saludos mi pregunta es esta como saber que el crypter o herramienta se dirige a un servidor no-ip osea que el crypter se conecte al no-ip de aLGUIEN que no sea la tu ya como hago para descubrirlo ya que tengos unas dudas
lo que yo ago siempre cuando uso algun tool que ne es echo pormi...
tengo instalado Virtual PC, con eso puedes cryptar los trojaners tranquilamente
espero que entendiste lo que te quiero desir ^^,
mi espanol es muy malo sry
tengo instalado Virtual PC, con eso puedes cryptar los trojaners tranquilamente
espero que entendiste lo que te quiero desir ^^,
mi espanol es muy malo sry
lo del virtual pc si lo se fiewall servira para detectar la conexion ya ... es como ver saber el no-ip a la que se dirige y banearla ej: se conecTA A ccccccasd.no-ip.org
Un consejo agranda la firma que no se ve
Una respuesta : Busca en el foro mas precisamente en manuales y tutoriales esta lo que busca !
Una respuesta : Busca en el foro mas precisamente en manuales y tutoriales esta lo que busca !
Última edición por ps1c0s1s el 22 Ago 2009, 03:18, editado 1 vez en total.
<Josh> y bueno hermano,tu hermana q me dijo q estaba cansada de tenerle el orto como la bandera de japon y bueno la pobre me quizo hacer un masaje prostatico nada mas pero era tanto su recelo y venganza acumulada q se esmero un poco mas de lo normal,pero bue,estuivo bien amorizado por la de dias horas años y lagrimas q echo la pobre de tanto culearla
Lo puedes analisar con Anubis: [Enlace externo eliminado para invitados]
Aquí te dejo un ejemplo de uno stub infectado:
Verlo en HTML
[Enlace externo eliminado para invitados]
Verlo en PDF
[Enlace externo eliminado para invitados]
Al princio del análisis te dan las descripciones:
Nos enfocaremos en las 2 primeras descrypciones.
Para verificar la descripción "Autostart capabilities" (Capacidades del autoejecución) ve a estar parte "2.a) Stub.exe - Registry Activities" y despues a "- Registry Keys Created" Ahy podras ver que el ejecutable creo 2 llaves de regritro que son las siguientes:
HKLM\?SOFTWARE\?MICROSOFT\?WINDOWS\?CURRENTVERSION\?policies\?explorer
HKLM\?SOFTWARE\?MICROSOFT\?WINDOWS\?CURRENTVERSION\?policies\?explorer\?run
Esto nos indica que ejecutable a creado 2 llaves de registro para la autoejecución de unos archivos creador por el mismo.
Para verificar la descripción "Performs File Modification and Destruction" ve a estar parte "2.b) Stub.exe - File Activities" y despues a "- Files Created:" veras que el ejecutable creo los siguientes archivos:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uptodate.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF2AD4.tmp
C:\Documents and Settings\Administrator\Application Data\FlashSDK.exe
C:\Program Files\JavaSDK.exe
Esto nos indeca que el ejecutable a creado 1 archivo .tmp y 3 .exe los cuales pueden se autoejecutar al inicio del sistema por las llaves creadas en el registro.
FIN
BUENO ESPERO QUE TE SEA DE AYUDA, LO EXPLIQUE LO MEJOR QUE PUDE, NO TE LO PUEDO EXPLICAR MEJOR PORQUE TODAVIA NO SOY MUY BUENO ANALISANDO ARCHIVOS.
SALUDOS
Aquí te dejo un ejemplo de uno stub infectado:
Verlo en HTML
[Enlace externo eliminado para invitados]
Verlo en PDF
[Enlace externo eliminado para invitados]
Al princio del análisis te dan las descripciones:
Ingles escribió: Description
Autostart capabilities: This executable registers processes to be executed at system start. This could result in unwanted actions to be performed automatically.
Performs File Modification and Destruction: The executable modifies and destructs files which are not temporary.
Performs Registry Activities: The executable reads and modifies register values. It also creates and monitors register keys.
Español escribió: Descripción
Capacidades del autoejecución: El ejecutable modifica el regristro para que algunos procesos se ejecuten en el comienzo del sistema. Esto podía dar lugar a las acciones indeseadas que se realizarán automaticamente.
Realiza la modificación y la destrucción del archivo: El ejecutable modifica y destruye archivos que no son temporales.
Realiza actividades del registro: El ejecutable lee y modifica valores del registro. También crea y controla las claves de registro.
Nos enfocaremos en las 2 primeras descrypciones.
Para verificar la descripción "Autostart capabilities" (Capacidades del autoejecución) ve a estar parte "2.a) Stub.exe - Registry Activities" y despues a "- Registry Keys Created" Ahy podras ver que el ejecutable creo 2 llaves de regritro que son las siguientes:
HKLM\?SOFTWARE\?MICROSOFT\?WINDOWS\?CURRENTVERSION\?policies\?explorer
HKLM\?SOFTWARE\?MICROSOFT\?WINDOWS\?CURRENTVERSION\?policies\?explorer\?run
Esto nos indica que ejecutable a creado 2 llaves de registro para la autoejecución de unos archivos creador por el mismo.
Para verificar la descripción "Performs File Modification and Destruction" ve a estar parte "2.b) Stub.exe - File Activities" y despues a "- Files Created:" veras que el ejecutable creo los siguientes archivos:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uptodate.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF2AD4.tmp
C:\Documents and Settings\Administrator\Application Data\FlashSDK.exe
C:\Program Files\JavaSDK.exe
Esto nos indeca que el ejecutable a creado 1 archivo .tmp y 3 .exe los cuales pueden se autoejecutar al inicio del sistema por las llaves creadas en el registro.
FIN
BUENO ESPERO QUE TE SEA DE AYUDA, LO EXPLIQUE LO MEJOR QUE PUDE, NO TE LO PUEDO EXPLICAR MEJOR PORQUE TODAVIA NO SOY MUY BUENO ANALISANDO ARCHIVOS.
SALUDOS
Última edición por Ortek el 22 Ago 2009, 06:29, editado 1 vez en total.
buena explicasion esto es para ver si esta contaminado pero como no se con un editor de hex etc.. saber o ver al no-ip o dyndns que se conectAA para banearlo para que QUEde claro ejOrtek escribió:Lo puedes analisar con Anubis: [Enlace externo eliminado para invitados]
Aquí te dejo un ejemplo de uno stub infectado:
Verlo en HTML
[Enlace externo eliminado para invitados]
Verlo en PDF
[Enlace externo eliminado para invitados]
Al princio del análisis te dan las descripciones:
Ingles escribió: Description
Autostart capabilities: This executable registers processes to be executed at system start. This could result in unwanted actions to be performed automatically.
Performs File Modification and Destruction: The executable modifies and destructs files which are not temporary.
Performs Registry Activities: The executable reads and modifies register values. It also creates and monitors register keys.Español escribió: Descripción
Capacidades del autoejecución: El ejecutable modifica el regristro para que algunos procesos se ejecuten en el comienzo del sistema. Esto podía dar lugar a las acciones indeseadas que se realizarán automaticamente.
Realiza la modificación y la destrucción del archivo: El ejecutable modifica y destruye archivos que no son temporales.
Realiza actividades del registro: El ejecutable lee y modifica valores del registro. También crea y controla las claves de registro.
Nos enfocaremos en las 2 primeras descrypciones.
Para verificar la descripción "Autostart capabilities" (Capacidades del autoejecución) ve a estar parte "2.a) Stub.exe - Registry Activities" y despues a "- Registry Keys Created" Ahy podras ver que el ejecutable creo 2 llaves de regritro que son las siguientes:
HKLM\?SOFTWARE\?MICROSOFT\?WINDOWS\?CURRENTVERSION\?policies\?explorer
HKLM\?SOFTWARE\?MICROSOFT\?WINDOWS\?CURRENTVERSION\?policies\?explorer\?run
Esto nos indica que ejecutable a creado 2 llaves de registro para la autoejecución en las direcciones anteriores.
Para verificar la descripción "Performs File Modification and Destruction" ve a estar parte "2.b) Stub.exe - File Activities" y despues a "- Files Created:" veras que el ejecutable creo los siguientes archivos:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uptodate.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF2AD4.tmp
C:\Documents and Settings\Administrator\Application Data\FlashSDK.exe
C:\Program Files\JavaSDK.exe
Esto nos indeca que el ejecutable a creado 1 archivo .tmp y 3 .exe los cuales pueden se autoejecutados al inicio del sistema por las llaves creadas en el registro.
FIN
BUENO ESPERO QUE TE SEA DE AYUDA, LO EXPLIQUE LO MEJOR QUE PUDE, NO TE LO PUEDO EXPLICAR MEJOR PORQUE TODAVIA NO SOY MUY BUENO ANALISANDO ARCHIVOS.
SALUDOS
bajmos dicho crypter no lo ves infectado al encrptar se conecta a 2 servidores mi no-ip y la del otro user las conexiones llegan a los dos pc [/size] eso es loque quiero saber aprender
Última edición por MIssing el 22 Ago 2009, 06:13, editado 1 vez en total.
ahh perdon por la letra grande un error disculpen por eso no quiero dar entender de que estoy gritando o algo asi cuando pueda lo corijo
MIssing creo que intendi a lo que te fieres, recuerdo aver visto un manual sobre eso, si lo vi deja lo busco y te lo paso.
Saludos
Saludos
Ortek escribió:MIssing creo que intendi a lo que te fieres, recuerdo aver visto un manual sobre eso, si lo vi deja lo busco y te lo paso.
Saludos
key broth... mientras busca a he encontrado alg de help esperare tu manual y otra ayuda salu2!
MIssing ya encontre la manera se saber lo que dices, deja hago un pequeño manual y telo paso
Saludos
Saludos
uff ..viejo gracias de ante mano ... te agrego al msn me lo pasas por ahi xD! salu2!Ortek escribió:MIssing ya encontre la manera se saber lo que dices, deja hago un pequeño manual y telo paso
Saludos
MIssing agregame al msn mi msn esta en mi perfil, mañana termino el manual es que ahorita estoy ocupado.
Saludos
Saludos
/offtopic:
Missing, ¿porqué el título del thread parecía un circo? esto no es el messenger. la próxima te borro el thread sin avisar.-
Missing, ¿porqué el título del thread parecía un circo? esto no es el messenger. la próxima te borro el thread sin avisar.-
(MD5 checksum error.)
okey verbal lo tomare en cuenta salu2!
