MyGeekSide

Amigos, resulta común ultimamente que muchas soluciones antivirus  no eliminen completamente los rastros de cualquier malware detectado.

Peor aún, una de las últimas vulnerabilidades de Windows que permiten la ejecución automática de código arbitrario con el solo hecho de que un archivo .LNK o .PIF (archivos de accesos directos ) sean visualizados por el explorador de Windows. Esto significa que ni siquiera hay que hacer ya doble click sobre el acceso directo para que el malware se ejecute, sino que el mismo explorador de windows lo hace por nosotros!

Eso se debe a que el Explorador de Windows no manipula correctamente la visualización del ícono del acceso directo y si el archiv .LNK o .PIF ha sido diseñado por alguien malicioso permite que el mismo explorador de Windows ejecute el malware.

Esta vulnerabilidad fue aprovechada casi un mes atrás por un malware que afectó a las Redes SCADA que son redes usadas para controlar maquinaria industrial en plantas de poder y fábricas.

Imáginense cuánto malware puede estar aprovechando esta vulnerabilidad, recuerden nomás por ejemplo que el malware que se descargaba de nuevaq.fm creaba accesos directos con el nombre de nuestras carpetas…

Lo peor de todo es que esta vulnerabilidad también puede ser explotada a través de la visualización de los accesos directos por medio de carpetas compartidas en red.

Hace una semana Microsoft ha puesto a disposición un parche que podría corregir la vulnerabilidad y lo puedes descargar de aquí:

Leer el resto de este post »

Amigos, buenos días, después de un buen tiempo sin postear. Ya entenderán posiblemente que ando muy atareado con temas de la U y el trabajo, pero siempre tratando de estar al tanto del sitio y sus aportes y comentarios.

Hace unos días mi amigo Iván Chávez ( jeje, no recuerdo si quedamos en que iba a divulgar su nombre :$ ) me comentó que tenía una amiga que estaba en problemas. Su PC andaba lenta, se cerraban los programas y otros programas no podían ejecutarse, el messenger auto-enviaba mensajes a sus contactos invitándolos a visitar un sitio web que supuestamente debía contener música cumbia online:

www.nuevaq.fm

Síntomas más comunes:

1. Página de inicio de Internet Explorer:  www.nuevaq.fm
2. No se ejecuta el cmd, msconfig, regedit, mozilla firefox, google chrome, programas antivirus, etc…
3. Se envían mensajes por el messenger a los contactos invitando a visitar el sitio www.nuevaq.fm
4. Lentitud en la PC.

Si eres de los apurados y solamente quieres la solución, puedes descargar el Script que diseñé.
La vacuna elimina el malware y restaura el registro en un máximo de 10 segundos aproximadamente, también es compatible con Windows XP, Vista y Windows 7.

Una vez descargado el archivo lo descomprimen en una carpeta y ejecutan el archivo “Vacuna nuevaq_fm.vbs” y el Script se encarga del resto. Luego de algunos segundos tu Equipo estará limpio.

Los que quieran un poco más de cómo es que funciona este malware pueden seguir leyendo…

Leer el resto de este post »

Este texto describe la foma de hacer bypass a los capcha artmeticos que imprimen el desafio en el codio HTML.

El lenguae de programcion usado para el spambot es perl y para la demostracion se usa un blog de Word press.

Bypass CAPTCHA aritmético

¿Qué es el CAPTCHA?

El CAPTCHA es una prueba-desafío con el fin de identificar si el usuario
de un servicio es un ser humano o una computadora.
Estas pruebas son utilizadas para evitar que robots tengan acceso a
ciertos servicios y aprovechen su ventaja de automatización para
spamear o comprometer un sistema.
La prueba consiste en crear desafíos que una maquina se supone no

debería de ser capaz de superar, por ejemplo:

Escribir la secuencia de caracteres que aparecen en una imagen.

35HUA

Contestar una pregunta lógica aleatoria.
¿De qué color es el caballo blanco de napoleón?
Resolver una operación aritmética aleatoria.
Cuál es el resultado de 13 + 37…

Leer todo el documento…

Fuente: Aztlan Hack I. S. T.

Posted by: Dr. N4$h

Hace una semana aproximadamente, una noticia sacudió los medios de comunicación.

El motivo de la Noticia: Un supuesto ataque dirigido por parte del gobierno chino hacia Google, Adobe, Juniper y otras 29 empresas con sucursales en China.

El objetivo principal del ataque: supuestamente por parte del gobierno chino era obtener información confidencial de activistas de los Derechos Humanos en China.

Vector de ataque: Explotación de vulnerabilidad desconocida en Internet Explorer del  Lado de Cliente ( Client-Side Exploitation).

Vunerabilidad explotada: Referencia a puntero inválido en Internet Explorer 6, 7 y 8 que permite ejecución remota arbitraria de código.

Nombre asignado al ataque: Aurora IE Exploit

Se llegó a identificar equipos y cuentas de usuarios que laboraban en estas empresas con información confidencial comprometida. Pero según Google no fueron más de 2 ó 3 cuentas comprometidas.

El equipo de Metasploit en tiempo récord ya ha logrado reproducir las condiciones de ataque y el correspondiente código de explotación - que según describe McAffee - es el mismo que se identificó en la investigación.

Y gracias a los amigos de http://praetorianprefect.com que han hecho un video que muestra cómo inicialmente los crackers consiguieron acceso a las redes corporativas de Google y los demás afectados.

En el video se muestra a Metasploit configurar una sessión a la escucha, y configurar un servidor web que hospeda el código malicioso, espera la visita inocente del usuario hacia el sitio web, lanza el ataque que explota la vulnerabilidad de Internet Explorer y abre una conexión hacia la computadora del atacante. Una vez obtenida la sesión, el atacante ya tiene el control de la máquina, puede listar procesos, terminarlos (en el video de ejemplo se cierra el proceso del Notepad.exe). Se usa Internet Explorer versión 6, ya que Microsoft referencia que éste fue usado en los ataques sobre estas compañías. Tampoco se descarta la explotación exitosa de esta vulnerabilidad sobre las versiones posteriores como lo son Internet Explorer 8 y 9.

Este ataque puede haber llegado por medio de correos electrónicos incitando al usuario a visitar ciertos sitios web que alojaban el código malicioso en javascript, y éste apuntaba a un puntero inválido e inyecta la shellcode que contiene el código arbitrario a ser ejecutado.

Lección repetida: La seguridad en el lado del cliente necesariamente requiere la ecuación:  (Conocimiento+Entrenamiento)+Sentido común.

Leer el resto de este post »