¿Hacker o software espía? La conexión no es privada
Hola a todos, ya hace alrededor de 2 años desde la última entrada y es que he andado liado con otras actividades sin poder terminar mucho de los proyectos que tenía pensado. Eso y el hecho que me hayan hecho firmar un acuerdo de confidencialidad, que tampoco me permitía realizar proyectos que compitieran con el ente en cuestión, me ha hecho abandonar el blog. Pero, en fin, ese ya es otro tema.
El otro día con mi notebook principal ocupada, me decidí a utilizar la netbook (que la tengo relegada, para algunas cosas especificas de programación) y vaya sorpresa la mía, cuando veo que no podía acceder a algunos sitios mas conocidos.
Si recordamos algunas entradas como "Las paginas juegan con nuestros datos" donde luego de interceptar la comunicación podíamos ver los datos que se enviaban por la red. Puse como ejemplo el caso de Windows Live que avisaba al usuario de dicho acto
Hace poco, salió una noticia de que Google quería combatir las paginas http que no están cifradas para reducir esto del robo de datos y demás:
http://staff5.com/chrome-quiere-acabar-las-paginas-http/
Inclusive, hoy en día los exploradores mas conocidos nos protegen bastante de muchas estafas.
En mi caso, cuando intentaba acceder a sitios conocidos que utilizan https como google, windows live, entre otros. Me salía un alerta de que mi conexión había sido interceptada.
¿Realmente podía ser posible?, un hacker en mi red?. ¡Vamos!, que he hecho cosas en el pasado que se considerarían poco ortodoxas, para el bien de la ciencia (? . Pero, ¿alguien en mi red? muy raro.
Podría usar algún programa que me diga si hay alguna maquina en modo promiscuo sniffeando la red, tipo Promqry (esta aplicación la sacó microsoft hace mucho años ya para ayudarnos en windows con estos temas).
Pero antes de continuar con la paranoia, si analizo la red con algún escaner de red en busca de los dispositivos conectados, solo encuentro dispositivos conocidos (según puedo ver comparando las direcciones MAC).
¿Y si fuera un programa malicioso?
Para un primer vistazo, revisamos los programas que se ejecutan al iniciar el sistema. Existen varias formas, como se han tratado en diferentes entradas en este blog. Simplemente desde el registro, o utilizando alguna aplicación como Tuneup, ccleaner etc.
En este caso utilicé el autoruns, una herramienta proporcionada por microsoft que muestra una lista completa de todas las aplicaciones, servicios y procesos que se ejecutan al inicio.
Luego de buscar entre las aplicaciones y no ver nada extraño. Quizá podría haber algún comportamiento extraño, como una conexión en algún puerto. Para eso solo basta con ejecutar el comando netstat-b en la consola (actualmente requiere iniciar la consola como administrador)
Viendo los resultados no encuentro ninguna conexión abierta, lo que indica que no hay ningún proceso que se esté conectando a otro remotamente. Es decir que si existe, al menos no se está ejecutando independientemente y debe iniciarse con determinado proceso.
Por ejemplo, al abrir firefox normalmente muestra algo como lo siguiente:
En la imagen anterior se ven simplemente conexiones locales, por lo que si existe esta supuesta aplicación maliciosa, está tunelizando las conexiones y envenenando o los procesos de los exploradores lanzándose con la ejecución de ellos, o algún componente de windows.
Como no tengo instalado un antivirus, busco una de las herramienta que tengo como indispensable, hago un escaneo rápido y sí!, el anti malware, encuentra unas librerías, descritas como Trojan.FakeAlert .
Aunque quizá no sea el troyano en sí, la heurística del malwarebytes detecta que tiene rutinas similares. Justamente, una de las características del malware es mostrar sitios con falsos resultados de infecciones para que intentes descargar otros malwares, o incluso suscribirte a cuentas premium etc. El explorador al detectar que el certificado de seguridad del https no era valido, directamente lo bloqueaba.
Al ver esas librerías, finalmente recordé que al estar haciendo un trabajo, para hacer unas pruebas me pasaron unos instaladores de sql server. Y al parecer no eran muy legales que digamos.
Así que ya saben, tengan cuidado con el software pirata. O de donde descargan software, si bien los exploradores están evolucionando cada vez mas para protegernos, esto no es certeza de ello.
Saludos, y hasta la próxima entrada!.
El otro día con mi notebook principal ocupada, me decidí a utilizar la netbook (que la tengo relegada, para algunas cosas especificas de programación) y vaya sorpresa la mía, cuando veo que no podía acceder a algunos sitios mas conocidos.
Si recordamos algunas entradas como "Las paginas juegan con nuestros datos" donde luego de interceptar la comunicación podíamos ver los datos que se enviaban por la red. Puse como ejemplo el caso de Windows Live que avisaba al usuario de dicho acto
Hace poco, salió una noticia de que Google quería combatir las paginas http que no están cifradas para reducir esto del robo de datos y demás:
http://staff5.com/chrome-quiere-acabar-las-paginas-http/
Inclusive, hoy en día los exploradores mas conocidos nos protegen bastante de muchas estafas.
En mi caso, cuando intentaba acceder a sitios conocidos que utilizan https como google, windows live, entre otros. Me salía un alerta de que mi conexión había sido interceptada.
¿Realmente podía ser posible?, un hacker en mi red?. ¡Vamos!, que he hecho cosas en el pasado que se considerarían poco ortodoxas, para el bien de la ciencia (? . Pero, ¿alguien en mi red? muy raro.
Podría usar algún programa que me diga si hay alguna maquina en modo promiscuo sniffeando la red, tipo Promqry (esta aplicación la sacó microsoft hace mucho años ya para ayudarnos en windows con estos temas).
Pero antes de continuar con la paranoia, si analizo la red con algún escaner de red en busca de los dispositivos conectados, solo encuentro dispositivos conocidos (según puedo ver comparando las direcciones MAC).
¿Y si fuera un programa malicioso?
Para un primer vistazo, revisamos los programas que se ejecutan al iniciar el sistema. Existen varias formas, como se han tratado en diferentes entradas en este blog. Simplemente desde el registro, o utilizando alguna aplicación como Tuneup, ccleaner etc.
En este caso utilicé el autoruns, una herramienta proporcionada por microsoft que muestra una lista completa de todas las aplicaciones, servicios y procesos que se ejecutan al inicio.
Luego de buscar entre las aplicaciones y no ver nada extraño. Quizá podría haber algún comportamiento extraño, como una conexión en algún puerto. Para eso solo basta con ejecutar el comando netstat-b en la consola (actualmente requiere iniciar la consola como administrador)
Viendo los resultados no encuentro ninguna conexión abierta, lo que indica que no hay ningún proceso que se esté conectando a otro remotamente. Es decir que si existe, al menos no se está ejecutando independientemente y debe iniciarse con determinado proceso.
Por ejemplo, al abrir firefox normalmente muestra algo como lo siguiente:
En la imagen anterior se ven simplemente conexiones locales, por lo que si existe esta supuesta aplicación maliciosa, está tunelizando las conexiones y envenenando o los procesos de los exploradores lanzándose con la ejecución de ellos, o algún componente de windows.
Como no tengo instalado un antivirus, busco una de las herramienta que tengo como indispensable, hago un escaneo rápido y sí!, el anti malware, encuentra unas librerías, descritas como Trojan.FakeAlert .
Aunque quizá no sea el troyano en sí, la heurística del malwarebytes detecta que tiene rutinas similares. Justamente, una de las características del malware es mostrar sitios con falsos resultados de infecciones para que intentes descargar otros malwares, o incluso suscribirte a cuentas premium etc. El explorador al detectar que el certificado de seguridad del https no era valido, directamente lo bloqueaba.
Al ver esas librerías, finalmente recordé que al estar haciendo un trabajo, para hacer unas pruebas me pasaron unos instaladores de sql server. Y al parecer no eran muy legales que digamos.
Así que ya saben, tengan cuidado con el software pirata. O de donde descargan software, si bien los exploradores están evolucionando cada vez mas para protegernos, esto no es certeza de ello.
Saludos, y hasta la próxima entrada!.
Seien Sie intelligent und wachsen in weniger als 48 Stunden .... Es hängt alles von
ResponderEliminarWie schnell Sie können, um die neue PROGRAMMED leere ATM-Karte, die ist
Fähig zum Hacken in irgendeine ATM Maschine, überall in der Welt. ich habe
Zu wissen, über diese BLANK ATM CARD, wenn ich auf der Suche nach Job online war
Vor ungefähr einem Monat. Es hat wirklich mein Leben für gutes geändert und jetzt I
Kann sagen, ich bin reich und ich kann nie wieder arm sein. Das geringste Geld bekomme ich
An einem Tag mit ihm ist ungefähr $ 12,000.Every hin und wieder pumpen ich
Geld auf mein Konto. Obwohl illegal ist, gibt es keine Gefahr des Seins
Gefangen, weil es so programmiert wurde, dass es nicht
Nachvollziehbar, es hat auch eine Technik, die es unmöglich macht für die
CCTVs, zum Sie zu ermitteln. Für Details auf, wie man Ihr heute erhält, eMail
MRS AMANDA: (LEGENDARYHACKERS@OUTLOOK.COM). Erklären Sie Ihren geliebten auch, und fangen Sie an, groß zu leben. Das ist das einfache Zeugnis von meinem Leben
Geändert für gute ... Love you all ... die E-Mail-Adresse ist wieder
LEGENDARYHACKERS@OUTLOOK.COM
SEI SMART UND WERDE IN WENIGER ALS DREI TAGEN REICH...
ResponderEliminarNeuer Trick, um cooles Geld mit einer coolen, leeren ATM-Karte zu verdienen, ist echt, Brain Hacker Company, hat mir letzten Monat eine ihrer programmierten leeren ATM-Karten geschickt, seit ich die Karte erhalten habe, habe ich damit Geld vom Geldautomaten abgehoben Karte, der Grund, warum ich diesen Kommentar hier poste, ich möchte, dass jeder weiß, dass diese programmierte leere ATM-Karte echt ist und es immer noch von diesen echten Hacker-Firmen gibt ... , Sie können sie VIA kontaktieren ( brainhackers@aol.com )
Valid & Guaranteed stuff will be provided with proper guidance
ResponderEliminarInvalid stuff will be replaced/No Refund
You can asked for any tools/tutorials for carding, hacking, spamming
Contact Here:
----TG/icq : @killhacks
----Skype/Wickr : peeterhacks
C-C Fullz with C.V.V-(8$ per each, minimum 5)
Business EIN Fullz-(25$ for each)
S.S.N DOB DL Fullz/Leads/Pros-(1$, 2$ & 5$ each)
H-igh Credit Scores Fullz-(7$ for each)
Du-mps with Pins-(101/202) / (75$ each)
Log-ins/Co-mbos
S-MTP's 15$ - C-Panels 25$
S-hells 20$ - R.D.P's 15$
Complete Sp-amming Package 300$
Ha-cking tools & Tutorials 250$
C-arding tools & Tutorials 300$
Good Day Guys !
ResponderEliminarWe are offering fresh & Valid Fullz, Tools & Tutorials.
All stuff will be genuine, Guaranteed & verified.
Stuff will be provided in Mins.
Very cheap prices & easy to get.
For more details :
TG/ICQ - @killhacks
Wickr/Skype - @peeterhacks
WA - +92 317 2721122
Email - exploit(dot)tools4u at Gmail(dot)com
Feel Free to contact for any query
Many other stuff we are offering too
CC Fullz with CVV+SSN
SSN+DOB+DL Fullz with Complete Info
High Credit Scores Fullz
Dumps With Pins Track 101&202
Business EIN Fullz
Hacking Tools & Tutorials
Spamming complete package with all stuff
Carding & Loan Methods/Tutorials
Fr**D Bi**e 2021/2022 updated
BTC Cracking/Flashing
RDP's/SMTP's/C-panels/Shells
Web-mailers/Brutes/Crackers
SQLi Injector/Server Penetration
Kali Linux Master Class Complete
Premium Logs (Amazon, E-bay, Coinbase, Netflix)
I.P's/Proxies/Server I.P's
We are a team of hackers & serving many good clients.
You can try us as well
Just contact us :
WA - +92 317 2721122
Email - exploit(dot)tools4u at Gmail(dot)com
TG/ICQ - @killhacks
Wickr/Skype - @peeterhacks