Ayuda!!!..destripar un server (troyano).

Iniciado por Morphiss88, Agosto 14, 2011, 02:46:15 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 14, 2011, 02:46:15 PM Ultima modificación: Febrero 09, 2015, 12:16:26 PM por Expermicid
Buenas,mirando los procesos de mi "Guindos" encontre un proceso un tanto raro,tanto que es un troyano,muy bien configurado contra el netstat,msconfig,configuraciones y reglas del router etc,etc...........no hay manera,le e cerrado los puertos de entrada y de salida pero se salta las reglas creadas en el router,ademas la ip que tengo enganchada a mi pc varia cada 2x3,tengo el archivo,con el clasico nombre de svchost.exe lo subi a virusnothank y nada no lo detecta,pero estoy practicamnete seguro que es un server.
Asi que me gustaria saber si puedo destripar el server en cuestion y saber que hace en realidad y como funciona,e probado con un editor hexadecimal y lo e comparado con mas server de diferentes troyanos y no veo similitud aluguna,alguien me sabria decir alguna manera de obtener la informacion inversa del server,osea saber la no-ip los puertos del atacante etc,etc,,,,,,,

un saludo mas.

Morphiss88 :o
Agosto 14, 2011, 02:49:19 PM #1
Usa algun sniffer¿?

Destripalo con olly capaz que se le puede hacer un remote bufferoverflow o hacerle un DoS conectando y desconectando bot's a su troyano cuando menos xD :)
Agosto 14, 2011, 03:07:03 PM #2
Buenas linkgl,antetodo gracias por contestar,la verdad no se si tiene algun sniffer porque me da ami que tiene todo comprometido como ya puse,ademas es que pesa 26 k,persistente y de todo vaya.
voy a usar el olly y aver que me dice.

subire los resultados si resulta ser lo que creo que es.

un saludo y gracias por responder.

Morphiss88 :o
Agosto 14, 2011, 03:13:33 PM #3
Jaja no bro, me refería a que tú uses un sniffer para ver a donde conecta xDD, el olly es un desensamblador jeje si no lo sabes usar no vas a llegar lejos jeje pero con el puedes ir traceando viendo cómo se comporta el programa, que llamadas hace que guarda en el stack, sus strings, y demás cosillas y en base a esto encontrar la rutina donde envia/recibe datos por sockets e intentar hacer una shellcode para enviar por sockets varias veces y que cause un buffer overflow al cliente de el tipo xD incluso puedes sacar a donde conecta y todo, x) hasta se puede hookear a recv si lo usa y ver los datos que envia xDD jeje nomas que es un poco complicado si no sabes bien lo que haces
Agosto 14, 2011, 03:20:09 PM #4
ok.jejejeje  :-X,lo de olly sabia que era un ensablador pero lo del sniffer no habia caido,gracias pondre el wireshark aver que dice,y una cosa abri el archivo con"olly",y me dice que no es un ejecutable de 32 bits,por lo tanto no me lo abre.¿alguna idea mas?.

gracias otra vez mas jejejeje.

un saludo.

Morphiss88 :o

Agosto 14, 2011, 03:36:22 PM #5
Pasate por este post: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos!

Agosto 14, 2011, 04:57:41 PM #6
mira te recomiendo q uses caín y abel como snifer para ver todo,tienes más chance con el a mi parecer 
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Llaman traidor a la persona que evito que caiga el foro, gente bruta!


Agosto 14, 2011, 07:29:10 PM #7
Menudo post ANTRAX vaya,que de informaciòn,gracias me queda muuuuuuuucho por aprender.
Y gracias a snifer tambien voy a probar con cain y abel y contrastar con wireshark aver que me cuentan.

un saludo y gracias por toda la informaciòn que se comparte en el foro en general.

otro saludo mas+++.

Morphiss88 :o
Agosto 15, 2011, 01:43:35 AM #8
de nada que para estamos :) esperamos como va tú avance,nos comentas
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Llaman traidor a la persona que evito que caiga el foro, gente bruta!


Imprimir
Ir Arriba Páginas1
Acciones del Usuario