Beruflich Dokumente
Kultur Dokumente
Se sube el archivo jamss.php al webroot de la cuenta de hosting. Se carga el archivo del escner en el navegador usando una URL como esta: http://www.<nombre del sitio web>.com/jamss.php La secuencia de comandos se ejecutar durante varios segundos, incluso minutos, dependiendo del nmero de archivos y carga de trabajo del servidor web. Si se desea realizar un anlisis en profundidad, que puede detectar las versiones ms recientes de malware se utiliza el parmetro DeepScan = 1. Esta funcin busca en los archivos las funciones de PHP que utiliza el malware. Ejemplo de ejecucin en el navegador: http://www. <nombre del sitio web>.com/jamss.php?deepscan=1 Como interpretar los resultados: El script inspecciona cdigo contenido dentro de archivos y trata de identificar posibles cdigos maliciosos usando muchas huellas digitales de malware conocido. Una vez que el script ha terminado de ejecutarse, generar y mostrar un informe para su revisin, que puede poseer falsos positivos y que debe ser interpretados con el fin de determinar si algn resultado en particular es una potencial amenaza de malware.
Para cada potencial amenaza, el informe mostrar: la ruta de acceso al archivo en cuestin, el patrn que se adapta al cdigo de malware y una breve descripcin de lo que este cdigo podra estar haciendo. Si existe alguna duda acerca de un archivo identificado por JAMSS, el archivo debe ser descargado e inspeccionado para determinar si hay un problema con l. Si existe sospecha de un archivo en Joomla! o archivos de extensiones: se descargaran todos los paquetes ZIP / TAR.XX y se comprobaran. A continuacin, se remplazara el archivo sospechoso por el original correspondiente de Joomla ! y con la misma versin que se est ej ecutando. Si el archivo sospechoso no existe en los archivos originales de instalacin de Joomla! o en los archivos de extensiones, se puede mover a una nueva carpeta segura (protegida por contrasea, o con permisos restrictivos) para que nadie tenga acceso y luego eliminarlo por completo, una vez que se determina que es un archivo que no necesita para el funcionamiento de Joomla!. En caso de dudas sobre archivos o extensiones que pertenecen a Joomla!, o qu hacer en caso de una infeccin, es muy recomendable utilizar los foros de Joomla!: http://forum.joomla.org/viewtopic.php?f=621&t=582854 Y no realizar alguna accin que pueda comprometer la disponibilidad de nuestro sitio web. JAMSS es un script para usar con ciertos conocimientos de PHP y como un anlisis rpido de malware. Ms informacin y descarga de JAMSS: https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script/tree/forum Servicio Web que permite averiguar si una URL contiene spyware o malware. http://vtroger.blogspot.com.es/2013/08/servicio-web-que-permite-averiguar-si.html
Las funciones nativas y API de Windows llamadas huellas. Las copias de los archivos creados y eliminados del sistema de ficheros. Volcado de la memoria del proceso seleccionado. Volcado completo de memoria de la mquina de anlisis. Capturas de pantalla del escritorio durante la ejecucin del anlisis de malware. Volcado de red generado por la mquina que se utiliza para el anlisis.
A fin de que tales resultados sean mejor interpretados por los usuarios finales, Cuckoo es capaz de procesar y generar diferentes tipos de informes, que podran incluir: Informe JSON. Informe HTML. Informe MAEC. Interfaz de MongoDB. Interfaz HPFeeds.
Lo ms interesante, es que gracias a la amplia estructura modular del Cuckoo, es posible personalizar tanto el procesamiento y la fase de presentacin de informes. Cuckoo proporciona todos los requisitos para integrar fcilmente un entorno aislado con los sistemas existentes, con los datos que se deseen, de la manera que desee y con el formato que desee. Ms informacin y descarga de Cuckoo Sandbox: http://www.cuckoosandbox.org/ Documentacin de Cuckoo Sandbox: http://docs.cuckoosandbox.org/en/latest/ Herramienta de anlisis de malware: http://vtroger.blogspot.com.es/2010/05/herramienta-de-analisis-de-malware.html
Entre sus caractersticas destaca: Analizar en busca de los usuarios infectados DirectAdmin.
Analizar en busca de puertos abiertos vulnerables. Analizar en busca de exploits recientes. Analizar en busca de blogs WordPress infectados. Exploracin para detectar la infeccin en archivos .Html y. Php. Analizar en busca de javascript ofuscado en iframes. Analizar en busca de malware en iframes. Analizar en busca de shells PHP.
Ms informacin y descarga: http://sourceforge.net/projects/smscanner/ Linux Malware Detect: Es un escner de malware para Linux publicado bajo la licencia GNU GPLv2, que se ha diseado en torno a las amenazas en entornos hosting compartido. Utiliza datos de amenazas de los sistemas de deteccin de intrusiones de red IPS, para extraer el malware que est siendo utilizado activamente en los ataques y genera firmas para la deteccin. Adems, los datos de amenazas tambin se deriva de envos de los usuarios con la funcin checkout LMD y de recursos de la comunidad de malware. Las firmas que utiliza LMD son hashes md5 y coincide con el patrn HEX, tambin se pueden exportar fcilmente a cualquier nmero de herramientas de deteccin, como ClamAV. La principal baza de LMD es que en la actualidad existe una disponibilidad limitada de herramientas gratuitas para los sistemas Linux que se centran en la deteccin de malware. Muchos de los productos antivirus que realizan la deteccin de malware en Linux tienen un historial muy pobre de deteccin de amenazas, especialmente los destinados a los entornos de hosting compartido. Caractersticas: Archivo MD5 hash para la deteccin rpida e identificacin de amenazas. Patrn de juego basado en HEX para identificar variantes de amenazas. Componente estadstico de anlisis para la deteccin de amenazas ofuscadas (por ejemplo: base64). Deteccin integrada de ClamAV para utilizar como motor de escner para un rendimiento mejorado. Integrado funcin de actualizacin de firma con-u |-update. Integrado con funcin de actualizacin de versin-d |-update-ver. Opcin de exploracin reciente para analizar slo los archivos que se han aadido o cambiado en X das. Opcin de exploracin de ruta completa.
Opcin de envi de sospecha de software malicioso a rfxn.com para su revisin. Sistema de informacin completo para ver los resultados del anlisis actual y anterior.
Posee cola de cuarentena que almacena las amenazas de una forma segura, sin permisos. Opcin de procesamiento por lotes de cuarentena para poner en cuarentena los resultados de anlisis actuales o anteriores. Opcin para restaurar los archivos a la ruta original. Normas para la eliminacin de cadenas inyectadas de malware. Opcin de procesamiento por lotes de limpieza para intentar la limpieza de informes de anlisis anteriores. Normas para eliminar base64 y gzinflate (software malicioso inyectado en base64). Anlisis diario de todos los cambios de los ltimos 24h de los directorios de usuario. Kernel monitor de inotify que puede tomar datos de la trayectoria de STDIN o FILE. Cmoda funcin de monitor inotify del kernel para supervisar los usuarios del sistema. Monitor inotify del ncleo puede ser restringido a una raz HTML configurable por el usuario. Kernel monitor de inotify con sysctl lmites dinmicos para un rendimiento ptimo. Inotify del kernel de alerta a travs de informes semanales diarios o opcionales. E-mail informacin de alerta despus de cada ejecucin de la exploracin (manual y diario).
La diferencia clave con LMD es que no se limita a detectar el malware basado en firmas hashes que alguien genera sino ms bien se trata de un proyecto global que rastrea activamente en las amenazas y genera firmas en base a esas amenazas del mundo real que actualmente estn circulando . Hay cuatro fuentes principales para los datos de malware que se utiliza para generar firmas LMD: Red de IPS: Una red formada por 35.000 sitios web y como tal recibe una gran cantidad de atauqes diarios, todo lo cual est registrado por IPS. Los eventos IPS se procesan para extraer la url malware, se clasifican y luego se generan firmas en su caso. La gran mayora de las firmas LMD se han derivado de IPS que extrajeron los datos. Datos de la Comunidad: Los datos se recogen de varios sitios web con comunidades que hablan de malware como clean-mx y malwaredomainlist y luego son procesados para recuperar el nuevo malware, revisar, clasificar y luego generar firmas.
ClamAV: el hexgono MD5 y firmas de deteccin de ClamAV se monitorean las actualizaciones pertinentes que se aplican al grupo de usuarios de la LMD y se aaden al proyecto, segn corresponda. Hasta la fecha ha habido aproximadamente 400 firmas portadas de ClamAV mientras que el proyecto LMD ha contribuido de nuevo a ClamAV mediante la presentacin de ms de 1.100 firmas y contina hacindolo de manera continua. Envo de los usuarios: LMD tiene una funcin de comprobacin que permite a los usuarios enviar sospecha de malware para opinin, esto se ha convertido en una caracterstica muy popular y genera en promedio alrededor de 30 a 50 presentaciones por semana.
La firma LMD se actualiza normalmente una vez al da o con ms frecuencia dependiendo de los datos de amenazas entrantes de la funcin checkout LMD, la extraccin de malware IPS y otras fuentes. La actualizacin de las firmas en las instalaciones de LMD se realiza diariamente a travs de la secuencia de comandos por defecto cron.daily con la opcin de actualizacin, que se puede ejecutar manualmente en cualquier momento. Ms informacin y descarga de LMD: http://www.rfxn.com/projects/linux-malware-detect/
Una descripcin detallada de la actividad de los procesos que corren en el sistema resaltando los ms importantes. Utiliza grficos y estadsticas que permiten localizar rpidamente los procesos que ms recursos consumen y los que sobrecargan la CPU. Descubre los procesos que estn utilizando un archivo, esto nos permite saber porque no se puede eliminar un archivo determinado. Permite ver qu procesos tienen conexiones de red activas con detalles como: puerto, ip de destino, ancho de banda Obtener informacin en tiempo real sobre el acceso a disco. Puede ver trazas detalladas con kernel-mode, WOW64 y .NET. Crear, modificar y controlar los servicios de Windows. Muestra mscaras simblicas de acceso (por ejemplo Read y Write ), en lugar de nmeros (por ejemplo 0x12019f ). Esta herramienta combinada con la web ProcessLibrary un recurso gratuito de Uniblue Systems Ltd. que proporciona informacin acerca de los procesos y DLLs que se encuentran en los sistemas
Windows y que cuenta con una amplia base de datos y se actualiza regularmente con ms de 195.000 entradas; forman una combinacin excelente para detectar malware en un sistema Windows. Ms informacin y descarga de Procces Hacker: http://processhacker.sourceforge.net/
Existe un servicio llamado Qualys BrowserCheck que permite chequear la seguridad del navegador, este servicio soporta los navegadores: IE 6.0 y versiones posteriores. Firefox 3.0 y posteriores. Chrome 4.0 y posteriores. Es capaz de chequear vulnerabilidades en los siguientes plugins. Adobe Flash Player. Adobe Reader. Adobe Shockwave Player. Apple Quicktime. BEA JRockit. Microsoft Silverlight. Microsoft Windows Media Player. Real Player. Sun Java. Windows Presentation Foundation (WPF) plugin para Mozilla.
Qualys BrowserCheck avisa de los plugins que no estn actualizados y pueden ser potencialmente peligrosos. Web de Qualys BrowserCheck: https://browsercheck.qualys.com/
SpyBHORemover ayuda en la identificacin y la eliminacin rpida de malware que se aloja como BHO. Para esta labor utiliza anlisis heurstico y anlisis online utilizando servicios de internet designados a la deteccin de malware. Entre sus caractersticas destaca: Posee opciones de respaldo permite al usuario quitar y reinstalar BHO todas la veces que quiera. Verificacin en lnea de el BHO malvolo usando: VirusTotal, ThreatExpert y ProcessLibrary . Exhibe la informacin detallada para cada BHO instalado: nombre de clase de BHO, informacin del anlisis, compaa, nombre de producto, fecha de instalacin, CLSID del BHO y trayectoria del archivo de BHO.
SpyBHORemover es una herramienta portable independiente que no requiere ninguna instalacin. Trabaja en la Windows plataformas a partir de Windows Xp al ltimo sistema operativo, Windows 7. Ms informacin y descarga de SpyBHORemover: http://www.securityxploded.com/bhoremover.php
Se distribuye el Zero Wine en una imagen de la mquina virtual QEMU con un sistema operativo Debian instalado. La imagen contiene software para cargar y para analizar el malware y para
generar los informes basados en la informacin recopilada (este software se almacena en /home/malware/zerowine). Para correr Zero Wine se utiliza un script que carga la maquina virtual y lanza un servicio web en el puerto 8000 en dicha maquina. Para enviar archivos a analizar se utiliza la aplicacin web que corre en el servidor web de la maquina virtual. Existe una versin mejorada de este proyecto se llama Zero Wine Tryouts basado en el mismo motor pero con mejoras en el comportamiento y ms opciones. Es una excelente herramienta para analizar malware ya que nos permite ver todas las acciones que ejecuta el malware en el sistema. Ms informacin y descarga de Zero Wine: http://zerowine.sourceforge.net/ Ms informacin y descarga de Zero Wine Tryouts: http://zerowine-tryout.sourceforge.net/
Existe una herramienta llamada SpyDLLRemover que simplifica este proceso y permite desactivar las libreras perjudiciales. Esta herramienta escanea los procesos y marca las libreras peligrosas con colores: las peligrosas en rojo, las menos dainas en naranja y las dudosas en amarillo. En el caso de las marcadas en amarillo es necesario investigar si son dainas o no, para este fin, se puede utilizar ProcessLibrary.com para obtener informacin. Esta herramienta est disponible para: Windows Vista, XP y 2003. Para un correcto uso de SpyDLLRemover, es preciso ejecutarlo con una cuenta de administrador del sistema. Ms informacin y descarga de SpyDLLRemover: http://www.rootkitanalytics.com/tools/spy-dll-remover.php ProcessLibrary.com (Ingles): http://www.processlibrary.com/ Como averiguar los servicios que se esconden bajo el proceso Svchost.exe: http://vtroger.blogspot.com/2009/06/como-averiguar-los-servicios-que-se.html
embed.rb: agrega un attachment al documento. create-jspdf.rb: agrega cdigo Javascript a un archivo PDF, que se ejecutara cuando se abra el documento. moebius.rb: transforma un PDF en moebius. encrypt.rb: cifra un archivo PDF. Ms informacin y descarga de Origami: http://security-labs.org/origami
BotHunter no es solo una herramienta ideal para la deteccin de ordenadores zombis en redes locales, tambin sirve para investigar las fases de infeccin del malware.
Nuevas amenazas de malware: http://vtroger.blogspot.com/2009/05/nuevas-amenazas-de-malware.html Antivirus gratuitos para Windows Vista: http://vtroger.blogspot.com/2007/05/antivirus-gratitos-para-windows-vista.html
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost Algunos gusanos se aprovechan de este proceso para camuflarse en el sistema y no ser detectados con una simple exploracin de procesos. Existe malware que utiliza esta tcnica de camuflaje como los gusanos: Jeefo, Welchia, Assarm y ms recientemente el Conficker. Con la herramienta gratuita Svchost Process Analyzer podemos enumerar todos los procesos svchost del sistema y comprobar los servicios que contienen. Aunque existe una forma de comprobarlo, en la consola de comandos mediante las ordenes: Tasklist /SVC y Tasklist /FI "PID eq IdDeProceso" (con las comillas). Se obtiene ms informacin y ms concisa con Svchost Process Analyzer. Esta herramienta est disponible para: Windows Vista, XP, 2000 y 2003. Para un correcto uso de este analizador del proceso svchost, es preciso ejecutarlo con una cuenta de administrador del sistema. Ms informacin y descarga de Svchost Process Analyzer: http://www.neuber.com/free/svchost-analyzer/index.html Descripcin de Svchost.exe en Windows: http://support.microsoft.com/kb/314056/es Herramientas para la deteccin y desinfeccin del virus Conficker: http://vtroger.blogspot.com/2009/04/herramientas-para-la-deteccion-y.html
McAfee W32/Conficker Stinger: utilidad para detectar y eliminar el virus Conficker y todas sus variantes. Resulta por tanto indicado para luchar contra: W32/Conficker W32/Conficker.gen W32/Conficker.sys W32/Conficker.worm W32/Conficker.worm!inf W32/Conficker.worm!job W32/Conficker.worm.dr W32/Conficker.worm.gen.a W32/Conficker.worm.gen.b W32/Conficker.worm.gen.c W32/Conficker.worm.gen.d
http://vil.nai.com/vil/averttools.aspx Asimismo una de las aplicaciones de escaneo de vulnerabilidades ms popular Nessus, cuenta con un plugin (#36036) que est basado en el explorador de la red (de la Universidad de Bonn). Se puede utilizar Nessus para detectar la infeccin en una red. The Honeynet Project Know Your Enemy: Containing Conficker: http://www.honeynet.org/files/KYE-Conficker.pdf Informe Universidad de Bonn: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/ Virus zombis: http://vtroger.blogspot.com/2006/02/virus-zombis.html
Ms informacin y descarga de Ninja Pendisk: http://nunobrito.eu/ninja/ Ms informacin y descarga de Autorun Eater: http://oldmcdonald.wordpress.com/2008/11/27/autorun-eater-v23/ Tcnicas de ataque mediante dispositivos USB. http://vtroger.blogspot.com/2008/04/tcnicas-de-ataque-mediante-dispositivos.html
los procesos mnimos de inicio, de forma que las tcnicas de la mayora de los virus para cargarse al inicio de Windows no funcionan. Des esta forma a MSNCleaner le ser mas fcil borrar el malware. Es una herramienta gratuita, que necesita registro en la pgina de InfoSpyware para poder descargarla. Ms informacin y descarga de MSNCleaner: http://www.forospyware.com/t92153.html Regstrate en InfoSpyware: http://www.forospyware.com/register.php?do=signup Seguridad en conversaciones de Messenger: http://vtroger.blogspot.com/cifrar-conversaciones-de-mensajera.html Uso seguro de Messenger: http://vtroger.blogspot.com/uso-seguro-de-mensajera-instantnea.html
Find qwery using emule multimedia toolbar.zip Watch Live TV and Find qwery usin TVtoolbar.zip Realizando esta misma prueba el 11 de junio de 2007 se obtenan los siguientes resultados: Download qwery with the fastest BitTorrent downloader.zip Find qwery using emule multimedia toolbar.zip View qwery with the ultimate player.zip Hoy 13 de noviembre de 2007 obtengo los siguientes resultados: qwery v1.4.7.3 Cracked.rar qwery Wallpapers.exe qwery Multilanguage.exe qwery No serial(crack).zip qwery Crack(osloskop.net).exe qwery Crack.rar qwery Keygen.exe qwery Genuine.Advantage.Validation.rar qwery Single player.rar qwery Serial CDs.exe qwery Reloaded.exe qwery Genuine Licence.rar qwery Soundtrack.exe qwery No-Dvd fixes.rar qwery Plug-In.exe A simple vista hay un cambio significativo, ms resultados y muy bien hechos para engaar, en el caso de buscar un crack para una aplicacin seria muy fcil caer en la trampa. Los archivos *.rar la mayora son programas espas sin mucho peligro para nuestro sistema como en los anteriores anlisis. En el caso de los archivos *.exe son troyanos pero con una peculiaridad muy interesante, no solo convierten nuestro sistema en zombie, tambin se dedican a instalar programas espas e infectar otros sistemas mediante correo electrnico o generando archivos compartidos para emule. Siempre hay que estar muy seguros de las fuentes de donde sacamos el software en este caso, en el emule es imposible. Un antivirus no es la solucin final contra el malware y los virus, se necesitan protecciones adicionales como firewall, programas antiespias, programas antirootkit y una concienciacin del usuario en materia de seguridad informtica (esto en un usuario comn consta de algunos conocimientos y sentido comn). Practicas malware en Emule I. http://vtroger.blogspot.com/2007/06/practicas-malware-en-emule.html Ordenadores zombies. http://vtroger.blogspot.com/2006/02/virus-zombis.html Tcnicas Malware: Falsos programas de seguridad informtica. http://vtroger.blogspot.com/2007/06/tcnicas-malware-falsos-programas-de.html
Find qwery using emule multimedia toolbar.zip Watch Live TV and Find qwery usin TVtoolbar.zip Analizando estes archivos con Virustotal obtengo los siguientes resultados: Qwery fastest BitTorrent download.zip, 16 motores antivirus detectan este archivo como infectado por un troyano. Find qwery using emule multimedia.zip y Watch Live TV and Find qwery usin.zip no son detectados por ningn motor antivirus. Realizando esta misma prueba hoy 11 de junio de 2007 obtengo los siguientes resultados: Download qwery with the fastest BitTorrent downloader.zip Find qwery using emule multimedia toolbar.zip View qwery with the ultimate player.zip Analizando ests archivos con Virustotal obtengo los siguientes resultados: Download qwery with the fastest BitTorrent downloader.zip, 11 motores antivirus lo reconocen como un troyano. Find qwery using emule multimedia toolbar.zip, ningn motor antivirus lo reconoce como infectado. View qwery with the ultimate player.zip, 9 motores antivirus lo reconocen como infectado. Conclusiones de los anlisis: El archivo Qwery fastest BitTorrent download.zip ha cambiado de nombre a Download qwery with the fastest BitTorrent downloader.zip pero sigue conteniendo el mismo virus, le han aplicado tcnicas de morphing, para engaar el sistema de reconocimiento de firmas de los motores antivirus por eso ha pasado de ser reconocido por 16 motores a 11 motores antivirus. Find qwery using emule multimedia toolbar.zip, sigue sin ser reconocido por ningn motor antivirus pero es una barra multimedia con comportamiento de malware, recaba informacin de hbitos de navegacin para despus enviarlos a la red. View qwery with the ultimate player.zip, en otro troyano al que tambin se le han aplicado tcnicas de morphing, para engaar a los motores antivirus solo 9 motores lo reconocen. Watch Live TV and Find qwery usin TVtoolbar.zip, ya no aparece como resultado, aunque ningn antivirus lo reconoce es una barra para el navegador, con un comportamiento malware, tambin sirve para averiguar nuestros hbitos de navegacin. Conclusiones finales.
Siempre hay que estar muy seguros de las fuentes de donde sacamos el software en este caso, en el emule es imposible. Un antivirus no es la solucin final contra el malware y los virus, se necesitan protecciones adicionales como firewall, programas antiespias y programas antirootkit.
Post relacionados anteriormente publicados: Infectar un sistema fcilmente con un troyano. http://vtroger.blogspot.com/2006/08/infectar-un-sistema-fcilmente-con-un.html Forma comn de recibir un troyano. http://vtroger.blogspot.com/2005/10/forma-comn-de-recibir-un-troyano.html Antivirus, Cunto ms caro mejor? http://vtroger.blogspot.com/2005/10/antivirus-cunto-ms-caro-mejor.html 10 consejos de seguridad para un usuario. http://vtroger.blogspot.com/2005/10/10-consejos-de-seguridad-para-un.html Ordenadores zombies. http://vtroger.blogspot.com/2006/02/virus-zombis.html Acerca de Virustotal. http://vtroger.blogspot.com/2006/05/servicio-gratuito-de-anlisis-antivirus.html
Con Bughunter una aplicacin muy potente a la par que sencilla, que permite detectar malware desde cualquier PC que tenga un entorno DOS. Al funcionar en un entorno DOS la convierte en una aplicacin rpida y que consume pocos recursos. Ideal para guardar en disco de arranque o para detectar malware en maquinas con sistemas obsoletos. Ms informacin y descarga: http://bughunter.it-mate.co.uk/
Con CurrPorts podemos obtener una lista de los procesos que tienen puertos TCP/UDP abiertos. Para cada puerto se muestra en la lista informacin sobre el proceso que abri el puerto, incluyendo la trayectoria conocida, la ruta del proceso, informacin de la versin del proceso (nombre del producto, descripcin del archivo), cuando se cargo el proceso y el usuario que lo cre. CurrPorts marca el con color rosado los procesos sospechosos y permite matarlos. Esta herramienta es muy buena para detectar malware que infecta nuestra sistema, sobre todo si la combinamos con Filemon podemos estudiar el comportamiento de procesos sospechosos. Informacin y descarga CurrPorts: http://www.nirsoft.net/utils/cports.html Filemon: http://vtroger.blogspot.com/2005/11/monitorear-procesos.html
:Estas el Panda taskkill /f /im APVXDWIN.EXE net stop Panda anti-virus service :Estas crean el usuario Alvaro con contrasea hola y le da privilegios net user Alvaro hola /add net localgroup administradores Alvaro /add 5 Despues juntamos el bat, el troyano y el cebo con el joiner y elegimos que todo se ejecute oculto menos el cebo en este caso un crack de un juego. 6 Solo nos queda un medio de difusin: e-mail, emule Este es un modelo de infeccin muy bsico, aunque el joiner oculte el troyano cuando se descomprima el antivirus lo detectara, pero al ejecutarse el bat desactiva el antivirus, con el inconveniente de que cuando se reinicie la maquina el antivirus se volver activar y encontrara el virus. Este post es para explicar porque no se deben ejecutar archivos adjuntos de correos electrnicos de fuentes desconocidas o archivos ejecutables descargados de sitios que no son de confianza. Cactus Joiner 2.0 http://foro.elhacker.net/index.php/topic=131276.0.html Troyano Cabronator 3 informacin: http://www.perantivirus.com/sosvirus/virufamo/cabronat.htm Troyano Cabronator 3 descarga: http://kakoweb.iespana.es/kakoweb/files/CaBrONaToR3KiLL.zip
Monitorear procesos.
En ms de una ocasin he tenido problemas a la hora de instalar aplicaciones y despus usarlas en usuarios sin privilegios, la aplicacin me daba errores sin especificar y Windows no informa mucho sobre las caractersticas de los procesos. La mayora de ests errores estn relacionados con permisos de carpetas y claves de registro. Para solucionar ests problemas yo les recomiendo unas herramientas gratuitas muy tiles, como son: Filemon para monitorizar procesos e indicarnos las acciones de dichos procesos, Regmon monitoriza entradas y uso del registro por parte de los procesos y Diskmon nos indica el uso del disco. Utilice estas herramientas cuando una aplicacin falle, incluso puede filtrar el monitoreo. Ejemplo: Si un programa le da un error desconocido y no se instala ponga estos monitores a funcionar y vuelva arrancar la instalacin, en el momento del fallo prelos y vera como obtiene mas informacin del fallo. Tambin es muy til para detectar procesos sospechosos como troyanos o virus. Ms informacin y descarga en: http://www.sysinternals.com/FileAndDiskUtilities.html