Via el blog del F-Secure me encontré con el material del curso malware analysis and antivirus technologies dictado en la Helsinki University of Technology.
Material del curso.
Por algo los Finlandeces están muy bien situados en materia educativa no? Algún dia estaremos así?
El blog F-Secure es algo a tomar en cuenta también
http://www.f-secure.com/weblog/
miércoles, 13 de mayo de 2009
Botnet hijack
Interesante reporte de Hijack de una botnet.
AQUI
Extraido de: http://blogs.zdnet.com/security/?p=3310
Qué es una botnet?
Qué es un Hijack o Hijacking?
AQUI
Extraido de: http://blogs.zdnet.com/security/?p=3310
Qué es una botnet?
Qué es un Hijack o Hijacking?
jueves, 2 de abril de 2009
Virus Conficker / Downadup o Kido en Perú
Estaba a punto de escribir algo mas extenso sobre el tan mencionado virus (malware) en cuestión, pero me dio flojera :)
Bueno, algo que creo no a sido publicado y pienso debeia ser tomdo en cuenta... (según yo, osea nadie)
Bueno, algo que creo no a sido publicado y pienso debeia ser tomdo en cuenta... (según yo, osea nadie)
domingo, 18 de enero de 2009
"Aún" no estamos en las estadisticas de Malware...
Estuve leyendo algunas cosas referentes a la propagación de malware a nivel global, encontrándome con el caso actual del "virus" (gusano) llamado Downadup/Conflicker, y encontre un cuadro en el que se puede ver los países con mas incidencias/infecciones de este virus.
Aquí el cuadro.
Como ya había visto anteriormente en otros cuadros de otros virus (malwares), nuestro país (Perú) no sale aún en esas estadísticas, en comparación a nuestros países vecinos. Este dato me parece interesante, ya que según "yo", esa situación "privilegiada" se nos puede acabar en un corto plazo. Por qué?
Primero; ya un tiempo atrás me había puesto a analizar muestras de pharming/phishing nacional, encontrando cosas en portugues, lo cual me hace suponer que hay algún tipo de "alianza¿?, influencia¿?" garota en estos lares.
Segundo; Brasil siempre a salido (al menos en los cuadros que vi) en los primeros lugares (o no tan bajo) en las campañas de despliegue de malware global.
Tercero; supuestamente se nos viene un dinamismo comercial/económico nacional (a pesar de la crisis), lo cual pudría hacer que se nos vea como un "mercado" provocador, para siembra de bots, ya que por si alguien no lo sabe, las botnets son un "negocio".
Puede que este equivocado/paranóico, pero era una inquietud que quería compartir.
Aquí el cuadro.
Como ya había visto anteriormente en otros cuadros de otros virus (malwares), nuestro país (Perú) no sale aún en esas estadísticas, en comparación a nuestros países vecinos. Este dato me parece interesante, ya que según "yo", esa situación "privilegiada" se nos puede acabar en un corto plazo. Por qué?
Primero; ya un tiempo atrás me había puesto a analizar muestras de pharming/phishing nacional, encontrando cosas en portugues, lo cual me hace suponer que hay algún tipo de "alianza¿?, influencia¿?" garota en estos lares.
Segundo; Brasil siempre a salido (al menos en los cuadros que vi) en los primeros lugares (o no tan bajo) en las campañas de despliegue de malware global.
Tercero; supuestamente se nos viene un dinamismo comercial/económico nacional (a pesar de la crisis), lo cual pudría hacer que se nos vea como un "mercado" provocador, para siembra de bots, ya que por si alguien no lo sabe, las botnets son un "negocio".
Puede que este equivocado/paranóico, pero era una inquietud que quería compartir.
lunes, 12 de enero de 2009
Análisis básico de ejecutables (por Furious Logic [aRC])
Lectura recomendada, enviada por Furious Logic
Todas las herramientas comentadas están disponibles en la sección aRC
Spamanario en: www.furiouslogic.co.cc o aquí
SUMARIO
-------
Las razones que nos lleven a analizar un archivo ejecutable pueden
ser diversas dependiendo del área en que el informático se desenvuelva:
análisis de código vírico, ingeniería inversa, análisis forense,
prevención contra malware, etc. En este artículo comentaremos algunas
formas básicas para identificar archivos ejecutables y descomprimirlos.
Está dirigido al usuario promedio. No se requieren conocimientos
avanzados. Sin embargo, las herramientas aludidas, debido a su
versatilidad de personalización, pueden aplicarse en niveles más
avanzados por usuarios de mayor experiencia.
2 mitos sobre los ejecutables
-----------------------------
Es un mito pensar que la presencia de un archivo ejecutable
infectado, significa que nuestro sistema está infectado. Dicho de otro
modo, es un mito creer que por manipular un archivo ejecutable infectado
(mientras no se lo ejecute) vamos a infectar nuestra PC. Un archivo
ejecutable no es más que un conjunto de instrucciones que UNICAMENTE se
llevarán a cabo si lo ejecutamos directamente (doble click o ENTER en el
mismo) o si lo depuramos sin cuidado alguno. Es esto último ha causado
infecciones por culpa de usuarios que desconocían a cabalidad lo que
significa "depurar".
Es un mito pensar que estamos 100% seguros si ejecutamos un programa
sospechoso en una máquina virtual. El nivel de seguridad nunca es del
100%. Estimamos que en todo caso estaríamos seguros quizá un 90% ó 95% a
lo sumo. No obstante, desde el punto de vista de la programación es
posible utilizar la documentación de una máquina virtual para
conectarnos con el sistema host.
Herramientas básicas
--------------------
Antes de poder analizar un archivo recomendamos al usuario
familiarizarse con la siguiente herramienta básica:
(imprescindible)
Total Commander Ultra Pack ó Total Commander Ultima Prime (en
adelante TC) como explorador de archivos. Las 3 razones básicas de esta
sugerencia son:
- TC no autocarga los archivos autorun.inf, desktop.ini y similares que
sí se autocargan bajo el explorador de archivos incluido en windows. De
esta forma, cuando analicemos un archivo sospechoso o una unidad de
memoria que se sospecha está infectada, no corremos el riesgo de que el
supuesto programa dañino se autoinstale o autoejecute. Además y como una
característica interesante, TC puede configurarse para autocargarse al
insertar un CD/DVD o una unidad de memoria USB (pendrive, memoria SD,
MiniSD, MicroSD, MMC, disco slim, etc.) siempre sin leer los archivos de
configuración antes aludidos.
- TC incluye una importante cantidad de utilitarios y plugins en lo
referente al análisis de archivos.
- TC reconoce los más conocidos (y también los no muy conocidos)
formatos de compresión de archivos ejecutables incluyendo plugins para
extraerlos de manera sencilla.
Procedimiento rápido
--------------------
Obs.: No ejecute el archivo a menos que lo indiquemos explícitamente.
1ro. Identificar si el ejecutable está comprimido y/o encriptado.
2do. De ser así proceder a descomprimirlo.
3ro. Examinar los archivos resultantes en busca del archivo legítimo.
Ese es en resumen el procedimiento a seguir por supuesto con
algunas variantes para casos especiales. Seguido describiremos el
procedimiento de manera más detallada.
1ro. Identificar el ejecutable
------------------------------
En honor a nuestro público objetivo, el usuario promedio, haremos
la identificación lo más simple que sea posible. Es decir, nos
dedicaremos a la utilización de programas especializados. Esta
especialización debe comprenderse en al menos 2 aspectos: la
identificación del sistema de compresión/encriptación y la
identificación del compilador con que se creó el ejecutable. Existen
varios niveles para estos 2 tipos de identificación. También existen
sistemas de protección múltiples y existen sistemas diseñados para
engañar a los programas identificadores. Para nuestro caso no nos
interesa determinar específicamente qué sistema se utiliza, sino que nos
interesa saber si el ejecutable está o no comprimido/encriptado para
proceder de la manera en que explicaremos en las líneas posteriores.
Algunos de los programas que utilizaremos a continuacion pueden
despertar naturales alertas en los antivirus debido a las técnicas que
utilizan. Por este motivo sugerimos tomar todas las precauciones del
caso evitando que el software protector elimine nuestras herramientas.
Uno de los canales de distribución más importantes de los
ejecutables sospechosos es la proliferación de sitios web de
pseudo-cracks y pseudo-warex. Estos abundan y los buscadores devuelven
cada vez más resultados de páginas con cracks que en el mejor de los
casos cumple con su función, pero que además están infectados para
cumplir con un objetivo macabro en contra de nuestra de por sí muy
maltratada PC. También encontraremos torrents y warez de supuestas
versiones de un programa de hasta varios cientos de megabytes, pero que
en realidad son virus/troyanos disfrazados.
Existen varios programas identificadores. Mencionemos los 2 mejores:
- PEiD 0.94. A nuestro parecer es el mejor identificador de ejecutables
entre todos.
- Exeinfo 0.0.0.1.9C. Este es un candidato estupendo para sustituir a PEiD.
Con estos 2 programas se puede resolver la mayoría de casos de
identificación de ejecutables para el propósito que nos conduce.
Una vez instalado PEiD lo ejecutamos, pulsamos el botón Options,
marcamos las opciones "Hardcore Scan", "Register Shell Extensions",
"Load Plugins" y "Use External Signatures". Grabamos los cambios,
cerramos PEiD y a partir de este instante al hacer click derecho en
cualquier archivo ejecutable aparecerá la opción "Scan with PEiD" que al
selecccionarla lanzará la pantalla del programa.
Una vez instalado Exeinfo PE lo ejecutamos, pulsamos el botón
Options, marcamos las opciones "Fast Scan", "Shell integration" y
"Disable Log". Grabamos los cambios, cerramos Exeinfo PE y a partir de
este instante al hacer click derecho en cualquier archivo ejecutable
aparecerá la opción "--> Exe Info PE Scan <--" que al selecccionarla
lanzará la pantalla del programa.
2do. Descomprimir el ejecutable
-------------------------------
En caso de que esté comprimido obviamente procederemos a
descomprimirlo. Para lograrlo por lo general seguiremos la información
que devuelve Exeinfo. Cuando Exeinfo detecta que un ejecutable está
comprimido/encriptado sugiere la herramienta a utilizar para la
descompresión. De ello se deduce que habrán muchos programas para
descomprimir y en nuestro caso sería imposible explicar todas esas
herramientas. Por ello nos limitaremos a las más generales.
UPX:
Es el más conocido y reconocido compresor de ejecutables. Se utiliza
tanto para comprimir un ejecutable como para restaurar un ejecutable
comprimido a su tamaño original. Si el ejecutable estuviese comprimido
con UPX abriremos una consola y aplicaremos el comando:
upx -d NombreDelEjecutable.exe
Obs.: Existen programas comprimidos con UPX que no pueden descomprimirse
con el propio UPX.
Universal Extractor 1.5
Este programa es muy interesante porque no nos pregunta nada más que el
nombre del archivo a descomprimir. Automáticamente creará un directorio
con el mismo nombre del ejecutable y colocará allí el contenido
descomprimido. Automáticamente reconocerá el formato del archivo
comprimido entre archivos comprimidos ZIP, RAR, ACE, etc. también
archivos ejecutables (exes) comprimidos, encriptados, archivos
instaladores, etc.
Quick Unpack 2.1
Para instalarlo correctamente lo descomprimimos, lo ejecutamos,
seleccionamos el menú Options / Preferences, marcamos la casilla
"Register shell extension", presionamos "Save" y cerramos el programa. A
partir de este momento el menú contextual de todos los ejecutables
presentará una nueva opción llamada "Unpack by Quick Unpack".
Este programa es algo más sofisticado y con más opciones. Una vez
cargado un ejecutable (leer el párrafo anterior) que se presume comprimido:
- buscamos en la pantalla la sección "Options"
- presionamos el botón ">" que está a la izquierda de "Code"
- doble click a ForceOEP
- presionamos el botón "Full unpack" y esperamos hasta que aparezca una
nueva ventana titulada "Import Table - OK"
- En dicha ventana presionamos el botón "Save" y volvemos a esperar
hasta que en la ventana principal aparezca al final el mensaje "11:52:35
Done" (la hora puede ser otra).
- Se habrá creado en el mismo directorio, una copia descomprimida del
ejecutable llamada NombreDelEjecutable__.exe
RL!dePacker 1.4
Este es otro de los programas clásicos para descompresión previa al
análisis básico de ejecutables. Insistimos por nuevamente que cualquiera
de estos programas especializados despertará alertas falso-positivas en
los programas antivirus.
- ejecutamos RL!dePacker.exe
- presionamos el botón "Browse" y seleccionamos el archivo ejecutable a
descomprimir (también se puede arrastrar el ejecutable hacia la ventana)
- presionamos el botón "Find OEP!"
- dejemos las opciones tal cual están. Por lo general funcionan sin
modificaciones.
- presionamos el botón "Unpack" y esperamos el mensaje informativo de
operación sa
tisfactoria
- Se habrá creado en el mismo directorio, una copia descomprimida del
ejecutable llamada unpacked.exe
VM Unpacker
Esta es solo 1 muestra de las joyas chinas. El programa está en chino
pero debería ser fácil intuir su modo de funcionamiento.
- Cargar VMUnpacker_CN.exe luego de descomprimir el programa en un
directorio apropiado.
- presionamos el botón "..." y seleccionamos el archivo ejecutable a
descomprimir (también se puede arrastrar el ejecutable hacia la
ventana). Al hacerlo de inmediato aparecerá en la ventana la
identificación del programa compresor.
- presionamos el botón con letras en chino. Es el botón para descomprimir.
- esperamos unos segundos y en la ventana aparecerá el nombre del
archivo descomprimido.
- Se habrá creado en el mismo directorio, una copia descomprimida del
ejecutable llamada NombreDelEjecutable_unpacked.exe
3ro. Examinar el ejecutable
---------------------------
Existen tantas razones para identificar un archivo ejecutable que
sería prácticamente imposible mencionarlas todas. Queda a buen criterio
del usuario la utilización de las técnicas básicas mencionadas.
Nos permitimos sugerir que luego del paso (2) repitamos el paso (1)
para verificar que efectivamente no existan más protecciones. Aún así,
los programas del paso (1) podrían indicar erróneamente que aún existe
compresión. Por ello siempre es útil tener a la mano un programa tal
como eXeScope 6.50 que es un editor de recursos muy útil que incluimos
para quienes desean continuar su aventura con la identificación de
ejecutables.
Con TC es muy sencillo examinar el interior de un ejecutable.
Basta con cambiar la extensión .exe por .zip por ejemplo, luego
presionamos en el archivo .zip y encontraremos todos los recursos del
ejecutable listos para ser extraidos. Esta técnica es muy importante
porque hay una cantidad notable de troyanos que incorporan en su sección
recursos variantes de archivos infectados y librerías para ser
insertados en sus víctimas.
CONCLUSION
----------
Varios programas antivirus actuales emiten alertas falso-positivas
sobre software legítimo. Algunos sitios como:
VIRUS CHECK - Virus Scan - http://virusscan.jotti.org/
VIRUS CHECK - Virus Total - http://www.virustotal.com
también pueden emitir falsas alarmas. La mejor forma de salir de dudas
es determinar si la alarma se debe a que un programa está comprimido. Lo
que es cada vez más frecuente en nuestros días. Si bien el procedimiento
descrito es casi mecánico, esperamos que seá de suma utilidad para todos.
bytes y que disfruten de un buen año 2009,
FL
sábado 10 de enero del 2009
16:51 pm
Todas las herramientas comentadas están disponibles en la sección aRC
Spamanario en: www.furiouslogic.co.cc o aquí
SUMARIO
-------
Las razones que nos lleven a analizar un archivo ejecutable pueden
ser diversas dependiendo del área en que el informático se desenvuelva:
análisis de código vírico, ingeniería inversa, análisis forense,
prevención contra malware, etc. En este artículo comentaremos algunas
formas básicas para identificar archivos ejecutables y descomprimirlos.
Está dirigido al usuario promedio. No se requieren conocimientos
avanzados. Sin embargo, las herramientas aludidas, debido a su
versatilidad de personalización, pueden aplicarse en niveles más
avanzados por usuarios de mayor experiencia.
2 mitos sobre los ejecutables
-----------------------------
Es un mito pensar que la presencia de un archivo ejecutable
infectado, significa que nuestro sistema está infectado. Dicho de otro
modo, es un mito creer que por manipular un archivo ejecutable infectado
(mientras no se lo ejecute) vamos a infectar nuestra PC. Un archivo
ejecutable no es más que un conjunto de instrucciones que UNICAMENTE se
llevarán a cabo si lo ejecutamos directamente (doble click o ENTER en el
mismo) o si lo depuramos sin cuidado alguno. Es esto último ha causado
infecciones por culpa de usuarios que desconocían a cabalidad lo que
significa "depurar".
Es un mito pensar que estamos 100% seguros si ejecutamos un programa
sospechoso en una máquina virtual. El nivel de seguridad nunca es del
100%. Estimamos que en todo caso estaríamos seguros quizá un 90% ó 95% a
lo sumo. No obstante, desde el punto de vista de la programación es
posible utilizar la documentación de una máquina virtual para
conectarnos con el sistema host.
Herramientas básicas
--------------------
Antes de poder analizar un archivo recomendamos al usuario
familiarizarse con la siguiente herramienta básica:
(imprescindible)
Total Commander Ultra Pack ó Total Commander Ultima Prime (en
adelante TC) como explorador de archivos. Las 3 razones básicas de esta
sugerencia son:
- TC no autocarga los archivos autorun.inf, desktop.ini y similares que
sí se autocargan bajo el explorador de archivos incluido en windows. De
esta forma, cuando analicemos un archivo sospechoso o una unidad de
memoria que se sospecha está infectada, no corremos el riesgo de que el
supuesto programa dañino se autoinstale o autoejecute. Además y como una
característica interesante, TC puede configurarse para autocargarse al
insertar un CD/DVD o una unidad de memoria USB (pendrive, memoria SD,
MiniSD, MicroSD, MMC, disco slim, etc.) siempre sin leer los archivos de
configuración antes aludidos.
- TC incluye una importante cantidad de utilitarios y plugins en lo
referente al análisis de archivos.
- TC reconoce los más conocidos (y también los no muy conocidos)
formatos de compresión de archivos ejecutables incluyendo plugins para
extraerlos de manera sencilla.
Procedimiento rápido
--------------------
Obs.: No ejecute el archivo a menos que lo indiquemos explícitamente.
1ro. Identificar si el ejecutable está comprimido y/o encriptado.
2do. De ser así proceder a descomprimirlo.
3ro. Examinar los archivos resultantes en busca del archivo legítimo.
Ese es en resumen el procedimiento a seguir por supuesto con
algunas variantes para casos especiales. Seguido describiremos el
procedimiento de manera más detallada.
1ro. Identificar el ejecutable
------------------------------
En honor a nuestro público objetivo, el usuario promedio, haremos
la identificación lo más simple que sea posible. Es decir, nos
dedicaremos a la utilización de programas especializados. Esta
especialización debe comprenderse en al menos 2 aspectos: la
identificación del sistema de compresión/encriptación y la
identificación del compilador con que se creó el ejecutable. Existen
varios niveles para estos 2 tipos de identificación. También existen
sistemas de protección múltiples y existen sistemas diseñados para
engañar a los programas identificadores. Para nuestro caso no nos
interesa determinar específicamente qué sistema se utiliza, sino que nos
interesa saber si el ejecutable está o no comprimido/encriptado para
proceder de la manera en que explicaremos en las líneas posteriores.
Algunos de los programas que utilizaremos a continuacion pueden
despertar naturales alertas en los antivirus debido a las técnicas que
utilizan. Por este motivo sugerimos tomar todas las precauciones del
caso evitando que el software protector elimine nuestras herramientas.
Uno de los canales de distribución más importantes de los
ejecutables sospechosos es la proliferación de sitios web de
pseudo-cracks y pseudo-warex. Estos abundan y los buscadores devuelven
cada vez más resultados de páginas con cracks que en el mejor de los
casos cumple con su función, pero que además están infectados para
cumplir con un objetivo macabro en contra de nuestra de por sí muy
maltratada PC. También encontraremos torrents y warez de supuestas
versiones de un programa de hasta varios cientos de megabytes, pero que
en realidad son virus/troyanos disfrazados.
Existen varios programas identificadores. Mencionemos los 2 mejores:
- PEiD 0.94. A nuestro parecer es el mejor identificador de ejecutables
entre todos.
- Exeinfo 0.0.0.1.9C. Este es un candidato estupendo para sustituir a PEiD.
Con estos 2 programas se puede resolver la mayoría de casos de
identificación de ejecutables para el propósito que nos conduce.
Una vez instalado PEiD lo ejecutamos, pulsamos el botón Options,
marcamos las opciones "Hardcore Scan", "Register Shell Extensions",
"Load Plugins" y "Use External Signatures". Grabamos los cambios,
cerramos PEiD y a partir de este instante al hacer click derecho en
cualquier archivo ejecutable aparecerá la opción "Scan with PEiD" que al
selecccionarla lanzará la pantalla del programa.
Una vez instalado Exeinfo PE lo ejecutamos, pulsamos el botón
Options, marcamos las opciones "Fast Scan", "Shell integration" y
"Disable Log". Grabamos los cambios, cerramos Exeinfo PE y a partir de
este instante al hacer click derecho en cualquier archivo ejecutable
aparecerá la opción "--> Exe Info PE Scan <--" que al selecccionarla
lanzará la pantalla del programa.
2do. Descomprimir el ejecutable
-------------------------------
En caso de que esté comprimido obviamente procederemos a
descomprimirlo. Para lograrlo por lo general seguiremos la información
que devuelve Exeinfo. Cuando Exeinfo detecta que un ejecutable está
comprimido/encriptado sugiere la herramienta a utilizar para la
descompresión. De ello se deduce que habrán muchos programas para
descomprimir y en nuestro caso sería imposible explicar todas esas
herramientas. Por ello nos limitaremos a las más generales.
UPX:
Es el más conocido y reconocido compresor de ejecutables. Se utiliza
tanto para comprimir un ejecutable como para restaurar un ejecutable
comprimido a su tamaño original. Si el ejecutable estuviese comprimido
con UPX abriremos una consola y aplicaremos el comando:
upx -d NombreDelEjecutable.exe
Obs.: Existen programas comprimidos con UPX que no pueden descomprimirse
con el propio UPX.
Universal Extractor 1.5
Este programa es muy interesante porque no nos pregunta nada más que el
nombre del archivo a descomprimir. Automáticamente creará un directorio
con el mismo nombre del ejecutable y colocará allí el contenido
descomprimido. Automáticamente reconocerá el formato del archivo
comprimido entre archivos comprimidos ZIP, RAR, ACE, etc. también
archivos ejecutables (exes) comprimidos, encriptados, archivos
instaladores, etc.
Quick Unpack 2.1
Para instalarlo correctamente lo descomprimimos, lo ejecutamos,
seleccionamos el menú Options / Preferences, marcamos la casilla
"Register shell extension", presionamos "Save" y cerramos el programa. A
partir de este momento el menú contextual de todos los ejecutables
presentará una nueva opción llamada "Unpack by Quick Unpack".
Este programa es algo más sofisticado y con más opciones. Una vez
cargado un ejecutable (leer el párrafo anterior) que se presume comprimido:
- buscamos en la pantalla la sección "Options"
- presionamos el botón ">" que está a la izquierda de "Code"
- doble click a ForceOEP
- presionamos el botón "Full unpack" y esperamos hasta que aparezca una
nueva ventana titulada "Import Table - OK"
- En dicha ventana presionamos el botón "Save" y volvemos a esperar
hasta que en la ventana principal aparezca al final el mensaje "11:52:35
Done" (la hora puede ser otra).
- Se habrá creado en el mismo directorio, una copia descomprimida del
ejecutable llamada NombreDelEjecutable__.exe
RL!dePacker 1.4
Este es otro de los programas clásicos para descompresión previa al
análisis básico de ejecutables. Insistimos por nuevamente que cualquiera
de estos programas especializados despertará alertas falso-positivas en
los programas antivirus.
- ejecutamos RL!dePacker.exe
- presionamos el botón "Browse" y seleccionamos el archivo ejecutable a
descomprimir (también se puede arrastrar el ejecutable hacia la ventana)
- presionamos el botón "Find OEP!"
- dejemos las opciones tal cual están. Por lo general funcionan sin
modificaciones.
- presionamos el botón "Unpack" y esperamos el mensaje informativo de
operación sa
tisfactoria
- Se habrá creado en el mismo directorio, una copia descomprimida del
ejecutable llamada unpacked.exe
VM Unpacker
Esta es solo 1 muestra de las joyas chinas. El programa está en chino
pero debería ser fácil intuir su modo de funcionamiento.
- Cargar VMUnpacker_CN.exe luego de descomprimir el programa en un
directorio apropiado.
- presionamos el botón "..." y seleccionamos el archivo ejecutable a
descomprimir (también se puede arrastrar el ejecutable hacia la
ventana). Al hacerlo de inmediato aparecerá en la ventana la
identificación del programa compresor.
- presionamos el botón con letras en chino. Es el botón para descomprimir.
- esperamos unos segundos y en la ventana aparecerá el nombre del
archivo descomprimido.
- Se habrá creado en el mismo directorio, una copia descomprimida del
ejecutable llamada NombreDelEjecutable_unpacked.exe
3ro. Examinar el ejecutable
---------------------------
Existen tantas razones para identificar un archivo ejecutable que
sería prácticamente imposible mencionarlas todas. Queda a buen criterio
del usuario la utilización de las técnicas básicas mencionadas.
Nos permitimos sugerir que luego del paso (2) repitamos el paso (1)
para verificar que efectivamente no existan más protecciones. Aún así,
los programas del paso (1) podrían indicar erróneamente que aún existe
compresión. Por ello siempre es útil tener a la mano un programa tal
como eXeScope 6.50 que es un editor de recursos muy útil que incluimos
para quienes desean continuar su aventura con la identificación de
ejecutables.
Con TC es muy sencillo examinar el interior de un ejecutable.
Basta con cambiar la extensión .exe por .zip por ejemplo, luego
presionamos en el archivo .zip y encontraremos todos los recursos del
ejecutable listos para ser extraidos. Esta técnica es muy importante
porque hay una cantidad notable de troyanos que incorporan en su sección
recursos variantes de archivos infectados y librerías para ser
insertados en sus víctimas.
CONCLUSION
----------
Varios programas antivirus actuales emiten alertas falso-positivas
sobre software legítimo. Algunos sitios como:
VIRUS CHECK - Virus Scan - http://virusscan.jotti.org/
VIRUS CHECK - Virus Total - http://www.virustotal.com
también pueden emitir falsas alarmas. La mejor forma de salir de dudas
es determinar si la alarma se debe a que un programa está comprimido. Lo
que es cada vez más frecuente en nuestros días. Si bien el procedimiento
descrito es casi mecánico, esperamos que seá de suma utilidad para todos.
bytes y que disfruten de un buen año 2009,
FL
sábado 10 de enero del 2009
16:51 pm
martes, 16 de diciembre de 2008
Cómo saber si estoy siendo victima de Phishing o Pharming Peruano?
Alguien me hizo esa pregunta, y aquí le respondo. Esta facilito ah! :)
Como puede usted saber si su PC esta siendo víctima de alguna de estas modalidades de robo a través de la banca electrónica? (en resumen, si le van a vaciar la cuenta corriente? $$$$$...)
Este método no pretende ser 100% eficaz pero al menos para las muestras de malware ("virus") peruanas analizadas, creo que si lo es.
Recomiendo realizar los 2 métodos :)
Método 1:
=========
Dele click al botón Inicio de Windows, luego elija la opción ejecutar, y en la ventanita que se abre, escriba "cmd" (sin las comillas), y presione la tecla enter o dele click al botón aceptar.
Va a aparecer una ventana negra.
A continuación (dentro de la ventana negra) escriba "ping viabcp.com" (sin las comillas) o "ping www.scotiabank.com.pe" (tambien sin mas comillas), o ponga la dirección web de su banco, despues de la palabra "ping"; y a continuación presione la tecla enter, y espere que salgan algunas lineas como resultado.
Aquí está lo bueno :)
Si en el resultado aparecen los números 127.0.0.1, como lo muestra la imagen anterior, con lineas rojas, no pregunte ni cómo, cuándo, ni porqué. CREAME su PC esta infectada y es víctima de esta modalidad de robo. Así que tome las medidas correctivas necesarias. Puede que un dia de estos se encuentre con una desagradable sorpresa en su cuenta corriente.
Método 2:
=========
Dele click al botón Inicio de Windows, luego elija la opción ejecutar, y en la ventanita que se abre, escriba "C:\WINDOWS\system32\drivers\etc" (sin las comillas), y presione la tecla enter o dele click al botón aceptar. Se me ocurre que puede copiar y pegar el texto que yo puse :P
A continuación se va a abrir la ventana del explorer, con unos cuantos archivos. De esos archivos va a tener que abrir con su editor de texto preferido, el archivo que se llama "hosts".
Ya dentro de ese archivo, busque si aparece la dirección web de su banco.
Aquí una imagen de ejemplo:
Si la dirección web de su banco esta en dicho archivo, no pregunte ni cómo, cuándo, ni porqué. CREAME su PC esta infectada y esa siendo víctima de esta modalidad de robo. Así que tome las medidas correctivas necesarias. Puede que un dia de estos se encuentre con una desagradable sorpresa en su cuenta corriente.
P.D. Este post es sólo informativo. Cualquier consulta que se presente sobre el mismo, no va a ser respondida.
Como puede usted saber si su PC esta siendo víctima de alguna de estas modalidades de robo a través de la banca electrónica? (en resumen, si le van a vaciar la cuenta corriente? $$$$$...)
Este método no pretende ser 100% eficaz pero al menos para las muestras de malware ("virus") peruanas analizadas, creo que si lo es.
Recomiendo realizar los 2 métodos :)
Método 1:
=========
Dele click al botón Inicio de Windows, luego elija la opción ejecutar, y en la ventanita que se abre, escriba "cmd" (sin las comillas), y presione la tecla enter o dele click al botón aceptar.
Va a aparecer una ventana negra.
A continuación (dentro de la ventana negra) escriba "ping viabcp.com" (sin las comillas) o "ping www.scotiabank.com.pe" (tambien sin mas comillas), o ponga la dirección web de su banco, despues de la palabra "ping"; y a continuación presione la tecla enter, y espere que salgan algunas lineas como resultado.
Aquí está lo bueno :)
Si en el resultado aparecen los números 127.0.0.1, como lo muestra la imagen anterior, con lineas rojas, no pregunte ni cómo, cuándo, ni porqué. CREAME su PC esta infectada y es víctima de esta modalidad de robo. Así que tome las medidas correctivas necesarias. Puede que un dia de estos se encuentre con una desagradable sorpresa en su cuenta corriente.
Método 2:
=========
Dele click al botón Inicio de Windows, luego elija la opción ejecutar, y en la ventanita que se abre, escriba "C:\WINDOWS\system32\drivers\etc" (sin las comillas), y presione la tecla enter o dele click al botón aceptar. Se me ocurre que puede copiar y pegar el texto que yo puse :P
A continuación se va a abrir la ventana del explorer, con unos cuantos archivos. De esos archivos va a tener que abrir con su editor de texto preferido, el archivo que se llama "hosts".
Ya dentro de ese archivo, busque si aparece la dirección web de su banco.
Aquí una imagen de ejemplo:
Si la dirección web de su banco esta en dicho archivo, no pregunte ni cómo, cuándo, ni porqué. CREAME su PC esta infectada y esa siendo víctima de esta modalidad de robo. Así que tome las medidas correctivas necesarias. Puede que un dia de estos se encuentre con una desagradable sorpresa en su cuenta corriente.
P.D. Este post es sólo informativo. Cualquier consulta que se presente sobre el mismo, no va a ser respondida.
jueves, 11 de diciembre de 2008
Estafa a Banca Electrónica
Y como se sabe, siguen los envíos dirigidos a la sustracción de nuestros datos bancarios. Como bien lo reporta ReYDeS, en su blog. Todos, absolutamente TODOS son enviados por correo simulando ser algún tipo de video de noticia "grande", "ayuda de seguridad", premio, etc.
En resumen, despertando de una u otra manera la expectativa (morbo?) de la víctima, para que ejecute el malware ("virus") y así infectar la PC y apoderarse de datos bancarios.
Ahora, otra cosa mas, es que entre los envíos hay algunos malwares (2 en concreto), que por lo que pude ver, no crea ningún tipo de estructura de archivos en la PC infectada para simular el banco del que se quiere sustraer o algo parecido, sino que hace conexiones a diferentes servidores en intenet con nombres de dominios creados para tal fin. Parecerían "pruebas" o "testeos" de algún futuro nuevo método. Y vaya que el listado de PC's comprometidas era EXTENSO.
En resumen, despertando de una u otra manera la expectativa (morbo?) de la víctima, para que ejecute el malware ("virus") y así infectar la PC y apoderarse de datos bancarios.
Ahora, otra cosa mas, es que entre los envíos hay algunos malwares (2 en concreto), que por lo que pude ver, no crea ningún tipo de estructura de archivos en la PC infectada para simular el banco del que se quiere sustraer o algo parecido, sino que hace conexiones a diferentes servidores en intenet con nombres de dominios creados para tal fin. Parecerían "pruebas" o "testeos" de algún futuro nuevo método. Y vaya que el listado de PC's comprometidas era EXTENSO.
martes, 28 de octubre de 2008
Infección y limpieza de malware caso real
El post anterior que trataba sobre la experiencia con un malware me fue borrado por google, porque al parecer "alguien" me acusó de infringir derechos de autor. :S
Asi que lo vuelvo a compartir por otro medio, ya que no tengo tiempo para estar reclamando.
Experiencia compartida por Furious Logic [aRC] sobre Infección y limpieza de malware.
Una lectura MUY interesante
http://www.4shared.com/file/74701699/a65a87fd/Beagle_Infeccin_y_limpieza__caso_real_.html
Saludos.
Asi que lo vuelvo a compartir por otro medio, ya que no tengo tiempo para estar reclamando.
Experiencia compartida por Furious Logic [aRC] sobre Infección y limpieza de malware.
Una lectura MUY interesante
http://www.4shared.com/file/74701699/a65a87fd/Beagle_Infeccin_y_limpieza__caso_real_.html
Saludos.
jueves, 25 de septiembre de 2008
Ataques "magistrales" de "hackers" mediáticos
Tomado de Hispasec
Se han producido en las dos últimas semanas dos "ataques cibernéticos"
que han atraído la mirada de los medios de comunicación generalistas.
Desde el punto de vista técnico, los ataques no son más que
curiosidades, y ya apenas merece la pena detenerse en las inexactitudes,
exageraciones y errores habituales que se comenten desde los medios
generalistas. Sin embargo pueden servir para reflexionar sobre algunos
asuntos.
El primer ataque fue dado a conocer por el Daily Telegraph el 10 de
septiembre. Un grupo de atacantes griegos había desfigurado una de las
páginas relacionadas con el famoso LHC (Large Hadron Collider). El mayor
experimento de la historia de la humanidad ha sido bastante mediático.
Los que auguraban el fin del mundo con su puesta en marcha han sido
también alimentados incondicionalmente por la prensa. El experimento
cuenta obviamente con una inmensa red de sistemas conectados. Una de
las páginas públicas (www.cmsmon.cern.ch), forma parte del CMSMON, que
controla el software que utilizan los científicos para analizar los
resultados de las colisiones. La idea era usar esta página para que todo
el mundo pudiese disfrutar en directo de los resultados obtenidos.
Apareció desfigurada y con un mensaje escrito probablemente por un grupo
de atacantes de poca monta. Calificaban de niñatos a los responsables
de seguridad de la red, que en última instancia es el CERN (European
Organization for Nuclear Research). En la página se ofrecían ciertas
evidencias de que quizás podrían haber llegado un poco más lejos de
la simple desfiguración de la página.
La idea de alguien ajeno a los sistemas colándose en los servidores del
LHC y poniendo en riesgo a la humanidad puede ser muy atractiva para
los medios, pero está lejos de ser real. Una de las declaraciones del
portavoz del CERN, James Gillies, aparecidas en la nota original del
Daily Telegraph fue que: "Tenemos diferentes niveles de red, una red de
acceso general y una mucho más restringida para las cosas sensibles que
hacen funcionar el LHC" pero esta afirmación lógica ha sido omitida en
otros medios. Este detalle es importante. No se sabe bien cómo, es
bastante más que posible que hayan podido entrar en la zona de acceso
general, los vectores de ataque son muchos. Sin embargo, ese salto a la
red verdaderamente sensible, por mucho que fanfarroneen los atacantes,
habría sido mucho más complejo. Incluso, en el improbable caso de que
lo consiguieran, sería extraño que supieran manejar un software tan
específico como para causar ningún daño. Es también más que probable que
el software incorpore medidas de seguridad para evitar comandos erróneos
o peligrosos, y que la inclusión hubiese sido detectada mucho antes de
poder intentar cualquier acción... En definitiva, el ataque puede ser
real, pero tan grave como si un niño se hubiese colado sin permiso en un
despacho privado de un banco, y se comparase la intrusión con el hecho
de acceder a las cajas fuertes y desvalijarlas. Importante, sin duda,
pero no de vital importancia.
El otro acontecimiento de la semana ha sido el acceso por parte de
algún atacante al correo personal de Sarah Palin, la candidata a
vicepresidenta en Estados Unidos con el republicano John McCain. Se
dio a conocer su email personal, alojado (con poco criterio) en el
servicio de correo público de Yahoo! y usado además para cuestiones
gubernamentales. A un tal "Rubico" le costó apenas una hora cambiar la
contraseña del correo de Sarah. Se han hecho públicas conversaciones y
fotografías personales. El método ha sido calificado por las agencias
de noticias como "un magistral ataque cirbenético". La verdad es que
simplemente usó el servicio de recuperación de contraseña, la Wikipedia
y Google para acertar la pregunta secreta y poder acceder a los emails.
Cuando se olvida la contraseña de Yahoo! es posible modificarla
respondiendo a tres preguntas. Una era el código postal de Palin, que
vive en Wasilla, Alaska. Un dato público. Otra su fecha de nacimiento,
disponible también en la Wikipedia. La tercera pregunta secreta era
"¿dónde conociste a tu cónyuge?". Un poco de Google y se puede averiguar
que en el instituto. Un par de pruebas y "Wasilla high" resulta la
respuesta adecuada. Estaba dentro.
Esto ya le ocurrió a Paris Hilton en febrero de 2005. El método fue muy
sencillo. El teléfono de Paris, de T-Mobile, permitía mantener una copia
de los contenidos en un servidor accesible a través de la web. Bastaba
con contestar a la pregunta "¿cuál es el nombre de su mascota favorita?"
para tener acceso a números de teléfonos privados de famosos y fotos
subidas de tono que había tomado con el móvil. El nombre de su perro
chihuahua era bien conocido a raíz de que la famosa heredera ofreció
meses antes una recompensa de varios miles de dólares tras extraviarlo.
Una de las reglas de seguridad (que no se suelen prodigar abiertamente)
es la de intentar obviar el servicio de recuperación de contraseñas a
través de preguntas y respuestas supuestamente secretas. Está demostrado
que se trata del punto más débil de los servicios públicos que ofrecen
esta funcionalidad. Si es imprescindible usarlo, las preguntas y
respuestas deberían ser cadenas aleatorias, tanto si la pregunta es a
elegir de un conjunto determinado, como si se puede escribir cualquiera.
La respuesta a la pregunta secreta debería considerarse como otra
contraseña más, incluso más compleja que la principal si cabe. Basta con
cuidar de la contraseña principal o usar programas de cifrado como el
gratuito Password Safe para mantenerla a salvo y no olvidarla. Así se
evitaría tener que usar los peligrosos servicios de recuperación.
En definitiva, ni el ataque a los sistemas del LHC han llegado a
sistemas críticos ni el ataque al correo de Palin es "magistral", tan
solo ingenioso. "No dejes que la realidad estropee una buena noticia."
Se han producido en las dos últimas semanas dos "ataques cibernéticos"
que han atraído la mirada de los medios de comunicación generalistas.
Desde el punto de vista técnico, los ataques no son más que
curiosidades, y ya apenas merece la pena detenerse en las inexactitudes,
exageraciones y errores habituales que se comenten desde los medios
generalistas. Sin embargo pueden servir para reflexionar sobre algunos
asuntos.
El primer ataque fue dado a conocer por el Daily Telegraph el 10 de
septiembre. Un grupo de atacantes griegos había desfigurado una de las
páginas relacionadas con el famoso LHC (Large Hadron Collider). El mayor
experimento de la historia de la humanidad ha sido bastante mediático.
Los que auguraban el fin del mundo con su puesta en marcha han sido
también alimentados incondicionalmente por la prensa. El experimento
cuenta obviamente con una inmensa red de sistemas conectados. Una de
las páginas públicas (www.cmsmon.cern.ch), forma parte del CMSMON, que
controla el software que utilizan los científicos para analizar los
resultados de las colisiones. La idea era usar esta página para que todo
el mundo pudiese disfrutar en directo de los resultados obtenidos.
Apareció desfigurada y con un mensaje escrito probablemente por un grupo
de atacantes de poca monta. Calificaban de niñatos a los responsables
de seguridad de la red, que en última instancia es el CERN (European
Organization for Nuclear Research). En la página se ofrecían ciertas
evidencias de que quizás podrían haber llegado un poco más lejos de
la simple desfiguración de la página.
La idea de alguien ajeno a los sistemas colándose en los servidores del
LHC y poniendo en riesgo a la humanidad puede ser muy atractiva para
los medios, pero está lejos de ser real. Una de las declaraciones del
portavoz del CERN, James Gillies, aparecidas en la nota original del
Daily Telegraph fue que: "Tenemos diferentes niveles de red, una red de
acceso general y una mucho más restringida para las cosas sensibles que
hacen funcionar el LHC" pero esta afirmación lógica ha sido omitida en
otros medios. Este detalle es importante. No se sabe bien cómo, es
bastante más que posible que hayan podido entrar en la zona de acceso
general, los vectores de ataque son muchos. Sin embargo, ese salto a la
red verdaderamente sensible, por mucho que fanfarroneen los atacantes,
habría sido mucho más complejo. Incluso, en el improbable caso de que
lo consiguieran, sería extraño que supieran manejar un software tan
específico como para causar ningún daño. Es también más que probable que
el software incorpore medidas de seguridad para evitar comandos erróneos
o peligrosos, y que la inclusión hubiese sido detectada mucho antes de
poder intentar cualquier acción... En definitiva, el ataque puede ser
real, pero tan grave como si un niño se hubiese colado sin permiso en un
despacho privado de un banco, y se comparase la intrusión con el hecho
de acceder a las cajas fuertes y desvalijarlas. Importante, sin duda,
pero no de vital importancia.
El otro acontecimiento de la semana ha sido el acceso por parte de
algún atacante al correo personal de Sarah Palin, la candidata a
vicepresidenta en Estados Unidos con el republicano John McCain. Se
dio a conocer su email personal, alojado (con poco criterio) en el
servicio de correo público de Yahoo! y usado además para cuestiones
gubernamentales. A un tal "Rubico" le costó apenas una hora cambiar la
contraseña del correo de Sarah. Se han hecho públicas conversaciones y
fotografías personales. El método ha sido calificado por las agencias
de noticias como "un magistral ataque cirbenético". La verdad es que
simplemente usó el servicio de recuperación de contraseña, la Wikipedia
y Google para acertar la pregunta secreta y poder acceder a los emails.
Cuando se olvida la contraseña de Yahoo! es posible modificarla
respondiendo a tres preguntas. Una era el código postal de Palin, que
vive en Wasilla, Alaska. Un dato público. Otra su fecha de nacimiento,
disponible también en la Wikipedia. La tercera pregunta secreta era
"¿dónde conociste a tu cónyuge?". Un poco de Google y se puede averiguar
que en el instituto. Un par de pruebas y "Wasilla high" resulta la
respuesta adecuada. Estaba dentro.
Esto ya le ocurrió a Paris Hilton en febrero de 2005. El método fue muy
sencillo. El teléfono de Paris, de T-Mobile, permitía mantener una copia
de los contenidos en un servidor accesible a través de la web. Bastaba
con contestar a la pregunta "¿cuál es el nombre de su mascota favorita?"
para tener acceso a números de teléfonos privados de famosos y fotos
subidas de tono que había tomado con el móvil. El nombre de su perro
chihuahua era bien conocido a raíz de que la famosa heredera ofreció
meses antes una recompensa de varios miles de dólares tras extraviarlo.
Una de las reglas de seguridad (que no se suelen prodigar abiertamente)
es la de intentar obviar el servicio de recuperación de contraseñas a
través de preguntas y respuestas supuestamente secretas. Está demostrado
que se trata del punto más débil de los servicios públicos que ofrecen
esta funcionalidad. Si es imprescindible usarlo, las preguntas y
respuestas deberían ser cadenas aleatorias, tanto si la pregunta es a
elegir de un conjunto determinado, como si se puede escribir cualquiera.
La respuesta a la pregunta secreta debería considerarse como otra
contraseña más, incluso más compleja que la principal si cabe. Basta con
cuidar de la contraseña principal o usar programas de cifrado como el
gratuito Password Safe para mantenerla a salvo y no olvidarla. Así se
evitaría tener que usar los peligrosos servicios de recuperación.
En definitiva, ni el ataque a los sistemas del LHC han llegado a
sistemas críticos ni el ataque al correo de Palin es "magistral", tan
solo ingenioso. "No dejes que la realidad estropee una buena noticia."
sábado, 16 de agosto de 2008
Estafa a la Banca Electrónica
Y esta semana se me va, pero con un pequeño resumen e imagenes por parte de ReYDeS de los correos fraudulentos dirigidos a robarnos nuestros datos bancarios.
Mas información en este enlace.
Mas información en este enlace.
Suscribirse a:
Entradas (Atom)