No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Programación.

¿Marihuana o alcohol?

- Cocaína

Fumar tuca con tuquera o quemando los dedos?

Mmm, me hubiera encantado vivir la vieja escuela, pero era demasiado chico como para entender que era una computadora.
Los '90, los bbs, las ezines, etc, etc
Leo mucho del hacking de esa epoca, antes era todo por placer, hoy es todo por dinero.

Yo soy mas humilde.
4GB RAM, procesador i3, 640 HDD.
Lo demas me da verguenza. Prefiero no contarlo.

Estoy posteando porque me estan obligando. Bienvenido JeDa

Que seas blackhat no significa que estes todo el dia robando como ser whitehat no significa que estes todo el dia chupandole las medias a empresas para arreglarles sus errores.
El termino medio no existe, olvidense del grayhat.
Digamos que una persona puede ser whitehat encontrando vulnerabilidades y trabajando para una empresa mientras maneja una red de malware bancario.
Ahora vamos a comparar segun mi opinion la ganancia entre whitehat puro y blackhat puro
Supongamos que te pagan 35K dolares por encontrar una vulnerabilidad en una web de un banco.
El whitehat encuentra el error, lo reporta, le pagan.
El blackhat encuentra el error, lo venden en el mercado negro a 50K dolares mientras lo reporta como si fuera whitehat y recibe los 35K. Tambien explotando la vulnerabilidad puede obtener mas dinero. Ganó 85K.
Claramente se va a ganar mas en la ilegalidad que en la legalidad, pero hay un riesgo enorme de ser atrapado y perder todo, ademas hay que hacer circular el dinero.
Igualmente depende que whitehat seas y que blackhat seas para saber cuanto se gana. Talvez ganas mas repartiendo pizza.
Y ademas, quien garantiza que te vallan a pagar por reportar una vulnerabilidad? Muchas veces meten la escusa de que ya lo reportaron antes y no te pagan, ellos corrigen el error, no te pagan y vos perdiste tu tiempo.
Lo mejor creo yo es trabajar en una empresa seria, en una oficina que paguen por mes pero preferible es que pongas tu propia empresa.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Cloud , recomendaría al foro que pusieran una nueva norma:

Cualquier post con intención de dañar , perjudicar o realizar un delito a otra persona debería ser borrado.

D2, seguramente seras un niño , pero ten en cuenta que lo que pretendes hacer es un delito. Si una persona intenta infectarme o acceder a mi ordenador yo lo que hago es directamente , apagar el ordenador y el wifi y me voy a una comisaria a denunciar a esa persona.

P.D Por lo que me entere , si tienes un servicio wifi y lo tienes con muy poca seguridad no puedes denunciar ya que el error es tuyo el solo entra por donde tu dejaste la puerta abierta . Es como entrar a una discoteca sin que este el de seguridad y sin pagar.

Si vas a denunciar que te infectaron o trataron de acceder a tu ordenador probablemente se rian de vos o no te den importancia. La cosa es distinta si te roban, ahi talvez hagan algo al respecto, pero va a responder el banco y dudo que accionen contra el atacante.

Por mas insegura que sea tu red wifi, el acceso no autorizado es ilegal.
Te pongo un ejemplo de la vida real aplicando tu logica de lo legal y lo ilegal: te sentas en un banco en una plaza, sacas tu celular y billetera y los apollas en el banco. Si viene alguien y te saca la billetera y el celular no te esta robando porque la billetera estaba insegura, asi que no es delito. Es delito si tenes una billetera con un candado y el ladron te apunta con un arma en la cabeza para que la saques de tu media y se la des.
No tiene mucho sentido, no? Bueno, en la informatica pasa lo mismo. No podes dar como escuca que entraste a la red wifi de alguien porque tenia cifrado WEP, porque tranquilamente podrias haber aprobechado esa seguridad estupida para robar informacion sensible.

Los crypters es algo de lo que hablan mucho los newbies y scriptkiddies cuando descubren el malware (por no decir todos).

El 100% de los crypters en foros hispanos y públicos funcionan de la misma manera.

Generalmente se utilizan las siguientes APIs: CreateProcess, NtUnmapViewOfSection, WriteProcessMemory, SetThreadContext, ResumeThread, NtMapViewOfSection.

Lo que va a hacer ese stub es crear un proceso, supongamos notepad.exe y luego se va a reemplazar el código mapeado en memoria de notepad.exe por el código del archivo "encriptado" y va a ejecutar un hilo que apunta al inicio del mismo.

Todos los que están interesados en malware deberían saber que un antivirus se compone por varios motores para detectar malware, es decir un motor de detección por firmas, un motor de detección heurística, un emulador, etc.

Cuando alguien "programa" o "modifica" un "crypter FUD (full undetected)" lo corrobora subiendo orgulloso un troyano "encriptado" a una página como virus total. 0/64 detecciones. WOW, SO MUCH UNDETECTED, SO MUCH FUD

Siendo algo tan "indetectable" ¿por qué digo que no sirve?

Hay mucha confusión con respecto a este tema, ya que mucha gente se llena la boca escribiendo tutoriales de cosas de las que no tiene idea como funciona, pero como el método aplicado da algunos resultados, suponen que el método es realmente efectivo, pero no están en lo cierto.

Este método tan básico se viene usando hace muchos años y es algo que esta súper manejado por la industria antivirus (hablando de crypters génericos). Realmente hay cosas complejas, pero nada es gratis.

Pero si VirusTotal dice 0/64 ¿por qué no funciona?

Básicamente, cuando subimos un archivo a virus total o escaneamos un archivo, se aplica principalmente el análisis basado en firmas, heurística. No estoy seguro de que se emplee la emulación en scanners online ya que consume bastantes recursos.

Pero en la vida real estamos frente a cosas más complejas, como la detección por comportamiento, escanear la memoria operativa, etc.
Básicamente cuando se ejecuta el stub, no importa si estas usando un cifrado xor, rc4 o AES 256, ya que el antivirus no va a desencriptar el ejecutable.

El antivirus no es tan tonto como el que programa un crypter. Básicamente lo que hace es interceptar hookeando algunas de las APIs que mencioné anteriormente desde ring0, es decir que no hay manera de corregir los hooks desde usermode (ring3).

Un ejemplo es la api WriteProcessMemory. El antivirus hookeando esta api va a obtener todo lo que escribe en memoria, es decir, el archivo totalmente desencriptado. Así que si te esmeraste aplicando algoritmos criptográficos fuertes, lamento decirte que perdiste tu tiempo.

No importa si llamas a WriteProcessMemory de manera estática, dinámica, con CallWindowProc, con un sysenter o algún truco sucio. Si sabes lo que estás haciendo, sabes que WriteProcessMemory llama a NtWriteProcessMemory el cual llama a KiFastSystemCall que hace un sysenter, entra a ring0, llama NtWriteProcessMemory en kernel mode y ahí sucede la magia. El antivirus sabe que vas a escribir en la memoria y levanta una bandera ya que es algo altamente sospechoso.

Otro método de detección es el análisis de la memoria operativa. El malware desencriptado esta en memoria como si nunca hubiera tocado un crypter. El antivirus lo encuentra igual de fácil.
"Yo uso un método privado... RunPE Shellcode... Bla Bla"
Si sos de los que dice eso, realmente te aconsejo que te dediques a otra cosa. Es el mismo RunPE. Te mintieron. Agarra ollydbg y fíjate.

Otra cosa que veo en los foros hispanos es mucha gente "dedicándose" a la venta de crypters la cual no tiene demasiados conocimientos de informática, pero como leyó un par de papers puede indetectar alguna que otra herramienta y los venden caro, cuando ilegalmente hablando, estas herramientas son vendidas por descarte a menos de U$D 5.

Si no  crees lo que te digo, agarra un antivirus y pruébalo por tu cuenta. Puede que los antivirus gratis solamente te dejen usar el método de firmas, pero por ejemplo NOD32, Kaspersky, BitDefender lo van a detectar. Haz la prueba.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El sistema de firmas sigue funcionando a la perfeccion y puede detectar malware empaquetado por crypters generericos, es decir, esas porquerias en vb6 que regalan en cualquier foro.
Como funciona si el codigo fue totalmente empaquetado?
Veamos primero como funciona un crypter generico de esos que hacen en vb6:
Crean un proceso legitimo suspendido y cambian la imagen de ese proceso por la imagen del archivo que fue "encriptado" y luego ejecutan el proceso.
Esto funcionaba a la perfeccion el año 2008, lo que pasa es que ahora, cualquier antivirus mas o menos bueno hookea las APIs WriteProcessMemory en ring0 y por mas bajo nivel que se llame a esta api en ring3, el antivirus va a obtener el codigo completo del ejecutable "encriptado" y lo analiza como si nunca ubiera sido empaquetado. Otro metodo es el analisis de la memoria buscando modulos, entonces lo que fue empaquetado se encuentra facilmente en memoria.
Cualquier antivirus decente puede hacer esto.

Vamos, eso no es malware, es un script molesto nada mas.

No se de que modulo hablas, pero la API select esta disponible en windows.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Citar
Por regla general se conectan a esa página Web entrecomillas en donde a través de su panel de control, se controla y manda hacer tareas concreta

No necesariamente se conecta a una pagina web y es controlado por un panel de control, como dije anteriormente.

CitarUna duda más que tengo ¿Si estuviera infectado por un bot, podría ver las conexiones que hace con el cliente, o sólo se conecta cuando se le mandan una serie de ordenes?

Si, pero depende. Estan quienes estan conectados todo el tiempo y quienes se conectan durante ciertos periodos de tiempo. El malware mas avanzado utiliza tecnicas para ocultar el trafico y la manera mas viable de leerlo es fuera de la computadora infectada.

No se por que usan esas herramientas "Multi OS". No sirven de nada .

No hay diferencia. Es lo mismo, pero vamos a ver lo que respondieron los usuarios antes y lo que la gente cree generalmente.
Un rat es una herramienta (como su nombre lo indica) de administracion remota, se le suele llamar asi porque tiene opciones como captura de pantalla, ver la arquitectura de las carpetas, etc.
En que se diferencia de un bot? en nada, el bot es lo mismo, pero generalmente se hace la distincion ya que el bot posee las funciones justas y necesarias que necesita el la maneja y estas funciones esta diseñado para ser ejecutadas de manera masiva. Por eso Botnet, es decir, una red de bots o miles de bots conectados a la vez, muchos mas de los que manejarias con un "RAT".
Ambos son troyanos, pero se suelen diferenciar por rat o bot (que en realidad es lo mismo, si lees papers de empresas antivirus, vas a ver que se refieran con troyano, bot, botnet, rat a lo mismo).

CitarTambien la diferencia es que el troyano siempre esta conectado al atacante
en la botnet es diferente se conecta cada sierto tiempo al panel puede ser cada 2 minutos cada 30 segundos
se conecta para revisar si hay alguna tarea o un task o activastes algo

No, estas confundido. La botnet mariposa por ejemplo se conectaba por TCP usando un protocolo propio y establecia la conexion hasta que alguna de las 2 partes (cliente/servidor) se desconecte. Los bots de botnets IRC se conectan de manera directa a un server IRC, la diferencia esta en que es mas facil montar un server IRC en otro lado que no sea tu propia computadora, cosa que no se puede hacer con troyanos con cliente/servidor propio, sin ningun tipo de protocolo standard.

CitarLa botnet se suele utilizar para el banking (roba logs) o tambien apra atacar paginas webs. El troyano o rat, sirve para controlar remotamente una pc.

Na, se usa para todo, desde robo de informacion, ataques a paginas web, espionaje, pago por click, activismo, implantacion de huellas (si, para incriminar a gente de delitos informaticos que no cometio), de proxy, de file server, etc. Podes hacer todo lo que quieras, lo que se te ocurra, pero la botnets estan orientadas a poder manejar miles de zombies, y por eso la gente no se pone a ver camaras webs y otras tonerias que hacen los nenes que juegan con RATs. No tiran un comando para una sola persona, sino que se maneja de forma masiva.

CitarCómo realiza el spread?,

Como cualquier malware. Los troyanos generalmente no tienen capacidad de propagacion (infectando otros ejecutables, copiandose a carpetas compartidas, ingenieria social,explotando vulnerabilidades de otras computadoras o redes), sino que es el que maneja la botnet el que lo propaga. Basicamente infectan otros ejecutables y los publican en foros o redes P2P, explotan vulnerabilidades, ingenieria social, pagan a otros dueños de botnets para que instalen los bots en cada bot infectado, etc.

CitarDigamoslo asi lo que recibe la señal del server.exe es la página Web Botnet y desde ahi se controlan los remotos?.

Es el cliente, como dije antes, puede ser (hablando de conexion inversa)un cliente programado por el que programo el bot o rat, un server HTTP, IRC, Redes P2P existentes o propias, estan quienes usan el protocolo FTP o SMTP, ICMP, DNS, etc.

Basicamente y resumiendo lo anterior. Botnet = Red de bots. No necesariamente una botnet es una red de bots maliciosos, aunque hoy dia botnet = fraude bancario.
El bot es un programa que hace lo que vos le digas dandole un comando.

Encriptadas donde? Encriptadas por que? En memoria nunca van a estar encriptadas, de ahi es facil sacarlas (dumpeando la memoria, hookeando ciertas funciones)
Las contraseñas generalmente se guardan en archivos de texto (los archivos de filezilla, los de pidgin) sin cifrar o en bases de datos que son faciles de descifrar ya que las contraseñas para descifrar esas DB estan en alguna parte del ejecutable o del registro o algun archivo (Thunderbird, Firefox y la mayoria de los navegadores hacen esto. Pueden encontrarse programas que recuperan estas contraseñas). O guardan hashes que se rompen bruteforceando.
Puede que esten encriptadas en disco (Software de gestion de claves y cosas asi), pero dumpeando la memoria despues de que pusiste la password, plaf, owned.
Manejar contraseñas siempre va a ser inseguro a menos que se cifre el disco, tambien pueden quedar en hiberfil.sys o pagefil.sys en el caso de windows.
En el caso de ejecutables, por mas encriptado que este algo, siempre lo vas a poder descifrar (bueno, a menos que este el dato cifrado ahi y la contraseña para descifrarlo no este guardada en ningun lado)
Encriptadas por que y como? En donde lo decis? Si me das mas info sobre tu caso talvez pueda ayudarte.

Creo que no fui muy claro. Por mas que encriptes contraseñas en el disco, si tienen acceso, van a poder sacarla. Hay muchisimos factores que entran en juego. Te recomiendo que leas esto:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
En esa pagina hay mucha informacion del tema.

Aca hay software util No tienes permitido ver los links. Registrarse o Entrar a mi cuenta para recuperar contraseñas.

Aca No tienes permitido ver los links. Registrarse o Entrar a mi cuenta hay scripts que extraen la configuracion de algunos troyanos publicos que en muchos casos esta "encriptado".

Y asi puedo seguir dando ejemplos

Hola gente, hoy hablando con usuarios del foro concordamos en que podría ser una buena idea el Prohibir posts como "Gracias", "Buen aporte", "Se agradece", "Sos un genio", etc.
No da tener un post con informacion importante lleno de comentarios irrelevantes. Los comentarios tienen que ser criticas, consejos, sugerencias. Realmente molesta leer varias paginas de un post lleno de agradecimientos cuando lo importante es lo otro.
Si hay mucha necesidad de agradecer, se podria implementar un boton de me gusta o algo asi, para que realmente lo importante sea visible.
Lo conversamos con varios usuarios y hay varios que estan de acuerdo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hasta lo poco que sé sólo sería posible si ingresaras a la configuración del router, que suele ser (por defecto) una IP como 192.168.(0|1).(1|254)

Claro dicha configuración suele estar protegida por una contraseña, si no la han cambiado puedes encontrar fácilmente cuál es buscando las claves por defecto, si fue cambiada entonces no puedes hacer mucho.

Esta mal suponer cual es la ip del router.
Tenes que tirar ipconfig (o el comando equivalente) y ahi tenes la IP de las puertas de enlace a las que estas conectado.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si, al compilarlo no lo va a hacer tan visible, pero sin saber mucho de ingenieria inversa, imagino que se debe poder facilmente leer eso...

Es texto plano, lo ves a simple vista en el ejecutable.

En si, nuestras contraseñas siempre estan guardadas en texto plano en nuestra computadora. Si no lo estan en disco, lo estan en memoria, asi que no veo necesario el cifrar la contraseña en este caso.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si esta trabajando con troyanos de conexion inversa no va a poder usar un VPN, por eso le dije lo del bouncer, que como dijo Y3K, basicamente es enrutar el trafico a traves de otros servidores.

Te informo que hay VPN privados en el cual permite abrir los puertos. Yo utilizaría un vpn privado que no mande logs.
Saludos.

No se que decirte, dudo bastante. No conosco mucho sobre los VPNs, segun se, tendrias que correr un cliente en cada troyano y es algo bastante desprolijo para hacer. Podrias levantar un proxy, pero la mayoria de los troyanos ni tienen la opcion . No se como queres hacerlo vos, podrias explicarnos un poco.
Si vamos a algo grande, podes usar tor.

HTML no es propiamente un lenguaje de programación como C++, Visual Basic, etc., sino un sistema de etiquetas. HTML no presenta ningún compilador, por lo tanto algún error de sintaxis que se presente éste no lo detectará y se visualizara en la forma como éste lo entienda.

El que escribio eso es un bruto. Visual basic script/javascript o cualquier otro lenguaje de scripting no son compilados pero son lenguajes de programación de todas maneras.
Y claro que no lo va a entender, si no esta entre etiquetas válidas, es texto y lo muestra como tal. En los lenguajes de programacion pasa lo mismo pero no es tan visible.