Ya que RadarSP cerro el Tema de Salteando Hips pues voy abrir este con este titulo que se acerca alo que estamos tratando.
Empesemos con algo que se posteo y me Preocupa que kaspersky Lab todabia no haya exo nada para solucionarlo.
----------------------------------------------------------------------------------------------------
Yami Nemesisi aki tengo el Resultado del Otro programa que me pasaste que enrealidad hacen simular que son unos CODES y es un TROJANO %26#33;%26#33;
Explico aki brebemente lo que ocurre:
Kaspersky al ejecutar los codes nos salta la Defensa Preventiva diciendo:
http://img179.imageshack.us/img179/692/dibujorh3jl6.jpg
Si lo mandamos a Cuarentena o le damos a Terminar se ejecutan de todas maneras creando una nueva aplicación : Apolonio 20.08.2008 03:02
Bueno Davile...
Esperemos k a los que has mandado tus informes/vídeos lo pongan en marcha... les llevará tiempo y dudo k pasen del tema...En cuanto al troyano....
Habría k ver k troyano es... más k nada es porque si tiene un server... es decir pa que el hacker controle el ordenata, lo suyo sería probarlo con atacante/víctima... para ver si el cortafuegos lo pararía de todas maneras... Si kieres lo probamos los dos...
En cuanto a la preventiva k deja k se instale el troyano pese a terminar o mandar a cuarentena... me parece un error grave, no leve. Es como decir.... k al ejecutar un virus, el kis me dice k lo a eliminado y no lo ha hecho xd%26#33;%26#33;%26#33;
Por cierto me da error el archivo... me dice k es desconocido o dañado... davile 20.08.2008 03:13 El Megacode lo ejecute en la Maquina Virtual que tengo desabilitado Internet nose si tiene un Backdoor porke no puedo comprobar si pide aceso a Internet pero encuentro algo muy especial en esto esque los CODEC tienen firma Digital y creo que tienen un codigo polimorfico si no recuerdo mal el Gusano Storm era de codigo Polimorfico y se ejecutaba tambien como aplicaciones Testexe.exe
En fin ... A ver si Kaspersky soluciona los BUG estos que llevan desde las Primeras Betas de Kaspersky 2009
Pd: No tengo Istalada la Maquina Virtual Ahora pk he formateado el Ordenador cuando la istale empesare a probar mas cosas %26#33;%26#33;
Saludos Davile123 21.08.2008 01:04 Hola Buenas:
Aki el server del Poseidon Ivy encritado la Heuristica de Kaspersky no lee el Encritamiento (CUANDO KASPERSKY ME ACTIVE MI CUENTA HARE UN VIDEO Y SE LO MANDARE A ALGUIEN DEL EQUIPO DE KASPERSKY LAB PARA QUE REVISE EL VIDEO Y LA MUESTRA)
Expongo el Tema:
Destacar los Avances heuristico en Ikarus T3 an superado la Heuristica de Avira Antivir y ya la heuristica de Avira Antivir no es capaz de detectar muxas encritaciones Nuevas %26#33;%26#33;
TUGRA Crypter by PayPal
Here are my new project, its in vb. Its Runtime and Scantime. I hope u
Server Poseidon Ivy
Futures
Anti Sandboxie
Anti Anubis
Anti Debugger
Anti Norman Sandbox
Anti Sunbelt Sandbox
Anti VMWare
Icon Changer
Runtime and Scantime Rorrox 21.08.2008 01:30 ¿Qué es lo que hace un encritador? Apolonio 21.08.2008 01:37 Rorrox 21.08.2008 01:59 Sí, gracias Entonces que es lo que hace el Poison Ivi :mm:
Rorrox 21.08.2008 02:24
Pronto tendré mi maquina virtual para poder hacer pruebas como ustedes las hacen Ojalá Kaspersky mejore su heurística de leer encritamientos.
Saludos davile 22.08.2008 14:22 Hoy me han desbaneado la Cuenta asi que empesaare a testear cosas %26#33;%26#33;
Despues lo mas seguro que postee Algo relacionado sobre la heuristica de Kaspersky %26#33;%26#33;
Saludos davile 22.08.2008 22:22 Hola Buenas hoy me psaron un MOD del BIFROST y la heuristica de kaspersky no lee el encritamiento del serve asi que es indetectable %26#33; aunque como siempre la Defensa Preventiva de kaspersky 7.0 si lo ejecutamos nos salta invader y si seguimos TROJAN GENERIC en la version 8.0 nos sale que se intenta infiltrar en ek explorere si aceptamos toma el Control del PC y nos nos salta como en la version 7.0 TROJAN GENERIC y si esta en automatico se conecta perfectamnete y Toma el Control del PC
analisis del cliente:
http://analysis.seclab.tuwien.ac.at/result...9af5ea5b8325d56
server:
Detection Rate: 5 on 20
Antivirus Detections
A-squared Nothing found%26#33;
AntiVir Contains a detection pattern of the (dangerous) backdoor program BDS/Bifrose.Gen Backdoor server programs
Avast Nothing found%26#33;
AVG Nothing found%26#33;
BitDefender GenPack:Trojan.Spy.Banker.AAUT
ClamWin Nothing found%26#33;
Comodo Nothing found%26#33;
Dr.Web Trojan.Packed.418
Ewido Nothing found%26#33;
F-PROT 6 Nothing found%26#33;
G DATA Nothing found%26#33;
Ikarus Virus.Trojan.Win32.Midgare.hhn
Kaspersky Nothing found%26#33;
McAfee Nothing found%26#33;
NOD32 v3 Nothing found%26#33;
Norman Nothing found%26#33;
Panda Nothing found%26#33;
TrendMicro Nothing found%26#33;
VBA32 Trojan.Win32.Midgare.hhn
VirusBuster Nothing found%26#33;
PD:Despues se lo mandare a Kaspersky para que lo añadan a sus bases Virales aunque esta no es la solucion la solucion es que kaspersky aga algo al igual que hizo Ikarus para mejorar sus analisis Heuristicos %26#33;%26#33;
Intentare en el siguiente post postear lo de la Defensa Preventiva para que se vena los BUG de la Version 8.0
Saludos Rorrox 23.08.2008 01:29 Sii%26#33; Volvió davile
Estoy descargando la maquina virtual Mañana le instalaré el S.O
Saludos davile 23.08.2008 16:21 Hola Buenas :
Hoy al hacer una prueba con un Dowloader nuevo que me pasaron kaspersky responde perfectamente detecta los movimientos del server nada mas quiere hacer de las suyas %26#33;%26#33;
Un downloader es un programa que automáticamente descarga y ejecuta archivos que se instalan sin conocimiento o permiso del usuario.
http://img184.imageshack.us/img184/116/dibujo1nc9.jpg
Dirección de URL:
Dirección URL del archivo que se descargará automáticamente.
Ejemplo: http://www.example.com/file.jpg
Carpeta de destino:
Directorio donde se guardará el archivo descargado.
Ejemplo: C:%26#092;WINDOWS%26#092;system32%26#092;
Kaspersky 2009 actuando %26#33;%26#33;
http://img297.imageshack.us/img297/3015/dibujobj1.jpg
PD: La defensa Preventiva de Kaspersky detecta que esta intentando aceder a las cokkie y NOS AVISA DE ELLO %26#33;%26#33;
No he Probado a darle a ejecutar ya que tengo desabilitado el internet en la Maquina Virtual y no puedo comprobar si el Firewall de kaspersky salta cuando intenta mandar informacion de nuestro equipo aunque deberia %26#33;%26#33;
Mandando server del dowloader a kaspersky %26#33;%26#33;
Analisis Server:
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.23 davile 23.08.2008 17:53 Respuesta de Kaspersky Lab:
Hello,
Server.exe_ - Rorrox 23.08.2008 19:59 Encontré un server de youtube, algo asi Pero como soy nuevo en esto no entiendo mucho Lo probaré cuando tenga lista mi VMware
Saludos davile 25.08.2008 13:53 Hola Rorrox Parece que Youtube es la nueva manera de Propagación de los Hacker ya que ultimamente se ve lleno de Fakes aki un claro ejemplo y encontre la herramienta para hacer los fakes se la mandare a kaspersky:
YouTube FakeCreator es un software que te genera, se puede decir, un Fake de YouTube perfecto%26#33; Permitiendo controlar a una persona en un momento y sin tener que estar dando escusas o mintiendo para infectarla%26#33;
Imagenes:
Pntalla principal.-
Editor del Index.html.-
Caracteristicas:
-Seleccion del Server a instalar
-Posibilidad de cambiar texto de la barra fake
-Posibilidad de cambiar titulo de la ventana
-Posibilidad de cambiar nombre del video
-Posibilidad de cambiar descripcion del video
-Posibilidad de cambiar comentario del video
-Posibilidad de cambiar usuario del comentario
- Y varias funciones mas
Funcionamiento:
Este fake consiste en darle a la victima una direccion web, donde estaran alojados los dos archivos del fake (Index.html e Error.html). La vicitma, al visitar el Index.html sera alertado de que es necesario instalar un supuesto componente para poder visualizar el video correctamente... pero ese %26quot;componente%26quot; no es nada mas que nuestro server, virus o archivo... entonces la vicitma descargara el componente y sera infectado.
Luego para que esta no sospeche, despues del tiempo elegido, redirecciona a la pagina Error.html, diciendole que no es posible ver el video por terminos de copyright.
Bueno es asi mas o menos como funciona, mas abajo tienen un ejemplo de como quedaria...
Demo/YouTube Fake Creator: http://f3b14n.googlepages.com/Index.html
Saludos davile 25.08.2008 15:03 Hola Buenas Otro Fake mas que encontre y me llamo muxo la atencion es un Fake del Ares Kaspersky detecta todos sus movimientos nada mas intenta hacer de las suyas %26#33;%26#33;
El Hacker usa un metodo desconocido para burlar la heuristica de todos los Antivirus del Mercado incluido la Heuristica de Antivir e Ikarus de esta amenaza solo nos podra Proteger Kaspersky Gracias a su davile 25.08.2008 15:37 Hola Buenas:
Me pasaron un Stealer para Robar pass de Steam pero parece que el Cliente mismo esta infectado aunque crea el server perfectamente selo mandare a kaspersky para que lo revisen y lo añadan asus bases virales %26#33;%26#33;
Ejecucion del Programa aviso de la Defensa Preventiva de kaspersky:
http://img185.imageshack.us/img185/721/dibujorn3.jpg
Mandando a Kaspersky
Saludos Yami Nemesis 26.08.2008 04:37 davile 26.08.2008 09:00 davile 26.08.2008 09:07 Ya me respondieron al del al Fake del youtube todabia no me an contestado al del Ares :
Hello,
YouTube Fake Creator v1.0.exe_ - Constructor.Win32.Downldr.dn
New malicious software was found in this file. It%26#39;s detection will be included in the next update. Thank you for your help.
Please quote all when answering. arquezvall2004 26.08.2008 21:08 Davile... kaspersky Internet Security 2009 logra detectar y frenar un ataque de red local, del comando: Shutdown -s -m %26#092;%26#092;IP victima ... desde otra PC...?????
Saludos... RadarpSP 26.08.2008 21:44 Por si solo el comando shutdown no es negativo ni un peligro.
No obstante, Kis2009 lo puede parar. Agrega shutdown.exe (windows/system32) a untrusted en el HIPS y ya no se podrá usar.
Para usar ese comando hay que ser administrador:
• Los usuarios deben obtener el derecho de usuario para apagar el sistema a fin de apagar un equipo administrado de forma local o remota mediante el comando shutdown. Para obtener más información, vea %26quot; Introducción al control de acceso%26quot; y %26quot;Privilegios%26quot; en Temas relacionados.
• Los usuarios deben ser miembros del grupo Administradores para comentar un apagado inesperado de un equipo administrado de forma local o remota. Si el equipo remoto pertenece a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento. Para obtener más información, vea Grupos locales predeterminados y Grupos predeterminados.
Sacado de http://technet2.microsoft.com/windowsserve...2.mspx?mfr=true
arquezvall2004 26.08.2008 23:08 RadarpSP 26.08.2008 23:47 Machando a la competencia...
Lo bueno de Kis 2009 es que da muchas opciones, es muy ajustable. Si quieres como en este ejemplo, añades el programa a untrusted o añades *.bat para que te avisa de los bat. sEREKANTUM 27.08.2008 19:41 Mi cyber-paranoia galopante me hace plantear esta pregunta:
Si yo me conecto a una red wifi pública, alguien conectado a esa misma red puede atacarme usando ese comando y apagarme el pc? Uso KIS 7.0.1.325 con el firewall en %26quot;seguridad máxima%26quot;
Pd: En una red local (wifi o cable) es posible sufrir tal intromisión por parte de otro user de esa misma red?
Saludos%26#33; RadarpSP 27.08.2008 20:01
Primero esa red no se considera local debes mantenerla como pública. Entonces el firewall bloquea los accesos al equipo.
En caso de red local de verdad deberían ser administradores de tu equipo.
davile 27.08.2008 20:46 sEREKANTUM tienes desabilitados los MP no se te pueden Mandar %26#33;%26#33;
Saludos arquezvall2004 27.08.2008 20:56 KIS 7.0.1.325 logra detectar el ataque desde la PC atacante... pero no puedo comprobar si el KIS de la PC atacada lograra detectarlo....
Mirar captura de pantalla:
Click to view attachment
Saludos... RadarpSP 27.08.2008 21:49 No tengo una máquina virtual para probarlo Apolonio 27.08.2008 22:08 RadarpSP 27.08.2008 23:02
Añadir un exe (eje shutdow.exe)
Click to view attachment
Click to view attachment
Click to view attachment
Para remediar lo de los bat. http://forum.kaspersky.com/index.php?showt...mp;#entry646483 Segundo post. Apolonio 27.08.2008 23:51 sEREKANTUM 28.08.2008 00:30 Tomo nota de lo de la red pública radarsp%26#33; por cierto, siempre que me engancho a un wifi y me aparece la opción de windows de elegir si es acceso publico o de casa, elijo pública; además en el firewall (apartado de zonas) tengo seleccionado el icono de %26quot;zona internet%26quot; para todas las conexiones y tambien activado el %26quot;modo invisible%26quot; imagino que esa es la manera de que el firewall de KIS me proteja. Si me quedara algo por hacer oriéntame y yo seguiré los pasos indicados al pie de la letra.
Davile: que tengo bloqueados los mensajes privados? pero si no toque nada%26#33; no será un problem del server? recuerdo que una vez escribí a una pobladora y ella me respondió sin problems... Que enigma... Rorrox 28.08.2008 01:36 SI%26#33;%26#33;%26#33;%26#33;%26#33;%26#33;%26#33;%26#33;%26#33;%26#33;%26#33;%26#33;%26#33;%26#33;%26#33;%26#33;
Ya tengo maquina virtual, Wooooooooooooo%26#33;
Podré hacer pruebas ahora%26#33; ¿No daña el PC real cierto? :miedo: RadarpSP 28.08.2008 13:37 Conversación cerrada.
La explicación está disponible en: http://forum.kaspersky.com/index.php?showtopic=82538
Gracias