EXCELENTE con todas las letras.
Gracias a ti saque el poison ivy .
Muy buen aporte, sobre todo para aquella gente que se esté iniciando en este mundo.
Así evitarán ser infectados facilmente
saludos
Así evitarán ser infectados facilmente
saludos
esta bueno el manual pero tengo un problema me auto-infecto con el poison hago todo lo k dices en el manual y no me arroja ningun resultado
muy buen tuto me va aser de mucha ayuda
bombero jr escribió:muy buen tuto me va aser de mucha ayuda
la verdad que si
saludos;
gracias muy buen tutorial
No hay nadie mejor
Gracias...es de gran ayuda el tuto
Hola a tod@s en primer lugar no acuso a nadie ¿oK? bueno resulta que me descarge el archivo utileria y dentro ay filemon, autorun y procesXP bueno la cosa es que 2s de ellos lleban adozado, joineado o como kieran llamarle varios archivos me resulto un tanto sospexozo asin ke los extraje y cual fue mi sorpreza que dos de ellos son stub.exe aki las direcciones de memoria y pruebas
procexp.exe... EDITO: el Stud.exe este tiene un algoritmo aPlib compresion
=====================================================
Stub.exe: 0x0 - 0xabb38 (703288 bytes) <-----------Por lo menos podia averle cambiao el nombre SecureWeb-Gateway 6.7.6 2009.01.10 Win32.Malware.dam (suspicious)
ExtractedFile1.exe: 0xabb38 - 0xaec50 (12568 bytes)
ExtractedFile2.exe: 0xaec50 - 0xb2398 (14152 bytes)
ExtractedFile3.exe: 0xb2398 - 0xb43d0 (8248 bytes)
ExtractedFile4.exe: 0xb43d0 - 0x180c48 (837752 bytes)
ExtractedFile5.exe: 0x180c48 - 0x188cd8 (32912 bytes)
ExtractedFile6.exe: 0x188cd8 - 0x35b828 (1911632 bytes)
Filemon.exe...
=================================================
Stub.exe: 0x0 - 0x3d3f8 (250872 bytes)
ExtractedFile1.exe: 0x3d3f8 - 0x50598 (78240 bytes)suspected of Win32.BrokenEmbeddedSignature
ExtractedFile2.exe: 0x50598 - 0x98508 (294768 bytes)
ExtractedFile3.exe: 0x98508 - 0xacfd8 (84688 bytes)
ExtractedFile4.exe: 0xacfd8 - 0xb6b38 (39776 bytes)
Un gran s@1u2 y no acuso a nadie solo digo que lo revize alguien mas que yoo y diga, yo demomento voy a extraer mas info de esto
procexp.exe... EDITO: el Stud.exe este tiene un algoritmo aPlib compresion
=====================================================
Stub.exe: 0x0 - 0xabb38 (703288 bytes) <-----------Por lo menos podia averle cambiao el nombre SecureWeb-Gateway 6.7.6 2009.01.10 Win32.Malware.dam (suspicious)
ExtractedFile1.exe: 0xabb38 - 0xaec50 (12568 bytes)
ExtractedFile2.exe: 0xaec50 - 0xb2398 (14152 bytes)
ExtractedFile3.exe: 0xb2398 - 0xb43d0 (8248 bytes)
ExtractedFile4.exe: 0xb43d0 - 0x180c48 (837752 bytes)
ExtractedFile5.exe: 0x180c48 - 0x188cd8 (32912 bytes)
ExtractedFile6.exe: 0x188cd8 - 0x35b828 (1911632 bytes)
Filemon.exe...
=================================================
Stub.exe: 0x0 - 0x3d3f8 (250872 bytes)
ExtractedFile1.exe: 0x3d3f8 - 0x50598 (78240 bytes)suspected of Win32.BrokenEmbeddedSignature
ExtractedFile2.exe: 0x50598 - 0x98508 (294768 bytes)
ExtractedFile3.exe: 0x98508 - 0xacfd8 (84688 bytes)
ExtractedFile4.exe: 0xacfd8 - 0xb6b38 (39776 bytes)
Un gran s@1u2 y no acuso a nadie solo digo que lo revize alguien mas que yoo y diga, yo demomento voy a extraer mas info de esto
http://www.SEViLLATEAM.COM Tu comunidad Libre!!
Deme un pez y comeré un día, enseñeme a pescar y comeré pescado todos los días
Deme un pez y comeré un día, enseñeme a pescar y comeré pescado todos los días
Bro lo postie yo, y lo baje de la pagina de microsoft, si tienes duda alguna puedes bajarlos de systernals.
Saludos.
Saludos.
TopCorp -Servicios de programacion a precios muy económicos
Perdon si te sentiste ofendido no fue mi intencion ademas loe descargado de la web de microsoft y sigue teniendo joineado esos archivos
Un S@1u2 Broder
Un S@1u2 Broder
http://www.SEViLLATEAM.COM Tu comunidad Libre!!
Deme un pez y comeré un día, enseñeme a pescar y comeré pescado todos los días
Deme un pez y comeré un día, enseñeme a pescar y comeré pescado todos los días
hola, no entiendo bien, los archivos q sacas del AutoRun son los que tiene n/a , eso que quiere decir?, por lo visto 2 de esos archivos no existen, por lo tanto el unico que queda es el sys_undate.exe, eso quiere decir q en el process explorer debieras de poner eso nombre a localizar, pero pusiste winsupport, por q? si el nombre del trojan era otro?
ojo que esto sirve para la rama HEY LOCAL MACHINE no para HEY LOCAL USER en ella otra rama existen otros metodos de inicio de troyanos asike tamb tengan en cuenta eso
pod: si hay para HEY LOCAL user me confundi
pod: si hay para HEY LOCAL user me confundi
Blog de Seguridad Informática => ShikataGanaiSeguridad.blogspot.com
Hola, solo es con los que dicen n/a?
tengo esto: 0 File not found: About:Home
y otros autorun que se ven medio raros porfavor me podrian aclarar si solo es con los que dicen n/a
gracias de antemano
tengo esto: 0 File not found: About:Home
y otros autorun que se ven medio raros porfavor me podrian aclarar si solo es con los que dicen n/a
gracias de antemano
Si son los n/a generalmente BIFROST es y poison ivy.
Blog de Seguridad Informática => ShikataGanaiSeguridad.blogspot.com
entonces q decir esta infectado o no
si la envidia fuera tinosa cuantas tinosa hubieran
