he escrito un manual que trata sobre virus, espero que a alguien le sirva



http://galeon.com/jocanorhack/manuales/manualjocanor.htm

:D :D :D

un saludo

He leido tu manual, y me ha gustado. Solo quiero comentarte un par de temas (crítica constructiva y sin ánimo de ofender).


El protocolo del que hablaremos es el protocolo tcp/ip como podemos ver, esto son dos protocolos en una el tcp y el ip

Bueno, yo en realidad, tenía entendido que cuando se habla de portocolo tcp/ip, se incluyen tb otros protocolos (tcp/ip tan solo son los + importantes). Puede q como tú lo expliques quede + claro para los novatos, pero no estaría de + explicar q a nivel de transporte tb existe "udp" y a nivel de red "ICMP", o si no, decir q tcp e ip son los + importantes, pero no decir que el "el protocolo tcp/ip como podemos ver, esto son dos protocolos en una "




BCK/Oblivion es un troyano muy simple, lo único que hace es copiarse a si mismo en el directorio C:\windows\system con el nombre IexpIore.exe

Esto lo cuentas en el apartado en el que estás hablando de programas autoreplicantes, y al leerlo puede quedar un tanto lioso para los q están empezando con el tema, creo que quedaría más claro en el apartado que le dedicas a los troyanos.




Después de esto el virus reserve una parte de la memoria del sistema haciendo una llamada a pageallocate wmm acto seguido se copia a esa zona de la memoria después captura las API del sistema IFS (si estuviese en ring-3 no podría hacerlo) y devuelve el control al programa portador.

¿q es IFS?Creo q no explicas lo q es (no se, a lo mejor lo pones en otra parte y no me he fijado, pero creo q no)



Modifica la estructura SEH (structure exception handle) para no tener problemas en caso de que ocurriese algún error

Respecto a esto dos cosas. La primera, q tal como lo cuentas parece q es algo q solo haga el virus en cuestión q estás comentando (CIH alias chernobil). La segunda, solo concretar un poco más, diciendo q esto lo hacen la mayoría (sino todos) los programas autoreplicantes para windows. ¿Por qué? Pues si el virus trata de acceder a una página de memoria a la que no tiene permiso, se produce una excepcion de fallo de página (una interrupcion, q indica qu algo anda mal). El SEH, permite manejar estas excepciones.


Otra cosa, esto una pregunta


borrándole contenido de los discos duros y sobrescribiendo el chip de las BIOS

¿Alguien podría explicarme con más detalle como hace el virus para sobreescribir el chip de la bios y sobre los virus q afectan a la bios?



Por último decirte q creo el manual me ha gustado y q creo es (a mi entender) una buena introducción al mundillo de los virus. Lo de arriba, son solo pequeñas cosas e impresiones para q si lo crees necesario tomes en consideración.

Un saludo jocanor y enhorabuena x el manual.

gracias por tu opinion, agradezco mucho k me lo comentes, asi lo puedo arreglar. enga un saludo!!!!!

El IFS es el Installable File System, siempre que se usen siglas es recomendable poner entre paréntesis el significado de las siglas.

TseTse

Pues bien las extensiones de un virus pueden ser:
.bat, .pif, .exe, .cpl, .com, .vbs, .jvs, .jpg
??? jpg ???

2. TIPOS DE VIRUS
Hay distintos tipos de virus a continuación los digo todos:
-gusano o worm
-gusano de Visual Basic
-gusano de dos
-troyanos
-virus de macros
hmm... troyan no es virus... Y clasificación es muy extraño.

buffff, lo de que un troyano no es un virus es muy discutible.

Este manual seria una buen prototipo para el debate en el general de hacer manuales para HH.

Cuando pueda lo leere jocanor, admiro a la gente que se toma la molestia de hacer manuales!!!!

Saludos a todos, enhorabuena jocanor

aquila, a mi me gustan i agredezco las criticas constructivas, pero la tulla no me gusta, por k si ubieses leido todo el manual ubieras visto que abajo detallo eso de los jpg...

Muy buen tutorial, a mi en lo personal me gusto mucho, sobre todo la parte que describes el funcionamiento de algunos virus y troyanos.

Gracias :cool:

Wenas,

Solo comentarte que en el manual pones pop3 puerto 120, es a mi parecer el 110. Aunque, bueno eso es un manual de virii y poko importa!


Y ahora una pregunta, segun el manual "Entonces por ejemplo si tu visitas un pagina Web, se te abrirá el puerto 80, y dejará pasar información que provenga de la página Web", no pillo, mirar cuando hago un netstat -an de cualquier pagina me sale esto:

Conexiones activas

Proto Direcci¢n local Direcci¢n remota Estado
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1080 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1081 0.0.0.0:0 LISTENING
TCP 0.0.0.0:59 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1028 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING
TCP 192.168.0.2:1039 62.81.156.182:6667 ESTABLISHED
TCP 192.168.0.2:1080 195.125.165.220:80 ESTABLISHED
TCP 192.168.0.2:1081 195.125.165.220:80 ESTABLISHED
TCP 192.168.0.2:137 0.0.0.0:0 LISTENING
TCP 192.168.0.2:138 0.0.0.0:0 LISTENING
TCP 192.168.0.2:139 0.0.0.0:0 LISTENING
UDP 127.0.0.1:1025 *:*
UDP 127.0.0.1:1028 *:*
UDP 127.0.0.1:1035 *:*
UDP 192.168.0.2:137 *:*
UDP 192.168.0.2:138 *:*

Vale veo que estoy conectado a una web, 195.125.165.220`por el puerto 80 ke es el mio, no?

Y en el otro lado aparece la ip de un ordenador de la LAN , pero ke es eso del puerto 1039¿?

Saludos

A ver, cuando visitas una página web, no solo recibes datos a través del puerto 80, sino que de forma local se te abren puertos aleatorios entre un determinado rango 1xxx. Es lo mismo que los ftps y el modo pasivo.
Sobre le netstat los resultados de tu izquierda es local y el de la derecha remoto. Por ejemplo:
TCP 192.168.0.2:1080 195.125.165.220:80 ESTABLISHED
Eso quiere decir que hay una comunicación entre tu host por el puerto 1080 y el host remoto por el puerto 80.....

TseTse

Entonces tambien kiere decir ke yo cuando conecto con el irc por ejemplo en este caso, se me abre el puerto aleatorio 1039 para conectarse al 6667 del irc.x. me ekivoko?

Holas,

Y ahora una pregunta, segun el manual "Entonces por ejemplo si tu visitas un pagina Web, se te abrirá el puerto 80, y dejará pasar información que provenga de la página Web", esto no esta bien expresado entonces, es decir, se le abrira a tu host remoto el puerto 80 o weno si tu eres un server de paginas web tambien ;)


juer los turrones...me tan cebando pa comerme seguroooo!

me parece k es verdad k es un error en el manual, toi corrigiendolo gracias a vuestras aclaraciones enga gracias!!!!!

Bueno, evidentemente el puerto 80 es el puerto que habitualmente tiene el respaldo de http (web server) y en tu maquina, dudo mucho que se abra el puerto 80 para enviar o recibir dicha info.......es mas, no se abre ese xD. eXcalibur, lo de que los virus no son troyanos me parece que no es tan discutible. El troyano envia informacion del usuario a traves de la red y hace lo que el cliente haga (el supuesto hacker xD). Un virus lo hace mecanicamente, jode y ya está, como mucho enviará alguna informacion vital o se propagara por la red (hablamos entonces de worm).
A mi enteder vaya.

no tengo ninguna duda de k un trojano es un virus, ya k tambien tienen encriptados, polimorfismo etc...etc... ri a google.com i buscar bionet o buschtrommel i despues de leer lo k hace ya vereis como un trojano si es un virus.

Un virus NO obedece a señales provinientes de la red, un trojano SI

bajo mi putno de vista un trojano es un virus ya k:

-se autocopia a escondidas

-tiene tecnicas para evitar el antivirus

si no es un virus, k es?

Se Copia, Pero (a priori) NO se autoreplica.

Hay gente q x virus entiende única y exclusivamente programa auto-replicante. Un virus recibe ese de la biología; los virus son pequeños organismos (¿vivos?) que se autoreplican. Es decir, exctamente igual a los programas auto-replicantes (¿vivos?)

Otra gente no, y utiliza la palabra de modo más extenso.

Así q a mi entender el debate no tendría fin. Dejémoslo como dice eXcalibur

buffff, lo de que un troyano no es un virus es muy discutible

Personalmente creo q hablando estrictamente no lo sería, pero todo depende del uso q se le quiera dar a la palabra (mas restrictivo o menos) creo yo.

Saludos a Tod@s

bajo mi putno de vista un trojano es un virus ya k:

-se autocopia a escondidas

-tiene tecnicas para evitar el antivirus

si no es un virus, k es?

Si no es un virus entonces es un simple Troyano, asi de simple.

Estais chiflados. Vamos a ver...la terminologia sirve para relacionar cosas (digamoslo asi) con PALABRAS. La palabra Virus se relaciona con un soft (?) que 'jode', 'estropea', 'casca', o simplemente PAUSA nuestro trabajo diario (?) sin animo de enviar informacion al autor, o alreves.
Un troyano, es un soft programado con el OBJETIVO de tomar el control de la maquina objetivo.

Un virus auto-replicante (por la red) es un WORM a grandes trazos.

Me parece q no es tan dificil de entender xD

Yo, tb entiendo por "virus" única y exclusivamente "programa autoreplicante". Algunos se limitan a autoreplicarse, otros tienen además efectos destructivos o cualquier otro (como tb sería el envio de información en su caso). Para mi un virus es UNICAMENTE el que se AUTOREPLICA (despues puede hacer otras muchas cosas). Un troyano por lo tanto (PARA MI) no es un virus.

No obstante, la palabra virus se usa cada vez más para hacer referencia a otro tipo de programas (entre otros los troyanos), y creo q NO puede ignorarse este uso.

en fin....ni idea...

Veis, si ya decia yo que no estaba muy claro.
Esto es como la biología, hay científicos que dicen que un virus (natural, no informático) es un ser vivo y otros dicen que no lo son.
Todos tienen razón, ya que un virus no realiza todas las funciones vitales, pero si algunas, como en el caso de los troyanos, que realizan algunas funciones como los virus, pero no todas.
Esto ya es a gusto del programador que lo ha creado.

"Yo, tb entiendo por "virus" única y exclusivamente "programa autoreplicante" ".......... joder que mania con lo de autoreplicante! El objetivo del virus es simplemente jooder a la persona que usa ese pc, jodiendo el mismo con codigo 'maligno', NADA MAS...NAAADA MAAS. Si hace algo mas ya no es un virus, es algo mas complejo (worm, troyano...)

Pues yo opino que, un virus está vivo. Sabemos que se pueden distinguir las cosas con vida y las cosas con caréncia de vida por:
1- Nacen
El coder hace la semillita, y este va 'naciendo' en otros ordenadores.
2- Reproducen
De todos es sabida la frase de 'el hombre es un virus para la tierra', de igual forma que el hombre se reproduce (extiende) por el mundo y tal vez en un futuro por el espacio. Los virus se extienden bien por el propio sistema, infectando archivos o bien a través de la red u otros soportes informáticos hacia otros ordenadores.
3- Mueren
Los virus acaban muriendo o acaban siendo ineficaces, bien por parchear una vulnerabilidad que use este virus, bien por crear una vacuna, bien por el remédio drástico del formateo del ordenador o por último el peor de los casos la muerte del virus junto con su victima.

Claro está que cada virus cumplen unas funciones, tienen un tamaño diferente, hacen ciertos procesos diferentes entre sí, etc. Un alto porcentaje de los virus son copias de un virus que han modificado una pijadita. Y eso pasa al igual que en la madre naturaleza, un pez no hace lo mismo que una planta, una planta no hace o se comporta exactamente igual que otra planta de diferente espécie....

Lo que está claro, es que, un virus no es un troyano. Estamos acostumbrados porque nuestro antivirus los detecta como virus, cuando los troyanos cumplen una función elemental que los diferiencia de la mayoría de los virus, y esta es, el control remoto de ordenadores a través de una red. Los troyanos no suelen dañar el sistema por sí mismos, etc.

TseTse

Que mania con lo de reproducirse y transmitirse cojones!!
A diferencia de un virus convencional, un "worm" no necesita de una persona que lo ayude a desparramarse y puede infectar a otras computadoras por sí mismo.
Un virus ¡¡NO!! se transmite, al transmitirse el solo por dispositivos de ret por ej se deja de llamar virus y se llama WWOOORRMMMMM

Y porfavor dejemoslo ya xD

virus no virus vete tu a saber :p :p :p :p :p :p :p :p :p

en fin k un trojano yo creo k no es un virus, k un virus es totalemnte independiente de k allá internet o no, eso es lo k le diferencia de los trojanos

Nono, eso está claro xD

Escrito originalmente por CrAcKzMe
"Yo, tb entiendo por "virus" única y exclusivamente "programa autoreplicante" ".......... joder que mania con lo de autoreplicante! El objetivo del virus es simplemente jooder a la persona que usa ese pc, jodiendo el mismo con codigo 'maligno', NADA MAS...NAAADA MAAS. Si hace algo mas ya no es un virus, es algo mas complejo (worm, troyano...)
No. El objectivo del virus es reproducirse. El objective del troyano es absolutamente otro. Leas (? - oh, espanol es idioma no facil) 29A, XINE y ezines otros sobre viruses.

el objetivo de un virus, como bien ha dicho aquila es autoreplicarse i expandirse por internet, el trojano no hace esto, yo kiero aprender programacion de torjanos (es una parte de la programacion virica de la cual ni puta idea)
para hacer un trojano k se expanda por internet al etilo kournikova o loveleter...k majo k seria...:D

Sigo sin pensar que no tienes razon Aquila. Y jocanor deja ya de hablar de los putos troyanos juas xd

"Los virus informáticos son pequeños programas que, al ejecutarse, presentan un comportamiento muy similar al de los virus biológicos. Se consideran como virus los programas diseñados y escritos con el fin de alterar indebidamente el funcionamiento de una computadora sin que el usuario pueda advertirlo e impedirlo. Esto significa que los virus informáticos no se dan por generación espontánea: detrás de cada nuevo virus que hace acto de presencia en el mundo se encuentra una figura anónima o no identificada que lo idea y programa con fines poco claros."
NADA DE AUTOREPLICARSE Y MANDARSE POR INET, eso sería un worm, capitto?

Escrito originalmente por CrAcKzMe
"Los virus informáticos son pequeños programas que, al ejecutarse, presentan un comportamiento muy similar al de los virus biológicos. Se consideran como virus los programas diseñados y escritos con el fin de alterar indebidamente el funcionamiento de una computadora sin que el usuario pueda advertirlo e impedirlo. Esto significa que los virus informáticos no se dan por generación espontánea: detrás de cada nuevo virus que hace acto de presencia en el mundo se encuentra una figura anónima o no identificada que lo idea y programa con fines poco claros."
NADA DE AUTOREPLICARSE Y MANDARSE POR INET, eso sería un worm, capitto?

"Virus: (s) Un codigo ejecutable capaz de reproducirse a si mismo a traves de sistemas y computadoras. Se los clasifica primariamente por el tipo de
reproduccion (Boot Sector, File, Cluster), y luego por la utilizacion de tecnicas de ocultamiento y proteccion (Stealth, Polimorfico, etc).

Troyano: Programa especialmente hecho para causar da¤o. Se los suele confundir con los virus, aunque no tienen NADA que ver, excepto el hecho de que los troyanos hacen da¤o, y algunos virus hacen da¤o."

"Diccionario de Terminos y Expresiones de Virus #1" (Minotauro Magazine#2)

De acuerdo con Aquila

virus=programa autoreplicante


aunque en la práctica se use de forma más extensa.

A los q interese el tema de verdad hay por ahí un manual escrito por un tal "wintermute" sobre programación de virus en ensamblador bajo windows y linux. (Altamente recomendado, permite lectura a diferentes niveles)

Y venga, dejémoslo ya q no vamos a ninguna parte xD.

Un saludo a tod@s

Repito que no es necesario que se autoreplique, en este caso estamos hablando de un WORM, o esque ya no recordais que significa worm?
Dejemoslo aqui anda xD