Seguridad | -=[EdadFutura]=- v.6.0

Category: Seguridad

Restaurar DNS y Winsock tras la acción de un Virus.

26 Noviembre, 2008 (10:41) | Seguridad, Virus | By: viperEF

La mayoria de los virus y troyanos actuales, modifican entradas de la DNS y el Winsock, para analizar por donde navegamos y mostrarnos publicidad, lo mas “molesto” de estos “bichitos” es que luego es bastante tedioso poder volver a navegar correctamente sin restaurar el sistema desde el disco de Windows o la consola de Recuperacion.

Bueno pues existe una utilidad llamada WinSockXPFix que hace maravillas resolviendo el problema de una forma automatizada. solo hay que descargarla y darle a FIX.

WinSockFix

Comparte:

Comments: -

El formato PDF, de nuevo en el punto de mira

29 Septiembre, 2008 (06:21) | Seguridad | By: viperEF

Al parecer se ha detectado un paquete de exploits capaz de aprovechar vulnerabilidades en el lector más usado de este formato, Adobe Reader.

El “PDF Xploit Pack” permite explotar vulnerabilidades y gestionar de forma centralizada a las víctimas en las que se ha conseguido ejecutar código arbitrario. Muy al estilo del Mpack o cualquier otro producto engendrado por la industria del malware, pero específico para este producto.

“PDF Xploit Pack” parece ser el primer paquete de exploits que se encarga exclusivamente de aprovechar y gestionar vulnerabilidades en el lector PDF de Adobe. Es importante tener en cuenta que los fallos pueden aprovecharse no sólo abriendo un fichero PDF que llegue por correo, sino también a través del navegador porque permiten visualizar archivos PDF incrustados en él gracias a un plugin. Los atacantes están consiguiendo (como viene siendo habitual) violar la seguridad de páginas legítimas y esconder ciertos IFRAMEs dentro. Al ser visitadas, se carga un enlace especialmente manipulado que aprovecha las vulnerabilidades.

Lo que no se aclara desde la fuente original es si el paquete aprovecha vulnerabilidades conocidas (para las que se pueda estar protegido con las últimas versiones del lector) o desconocidas hasta el momento.

El archivo PDF, cuando se abre con el lector vulnerable, descarga otro malware que realmente contiene el payload. Hay que recordar que el formato PDF ya fue usado como “downloader” en febrero de este mismo año, y el ataque resultó bastante “popular”. Instalaba el troyano Zonebac.

Hace justo un año, se aprovechó también de forma masiva una vulnerabilidad compartida entre Adobe Reader y Windows con Internet Explorer 7. En esta ocasión se usaba el fallo para, a través de una línea de comandos incrustada en el PDF, descargar por FTP y ejecutar código automáticamente al abrir el fichero. También ese mismo año, en junio, se popularizó de forma fulgurante pero efímera el correo basura en formato PDF, inundando los buzones de todo el mundo y eludiendo unos filtros antispam que no estaban preparados.

Comparte:

Comments: -

VirtualBox 2.0 : virtualiza tus sistemas operativos

5 Septiembre, 2008 (13:18) | Seguridad, Sistemas Operativos | By: viperEF

Por fin ha visto la luz la version 2.0 del software de Virtualizacion de Sun Virtual Box, principales novedades:

Modularidad.

Descripciones de las maquinas Virtuales en XML.

Integracion con Windows y Linux como SO Invitados, Leopard Nativo.

Carpetas Compartidas.

Controladores Virtuales USB

Control Remoto de Escritorio

USB sobre RDP.

Descargas

Documentación

	VirtualBox for Mac OS X. One virtual machine is running in seamless mode on Leopard. Note the realtime preview of the virtual machine in the dock.
	VirtualBox for Mac OS X, currently in beta test. Two virtual machines are visible: one with Windows Vista, another with Gentoo Linux.
	Creating a new, empty VM for installing Windows Vista.
	The new VM in the VirtualBox main window. Note that an ISO file (containing the Vista setup CD) has been mounted as the VM’s CD-ROM drive.
	After starting the VM, it boots off the virtual CD-ROM (the ISO file with the Vista setup), and Vista Setup starts up.
	Vista is installing into the virtual hard drive.
	Vista install complete: the log-on screen.
	Compiling VirtualBox on Ubuntu Edgy Eft in VirtualBox on Windows XP.
	Details of a snapshot performed after Vista installation. We can revert the virtual machine to this snapshot at a later time.
	Damn Small Linux 2.0 works damn well in VirtualBox!
	The Virtual Disk Manager allows you to work with VM images.
	VirtualBox in Vista inside VirtualBox on XP? Perhaps some day…
	A community-based effort is underway to port VirtualBox to OS/2 hosts. This screenshot shows a first alpha version.

Comparte:

Comments: -

Actualización de seguridad para Wireshark

5 Septiembre, 2008 (03:27) | Seguridad | By: viperEF

Se ha publicado una nueva versión de Wireshark puesto que en las anteriores se han encontrado múltiples vulnerabilidades que podrían ser explotadas por un atacante remoto, por medio de una serie de paquetes especialmente manipulados, para causar una denegación de servicio.

Wireshark (todavía muy conocido por su nombre anterior Ethereal) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

Las vulnerabilidades corregidas en la última versión son:

* Múltiples errores en epan/dissectors/packet-ncp2222.inc que podrían ser aprovechados por un atacante remoto para causar una denegación de servicio por medio de paquetes NCP especialmente manipulados. Afecta a las versiones de la 0.9.7 a la 1.0.2.

* Un error al descomprimir los paquetes comprimidos con zlib que podría causar que Wireshark dejase de responder. Todas las versiones entre la

0.10.14 y la 1.0.2 se verían afectadas, ambas inclusive.

* Un error al leer archivos .rf5 de Tektronix podría causar que Wireshark dejase de responder. Afecta a las versiones de la 0.9.6 a la 1.0.2.

Se recomienda actualizar a la versión 1.0.3 de Wireshark, disponible para su descarga desde:

http://www.wireshark.org/download.html

Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/3602/comentar

Más Información:

Multiple problems in Wireshark versions 0.9.7 to 1.0.2 http://www.wireshark.org/security/wnpa-sec-2008-05.html

Pablo Molina

Comparte:

Comments: -

Hack Story: Historia de un movimiento

2 Septiembre, 2008 (15:52) | Hack, Seguridad | By: viperEF

El movimiento de Hacking ya tiene sun lugar desde el cual se puede conocer la historia de los grupos y personas que han echo historia en los sistemas de Seguridad, destacando !Hispahack, La Vieja Guardia, Mente Inquietas , etc…

Todo se publica usando MediaWiki por lo que el contenido tiene licencia licencia libre GNU FDL.

Comparte:

Comments: -

Lanzado BASpeed 6, la suite de utilidades para tu conexión

31 Agosto, 2008 (08:59) | Pc, Seguridad | By: viperEF

via BandaAncha.eu

Hola a tod@s Pues por fin, ya está disponible la nueva versión de BASpeed, que en esta ocasión, es la v6. Es una versión, que ha sido creada desde cero, para que sea el núcleo de las futuras versiones de BASpeed, de ahí que su tiempo de desarrollo, se haya alargado durante casi 4 meses.

Para descargaros esta nueva versión, podéis ir al site oficial de BASpeed, y pulsar el enlace de descarga, en el menú Descargas, situado a la izquierda de la página, o bien, podéis descargaros directamente el programa a través del enlace directo.

Las novedades: Muchas y muy variadas. Desde la posibilidad de que BASpeed muestre una ventana de presentación, pasando por nuevos módulos, o una vista de las ventanas mejorada. Os voy a enumerar algunos de los cambios que ha habido desde la anterior versión 2008, para que os deis cuenta de cuantos cambios ha habido:

Se ha incluido una explicación en la parte de arriba de la ventana, que intenta explicar al usuario, la finalidad del módulo.
Se ha incluido ayuda rápida en todos los módulos (algo de lo que adolecían todas las versiones de BASpeed hasta esta versión). Con pasar el ratón por el icono de ayuda, os mostrará lo que hace una sección concreta del módulo.
Se ha mejorado y mucho la rutina de cálculo de velocidad, en el Test de Velocidad. Ahora mismo, BASpeed es capaz de medir cualquier conexión hasta 4 Gbit/s, y en una próxima actualización, podrá medir una cantidad astronómica de velocidad (del orden de exabit/s)
En el analizador de DNS, se pueden ordenar las columnas, de mayor a menor y viceversa, simplemente pulsando con el ratón en la columna correspondiente al valor que queremos ordenar.
Se ha incluido un nuevo módulo, llamado Monitor de Latencias, para aquellas personas, que quieran saber el ping a un determinado servidor, en todo momento.
Se ha incluido el módulo creado por mi compañero Donovan-rtnx2, llamado LineBenchmark, que es un test de rendimiento completo de linea, a través del cual, podéis mandar los datos de vuestra velocidad de descarga/subida, ping, y datos de tracert (saltos y pings), a bandaancha.eu, para poder hacer unas estadísticas reales del estado de las conexiones en España.
Por supuesto, sigue siendo compatible con Vista al 100%, siendo compatible con Windows XP, NT y 2000.
Cambios en las rutinas de todos los módulos, para evitar casi cualquier fallo (se han analizado los distintos fallos, que las versiones previas daban a los usuarios, y se ha eliminado la posibilidad de que esos fallos, puedan producirse de nuevo).

Y muchos cambios más a nivel de código, que no son visibles, pero que hacen que esta sea la versión de BASpeed, más potente que ha aparecido hasta la fecha.

Esperamos que os guste esta nueva versión, y por encima de todo, que os sea de utilidad

Un saludo a tod@s , y que lo disfruteis

Comparte:

Comments: -

Como saber si tu ordenador es un ZOMBIE

29 Agosto, 2008 (13:04) | Seguridad | By: viperEF

El conocido laboratorio Kaskersky Lab ha publicado (en ingles) un articulo para saber si nuestros ordenadores pertenecen a la red Zombie de mas de 1.000.000 ordenadores que estan infectados sin saberlo, siguiendo el manual podemos desinfectar nuestro sistema:

Artículo Español

Artículo Ingles

Instrucciones para la localización y eliminación de software malintencionado de Sombra bot.

Instructions prepared by: Vitaly Kamluk, Kaspersky Lab Instrucciones preparado por: Vitaly Kamluk, Kaspersky Lab
Date: 06.08.2008 Fecha: 06.08.2008
MD5 of analyzed sample: 9e2ef49e84bc16c95b8fe21f4c0fe41e MD5 de la muestra analizada: 9e2ef49e84bc16c95b8fe21f4c0fe41e

Locating malware (with security software) Acceso a los programas maliciosos (con software de seguridad)

Kaspersky Anti-Virus has been able to detect malware which supports the Shadow botnet since 30th of January 2008. Kaspersky Anti-Virus ha sido capaz de detectar malware que apoya la Sombra botnet desde el 30 de enero de 2008. Detection names may vary from version to version. Detección de nombres pueden variar de versión a versión. The malware is detected under the following names: El programa malicioso se detecta con los siguientes nombres:

Backdoor.Win32.IRCBot.bit
Backdoor.Win32.IRCBot.biy
Backdoor.Win32.IRCBot.bjd
Backdoor.Win32.IRCBot.bjh
Backdoor.Win32.IRCBot.cja
Backdoor.Win32.IRCBot.cjj
Backdoor.Win32.IRCBot.ckq
Backdoor.Win32.IRCBot.cow
Backdoor.Win32.IRCBot.czt
Backdoor.Win32.IRCBot.ekz
Rootkit.Win32.Agent.aet
Trojan-Downloader.Win32.Injecter.pj
Trojan.Win32.DNSChanger.azo
Trojan.Win32.DNSChanger.bao
Trojan.Win32.DNSChanger.bck
Trojan.Win32.DNSChanger.bfo
Trojan.Win32.DNSChanger.bjh
Trojan.Win32.DNSChanger.bji
Trojan.Win32.DNSChanger.bjj
Trojan.Win32.DNSChanger.bmj
Trojan.Win32.DNSChanger.bnw
Trojan.Win32.DNSChanger.bqk
Trojan.Win32.DNSChanger.bsm
Trojan.Win32.DNSChanger.buu
Trojan.Win32.DNSChanger.bwi
Trojan.Win32.DNSChanger.bxd
Trojan.Win32.DNSChanger.bxe
Trojan.Win32.DNSChanger.bxv
Trojan.Win32.DNSChanger.cap
Trojan.Win32.DNSChanger.ccg
Trojan.Win32.DNSChanger.cei
Trojan.Win32.DNSChanger.cem
Trojan.Win32.DNSChanger.eag
Trojan.Win32.DNSChanger.gvb
Trojan.Win32.Restarter.e
Trojan.Win32.Restarter.f
Trojan.Win32.Restarter.g
Trojan.Win32.Restarter.h

The current sample was detected on 6th August 2008 as Trojan.Win32.DNSChanger.gvb La actual muestra se detectó el 6 de Agosto 2008 como Trojan.Win32.DNSChanger.gvb

Locating malware (manually) Acceso a los programas maliciosos (manualmente)

As the bot doesn’t copy its body to the system, the name of the malicious file can vary. A medida que el robot no copiar su cuerpo al sistema, el nombre del archivo malicioso puede variar. The name of the malicious file depends on the installer used to infect the system with the bot. El nombre del fichero dañino depende de que el instalador utilizado para infectar el sistema con el bot. However, it is possible to detect the presence of the bot by checking the system registry. Sin embargo, es posible detectar la presencia del bot de control el registro del sistema.

Users can check the system registry by running regedit.exe and checking the following registry value: Los usuarios pueden comprobar el registro del sistema ejecutando regedit.exe y comprobar la siguiente valor del registro:

HKEY_CLASSES_ROOT\.htc\Content Type HKEY_CLASSES_ROOT \. HTC \ Tipo de Contenido

System administrators of large networks can do this remotely using the reg.exe command as shown below: Los administradores de sistemas de grandes redes puede hacer esto forma remota utilizando el comando reg.exe como se indica a continuación:

The default system registry value (checked on Windows XP Pro SP2) for HKEY_CLASSES_ROOT\.htc\Content Type is “text/x-component”. El sistema por defecto el valor de registro (comprobado en Windows XP Pro SP2) para HKEY_CLASSES_ROOT \. HTC \ tipo de contenido es “text / x-componente”. If there is a different value such as “{space}” in the registry, this may mean the machine is infected with Shadow bot malware. Si hay un valor diferente, como “espacio ()” en el registro, esto puede significar que la máquina está infectada con malware Shadow bot.

Comparte: