Resultados 1 al 3 de 3

Programa de prome + manual

Vista híbrida

Mensaje anterior Mensaje anterior   Próximo mensaje Próximo mensaje
  1. #1 Programa de prome + manual 
    Administrador Foros HH
    Fecha de ingreso
    Mar 2002
    Mensajes
    3.067
    Descargas
    5
    Uploads
    0
    Citar  
     

  2. #2  
    Administrador Foros HH
    Fecha de ingreso
    Nov 2001
    Ubicación
    Spain
    Mensajes
    2.235
    Descargas
    0
    Uploads
    0
    Todos desean saber, pero pocos pagar el trabajo que vale.

    [[NORMAS DEL FORO]]
    Citar  
     

  3. #3 Solo un ejemplo...1era parte 
    Avanzado
    Fecha de ingreso
    Jan 2002
    Ubicación
    por ahi
    Mensajes
    328
    Descargas
    0
    Uploads
    0
    similitudes?
    con el prome and co?
    viri reformao?
    en fin ...veamos este analisis.....
    y todavia no he destripao el sysrch.exe....por fiaka nomas...
    es mas linda cameron diaz...niff
    ------------------------------------------------------------------------------------

    W32/HYBRIS (I-WORM/HYBRIS; W32/HYBRIS.A; W32/HYBRIS.B; W32/HYBRYS.A-M)

    Información en Profundidad
    Nombre:
    W32/Hybris
    Alias:
    I-Worm/Hybris, W32/Hybris.gen@M, W32/Hybris.A-m, W32/Hybris.B-m, W32/Hybris.D-m
    Tipo:
    Gusano de Windows
    Tamaño:
    oscila entre 23.040 y 28.672 bytes según los plugins instalados.
    Reparable:

    Visto "In The Wild":


    --------------------------------------------------------------------------------

    Características
    W32/Hybris es un gusano de Windows que se envía a sí mismo, incluido en un mensaje de correo electrónico. Uno de sus objetivos es parchear la biblioteca WSOCK32.DLL. El objeto de esta operación es monitorizar la salida correspondiente al correo electrónico. Este gusano tiene la capacidad de actualizarse a sí mismo mediante 'plugins' que pueden ser actualizados desde Internet. En concreto, puede contener hasta 32 plugins. Estos plugins se encuentran encriptados mediante un algoritmo con clave de 128 bit cuyo algoritmo es parecido al RSA. Estos plugins dotan al gusano de la capacidad de realizar un gran número de acciones en los sistemas afectados.

    Por otra parte, es interesante destacar que algunas copias de este gusano están encriptadas mediante una sencilla rutina semi-polimórfica. Este gusano fue creado por Vecna en Brasil.



    Método de Propagación
    Tras haber infectado un determinado equipo, el gusano intenta infectar otros ordenadores, propagándose mediante un mensaje de correo electrónico. En concreto, cada vez que se envía un mensaje por correo electrónico el gusano enviará otro mensaje de correo al mismo usuario una vez transcurrido un período de tiempo. Este mensaje contendrá un texto y una copia del gusano. El contenido del mensaje podrá variar en función del idioma instalado como podemos ver a continuación:

    CONTENIDO EN INGLES Remitente:
    Hahaha < [email protected] >
    Asunto:
    Snowhite and the Seven Dwarfs - The REAL story!
    Cuerpo:
    Today, Snowhite was turning 18. The 7 Dwarfs always where very educated and polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...

    Nombre del fichero adjunto:
    sexy virgin.scr, joke.exe, midgets.scr, dwarf4you.exe , *.*


    CONTENIDO EN FRANCES Remitente:
    Hahaha < [email protected] >
    Asunto:
    Les 7 coquir nains
    Cuerpo:
    C'etait un jour avant son dix huitieme anniversaire. Les 7 nains, qui avaient aidé 'blanche neige' toutes ces années après qu'elle se soit enfuit de chez sa belle mère, lui avaient promis une *grosse* surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin...

    Nombre del fichero adjunto:
    blancheneige.exe, sexynain.scr, blanche.scr, nains.exe


    CONTENIDO EN PORTUGUES Remitente:
    Hahaha < [email protected] >
    Asunto:
    Branca de Neve pornô!
    Cuerpo:
    Faltava apenas um dia para o seu aniversario de 18 anos. Branca de Neve estava muito feliz e ansiosa, porque os 7 anões prometeram uma *grande* surpresa. As cinco horas, os anõezinhos voltaram do trabalho. Mas algo nao estava bem... Os sete anõezinhos tinham um estranho brilho no olhar...
    Nombre del fichero adjunto:
    branca de neve.scr, atchim.exe, dunga.scr, anão pornô.scr


    CONTENIDO EN CASTELLANO Remitente:
    Hahaha < [email protected] >
    Asunto:
    Enanito si, pero con que pedazo!
    Cuerpo:
    Faltaba apenas un dia para su aniversario de 18 años. Blanca de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande* sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...
    Nombre del fichero adjunto:
    enano.exe, enano porno.exe, blanca de nieve.scr, enanito fisgon.exe


    Síntomas de la infección
    El primer síntoma de la aparición del gusano en nuestro equipo, es la llegada del mensaje de correo electrónico, anteriormente mencionado. No obstante, esto no implica que se haya producido la infección.

    Además, crea un fichero llamado WININIT.INI en el directorio de Windows. Dicho fichero será ejecutado la próxima vez que se inicie Windows. Con la ayuda de éste, renombra la librería WSOCK32.DLL, que previamente había infectado.



    Infección
    El modo de funcionamiento de este gusano es el siguiente:



    El gusano intenta infectar el fichero WSOCK32.DLL (biblioteca de enlace dinámico encargada de dar soporte al sistema de "sockets", o conectores de Windows) en el directorio de sistema de Windows. Si este fichero no puede ser infectado directamente por encontrarse en uso, el gusano copiará el fichero WSOCK32.DLL en el directorio de sistema de Windows con un nombre aleatorio de ocho caracteres y sin extensión, y a continuación procede a infectarlo.


    Crea un fichero denominado WININIT.INI en el directorio de Windows. Éste será ejecutado en el próximo inicio de Windows. Gracias a la utilización de dicho fichero, consigue cambiar el nombre a la librería WSOCK32.DLL. Ésta habrá sido infectada por el gusano con anterioridad. El contenido del fichero WININIT.INI recién creado es el siguiente.

    [Rename]
    C:\WINDOWS\SYSTEM\WSOCK32.DLL= C:\WINDOWS\SYSTEM\< nombre aleatorio de 8 caracteres sin
    extensión >



    La infección consiste en copiar el código del gusano sin encriptar, tras el contenido de la biblioteca WSOCK32.DLL . Además parchea varias de las funciones que ésta contiene para que llamen al código del gusano. Las funciones enganchadas son "connect", "send" y "recv". Éstas se emplean para conectarse y para enviar y recibir datos. De este modo el gusano monitoriza el correo electrónico saliente de la máquina infectada. El gusano intercepta todos los datos enviados o recibidos a través de las funciones de acceso a redes y si detecta en el flujo de datos una dirección de correo electrónico procede a enviar un mensaje infectado al mismo destinatario una vez transcurrido intervalo de tiempo. Por otra parte, modifica la rutina del punto de entrada a la WSOCK32.DLL.


    Este gusano contiene código para introducir una entrada en el Registro de Windows con el fin de poder ser ejecutado cuando se reinicia Windows.
    La entrada puede localizarse en cualquiera de estas dos claves:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce

    Éstas hacen referencia al fichero de nombre aleatorio ubicado en el directorio de sistema de Windows que se creó con anterioridad.



    Uno de los plugin que permiten la actualización de este gusano es capaz de buscar ficheros con extensión EXE dentro de archivos comprimidos con extensión ZIP y RAR. En caso de encontrar algún fichero de este tipo, el gusano sustituye el fichero original por una copia de sí mismo, renombrando el fichero original con la siguiente extensión: *.ex$.

    Existe otro plugin que actúa a modo de payload. Éste se activa el día 24 de septiembre o bien en el año 2.001, cuando los minutos del reloj interno del sistema coincidan con el siguiente valor: 59. En este caso, el gusano muestra imagen en el escritorio del equipo consistente en una espiral animada.

    Por otra parte, otro de los plugin le permite instalarse en máquinas atacadas por el troyano de tipo Backdoor Subseven.

    El gusano se vale de otro plugin para infectar ficheros con extensión EXE de Windows PE. Para realizar esta acción se añade a la sección de código y se calcula el CRC correcto.

    Adicionalmente, existen plugins para modificar el texto del asunto utilizando para ello una combinación de los siguientes nombres: Anna, Raquel Darian, Xena, Xuxa, Suzete, famous, celebrity rape, leather, sex, sexy, hot, hottest, cum, cumshot, horny así como para modificar el nombre del archivo adjunto enviado. Para hacer esto el gusano utilizará la siguiente lista de nombres:

    ANNA.EXE, RAQUEL DARIAN.EXE, XENA.EXE, XUXA.EXE, SUZETE.EXE, FAMOUS.EXE, CELEBRITY RAPE.EXE, LEATHER.EXE, SEX.EXE, SEXY.EXE, HOT.EXE, HOTTEST.EXE, CUM.EXE, CUMSHOT.EXE, HORNY.EXE, ANAL.EXE, GAY.EXE, ORAL.EXE, PLEASURE.EXE, ASIAN.EXE, LESBIANS.EXE, TEENS.EXE, VIRGINS.EXE, BOYS.EXE, GIRLS.EXE, SM.EXE, SADO.EXE, CHEERLEADER.EXE, ORGY.EXE, BLACK.EXE, BLONDE.EXE, SODOMIZED.EXE, HARDCORE.EXE, SLUT.EXE, DOGGY.EXE, SUCK.EXE, MESSY.EXE, KINKY.EXE, FIST-FUCKING.EXE, AMATEURS.EXE.

    Todos estos plugins son actualizables. Hasta el momento se conocen dos métodos de actualización. Por un lado, la actualización es posible mediante el acceso a una página de Internet desde la que el gusano descarga los plugins. Por otro lado, también es posible la actualización mediante una conexión con grupo de noticias alt.comp.virus. En este caso, el gusano es capaz de enviar sus plugins con el fin de actualizar los que tiene con otros nuevos. Para hacer esto, comprueba los números de identificador y el número de la versión incluidos en la cabecera de cada uno de ellos. De este modo el gusano puede averiguar los plugins que necesita instalar.


    suerte
    ctrl+alt+del
    Citar  
     

Temas similares

  1. Alerta Sobre El Uso Del Programa De Prome
    Por fermarlop en el foro GENERAL
    Respuestas: 21
    Último mensaje: 12-06-2002, 05:58
  2. Alerta Sobre El Uso Del Programa De Prome
    Por fermarlop en el foro INTRUSION
    Respuestas: 4
    Último mensaje: 03-06-2002, 18:34
  3. programa de prome!!!
    Por eXcalibur en el foro GENERAL
    Respuestas: 2
    Último mensaje: 30-05-2002, 14:23
  4. Alerta Sobre El Uso Del Programa De Prome
    Por fermarlop en el foro HACK HiSPANO
    Respuestas: 1
    Último mensaje: 22-05-2002, 08:20
  5. Programa de prome + manual
    Por eXcalibur en el foro GENERAL
    Respuestas: 1
    Último mensaje: 19-05-2002, 23:21

Marcadores

Marcadores