¿Hacker o software espía? La conexión no es privada

Hola a todos, ya hace alrededor de 2 años desde la última entrada y es que he andado liado con otras actividades sin poder terminar mucho de los proyectos que tenía pensado. Eso y el hecho que me hayan hecho firmar un acuerdo de confidencialidad, que tampoco me permitía realizar proyectos que compitieran con el ente en cuestión, me ha hecho abandonar el blog. Pero, en fin, ese ya es otro tema.
El otro día con mi notebook principal ocupada, me decidí a utilizar la netbook (que la tengo relegada, para algunas cosas especificas de programación) y vaya sorpresa la mía, cuando veo que no podía acceder a algunos sitios mas conocidos.
Si recordamos algunas entradas como "Las paginas juegan con nuestros datos" donde luego de interceptar la comunicación podíamos ver los datos que se enviaban por la red. Puse como ejemplo el caso de Windows Live que avisaba al usuario de dicho acto


Hace poco, salió una noticia de que Google quería combatir las paginas http que no están cifradas para reducir esto del robo de datos y demás:
http://staff5.com/chrome-quiere-acabar-las-paginas-http/
Inclusive, hoy en día los exploradores mas conocidos nos protegen bastante de muchas estafas.

En mi caso, cuando intentaba acceder a sitios conocidos que utilizan https como google, windows live, entre otros. Me salía un alerta de que mi conexión había sido interceptada.



¿Realmente podía ser posible?, un hacker en mi red?. ¡Vamos!, que he hecho cosas en el pasado que se considerarían poco ortodoxas, para el bien de la ciencia (? . Pero, ¿alguien en mi red? muy raro.

Podría usar algún programa que me diga si hay alguna maquina en modo promiscuo sniffeando la red, tipo Promqry (esta aplicación la sacó microsoft hace mucho años ya para ayudarnos en windows con estos temas).
Pero antes de continuar con la paranoia, si analizo la red con algún escaner de red en busca de los dispositivos conectados, solo encuentro dispositivos conocidos (según puedo ver comparando las direcciones MAC).


¿Y si fuera un programa malicioso?
Para un primer vistazo,  revisamos los programas que se ejecutan al iniciar el sistema. Existen varias formas, como se han tratado en diferentes entradas en este blog. Simplemente desde el registro, o utilizando alguna aplicación como Tuneup, ccleaner etc.
En este caso utilicé el autoruns, una herramienta proporcionada por microsoft que muestra una lista completa de todas las aplicaciones, servicios y procesos que se ejecutan al inicio.


Luego de buscar entre las aplicaciones y no ver nada extraño. Quizá podría haber algún comportamiento extraño, como una conexión en algún puerto. Para eso solo basta con ejecutar el comando netstat-b en la consola (actualmente requiere iniciar la consola como administrador)

Viendo los resultados no encuentro ninguna conexión abierta, lo que indica que no hay ningún proceso que se esté conectando a otro remotamente. Es decir que si existe, al menos no se está ejecutando independientemente y debe iniciarse con determinado proceso.
Por ejemplo, al abrir firefox normalmente muestra algo como lo siguiente:

En la imagen anterior se ven simplemente conexiones locales, por lo que si existe esta supuesta aplicación maliciosa, está tunelizando las conexiones y envenenando o los procesos de los exploradores lanzándose con la ejecución de ellos, o algún componente de windows.
Como no tengo instalado un antivirus, busco una de las herramienta que tengo como indispensable, hago un escaneo rápido y sí!, el anti malware, encuentra unas librerías, descritas como Trojan.FakeAlert .

Aunque quizá no sea el troyano en sí, la heurística del malwarebytes detecta que tiene rutinas similares. Justamente, una de las características del malware es mostrar sitios con falsos resultados de infecciones para que intentes descargar otros malwares, o incluso suscribirte a cuentas premium etc. El explorador al detectar que el certificado de seguridad del https no era valido, directamente lo bloqueaba.
Al ver esas librerías, finalmente recordé que al estar haciendo un trabajo, para hacer unas pruebas me pasaron unos instaladores de sql server. Y al parecer no eran muy legales que digamos.

Así que ya saben, tengan cuidado con el software pirata. O de donde descargan software, si bien los exploradores están evolucionando cada vez mas para protegernos, esto no es certeza de ello.

Saludos, y hasta la próxima entrada!.

Comentarios

  1. Seien Sie intelligent und wachsen in weniger als 48 Stunden .... Es hängt alles von
    Wie schnell Sie können, um die neue PROGRAMMED leere ATM-Karte, die ist
    Fähig zum Hacken in irgendeine ATM Maschine, überall in der Welt. ich habe
    Zu wissen, über diese BLANK ATM CARD, wenn ich auf der Suche nach Job online war
    Vor ungefähr einem Monat. Es hat wirklich mein Leben für gutes geändert und jetzt I
    Kann sagen, ich bin reich und ich kann nie wieder arm sein. Das geringste Geld bekomme ich
    An einem Tag mit ihm ist ungefähr $ 12,000.Every hin und wieder pumpen ich
    Geld auf mein Konto. Obwohl illegal ist, gibt es keine Gefahr des Seins
    Gefangen, weil es so programmiert wurde, dass es nicht
    Nachvollziehbar, es hat auch eine Technik, die es unmöglich macht für die
    CCTVs, zum Sie zu ermitteln. Für Details auf, wie man Ihr heute erhält, eMail
    MRS AMANDA: (LEGENDARYHACKERS@OUTLOOK.COM). Erklären Sie Ihren geliebten auch, und fangen Sie an, groß zu leben. Das ist das einfache Zeugnis von meinem Leben
    Geändert für gute ... Love you all ... die E-Mail-Adresse ist wieder
    LEGENDARYHACKERS@OUTLOOK.COM

    ResponderEliminar
  2. SEI SMART UND WERDE IN WENIGER ALS DREI TAGEN REICH...
    Neuer Trick, um cooles Geld mit einer coolen, leeren ATM-Karte zu verdienen, ist echt, Brain Hacker Company, hat mir letzten Monat eine ihrer programmierten leeren ATM-Karten geschickt, seit ich die Karte erhalten habe, habe ich damit Geld vom Geldautomaten abgehoben Karte, der Grund, warum ich diesen Kommentar hier poste, ich möchte, dass jeder weiß, dass diese programmierte leere ATM-Karte echt ist und es immer noch von diesen echten Hacker-Firmen gibt ... , Sie können sie VIA kontaktieren ( brainhackers@aol.com )

    ResponderEliminar
  3. Valid & Guaranteed stuff will be provided with proper guidance
    Invalid stuff will be replaced/No Refund

    You can asked for any tools/tutorials for carding, hacking, spamming

    Contact Here:
    ----TG/icq : @killhacks
    ----Skype/Wickr : peeterhacks

    C-C Fullz with C.V.V-(8$ per each, minimum 5)
    Business EIN Fullz-(25$ for each)
    S.S.N DOB DL Fullz/Leads/Pros-(1$, 2$ & 5$ each)
    H-igh Credit Scores Fullz-(7$ for each)
    Du-mps with Pins-(101/202) / (75$ each)
    Log-ins/Co-mbos
    S-MTP's 15$ - C-Panels 25$
    S-hells 20$ - R.D.P's 15$
    Complete Sp-amming Package 300$
    Ha-cking tools & Tutorials 250$
    C-arding tools & Tutorials 300$

    ResponderEliminar
  4. Good Day Guys !

    We are offering fresh & Valid Fullz, Tools & Tutorials.
    All stuff will be genuine, Guaranteed & verified.
    Stuff will be provided in Mins.
    Very cheap prices & easy to get.

    For more details :
    TG/ICQ - @killhacks
    Wickr/Skype - @peeterhacks
    WA - +92 317 2721122
    Email - exploit(dot)tools4u at Gmail(dot)com

    Feel Free to contact for any query
    Many other stuff we are offering too

    CC Fullz with CVV+SSN
    SSN+DOB+DL Fullz with Complete Info
    High Credit Scores Fullz
    Dumps With Pins Track 101&202
    Business EIN Fullz
    Hacking Tools & Tutorials
    Spamming complete package with all stuff
    Carding & Loan Methods/Tutorials
    Fr**D Bi**e 2021/2022 updated
    BTC Cracking/Flashing
    RDP's/SMTP's/C-panels/Shells
    Web-mailers/Brutes/Crackers
    SQLi Injector/Server Penetration
    Kali Linux Master Class Complete
    Premium Logs (Amazon, E-bay, Coinbase, Netflix)
    I.P's/Proxies/Server I.P's

    We are a team of hackers & serving many good clients.
    You can try us as well
    Just contact us :

    WA - +92 317 2721122
    Email - exploit(dot)tools4u at Gmail(dot)com
    TG/ICQ - @killhacks
    Wickr/Skype - @peeterhacks

    ResponderEliminar

Publicar un comentario

Entradas populares