te lo eliminen.