Junio 17, 2018, 09:48:56 pm

Autor Tema: Visualización Manual de Malwares  (Leído 2380 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Visualización Manual de Malwares
« en: Junio 23, 2008, 03:05:10 pm »
Visualización Manual de
Malwares

Autor: CHR0N05
Web participante: You are not allowed to view links. Register or Login



Bueno, en este pequeño articulo, me animé a mostrar a todos aquellos que están comenzando en este mundo a encontrar algún tipo de Malwares…

Algo sencillo y muy potente cuando tenemos que chequear cuando nuestra amada computadora se encuentra en peligro, como es el caso de Virus, Trojan, Worms.. etc...

Lo primero que haremos será irnos al Registro…

NOTA: Registro == Base de datos jerárquica, que contiene los datos del equipo, ya sea Hardware, Software y Usuarios.


Deberemos de chequear todos estas rutas:
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
  • HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
  • HKLM\System\CurrentControlSet\Control\Session Manager\KnownDLLs
  • HKLM\System\ControlSet001\Control\Session Manager\KnownDLLs
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
  • HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows

Si se fijan, os pueden dar cuenta que en la gran mayoría de las rutas a chequear tienen el nombre de “Run”xxx, o en alguna de sus sub-rutas… Seguramente os preguntarán por qué ???, la respuesta es simple, los Malwares en general, buscan en algún momento activarse (Background), generalmente son en las rutas que comienzan algún Servicio… También suelen fijarse en carpetas estratégicas, que debemos chequear… cómo es el caso de:

  • C:\Documents and Settings\%username%\Menú Inicio\Programas\Inicio
  • C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
  • C:\RECYCLER\
  • C:\%Systemroot%\system32
  • C:\ System Volume Information

NOTA: Para chequear algún tipo de carpeta es recomendable mantener en vista los archivos ocultos (súper ocultos) y del sistema.

Además de todo esto, debemos saber que Los Trojan o Backdoors trabajan bajo un modo silencioso, quiere decir que se esconden en otros programas para ser indectetables, o en otro modo inician junto con el sistema.

Para detectar todo ello podremos jugar un poco con los dedos... ;D

Código: You are not allowed to view links. Register or Login
wmic /output:C:\services.htm service get /format:hform
WMIc = facilitar administración de tareas automáticas y de script.

Un ejemplo de esta línea de comando:

COMSysApp.
Nombre de propiedad Valor
AcceptPause FALSE.
AcceptStop FALSE.
Caption Aplicación del sistema COM+.
CheckPoint 0
CreationClassName Win32_Service.
Description Administra la configuración y el seguimiento de los componentes del Modelo de objetos componentes (COM+). Si se detiene el servicio, la mayoría de los componentes COM+ no funcionarán correctamente. Si se deshabilita este servicio, no se podrá iniciar ningún servicio que dependa específicamente de él..
DesktopInteract FALSE.
DisplayName Aplicación del sistema COM+.
ErrorControl Normal.
ExitCode 1077
InstallDate .
Name COMSysApp.
PathName C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}.
ProcessId 0
ServiceSpecificExitCode 0
ServiceType Own Process.
Started FALSE.
StartMode Manual.
StartName LocalSystem.
State Stopped.
Status OK.
SystemCreationClassName Win32_ComputerSystem.
SystemName CHR0N05.
TagId 0
WaitHint 0


NOTA: Deseas saber, cual de tus ProcessID está correcto ???, You are not allowed to view links. Register or Login

Además tenemos que visualizar win.ini, Autoexec.nt, config.sys, system.ini y Autoexec.bat.

Para ello utilizaremos la herramienta de Windows MSCONFIG ó en su defecto You are not allowed to view links. Register or Login



Espero sea de su agrado, lo hice con poquisimo tiempo... si hace falta algo... avisar, y se modificia...

Saludos...
SOLO LOS QUE DEJAN DE INTENTAR, FRACASARÁN...

Si no fuera por C, existiría Obol, Pasal, ++, #...

WinJaNet, abre sus puertas, para todos los programadores e interesados en programación!!


Desconectado proton6

  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 2582
  • Sexo: Masculino
    • Ver Perfil
Re: Visualización Manual de Malwares
« Respuesta #1 en: Junio 26, 2008, 04:39:56 am »
Esta bueno, me sirvio para aprneder unas cosas mas  ;)
"Las ideas son más poderosas que las armas. Nosotros no dejamos que nuestros enemigos tengan armas, ¿por qué dejaríamos que tuvieran ideas?"

Desconectado c4x30x

  • Me das tu password?
  • **
  • Mensajes: 342
  • Sexo: Masculino
  • http://23c4x30x23.elbruto.es
    • Ver Perfil
    • Level-23
Re: Visualización Manual de Malwares
« Respuesta #2 en: Julio 21, 2008, 11:58:36 am »
en esta entrada

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit

k checo ? me aparece userinit.exe  :o
You are not allowed to view links. Register or Login

Desconectado huron74

  • CPH
  • *
  • Mensajes: 1514
  • Sexo: Masculino
  • nunca habia logrado algo sin entusiamo
    • Ver Perfil
Re: Visualización Manual de Malwares
« Respuesta #3 en: Julio 21, 2008, 02:38:47 pm »

Ahi lo llevas CHR0N05 siempre sorprendiendonos  ;)
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Desconectado vVegeta

  • JavaManiaco!
  • Si te metes con CPH
    te metes conmigo
  • ****
  • Mensajes: 1791
  • Sexo: Masculino
  • I´m Unique!!... vVegeta...
    • Ver Perfil
Re: Visualización Manual de Malwares
« Respuesta #4 en: Julio 21, 2008, 09:04:05 pm »

Ese proceso es el encargado de inciar el modo visual de windows... explorer.exe...

ahora si notas que el proceso está abierto por un periodo superior a cinco minutos, es porque hay problemas...

Saludos

Desconectado c4x30x

  • Me das tu password?
  • **
  • Mensajes: 342
  • Sexo: Masculino
  • http://23c4x30x23.elbruto.es
    • Ver Perfil
    • Level-23
Re: Visualización Manual de Malwares
« Respuesta #5 en: Julio 21, 2008, 09:34:49 pm »
ok excelente  ;)

Desconectado c00rd3L

  • Me das tu IP?
  • *
  • Mensajes: 10
    • Ver Perfil
Re: Visualización Manual de Malwares
« Respuesta #6 en: Julio 31, 2008, 02:11:06 pm »
la lista de procesos me saco de unas dudas....thx man,...
Solo con 0 y 1 se puede conseguir lo que otros ni se imaginan

Desconectado WaesWaes

  • Actualmente es
  • Colaborador
  • ****
  • Mensajes: 4402
  • You are not prepared!
    • Ver Perfil
Re: Visualización Manual de Malwares
« Respuesta #7 en: Agosto 01, 2008, 11:32:03 pm »
No tiene nada que ver con los malwares pero podrias agregar que se chequeen los hosts para no ser victimas de pharming

igualmente el manual esta sencillo y muy bien, felicitaciones.

saludos

Desconectado wanm28

  • TEAM CPH ANTIMALWARE
  • Moderador Global
  • *****
  • Mensajes: 4348
  • PUXA ASTURIEs
    • Ver Perfil
Re: Visualización Manual de Malwares
« Respuesta #8 en: Agosto 03, 2008, 12:23:57 am »


 
muchisimas direcciones usadas por  spyware  para descargarte scripts  van a  el archivo host en este archivo se encuentran las ip de las webs que visitamos, pero un spyware la mayoria de las veces se aprovechan de host para impedir que el user entre a x paginas determinadas ,tambien ai spyware que modifican el archivo host para impedir que se pueda cambiar la pagina de inicio o las busquedas en el buscador sean deficientes o inesistentes esto lo hacen como es logico  blokeando los posibles cambios en el registro......


 por eso el archivo host si es conveeniente chekarlo  y si tiene una relacion con el spyware bastante grande

 
 yo como siempre recomendaria el spywareblaster para estos casos , tambien ai programas que modifican el host a su estado original dejando solo los sitios de confianza o otros que redirecionan a otra ip los spyware 


 saludos colegas
« Última modificación: Agosto 03, 2008, 12:25:22 am por wanm28 »
You are not allowed to view links. Register or Login[/img]



question
link y visualizacion de php

Iniciado por emirTM

9 Respuestas
2875 Vistas
Último mensaje Enero 29, 2010, 08:32:24 pm
por emirTM
question
Problema con visualización de pestañas

Iniciado por yuske

0 Respuestas
995 Vistas
Último mensaje Agosto 25, 2011, 04:23:14 pm
por yuske
xx
Problema de visualización de páginas webs

Iniciado por Dreamaker

3 Respuestas
1206 Vistas
Último mensaje Marzo 14, 2008, 10:48:03 am
por luis_dragon
resuelto
[S]Desactivar Visualización de Archivos Ocultos

Iniciado por maxx93

11 Respuestas
3040 Vistas
Último mensaje ſeptiembre 08, 2010, 10:44:59 pm
por maxx93
thumbup
Firefox 3.1 incluirá cambios en la visualización de pestañas

Iniciado por Bl@ster25

1 Respuestas
865 Vistas
Último mensaje Julio 22, 2008, 02:58:24 pm
por Chino Antrax
xx
Coverflow: visualización de imágenes estilo iPhone

Iniciado por shevchenko

3 Respuestas
3002 Vistas
Último mensaje ſeptiembre 04, 2008, 10:49:56 pm
por dhararon
exclamation
FAQs MALWARES

Iniciado por ANTRAX

4 Respuestas
4957 Vistas
Último mensaje Febrero 15, 2010, 08:21:44 pm
por TokioDrift
xx
guia malwares

Iniciado por charleluckyluciano

1 Respuestas
1250 Vistas
Último mensaje Marzo 20, 2015, 01:28:57 am
por dark_master_999
xx
Python y malwares

Iniciado por AutoCaff11

2 Respuestas
2435 Vistas
Último mensaje Diciembre 29, 2010, 07:20:13 am
por mr.blood
xx
Malwares en moviles

Iniciado por Tercio40k

2 Respuestas
1282 Vistas
Último mensaje Abril 16, 2013, 12:03:20 pm
por Tercio40k