Buenas,mirando los procesos de mi "Guindos" encontre un proceso un tanto raro,tanto que es un troyano,muy bien configurado contra el netstat,msconfig,configuraciones y reglas del router etc,etc...........no hay manera,le e cerrado los puertos de entrada y de salida pero se salta las reglas creadas en el router,ademas la ip que tengo enganchada a mi pc varia cada 2x3,tengo el archivo,con el clasico nombre de svchost.exe lo subi a virusnothank y nada no lo detecta,pero estoy practicamnete seguro que es un server.
Asi que me gustaria saber si puedo destripar el server en cuestion y saber que hace en realidad y como funciona,e probado con un editor hexadecimal y lo e comparado con mas server de diferentes troyanos y no veo similitud aluguna,alguien me sabria decir alguna manera de obtener la informacion inversa del server,osea saber la no-ip los puertos del atacante etc,etc,,,,,,,
un saludo mas.
Morphiss88 :o
Usa algun sniffer¿?
Destripalo con olly capaz que se le puede hacer un remote bufferoverflow o hacerle un DoS conectando y desconectando bot's a su troyano cuando menos xD :)
Buenas linkgl,antetodo gracias por contestar,la verdad no se si tiene algun sniffer porque me da ami que tiene todo comprometido como ya puse,ademas es que pesa 26 k,persistente y de todo vaya.
voy a usar el olly y aver que me dice.
subire los resultados si resulta ser lo que creo que es.
un saludo y gracias por responder.
Morphiss88 :o
Jaja no bro, me refería a que tú uses un sniffer para ver a donde conecta xDD, el olly es un desensamblador jeje si no lo sabes usar no vas a llegar lejos jeje pero con el puedes ir traceando viendo cómo se comporta el programa, que llamadas hace que guarda en el stack, sus strings, y demás cosillas y en base a esto encontrar la rutina donde envia/recibe datos por sockets e intentar hacer una shellcode para enviar por sockets varias veces y que cause un buffer overflow al cliente de el tipo xD incluso puedes sacar a donde conecta y todo, x) hasta se puede hookear a recv si lo usa y ver los datos que envia xDD jeje nomas que es un poco complicado si no sabes bien lo que haces
ok.jejejeje :-X,lo de olly sabia que era un ensablador pero lo del sniffer no habia caido,gracias pondre el wireshark aver que dice,y una cosa abri el archivo con"olly",y me dice que no es un ejecutable de 32 bits,por lo tanto no me lo abre.¿alguna idea mas?.
gracias otra vez mas jejejeje.
un saludo.
Morphiss88 :o
Pasate por este post: http://www.underc0de.org/foro/index.php?topic=7414.msg
Saludos!
mira te recomiendo q uses caín y abel como snifer para ver todo,tienes más chance con el a mi parecer
Menudo post ANTRAX vaya,que de informaciòn,gracias me queda muuuuuuuucho por aprender.
Y gracias a snifer tambien voy a probar con cain y abel y contrastar con wireshark aver que me cuentan.
un saludo y gracias por toda la informaciòn que se comparte en el foro en general.
otro saludo mas+++.
Morphiss88 :o
de nada que para estamos :) esperamos como va tú avance,nos comentas