Hola,

Acabo de leer el caso y me gustaría decir algunas cosas respecto al hilo de forocoches;

Leyenda, de cara dura nada, Blau no tiene porque pedir disculpas por algo que no es responsabilidad nuestra. ¿O acaso el staff de forocoches está pendiente del comportamiento de sus miembros en otros foros?. Te digo una cosa, en nuestras normas no se permiten actos delictivos. Nosotros investigamos y programamos malware por diversión desde 2004, y el uso que se le de no es nuestro problema. Sería como prohibir los cuchillos porque se puede dar un mal uso y matar a alguien (?). Así que conocenos un poco antes de escribir, porque gente mala hay en todos los foros...

No estoy diciendo que este chico no haya intentado infectaros, puede que si, analizaremos y si es así se le sancionará. Pero en el hilo de FC llevais 21 paginas y no hay ninguna prueba de nada, solo habéis buscado su nick en Google. Así que por favor, facilitarnos el ejecutable sospechoso y lo analizaremos a fondo para saber si realmente este usuario estaba tratando de infectar, de ser así podeis estar seguro que yo mismo facilitaré su IP para la denuncia.

Saludos!

Scorpio escribió:

TheCruZ escribió:1.- ¿Que es el archivo temp.cfg?El archivo temp estaba en la version 1 por que queria hacer que se guardara el listado y se volviese a abrir al cerrar el programa, pero al final no lo termine y seguia creando un temp que solo marca 1 y 2
2.- ¿Por que bajaba un exe?El archivo exe que bajaba de dropbox es para poder actualizar la aplicacion por si se lo añadia, como alguno abra comprobado al cerrarlo aveces tarda y es para ver si hay actualizacion, la cual nunca la a habido por que no tenia ni 1h ese archivo...
3.- ¿Porque el peso del archivo varia un poco cuando publique la source?, pues tan simple como que como todos vieron quite la dependencia de el ocx y con ello todo el codigo del boton

Porfavor antes de suponer cosas preguntadlas

A ver, yo solo veo un archivo en Dropbox que ha sido modificado hace dos horas.

SeikuS escribió:

Blau escribió:

SeikuS escribió: Lo de "juanker" se refiere al lameruzo de Cruz, no sé por que te ofende el comentario...
El ejecutable de dropbox solo lo tendrán los infectados, como podrás deducir la mayoría ha restaurado el sistema o a formateado para que el individuo de cruz no pueda tener acceso, lo que si está el el enlace de dropbox pero el archivo está eliminado del servidor

Perdón, pensé que se refería a mí.
Cuando tengáis una muestra posteadla aquí. Seguramente usará un crypter convencional, del que sabe hacer todo el mundo. Un simple hook en WriteProcessMemory o RtlMoveMemory y podré obtener el servidor original, después sólo sería analizarlo para identificar el RAT o bot y obtener la información de conexión.

Copio y pego un comentario del foro:
----------
Hubo 2 versiones, la segunda, que acompañaba con el código fuente, esta limpia.
La primera, si da error de runtime, no ha llegado a ejecutarse.
Si no ha dado el error, al cerrar el programa, se descarga un archivo de dropbox
[Enlace externo eliminado para invitados] r o p b o x .com/s/dl6jizz3o2yxa1h/45g76w4567j56.exe?d=1
El cual ya no está, y lo guarda en %TEMP% con un nombre aleatorio.
Si alguien tiene un archivo reciente en temp con un nombre sospechoso, ahí lo tiene.
----------
Según parece es ese archivo de dropbox y si está en el servidor todavía.
Para eliminar la infección con restaurar el sistema es suficiente o hay que formatear?

Si me dais un Sample, yo mismo creo un desinstalador para esa basura, pero espero no ver mas mofas hacia nuestra comunidad, nosotros analizamos cada uno de los aportes de nuevos miembros para ver que estan limpios, por eso no veras problemas como esos por aquí, con un simple aviso bastaba para que se tomaran medidas con el usuario, he incluso una pequeña cooperación contra este tipo de personas, en Indetectables no se apoya de ninguna forma esta actitud y esta extrictamente prohibida.

PD: Apoyo totalmente la actitud de mi compañero Blau, siempre respetuoso y demostrando una compostura admirable ante este tipo de situación.

//Regards.

Que se supone que es un "Sample"? Donde se puede mirar para conseguirlo?
Forocoches es el foro mas grande y con mas actividad de españa, espero que entiendas que pueden haber muchos infectados y que hay usuarios de todo tipo, no tenéis que molestaros por comentarios de una minoría.

Entiendo tu opinion SeikuS, simplemente me molestó ese tipo de comentarios, como bien dice mi compañero $DoC son 21 paginas en las cuales vi muchas cosas ofensivas, pero dejemos esto para otra ocasión, un Sample es una copia del ejecutable, para poder analizarlo y crear el desinstalador, algo sencillo.

PD: Te he mandado un Mensaje Privado para poder hablar mas seguido.

//Regards.

$DoC escribió:Hola,

Acabo de leer el caso y me gustaría decir algunas cosas respecto al hilo de forocoches;

Leyenda, de cara dura nada, Blau no tiene porque pedir disculpas por algo que no es responsabilidad nuestra. ¿O acaso el staff de forocoches está pendiente del comportamiento de sus miembros en otros foros?. Te digo una cosa, en nuestras normas no se permiten actos delictivos. Nosotros investigamos y programamos malware por diversión desde 2004, y el uso que se le de no es nuestro problema. Sería como prohibir los cuchillos porque se puede dar un mal uso y matar a alguien (?). Así que conocenos un poco antes de escribir, porque gente mala hay en todos los foros...

No estoy diciendo que este chico no haya intentado infectaros, puede que si, analizaremos y si es así se le sancionará. Pero en el hilo de FC llevais 21 paginas y no hay ninguna prueba de nada, solo habéis buscado su nick en Google. Así que por favor, facilitarnos el ejecutable sospechoso y lo analizaremos a fondo para saber si realmente este usuario estaba tratando de infectar, de ser así podeis estar seguro que yo mismo facilitaré su IP para la denuncia.

Saludos!

Hay que tener pocas luces para no darse cuenta de las intenciónes del señor Cruz, ¿te crees que es fácil facilitaros el ejecutable de dropbox cuando los que se han enterado que pueden estar infectados han formateado o restaurado el sistema?

SeikuS escribió:

$DoC escribió:Hola,

Acabo de leer el caso y me gustaría decir algunas cosas respecto al hilo de forocoches;

Leyenda, de cara dura nada, Blau no tiene porque pedir disculpas por algo que no es responsabilidad nuestra. ¿O acaso el staff de forocoches está pendiente del comportamiento de sus miembros en otros foros?. Te digo una cosa, en nuestras normas no se permiten actos delictivos. Nosotros investigamos y programamos malware por diversión desde 2004, y el uso que se le de no es nuestro problema. Sería como prohibir los cuchillos porque se puede dar un mal uso y matar a alguien (?). Así que conocenos un poco antes de escribir, porque gente mala hay en todos los foros...

No estoy diciendo que este chico no haya intentado infectaros, puede que si, analizaremos y si es así se le sancionará. Pero en el hilo de FC llevais 21 paginas y no hay ninguna prueba de nada, solo habéis buscado su nick en Google. Así que por favor, facilitarnos el ejecutable sospechoso y lo analizaremos a fondo para saber si realmente este usuario estaba tratando de infectar, de ser así podeis estar seguro que yo mismo facilitaré su IP para la denuncia.

Saludos!

Hay que tener pocas luces para no darse cuenta de las intenciónes del señor Cruz, ¿te crees que es fácil facilitaros el ejecutable de dropbox cuando los que se han enterado que pueden estar infectados han formateado o restaurado el sistema?

Si que es facil, y mucho la verdad, al menos si crees que un simple "Restaurar Sistema" borra los archivos, solo tienen que entrar en AppData o TEMP que son las rutas mas habituales y mirar si hay algo raro, ademas de tener el registro de windows...

//Regards.

Te vuelvo a repetir que no estoy diciendo que Cruz sea inocente, pero hay que acusar con pruebas, ¿sino quien tiene razón?, tu diciendo que estaba el exe infectado o el diciendo que era una actualización?. Si debería de ser facil, porque el primero que sospechó debería haber guardado una copia.

Yo trato de aclarar el asunto, pero vamos, si quieres denunciarlo tendréis que aportar pruebas en la denuncia, al juez no le puedes decir "hay que tener pocas luces para no darse cuenta que es culpable"

Saludos!

He estado siguiendo el tema estos días y voy a dar mi punto de vista resumidamente:

Vi nacer y morir el tema de CruZ (lo de ayudarle con los bugs) y personalmente no me dió ningún error de OCX porque es una ocx que la gente suele tener y se me habría instalado con lo que sea.
Cuando pasó lo de la OCX todo el mundo empezó a decirle hacker sin tener ni idea de que era ese error.. pensando que era una tapadera.. pero parece que no.

Después empezaron a salir personajillos que habían buscando su nick en google , poneindo links a foros de HACKS, lo que no saben es que EL CONOCIMIENTO NO ES DELITO.

El link de Dropbox estaba roto, nadie estaba infectado (se comprobaron rutas de inicio y carpetas temporales) y demás. Yo no veo que este chaval haya hecho nada.

Un saludo.

$DoC escribió:Te vuelvo a repetir que no estoy diciendo que Cruz sea inocente, pero hay que acusar con pruebas, ¿sino quien tiene razón?, tu diciendo que estaba el exe infectado o el diciendo que era una actualización?. Si debería de ser facil, porque el primero que sospechó debería haber guardado una copia.

Yo trato de aclarar el asunto, pero vamos, si quieres denunciarlo tendréis que aportar pruebas en la denuncia, al juez no le puedes decir "hay que tener pocas luces para no darse cuenta que es culpable"

Saludos!

Tranquilo, nosotros acusamos "sin" pruebas (según tu) y la guardia civil se encargara de buscar las pruebas, por eso no te preocupes.

Hay un usuario que solo ha restaurado el sistema, cuando se conecte quizás pueda facilitar el archivo.

SeikuS escribió:

$DoC escribió:Te vuelvo a repetir que no estoy diciendo que Cruz sea inocente, pero hay que acusar con pruebas, ¿sino quien tiene razón?, tu diciendo que estaba el exe infectado o el diciendo que era una actualización?. Si debería de ser facil, porque el primero que sospechó debería haber guardado una copia.

Yo trato de aclarar el asunto, pero vamos, si quieres denunciarlo tendréis que aportar pruebas en la denuncia, al juez no le puedes decir "hay que tener pocas luces para no darse cuenta que es culpable"

Saludos!

Tranquilo, nosotros acusamos "sin" pruebas (según tu) y la guardia civil se encargara de buscar las pruebas, por eso no te preocupes.

Hay un usuario que solo ha restaurado el sistema, cuando se conecte quizás pueda facilitar el archivo.

Eso si el hijo de puta de cruz (perdón por la expresión) que está conectado calladito, no le da por entrar desde el troyano al ordenador del chaval y intenta borrar pruebas, pero como te digo... la guardia civil sabe lo que hace.

xSantrax escribió:He estado siguiendo el tema estos días y voy a dar mi punto de vista resumidamente:

Vi nacer y morir el tema de CruZ (lo de ayudarle con los bugs) y personalmente no me dió ningún error de OCX porque es una ocx que la gente suele tener y se me habría instalado con lo que sea.
Cuando pasó lo de la OCX todo el mundo empezó a decirle hacker sin tener ni idea de que era ese error.. pensando que era una tapadera.. pero parece que no.

Después empezaron a salir personajillos que habían buscando su nick en google , poneindo links a foros de HACKS, lo que no saben es que EL CONOCIMIENTO NO ES DELITO.

El link de Dropbox estaba roto, nadie estaba infectado (se comprobaron rutas de inicio y carpetas temporales) y demás. Yo no veo que este chaval haya hecho nada.

Un saludo.

Hola Cruz!! buen intento, Saludos

SeikuS escribió:

SeikuS escribió:

$DoC escribió:Te vuelvo a repetir que no estoy diciendo que Cruz sea inocente, pero hay que acusar con pruebas, ¿sino quien tiene razón?, tu diciendo que estaba el exe infectado o el diciendo que era una actualización?. Si debería de ser facil, porque el primero que sospechó debería haber guardado una copia.

Yo trato de aclarar el asunto, pero vamos, si quieres denunciarlo tendréis que aportar pruebas en la denuncia, al juez no le puedes decir "hay que tener pocas luces para no darse cuenta que es culpable"

Saludos!

Tranquilo, nosotros acusamos "sin" pruebas (según tu) y la guardia civil se encargara de buscar las pruebas, por eso no te preocupes.

Hay un usuario que solo ha restaurado el sistema, cuando se conecte quizás pueda facilitar el archivo.

Eso si el hijo de puta de cruz (perdón por la expresión) que está conectado calladito, no le da por entrar desde el troyano al ordenador del chaval y intenta borrar pruebas, pero como te digo... la guardia civil sabe lo que hace.

Si, seguro que saben lo que hacen... Respecto a lo de borrar pruebas, seguro que ahora si el caso es cierto si lo hace.

PD: Espero no ver mas faltas de respeto, estamos haciendo nuestro trabajo, no hay que desesperarse.

//Regards.

SeikuS escribió:

SeikuS escribió:

$DoC escribió:Te vuelvo a repetir que no estoy diciendo que Cruz sea inocente, pero hay que acusar con pruebas, ¿sino quien tiene razón?, tu diciendo que estaba el exe infectado o el diciendo que era una actualización?. Si debería de ser facil, porque el primero que sospechó debería haber guardado una copia.

Yo trato de aclarar el asunto, pero vamos, si quieres denunciarlo tendréis que aportar pruebas en la denuncia, al juez no le puedes decir "hay que tener pocas luces para no darse cuenta que es culpable"

Saludos!

Tranquilo, nosotros acusamos "sin" pruebas (según tu) y la guardia civil se encargara de buscar las pruebas, por eso no te preocupes.

Hay un usuario que solo ha restaurado el sistema, cuando se conecte quizás pueda facilitar el archivo.

Haber personaje,
1.- Deja de insultar
2.- La guardia civil no puede hacer nada si no existe ningun delito, en ningun momento infecte a nadie ni he echo nada con nadie, asique por mucho que buscaran no encontrarian nada,
solo estoy esperando las respuestas de Blau/Ukranow/Doc para que verifiquen el archivo, y porfin me dejeis en paz, porque lo que estais haciendo es delito, como esas amenazas que decis de "pillarme por la calle" y esto de buscar informacion sobre mi y publicarla es delito, Saves que hay una ley que defiende la privacidad de las personas?

Quizas tus padres nunca te dijeron esto pero, PIENSA antes de hablar

Eso si el hijo de puta de cruz (perdón por la expresión) que está conectado calladito, no le da por entrar desde el troyano al ordenador del chaval y intenta borrar pruebas, pero como te digo... la guardia civil sabe lo que hace.

SeikuS escribió:

xSantrax escribió:He estado siguiendo el tema estos días y voy a dar mi punto de vista resumidamente:

Vi nacer y morir el tema de CruZ (lo de ayudarle con los bugs) y personalmente no me dió ningún error de OCX porque es una ocx que la gente suele tener y se me habría instalado con lo que sea.
Cuando pasó lo de la OCX todo el mundo empezó a decirle hacker sin tener ni idea de que era ese error.. pensando que era una tapadera.. pero parece que no.

Después empezaron a salir personajillos que habían buscando su nick en google , poneindo links a foros de HACKS, lo que no saben es que EL CONOCIMIENTO NO ES DELITO.

El link de Dropbox estaba roto, nadie estaba infectado (se comprobaron rutas de inicio y carpetas temporales) y demás. Yo no veo que este chaval haya hecho nada.

Un saludo.

Hola Cruz!! buen intento, Saludos

No soy cruz, pedazo de retrasado ...

Te dejo con tu labor de buscar pruebas inexistentes para acusar al "JACKER" para así amortizar las 6 horas que te has tirado escribiendo su nick en google.

Saludos!!

Sus pasos complicados, la prueba infección y pasaron a otras cosas d aquí allí, allí no ser es Ban_Ban?/?&/%?&?* nada de complicar...
respecto.....
saludos ...

esto se conecta a mi pc