Normas del foro

Curso Hacker
Bienvenido(a), Visitante. Favor de ingresar o registrarse.
¿Perdiste tu email de activación? - Enero 07, 2009, 01:51:01
Inicio Ayuda Ingresar Registrarse
Visita: Articulos - Juegos Gratis - Da Foros

Comunidad Underground Hispana  |  Phreaking, Hacking y Seguridad  |  Seguridad (Moderador: APUROMAFO)  |  Tema: Mx One Realmente sirve??.................RECYCLER variantes que no mueren!!!! 0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: [1] Ir Abajo Imprimir
Autor Tema: Mx One Realmente sirve??.................RECYCLER variantes que no mueren!!!!  (Leído 288 veces)
Tabernero
Recien Llegado
*
Desconectado Desconectado

Mensajes: 6


Ver Perfil Email
« en: Agosto 06, 2008, 11:46:28 »
buenas chikos comence  a usar el Mx one antivirus para memorias USB que porcieto actualiza firmas casi a diario el punto es que conecte una memoria con la carpeta virus recycler y el no detecta nada aparte mi pc tiene este virus y el scrip que vi en este foro no lo detecta .

ahora que por que estoy tan seguro que lo tengo pues bien la carpeta recycler tiene dentro de ella siempre varios archivos con iconos de papelera que suelen variar en un numero en su nombre y estan hay asi la papelera este vacia ademas cad ves que miro hay mas en cada disco
 borro las que me deja pero esta carpeta simpre conserva uno que no me deja borrar estoy artod e este virus pero tengo el nod32 actualizado y no lo detecta tampoco pude usar el nod en modo aprueba de fallos si alguien conoce de esta variacion del recycler o UN ANTIVIRUS PARA USB  util le agradezco la colaboracion.


En este momento en la carpeta RECYCLER en c tengo estos archivos:
S-1-5-21-1343024091-651377827-725345543-1004
S-1-5-21-1343024091-651377827-725345543-500

cada tanto van apareciendo mas y algunos hacen mas dentrod e ellos  lso borro ocacionalmente  pero si alguien  sabe HELP Cry
En línea
alesteir
Visitante
« Respuesta #1 en: Agosto 06, 2008, 01:57:30 »
Usa el Centinel USB Protector, que aunque aun no es antivirus te protege las usb, claro que muy pronto la nueva versión tendrá opciones de bases de datos, actualizaciones online y otras funciones mas como escaneo de procesos y análisis de ejecutables, te dejo el link mientras, así lo pruebas y comentas que tal te parece, y te cuento que el MX-one es bueno pero yo le he visto un par de fallas que hacen que los virus se paseen como si nada por las usbs, entre otras cosas te comento que la carpeta Recycler que te refieres es del sistema, y es cierto que allí se pueden esconder bichos, por lo general es usada en las memorias o unidades extraibles por los mismos, como medio para ocultarse y propagarse, prueba el Centinel a ver que tal, y por si algo nos comentas!


Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion
« Última modificación: Agosto 07, 2008, 03:02:10 por Aleks » En línea
APUROMAFO
Moderadores
Gran Colaborador
*****
Conectado Conectado

Mensajes: 1195



Ver Perfil WWW
« Respuesta #2 en: Agosto 07, 2008, 12:32:55 »
te recomiendo de corazon, que seas muy cuidadoso

la infeccion por recicler es muy molestosa y repetitiva, el avast reconoce el troyano pero solo elimina en el momento, no matando al troyano en ejecucion

te recomiendo
1)revises el link que te ayudaron
2)comprime la carpeta de recicler y enviala a virustotal, para revisar si otro antivirus te apoya
3)desactiva autorun.inf  a modo global y la quitas cuando ya estes seguro que no tienes nada
4) sigue buscando informacion
yo hice una introduccion para mis compañeros, la comparto Smiley

Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion

cualquier cosa postea en el foro Wink
saludos Apuromafo
En línea
Estare offline , hasta que vuelva a tener internet Wink saludos ->
Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion
alesteir
Visitante
« Respuesta #3 en: Agosto 07, 2008, 03:12:07 »
Uno de los errores del Mx-One es que no pisa el autorun constantemente (solo lo hace una vez), y si hay algún programa maligno haciéndolo?, otra cosa también es, que no tiene en cuenta una lista de programas benignos (solo malignos), de forma que cualquier exe que este en la raíz de la unidad te lo detecta como un virus. en fin creo que al programa le hace falta mejorarle algunas cosas!
« Última modificación: Agosto 07, 2008, 03:24:26 por Aleks » En línea
:: SmartGenius™ ::
[Phreaker Moderator]
Moderación
Gran Colaborador
*****
Conectado Conectado

Mensajes: 2673


Be Smart......!!!

smartgenius@el-hacker.org
Ver Perfil WWW
« Respuesta #4 en: Agosto 07, 2008, 03:40:20 »
llegue yo  Grin

Dos cositas para que te puedas proteger y para que sepas como trabaja el virus....

Si quieres que tu USB no se infecte usa estos dos trucos:

1. Crea en un USB una "carpeta" (no un archivo) y le pones como nombre "autorun.inf" y luego le das propiedad de oculta y de solo lectura...

2. Creas un archivo cualquiera pero sin extension y le pones de nombre "RECYCLER"

Con el primero te libras de mucho malware, y con el segundo te libras de que el RECYCLER no se te pegue a la USB...

Ahora, la carpeta RECYCLER es normal que exista, y tambien es normal que existan varias carpetas con nombres largos que empiezan por S-1-5-21........

Al ser una carpeta del sistema en la que se aloja la llamada papelera, pues es dificil borrar algo pero igual se puede...

las carpetas que alli existen pertenecen a las papeleras de cada uno de los usuarios, y deben de haber por lo menos 2, la que termina en 500 es la del administrador y la de los otros users termina generalmente en 100x.. sienod x un numero, pero la del recycler termina en 1013 por lo general....

el script se encarga de esta carpeta porque es la mas conocida, pero si ya es una nueva variante tendriamos que saber en que nueva carpeta se aloja...

Para que sepas que carpetas son seguras, debes iniciar sesion con cada uno de los usuarios que tengas y ejecutar un script que detecta la carpeta correspondiente a cada uno...

Código:
@echo off
title AntiMalware - by :: SmartGenius ::
color 0a

:ini
cd\
cd RECYCLER
attrib -r -s -h -a
cls
echo.
echo  Bienvenido
echo.
echo  La carpeta de Sistema correspondiente al usuario es:
call :credencial
echo.
echo  RECYCLER \ %cred%
echo.
echo  En la carpeta del Sistema RECYCLER existen las siguientes carpetas:
echo.
dir /w
echo.
echo  Si alguna de estas carpetas no coincide con la de algun usuario
echo  probablemente sea en la que se aloje el Virus conocido como
echo  RECYCLER, por favor contactar con :: SmartGenius :: para reportar
echo  nuevas variantes del Virus y mejorar la aplicacion...
echo.
echo  Malware Removal Tool
echo.
pause
exit

:credencial
for /R "%homepath%\Datos de programa\Microsoft\Credentials" %%i in (.) do (echo %%i>%temp%\cred.tmf)
for /F "tokens=7 delims=\" %%n in (%temp%\cred.tmf) do (set cred=%%n)
goto :eof

Con esto debes averiguar que carpetas son seguras y cuales no, pero si el script te da erro o no te muestra las carpetas o no te deja ver los ocultos es porque el virus ya esta andando...

Fijate que no este ningun proceso raro andando, y danos toda la info que consigas..

Un Saludo.
En línea
Welcome to my Mind......Here I am the Master !
alesteir
Visitante
« Respuesta #5 en: Agosto 07, 2008, 06:01:48 »
Jejeje, menos mal llegaste smart, buena info  Shocked, lo de las carpetas autorun.inf lo sabia y es buen método para evitar contagios en los drives locales, excelente tu ayuda y tus scripts en esta area, ya hay un buen recopilatorio, ya veremos que hacer con ellos!

Me gustaría hablar un par de cosillas contigo por IM sobre este tópico, ya te aviso  Wink!
En línea
:: SmartGenius™ ::
[Phreaker Moderator]
Moderación
Gran Colaborador
*****
Conectado Conectado

Mensajes: 2673


Be Smart......!!!

smartgenius@el-hacker.org
Ver Perfil WWW
« Respuesta #6 en: Agosto 07, 2008, 06:07:51 »
Siempre que pueda ayudar estare aqui man, y mas con los scripts, hay que recopilar mas informacion y hacerlos mas efectivos, aparte de crear mas para otros malwares por ahi....

Estamos hablando men,  un saludo... Cheesy
« Última modificación: Agosto 07, 2008, 06:10:10 por Be Smart ツ » En línea
Welcome to my Mind......Here I am the Master !
APUROMAFO
Moderadores
Gran Colaborador
*****
Conectado Conectado

Mensajes: 1195



Ver Perfil WWW
« Respuesta #7 en: Agosto 07, 2008, 06:14:11 »
muy bien hecho Wink

supongo de por hecho que tambien manejas ingenieria inversa o ocupas algun programa para ayudarte como el sandie box o alguna maquina virtual

o quizas solo te bases en informacion

saludos y muy bien pensado al escribir esos scripts, de hecho que seran utiles
En línea
Estare offline , hasta que vuelva a tener internet Wink saludos ->
Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion
:: SmartGenius™ ::
[Phreaker Moderator]
Moderación
Gran Colaborador
*****
Conectado Conectado

Mensajes: 2673


Be Smart......!!!

smartgenius@el-hacker.org
Ver Perfil WWW
« Respuesta #8 en: Agosto 07, 2008, 06:31:07 »
Ojala y estudiara ingenieria inversa o supiese de ASM y cracking....

solo me baso en mi experiencia en varios PCs, en mis conocimientos de informatica y en la intuicion, ademas claro de lo que he aprendido en el area de batch.... Cheesy Cheesy

Saludos.
En línea
Welcome to my Mind......Here I am the Master !
APUROMAFO
Moderadores
Gran Colaborador
*****
Conectado Conectado

Mensajes: 1195



Ver Perfil WWW
« Respuesta #9 en: Agosto 07, 2008, 06:52:12 »
bueno cuenta con que algun dia puedes aprender, yo me analize muchos troyanos por ingenieria inversa, nadie me ayudaba de los antivirus, les decia, me queda el troyano y se lo enviaba y hasta que me aburri

aprendi ingenieria inversa, los desempaco aveces y se los envio a las firmas de antivirus y al tiempo tienen esas herramientas

creeme que para ayudar con troyanos sera util en un 50% el otro 50% es totalmente el desconocimiento de todas las variantes habidas y por haber

pero de preferencia la mayoria explota el explorer, asi que el primero a cerrar antes de borrar por ejemplo el recicled es el explorer,exe

tskill explorer.exe
taskill explorer.exe
RD recycler


la mejor forma de almacenar este troyano es con winrar

compriman el recycler y identifiquen el nombre del troyano en el interior

obiamente con la papelera vaciada,,

eso sirve para que lo envien a virustotal y pueda ser analizado por otros ingenieros inversos

saludos

pd:la ingenieria inversa minimo en 2 dias aprendes con 2 horas minimas de atencion
y hay mas de 1000 tutoriales para ayudar

lo primero es solo ver y lograr encontrar lo que uno busca

como sabes batch sera muy util la lectura de los troyanos o virus en ese mismo formato

igual hay algunos complejos que si tuviera tiempo de mostrar asustaria, pero no es tiempo de causar panico, sino de ayudar, y sobre todo no desviar el toppic Smiley

saludos amigo forero, espero que todos los conocimientos que hay en el foro sean muy utiles Smiley
saludos Apuromafo
En línea
Estare offline , hasta que vuelva a tener internet Wink saludos ->
Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion
alesteir
Visitante
« Respuesta #10 en: Agosto 08, 2008, 05:20:56 »
Cita de: APUROMAFO en Agosto 07, 2008, 06:52:12

pd:la ingenieria inversa minimo en 2 dias aprendes con 2 horas minimas de atencion
y hay mas de 1000 tutoriales para ayudar


Ojala fuera así de fácil APUROMAFO , todo el mundo seria un cracker, te puedo asegurar que ni dandole dos horas diarias durante un mes, aun así te faltará conocimiento y experiencia!
« Última modificación: Agosto 08, 2008, 05:28:24 por Aleks » En línea
APUROMAFO
Moderadores
Gran Colaborador
*****
Conectado Conectado

Mensajes: 1195



Ver Perfil WWW
« Respuesta #11 en: Agosto 08, 2008, 09:10:40 »
bueno hablemos por pm y te ayudo con el primer paso durante 2 dias y despues me cuentas si era como te decia o no..
En línea
Estare offline , hasta que vuelva a tener internet Wink saludos ->
Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion
Páginas: [1] Ir Arriba Imprimir 
Comunidad Underground Hispana  |  Phreaking, Hacking y Seguridad  |  Seguridad (Moderador: APUROMAFO)  |  Tema: Mx One Realmente sirve??.................RECYCLER variantes que no mueren!!!! « anterior próximo »
Ir a:  


Ranking-Hits
Powered by SMF 1.1.7 | SMF © 2006-2007, Simple Machines LLC