Killtrojan

Los mejores Antivirus para sistema operativo Android

noreply@blogger.com (Albert López) — Mon, 06 Feb 2012 00:17:00 +0000

Llevo días mirando diferentes modelos de teléfonos con Android, ya que no me desagrada la idea de obtener uno con este sistema operativo, los modelos no están mal y veo que hay gran variedad de aplicaciones que nos pueden acompañar en nuestro día. Como siempre me he informado de las aplicaciones más interesantes que hay para este SO, entre ellas las diferentes opciones en seguridad para evitar las amenazas existentes.

En mi búsqueda, básicamente en el Android Market he encontrado algunas de interesantes y me gustaría compartirlas aquí para que usuarios interesados en esto puedan encontrar la información sintetizada.

A continuación expondré una lista con aplicaciones antimalware, adjuntaré su precio y la valoración media oficial que tienen a día de hoy en el Android Market.

Kasperksy Mobile Security
Precio: 6,95 €
Valoración: 4.2

Norton Mobile Security
Precio: N/S (trial)
Valoración: 4.2

Security Pro AVG
Precio: 3.68 €
Valoración: 4.4

Avast Mobile Security
Precio: Gratuito
Valoración: 4.6

Dr Web Antivirus
Precio: 3,80 €
Valoración: 4.5

Dr Web Antivirus Light
Precio: Gratuito
Valoración: 4.6

My Antivirus Pro
Precio: 7,15 €
Valoración: 4.3

Android Antivirus
Precio: Gratuito
Valoración: 4.4

Kineto Malware Scan
Precio: Gratuito
Valoración: 4.2

BlackBelt Antivirus
Precio: Gratuito
Valoración: 4.0

GuardX Antivirus
Precio: Gratuito
Valoración: 4.6

BluePoint Antivirus Free
Precio: Gratuito
Valoración: 4.2

LabMsf Antivirus Beta
Precio: Gratuito
Valoración: 4.3

Como se puede ver, hay una gran variedad de aplicaciones, donde muchas de ellas están muy bien valoradas con opiniones de usuarios que las han utilizado. El sistema de valorar las aplicaciones lo veo muy acertado y creo que es un buen punto de partida para decidir que aplicación instalar. A partir de aquí ya depende de las preferencias y gustos de cada uno para decidirse entre las distintas soluciones presentadas.

Plugin para navegadores de monsterdivx.com oculta publicidad

noreply@blogger.com (Albert López) — Fri, 03 Feb 2012 02:15:00 +0000

Uno de los navegadores web más utilizados en la actualidad es Mozilla Firefox junto a Internet Explorer donde le ha ido ganando terreno a este último hace pocos años por ofrecer más seguridad, mejoras para el usuario y por sus opciones de personalización nivel de complementos, plugins y addons.

Hay gran cantidad de añadidos para el buscador, sobre todo por la facilidad y la ayuda en la comunidad de desarrolladores que tiene aunque esta ventaja no siempre es positiva. No sería la primera vez que se descubre un addon malicioso y en este caso gracias a usuarios de elhacker.net se ha descubierto un plugin de una página de películas en streaming que esconde publicidad.

Hablo de monsterdivx.com, página con gran cantidad de películas para verlas online donde la condición es descargar esta pequeña aplicación para el navegador para poder ver las películas desde servicios como megaupload o hotfile.

En la misma página hay una sección, no muy a la vista de los usuarios, donde explican la función de este añadido de una forma realmente poco clara e incluso de veracidad dudosa donde aseguran que la publicidad añadida es para abonar los derechos de autor.

El plugin llama a un archivo codificado que es el que se encarga de abrir la publicidad, por suerte y con la colaboración de usuarios del foro mencionado anteriormente tenemos la siguiente información donde tenemos el enlace del script ejecutado por el addon:

http://www.monsterdivx.com/core/hosts.js

El script va codificado, aunque podemos verlo en su plena extensión y decodificado en el siguiente enlace ya que el código es demasiado extenso para pegarlo aquí.

http://pastebin.com/0XG408BW

Como se puede ver, no todo es siempre fiable y se debe tener especial atención en servicios “gratuitos” ya que a veces pueden salir caros. Si alguien busca addons fiables para mozilla, se recomienda el uso de la página oficial que tiene donde todos están revisados addons.mozilla.org.

Cuidado con webs maliciosas que copian Megaupload

noreply@blogger.com (Albert López) — Fri, 20 Jan 2012 21:56:00 +0000

Hace un par de días, se cerró uno de los mayores sistemas de descargas, seguro que todos lo tienen en mente, Megaupload. Era uno de los servicios para alojar y descargar más utilizados con unos millones de usuarios registrados.

Desde su cierre hace dos días, han aparecido gran cantidad de webs clones, es decir, copias que simulan ser la propia página reabierta con el fin de ganar dinero en visitas o en distribución de malware.

Se recomienda tener especial cuidado con páginas que digan ser el nuevo servicio de Megaupload ya que son totalmente un engaño y no sería de extrañar que cada vez aparezcan mas ya que el script clon de la original está muy extendido y cualquier persona puede crear una copia del original.

Entre las encontradas, destacan las siguientes

www.megaupload.biz
http://109.236.83.66/
www.satuno.net

Se recomienda especial atención los próximos dias, ya que otros servicios que pueden ser cerrados podrían ser duplicados.

Ejemplo de Pishing en web del BBVA

noreply@blogger.com (Albert López) — Sun, 08 Jan 2012 01:00:00 +0000

El artículo de hoy está dedicado al pishing, un fenómeno que consiste en suplantar una página web con otra falsa para sustraer los datos de los usuarios. Generalmente se busca el robo de contraseñas o de números de targetas de crédito.

Mirando el grupo de elhacker.net de facebook, un usuario a reportado una página falsa que se hace pasar por una de las del banco BBVA y veo la ocasión perfecta para hacer un pequeño estudio de las diferencias entre la real y la falsa.

El primer síntoma que nos hace suponer que hay algo raro en la página, es su dirección URL donde hay unas pequeñas modificaciónes como un zero simulando ser una "o" o la extensión de dominio utilizada.

Web real: http://www.bancomer.com/
Web falsa: http://wwwbanc0mer.us.to/

Con ello se ha demostrado que trata de ser una página con el fin de suplantar y robar los datos a los usuarios ya que no tiene nada que ver con la entidad bancaria y pide los datos de los clientes para poder acceder a la banca en línea.

Además si observamos el código fuente de la web falsa, podemos ver algunos detalles curiosos. Al principio del código fuente tenemos la siguiente línea:

saved from url=(0024)http://www.bancomer.com

Donde se nos indica que el template web a sido guardado desde la web original de la página, esto nos puede hacer pensar que se trata de una copia del diseño web robada directamente de la web online.

Otra de las comprobaciones que se pueden realizar en la web falsa, es apretar en los enlaces donde muchísimos de ellos no funcionan mostrando un enlace roto. Además los que funcionan tardan muchísimo más en cargar las imágenes ya que éstas van enlazadas en la web original.

Se recomienda siempre tener precaución en las gestiónes online, puede ser que la pagina de engaño esté mucho mejor hecha o pueda estar ayudada con algún malware con técnicas de ingenieria social.

Soluciones Antispam eficaces y gratuitas.

noreply@blogger.com (Albert López) — Mon, 02 Jan 2012 22:51:00 +0000

Seguro que todos vosotros en algún momento del día, o almenos cada dos días dedicáis unos minutos a mirar el correo electrónico ya sea de amistades, trabajo, familiares…Y seguro que además muchas veces tienes correos de spam o correo no deseado que pasa el filtro de correos no deseados.

Como la vida es demasiado corta para gastar tiempo eliminando emails, presento tres soluciones gratuitas Antispam, para aquellos que no tengan suficiente con un filtro antispam seguro que les ayudará a gestionar y tener una cuenta de correo más segura. Además estos programas permiten fácil integración con algunos servicios de envío de emails, incluso permiten hacer un backup del correo al ordenador del usuario.

Agnitum Spam Terrier
CPU: Pentium
RAM: 128 MB
Compatible: Windows 2000, XP, Vista, win7.
Enlace: Agnitum Spam Terrier
Idioma: Español.

Spamhilator
CPU: Pentium
RAM: 128 MB
Compatible: Windows 2000, XP, Vista, Win7.
Enlace: Spamhilator
Idioma: Español.

K9 Antispam

CPU: Pentium
RAM: 128 MB
Compatible: Windows, 2000,XP,Vista,Win7.
Enlace: K9 Antispam
Idioma: Español,Ingles, Francés,Noruego y varios mas.

Me gustaría añadir que ninguno de los tres programas lleva publicidad ni instalan nada ajeno al propio programa, así que son seguros.

Con la seguridad de tu ordenador no se juega !

noreply@blogger.com (Albert López) — Sat, 31 Dec 2011 00:31:00 +0000

Aquí el que seguramente sea el último post del año y para que no falte el espíritu festivo dedicaré este último post a la categoría "Seguridad Friki" donde se ha creado una situación de "memés" con una de las leyes universales de la seguridad en los ordenadores:

Con la seguridad de tu ordenador no se juega, o compras el antivirus o usas uno gratuito. Si no tienes un antivirus legal o quieres cambiar, en killtrojan te ofrecemos una selección de gratuitos para que puedas elegir en el siguiente enlace.

Feliz Navidad a todos los lectores y buena entrada de año !. Albert.

Mantenimiento y optimización de windows con JetClean

noreply@blogger.com (Albert López) — Wed, 14 Dec 2011 23:20:00 +0000

Hoy presento una herramienta que ya hace tiempo que circula por la red parecida al CCleaner con algunas opciones mas, hablamos en este caso de JetClean. Ahora mismo está en su versión Beta 2 pero se puede utilizar sin problemas. Al ser una beta recomiendo que se haga una copia del registro antes de testearla ya que puede eliminar alguna clave del registro por equivocación.

El objetivo principal de JetClean es la de optimizar en varios aspectos nuestro ordenador mediante el registro de Windows, la eliminación y limpieza de archivos y la de conseguir que Windows arranque algo mas rápido.

Los que usualmente usen CCleaner, verán que esta herramienta incorpora las mismas opciones por lo que puede ser una alternativa si quieren tener un programa algo más completo, aunque personalmente mientras esté en fase Beta no lo sustituiría.

Aquí algunas de sus características:

Limpieza del registro de Windows, como antiguas claves, activex, claves de programas que ya no tengamos instalados, claves de malware…
Limpieza de nuestro Windows como por ejemplo cookies, archivos temporales, log files y otras carpetas y documentos que se crean y son innecesarios.
Libera espacio en la memoria RAM, lo que permite que nuestro ordenador pueda funcionar algo más ligero y podamos usar más aplicaciones.
Optimización en el arranque de Windows, desactiva aplicaciones no necesarias en el encendido de Windows haciéndolo mas ligero.

Es totalmente compatible con Windows Xp, Windows Vista y Win7, si quieren más información pueden visitar la página oficial en el siguiente enlace.

bluesprig.com/jetclean.html

Bitfender Safego: Protege tu Facebook de enlaces maliciosos

noreply@blogger.com (Albert López) — Wed, 26 Oct 2011 19:32:00 +0000

Para los que utilizan facebook a diario, sabrán que hay una gran cantidad de mensajes que aparecen en nuestros muros o incluso que nos pueden enviar nuestros conocidos o no tan conocidos donde no siempre les acompaña buenas intenciones. Solo hace falta ver los últimos casos de spam.

Para ello, bitfender presenta una interesante aplicación que nos permitirá analizar todos los enlaces que puedan estar publicados en nuestro muro, donde se nos advertirá en caso que se encuentre un enlace perjudicial tanto para nosotros como para nuestros contactos.

La aplicación es muy sencilla de usar, simplemente accedemos a la aplicación, le damos los permisos de acceso a nuestro muro y ya podemos empezar a usarla sin problemas. Cuando queramos usarla solo hará falta entrar e iniciar el análisis.

Entre otras cosas, permite escanear enlaces y valorará la privacidad con la que tenemos configurada nuestra cuenta dando un valor cualitativo y haciendo las pertinentes recomendaciones en caso que el nivel de privacidad no sea suficiente. El número de enlaces escaneados se nos mostrará por pantalla.

Una vez acabado el análisis, si no hay ningún enlace malicioso nos avisará de que nuestra página de facebook está limpia.

Para acceder a la aplicación, se puede hacer desde el siguiente enlace:

http://apps.facebook.com/bd-safego

Colaboración con la Revista PcActual

noreply@blogger.com (Albert López) — Fri, 21 Oct 2011 22:25:00 +0000

El post de hoy tiene un aire publicitario, aunque la intención no es exactamente esa. Quería anunciar que entre varios staffs de elhacker.net se ha colaborado en el tema de portada de la revista PCActual que salió este pasado miercoles dia 18.

El tema de portada, trata sobre consejos, herramientas y un toque de experiencia en protección del ordenador. No detallaré cada punto del tema de portada, pero si dejaré el resumen de la web de la revista:

La seguridad es una asignatura rechazada por la complicación que a priori puede suponer si se carece de conocimientos técnicos. Acabar con este mito es el objetivo de este Tema de Portada en el que ofrecemos triquiñuelas fáciles de implementar para dotar a tu ordenador de la máxima fiabilidad. Entre otras cosas, aprenderás a establecer el protocolo adecuado en tus dispositivos móviles o a conocer y aplicar los trucos de elhacker.net.
Identifica tus puntos débiles
Un PC a prueba de bombas
Accede a la Red con seguridad
Seguridad en dispositivos móviles
Consejos de elhacker.NET

Si alguien le interesa la revista, puede encontrarla por 3 euros en librerías o quioscos, espero que guste a los lectores y sobre todo desde elhacker.net esperamos que pueda acabar de complementar a la temática con una dosis de experiencia.

Remodelación en nuestra wiki: Wikimalware

noreply@blogger.com (Albert López) — Mon, 17 Oct 2011 22:03:00 +0000

Informo que estoy remodelando la wiki para mejorar su usabilidad y poder dar información organizada para todos los usuarios. De momento se ha hecho una división mediante categorias que se irán ampliando y se podrá acceder a una lista ordenada de todo el glosario recogio.

[Ver glosario de wikimalware]

Entre otras mejoras se han hecho:

Mejora del aspecto grafico del sitio.
Organización por secciónes.
Se han añadido descarga de documentos, ebooks.
Se ha creado un glosario para unificar de alguna forma la información.
Se a añadido publicidad temporal, aunque nada intrusiva.

Si quieres ayudar en la wiki de forma eventual o colaborar con algún tema específico que creas que puedas escribir o recopilar información, puedes escribirme como siempre a albert_lopb@killtrojan.net.

La wiki es otro servicio gratuito, se agradecen siempre críticas constructivas, ideas o aportaciónes.

Eliminando malware del MBR con MBRFix

noreply@blogger.com (Albert López) — Sat, 08 Oct 2011 23:45:00 +0000

Algunos tipos de malware actual son capaces de copiarse en sectores de arranque de los discos duros del ordenador y es una tarea difícil eliminarlos ya que no vale simplemente pasar un antivirus o formatear el disco duro.

Para ello existen diferentes opciones, básicamente software que elimina arreglando el sector de arranque donde veremos en éste artículo uno de ellos y lo sencillo que es utilizarlo. Así que si tienes algún tipo de malware en el MBR o tienes sospechas puedes seguir los siguientes pasos para eliminar cualquier anomalía generada:

Descarga la siguiente herramienta: MBRFix, guardala en el raíz del disco C ya que posteriórmente la deberás ejecutar desde la consola y por comodidad es mejor.
Reinicia en "modo a prueba de fallos" tu ordenador. De esta forma utilizarémos la herramienta desde este modo.

Ahóra tocará abrir la CMD/Consola, para ello ve al boton de INICIO, mira en EJECUTAR o en la ventanita de "buscar" y dale a (cmd). Ahora tienes la ventanita negra abierta donde deberás escribir el siguiente comando:


C:/mbrfix /drive 0 listpartitions

Con el anterior comando podrás ver una lista de las particiones que tienes en el disco duro denominado como master, es decir el primero de todos (drive 0). Ahora podrás seleccionar las particiones a reparar. Con el siguiente comando podrémos por ejemplo reparar la primera partición del disco principal siendo el número 0.

C:/mbrfix /drive 0 fixmbr

Una vez entrado el comando para reparar el disco, se nos pedirá confirmación donde pulsaremos "Yes" para verificar y realizar la acción. Por último reiniciaremos el ordenador y no se deberían presentar problemas.

A continuación pondré la lista de comandos válidos para el programa:

    MbrFix /drive  driveinfo              Display drive information
  MbrFix /drive  drivesize              Returns drive size in MB as return value
  MbrFix /drive  listpartitions         Display partition information
  MbrFix /drive  savembr          Save MBR and partitions to file
  MbrFix /drive  restorembr       Restore MBR and partitions from file
  MbrFix /drive  fixmbr {/vista|/win7}  Update MBR code to W2K/XP/2003, Vista or Win7
  MbrFix /drive  clean                  Delete all partitions on the selected disk
  MbrFix /drive  readsignature {/byte}  Read disk signature from MBR
  MbrFix /drive  writesignature    Write disk signature to MBR
  MbrFix /drive  generatesignature      Generate disk signature in MBR
  MbrFix /drive  readstate              Read state from byte 0x1b2 in MBR
  MbrFix /drive  writestate      Write state to byte 0x1b2 in MBR
  MbrFix /drive  readdrive   
                                             Save sectors from drive to file
  MbrFix /drive  /partition  fixbootsector    
                                             Update Boot code in boot sector
  MbrFix /drive  /partition  getpartitiontype
                                             Get partition type
  MbrFix /drive  /partition  setpartitiontype    
                                             Set partition type
  MbrFix /drive  /partition  setactivepartition
                                             Set active partition
  MbrFix /drive  getactivepartition     Get active partition
  MbrFix volumeinformation driveletter       Get volume information for partition
  MbrFix flush {driveletter(s)}              Flush files to disk for partition
  MbrFix listpartitiontypes                  List partition types

Drive numbering starts on 0.
Partition numbering starts on 1.

Para más información pueden visitar el siguiente enlace.

Elimina FacePlus! de tu navegador

noreply@blogger.com (Albert López) — Sat, 01 Oct 2011 23:26:00 +0000

Hoy seguimos hablando sobre FacePlus! esa molesta aplicación que se va publicando en los muros de las amistades de las personas infectadas. En este post de hoy darémos los pasos para desinstalarlo totálmente del navegador que utilizemos ya que se instala como un addon. Pueden ver el artículo escrito sobre este malware en la siguiente URL:

http://www.killtrojan.net/2011/09/faceplus-aplicacion-que-engana-usuarios.html

De esta forma evitarémos efectos maliciosos como robo de datos o la lectura de nuestras cookies del ordenador. Para eliminarlo aquí dejo los pasos para 3 de los navegadores mas utilizados:

Para Internet Explorer:

1. Ve al menú Herramientas > Administrar Complementos.

2. Busca el complemento de Face-Plus y selecciónalo.

3. Pulsa el botón DESHABILITAR.

4. Reinicia tu navegador.

Para Mozilla Firefox:

1. Ve al menú Herramientas > Complementos.

2. Busca el complemento de Face-Plus y selecciónalo.

3. Pulsa el botón DESINSTALAR para eliminarlo.

4. Reinicia tu navegador.

Para Google Chrome:

1. Pulsa el botón de Herramientas (la llave de tuercas).

2. Selecciona Opciones > Extensiones.

3. Selecciona la extensión Face-Plus y pulsa DESINSTALAR.

4. Reinicia tu navegador.

FacePlus! Aplicación que engaña a usuarios de facebook

noreply@blogger.com (Albert López) — Fri, 30 Sep 2011 19:02:00 +0000

Desde hace un par de días se está distribuyendo en la red social facebook una campaña de spam entre contactos con el fin de recoger datos y dinero mediante un sms. Es importante que los usuarios estén prevenidos ya que no es la primera vez que aparece éste tipo de bulos ni será la última.

La campaña es fácilmente visible por el muro de los contactos donde se publica un anuncio con el siguiente aspecto:

Al entrar en el enlace, automáticamente se nos dirigirá a una web externa a facebook (http://fpgold.net/web/) donde se nos invitará a descargar una aplicación llamada “faceplus!” que promete realizar algunas modificaciones totalmente falsas en nuestra cuenta de facebook como insertar un botón de “No me gusta”, contador de visitas en el perfil, menú para personalizar el fondo de facebook y un menú con otras opciones personalizables.

La aplicación descargada se instalara en el navegador e invitará al usuario como paso final a subscribirse a una web de sms lo que conlleva a una extracción de información privada. Además la aplicación instalada modifica las “Cookies” del ordenador infectado.

Es importante mantenerse informado de éste tipo de amenazas y nunca acceder a webs externas y menos descargar aplicaciones sin saber exactamente lo que son.

Libro gratuito: Formato Portable Executable bajo Windows (RunPe)

noreply@blogger.com (Albert López) — Thu, 29 Sep 2011 19:22:00 +0000

Aquí dejo un impresionante documento gratuito sobre el formato RunPe donde se explica como está conformado. Lo recomiendo a todo el mundo ya que a nivel de malware es muy utilizado en la programación de crypters y joiners.

Formato: PDF
Nº paginas: 45

CONTENIDO

ESTRUCTURA DE UN FICHERO EJECUTABLE
DIRECCIONES FÍSICAS, VIRTUALES RELATIVAS Y VIRTUALES
IMAGE FILE HADER
IMAGE OPTIONAL HEADER
IMAGE DATA DIRECTORY
IMAGE SECTION HEADER
EXPORT DIRECTORY
IMPORT DIRECTORY
RESOURCE DIRECTORY
RELOCATION DIRECTORY
DEBUG DIRECTORY
TLS DIRECTORY (THREAD LOCAL STORAGE)
DIRECTORIO LOAD CONFIG
DELAY IMPORT DIRECTORY
BOUND IMPORT DIRECTORY
REFERENCIAS
DESPEDIDA

Detectando intrusos en una red con Snort

noreply@blogger.com (Albert López) — Tue, 20 Sep 2011 20:19:00 +0000

Snort es un sistema para detección de amenazas para un sistema o red, es decir monitoriza distinto tráfico que puede haber desde intrusos,diferentes tipos de ataques...muy útil para auditar un sistema o mantener un control de éste. La idea no es la de proteger frente a posibles ataques sino dar información sobre estos.

Dentro las características más notables de Snort cabe destacar las siguiente:

Tiene la función de sniffer para controlar el tráfico de un sistema,red o host.
Detecta intrusiones.
Da información sobre puertos con el fin de evitar agujeros de seguridad o anomalías en ellos.
Tiene un sistema de firmas de ataques actualizable que funciona a partir de patrones de ataques reales.
Dispositivo de almacenaje mediante logs sobre anomalías detectadas.
Previene de ataques ddos, backdoors y otros sistemas intrusivos, incluso de escáneres como el conocido Nmap.
Puede trabajar en distintos sistemas operativos como windows, Unix y Linux.
Uso de filtros personalizables mediante la libreria libpcap, la misma utilizada por TCPDump.

Por otra parte, el sistema de alertas es muy completo ya que podemos elegir de que forma queremos que se nos notifique, por ejemplo que se nos envié la alerta a otra aplicación, o que el mismo Snort nos lo indique por pantalla o por ejemplo que envie la alerta a otra estación de trabajo mediante un popup.

Para más información pueden visitar la página del proyecto, es open source y cuenta con una gran comunidad de usuarios para soporte,novedades y desarrollo.

http://www.snort.org/

También en wikilearning se puede encontrar un buen tutorial donde se comentan las distintas formas de uso, reglas, resultados...

http://www.wikilearning.com/tutorial/taller_de_sistemas_de_deteccion_de_intrusiones_snort/4735

Nueva sección de utilidades gratuitas sobre seguridad.

noreply@blogger.com (Albert López) — Thu, 15 Sep 2011 23:39:00 +0000

Se ha añadido una nueva sección con 3 tipos de aplicaciónes sobre seguridad gratuitas, són aplicaciónes básicas que deben estar en cualquier ordenador y hay para elegir entre varias de cada categoria.

Pueden visitar la sección en el siguiente enlace o entrar mediante la pestaña de "utilidades". Si quieren realizar algún aporte para ser añadido pueden enviar la petición a albert_lopb@killtrojan.net, espero que les sea de utilidad, ya no hay escusas para tener el ordenador desprotegido.

Atte. Albert.

Malheur: Análisis automático de comportamiento del malware (Linux, Mac OS X and OpenBSD)

noreply@blogger.com (Albert López) — Fri, 12 Aug 2011 18:53:00 +0000

Malheur es una herramienta para el análisis automático de comportamiento de malware. Se basa en el concepto de análisis dinámico: se obtienen los binarios y se ejecutan en un sandbox, donde su comportamiento es monitorizado en tiempo de ejecución y presentado en informes para su análisis.

Además, esta monitorización del comportamiento puede presentarse en varios formatos:

- Extracción de prototipos: a partir de un determinado conjunto de informes, Malheur identifica a un subgrupo de los prototipos representativos dentro del conjunto de datos obtenido. Los prototipos ofrecen una visión general del comportamiento registrado y se pueden utilizar para guiarnos en la inspección manual.

- Clustering del comportamiento: Malheur identifica automáticamente los grupos (clusters) de los informes que contienen un comportamiento similar. El clustering permite descubrir nuevas clases de malware y proporciona la base para la elaboración de la detección específica y la elaboración de mecanismos de defensa, tales como las firmas de antivirus.

- Clasificación del comportamiento: sobre la base de un conjunto de informes previamente agrupados, Malheur es capaz de asignar comportamientos desconocidos a grupos conocidos de malware. Esta clasificación permite la identificación de nuevas variantes de malware y puede ser utilizada para filtrar el comportamiento del programa antes de la inspección manual.

- Análisis incremental: Malheur se puede aplicar de forma incremental para el análisis de grandes conjuntos de datos. Mediante el procesamiento de informes divididos en trozos, los requisitos de memoria y el tiempo de ejecución se reducen significativamente. Esto hace factible los análisis a lo largo del tiempo, por ejemplo para el análisis diario de malware.

Web: http://www.mlsec.org/malheur/index.html
D.Directa: http://www.mlsec.org/malheur/files/malheur-0.5.0.tar.gz

Aqui los manuales de instalación y guia:

S.O compatibles: Linux, Mac OS X and OpenBSD
Instalación: http://www.mlsec.org/malheur/install.html
HTML manual: http://www.mlsec.org/malheur/manual.html
PDF manual: http://www.mlsec.org/malheur/docs/malheur-man.pdf
Ejemplos de uso: http://www.mlsec.org/malheur/examples.html

Pronto os contaré mas sobre esta tool. Si alguien se maneja bien que comente, un saludo.

Nota: Texto escrito por r32, usuario de infomalware.net

Evitando el spam "10 Minute Mail"

noreply@blogger.com (Albert López) — Sat, 06 Aug 2011 09:54:00 +0000

Cualquier persona que utiliza asiduamente internet siempre acaba interesándose por buscar información sobre aquellos temas que le puedan interesar ya sea en páginas, comunidades, foros o incluso registrándose a chats. Generalmente se pide un registro previo para acceder al contenido de interés y es por ello que se debe tener cuidado en que páginas registramos nuestro correo ya que a la larga acabaremos recibiendo gran contenido de mensajes de spam o incluso nuestro correo puede acabar engrosando grandes listas de spamers.

Lo que se recomienda, es que si el registro para ver un cierto contenido no tiene más valor que éste fin, por ejemplo ver una información se recomienda hacer un registro con un mail ficticio ya que evitaremos que nuestra dirección de correo real pueda ser distribuida o almacenada evitando los problemas que puede suponer como el spam, emails de estafas o malware.

Es por ello que se presenta una de las soluciones posibles, se llama 10 Minute Mail y trata de una página que genera un correo electrónico de 10 minutos que posteriormente se puede alargar ese tiempo. Una vez el tiempo finaliza la dirección de correo de autodestruye aunque podemos volver a entrar a la página y tener una nueva. La propia página tiene la bandeja de entrada donde aparecerán los mensajes que nos llegan.

Destacamos que con éste servicio no sirve para enviar correos, solo recibir y es una buena alternativa para “registros expess”.

Abierto el wargame de SecurityByDefault

noreply@blogger.com (Albert López) — Wed, 13 Jul 2011 21:39:00 +0000

Como muchos sabrán, éste pasado 12 de julio empezó en España la Campus Party de valencia donde se concentra un gran número de aficionados a distintos campos de informática desde "gamers" hasta gente mas interesada en las charlas donde éste año entre los invitados destacables está Kevin Mitnick.

Coincidiendo con la celebración de la Campus Party, la web de SecurityByDefault a abierto su segundo wargame donde cualquier persona puede registrarse y participar, el wargame consiste en la resolución de un total de 23 pruebas de distintos tipos donde por resolver cada una de ellas se obtiene una puntuación. Hay un ranking de usuarios donde los tres primeros pueden llevarse un suculento premio donde se reparte:

Primero: 1.000 euros + Hardware valorado en 2000 euros (agradecimientos a ESET)
Segundo: 600 euros
Tercero: 400 euros

La participación puede realizarse a título individual o formando un grupo de varias personas pero teníendo una sola cuenta así que quien esté interesado puede participar hasta el dia 16 de julio. Sólamente se pide que nadie distribuya las soluciónes de los wargames, así que ha divertirse!

Las pruebas se dividen en las siguientes categorías:

Informática forense.
Seguridad web.
Redes.
Análisis binarios
Criptografía
otros..

Para entrar en el portal del wargame, pueden acceder desde aquí.

Deface a forospyware.com de ciberdelincuentes egiptos

noreply@blogger.com (Albert López) — Tue, 12 Jul 2011 11:30:00 +0000

Hace un par de días se modificó la página principal de la comunidad de forospyware.com por un supuesto delincuente informático o grupo de ellos que se hacen llamar Egyptian.H4x0rZ, como muchos sabrán esa comunidad se dedica entre otras cosas a ayudar a usuarios con problemas de malware y seguridad en sus ordenadores.

Creo importante comentar el hecho ya que hasta ahora no he visto información sobre ello y gracias a un usuario del foro de infomalware.net, r32 ha podido recopilar el error y las capturas de pantalla. Ahora la comunidad permanece offline seguramente investigando y tratando de arreglar el error pero como curiosidad todavia si se busca en google forospyware.com se puede ver el "title" modificado por los delincuentes.

El ataque sufrido parece una suplantación o molificación del índice, donde los atacantes dejaron un mensaje para el administrador dando una pincelada de su fuerte ego:

~ Hi Master ~

Hacked by | Egyptian.H4x0rZ

Gr33tz to : Hcj - Cyber-1st

#Hackers r0x Lamerz Sux

#Thanks all members of "Black-Hat"

#Contact : SpY [at] HotMail [dot] Com

#Nobody listens until you say something wrong

G00d bye .

Si alguien quiere ver el índice una vez realizado el deface aquí dejo una captura realizada por el usuario r32 y otra al realizar una búsqueda en google.

Se deberá esperar a ver si ponen algún anúncio dando más detalles del ataque.

¿ Que es la ingenieria social ? consejos actuales para evitar ser engañados.

noreply@blogger.com (Albert López) — Mon, 13 Jun 2011 13:53:00 +0000

La ingeniería social es un término en el contexto de la seguridad informática que hace referencia a la manipulación psíquica y emocional de terceras personas para conseguir información beneficiosa como contraseñas, acceso a sistemas protegidos o información personal como números de tarjetas de crédito.

Éste concepto existe desde hace muchísimos años y actualmente se sigue utilizando, donde los métodos empleadas se han ido puliendo a causa de la tecnificación y aparición de nuevas tendencias como la mayor socialización que existe gracias a las redes sociales entre otras, la mayor participación virtual sobre temas de protesta o temas de preocupación como son las crisis económicas o la necesidad de afecto y conocer gente en la red.

Las consecuencias de ser víctima en un ataque de ingeniería social pueden variar dependiendo de dos factores, por una parte el interés del atacante y por otra nuestro poder o importancia de la información que disponemos y lo útil que pueda ser para la persona que nos engañe. Generalmente existen dos objetivos, por una parte contraseñas o información y por otra hay un interés económico donde se suele intentar robar datos bancarios para posteriormente poder substraer dinero de las cuentas.
Los atacantes que utilizan la ingeniería social, previamente deben hacer un estudio de sus posibles víctimas recopilando todo tipo de información posible por relevante que parezca, uno de los objetivos para extraer la información es mostrar un ambiente de confianza con la víctima y por ello la gente suele percibir mejor el afecto de una persona cuando ésta puede hacer ver que piensa de forma parecida o incluso que tiene conocimientos sobre su entorno ya sea de gustos, ideologías o profesional.

Por ello una de las medidas que más se aconsejan es saber restringir lo máximo posible la información personal que se expone en internet, sobre todo especial mención a las redes sociales donde la gente suele publicar datos personales que cualquier persona puede consultar simplemente con una búsqueda en google.

Como conclusión, la ingeniera social abarca gran cantidad de engaños donde sería difícil mencionarlos o clasificarlos, aunque es importante saber algunas de las formas más conocidas que se utilizan actualmente para detectarlas y no ser una víctima más. Aquí algúnos consejos para usuarios domésticos:

- Mensajes de aplicaciones recibidas en redes sociales como facebook siempre recibidas de un contacto conocido.
- Mensajes de correos recibidos donde invitan a visitar una página web o descargar algún programa. Puede recibirse mediante la dirección de un contacto donde se debe antes preguntar directamente a esa persona si lo ha enviado voluntariamente.
- Mensajes de correo electrónico de entidades bancarias pidiendo datos (ellas nunca pedirán datos por correo electrónico).
- Mensajes recibidos mediante Messenger que inviten a entrar en páginas web o a descargar archivos, muchos se ven que no son reales porque están en otro idioma.
- Descarga de programas al visitar páginas web, muchos son malware. El típico ejemplo son falsos códec de video.
- Los falsos antivirus utilizan principalmente la ingeniería social para estafar dinero a los usuarios, en éste caso es recomendable utilizar antivirus conocidos y descargados o comprados desde sus sitios oficiales.
- Es importante no aceptar archivos enviados por personas desconocidas, ya que lo que se envía, aunque pueda por ejemplo aparentar ser una fotografía existen métodos para ocultar ejecutables que podrían ser troyanos, virus o programas para robar o controlar el ordenador.
- Envío de dinero a contactos conocidos por internet, por ejemplo para pagar viajes de parejas virtuales. Éste es un método muy utilizado por mujeres de Europa del éste y conocido como “Scam”.

Escrito por: Albert López.

Herramienta de análisis de binarios mediante entorno virtual: Zero Wine

noreply@blogger.com (Albert López) — Fri, 27 May 2011 21:57:00 +0000

Seguro que más de uno tendrá su pequeño "laboratorio" para análisis de Malware, aunque generalmente llegar a tener un espacio virtualizado con todas las herramientas disponibles es una tarea pesada ya que se deben actualizar, renovar imágenes, utilizar todas las herramientas para ver las actividades de la muestra...

Ahora, con el proyecto Zero Wine, se tiene la oportunidad de obtener gran cantidad de información a partir de un sistema virtualizado con el emulador wine en un entorno sandbox, es tan fácil como subir el archivo y se crearán unos reportes automatizados con información, donde se nos mostrará 4 tipo de informaciones.

Complete report

Es un reporte donde se mostrará principales actividades y librerías utilizadas por el malware, útil para un primer análisis estático de la muestra para determinar que acciones realiza el mawlare.

Strings

Esta opción es interesante, ya que se nos resume strings encontradas en el malware como si lo debugearamos por ejemplo con el OllyDebug. La mayor utilidad es captar dominios donde se conecta, cuentas de email e información general que nos ayude a ver que actividades realiza, sobre todo actividades de red.

File Header

Muestra información sobre la cabecera del ejecutable, quizá es la menos interesante a simple vista pero puede ayudar si luego se requiere hacer un debugeado manual del archivo.

Signature

Esta parte es muy interesante, nos indicará todas las llamadas a la API donde podremos descubrir gran parte de la actividad del malware, por ejemplo donde se copia, que elimina, algunas de las modificaciones que pueda hacer..

Éste proyecto tiene licencia GPL y actualmente existen dos variantes de éste proyecto, una nacida de la otra. a continuación dejo como referencia las dos paginas por si a alguien le interesa y de donde lo podrán descargar.

http://zerowine.sourceforge.net
http://zerowine-tryout.sourceforge.net

Nueva actualización del Killtrojan Syslog v0.22

noreply@blogger.com (Albert López) — Wed, 25 May 2011 21:58:00 +0000

Se ha subido una nueva actualización de esta herramienta con nuevas funcionalidades lo que la hace una herramienta todavía mas completa para la ayuda y asisténcia de problemas relacionados con el malware en el ordenador.

Las funcionalidades actuales son:

Procesos ejecutandose en el sistema.

Diferentes tipos de claves del registro de interés. (+ Ahora analiza más)

Archivos que se auto-ejecutan con el sistema.

Copia del archivo hosts del sistema.

Servicios del sistema. Nuevo

Log con etiquetas BBCode

Información complementaria sobre posibles efectos dañinos de malware (Deshabilitación de algunas características como el administrador de tareas, firewall, centro de seguridad..). Nuevo

- Recuerden que pueden descargar la nueva versión de ésta herramienta de forma gratuita desde aquí

Nuevo timos que se propagan como mensajes en facebook

noreply@blogger.com (Albert López) — Mon, 16 May 2011 21:07:00 +0000

En el blog de Spamloco.net ya han advertido de un posible timo que se extiende mediante mensajes en los contactos de facebook, el objetivo es hacer creer a los usuarios que pueden dar distintos datos de sus cuentas, como las personas que visitan su perfil, las horas que están conectados en facebook a la semana entre otros ejemplos.

El timo tiene tal magnitud que todos los datos coinciden con todos los usuarios, y todavía muchísimos siguen las instrucciones de los enlaces fraudulentos de estos menajes ayudando a expandir el timo. Aquí por ejemplo una de las paginas del timo:

http://tadero.info/spain.php

Uno de los timos ofrecidos por estos mensajes, es la de recoger números de teléfono para posteriormente enviar spam y haciendo que el propio usuario pague los mensajes ya que llegan como mensajes de servicio.

Otro de los enlaces por ejemplo, direcciona a una página que invita al usuario a ayudar la expansión del timo a sus amigos mediante la copia de un código javascript en el navegador con el siguiente contenido:

Con el código, una vez introducido estando logueado en facebook, de forma automática el mensaje se reenviara a contactos amigos de forma aleatoria. Por eso se avisa a todos los usuarios borrar automáticamente cualquier mensaje recibido con estas características por seguridad y para que otros usuarios no propaguen el timo.

Aquí dejo unos ejemplos de 3 de los mensajes que se han encontrado con éste timo, también hay en otros idiomas.

Talleres practicos sobre seguridad informática orientada al malware en elhacker.net

noreply@blogger.com (Albert López) — Tue, 10 May 2011 21:51:00 +0000

Para todas aquellas personas que empiezan totálmente de cero, como los que tengan más contacto con malware en el subforo de Seguridad de elhacker.net se abre un espacio para poder poner talléres prácticos para que todo tipo de gente pueda aprender.

La idea es dar bases teóricas con un ejercicio práctico para que cualquier usuario se pueda beneficiar y a la vez cualquier usuario pueda compartir sus conocimeintos con la comunidad o los usuarios que lleguen hasta nuestro foro.

Particípa en esta iniciativa del foro! todos podemos aportar nuestro grano de arena y trabajar y beneficiarnos en proyectos del foro. El objetivo principal es compartir información con otros usuarios y a la vez poder aprender de otros.

Normas de funcionamiento.

Los cursos deben ir en PDF o un documento cláramente entendible, con un escríto claro con lenguaje formal y deberían añadirse capturas de pantalla para mejorar la comprensión.

Todo archivo para realizar la parte práctica, en caso de ser malware en principio debería ser programado por cada persona que realiza su taller con fínes de seguridad. En caso de no ser así se indicará para evitar malentendidos.

Todo archivo que sea considerado malware, deberá poderse descargarse comprimido en ZIP/RAR/7ZIP con la contraseña "elhacker.net".

Todo aquel que suba un malware para realizar una práctica, y este esté infectado con fínes propios no volverá a entrar en el foro, almenos con su cuenta. De todas formas los Moderadores comprovarémos en el menor tiempo posible si las acciónes del malware se corresponden a la descripción.

Las dudas o preguntas referéntes a los talléres, se deberán realizar en un post aparte en el subforo de seguridad. Aquí se creará un índice de cursos y en nuevos posts se irá añadiendo los cursos con todos sus detalles.

Para poder presentar tu taller y que sea aceptado aquí, se requerirá tener una antiguedad en el foro de 3 meses. Para excepciónes hablar con los MODS de seguridad si alguien estuvíera muy interesado en compartir su información, es cuestión de seguridad.

Si estás interesado en obtener el material de los cursos, o si ya eres usuario desde hace 3 méses o te interesa compartir unos conocimientos, puedes entrar en el siguiente enlace para ver mas detalládamente las bases de los talleres y el contenido.

Espacio de talleres practicos de seguridad informatica orientada al malware de elhacker.net