he escrito un manual que trata sobre virus, espero que a alguien le sirva
http://galeon.com/jocanorhack/manuales/manualjocanor.htm
un saludo
17-12-2002, 14:52
he escrito un manual que trata sobre virus, espero que a alguien le sirva
http://galeon.com/jocanorhack/manuales/manualjocanor.htm
un saludo
17-12-2002, 18:50
He leido tu manual, y me ha gustado. Solo quiero comentarte un par de temas (crítica constructiva y sin ánimo de ofender).
Bueno, yo en realidad, tenía entendido que cuando se habla de portocolo tcp/ip, se incluyen tb otros protocolos (tcp/ip tan solo son los + importantes). Puede q como tú lo expliques quede + claro para los novatos, pero no estaría de + explicar q a nivel de transporte tb existe "udp" y a nivel de red "ICMP", o si no, decir q tcp e ip son los + importantes, pero no decir que el "el protocolo tcp/ip como podemos ver, esto son dos protocolos en una "El protocolo del que hablaremos es el protocolo tcp/ip como podemos ver, esto son dos protocolos en una el tcp y el ip
Esto lo cuentas en el apartado en el que estás hablando de programas autoreplicantes, y al leerlo puede quedar un tanto lioso para los q están empezando con el tema, creo que quedaría más claro en el apartado que le dedicas a los troyanos.BCK/Oblivion es un troyano muy simple, lo único que hace es copiarse a si mismo en el directorio C:\windows\system con el nombre IexpIore.exe
¿q es IFS?Creo q no explicas lo q es (no se, a lo mejor lo pones en otra parte y no me he fijado, pero creo q no)Después de esto el virus reserve una parte de la memoria del sistema haciendo una llamada a pageallocate wmm acto seguido se copia a esa zona de la memoria después captura las API del sistema IFS (si estuviese en ring-3 no podría hacerlo) y devuelve el control al programa portador.
Respecto a esto dos cosas. La primera, q tal como lo cuentas parece q es algo q solo haga el virus en cuestión q estás comentando (CIH alias chernobil). La segunda, solo concretar un poco más, diciendo q esto lo hacen la mayoría (sino todos) los programas autoreplicantes para windows. ¿Por qué? Pues si el virus trata de acceder a una página de memoria a la que no tiene permiso, se produce una excepcion de fallo de página (una interrupcion, q indica qu algo anda mal). El SEH, permite manejar estas excepciones.Modifica la estructura SEH (structure exception handle) para no tener problemas en caso de que ocurriese algún error
Otra cosa, esto una pregunta
¿Alguien podría explicarme con más detalle como hace el virus para sobreescribir el chip de la bios y sobre los virus q afectan a la bios?borrándole contenido de los discos duros y sobrescribiendo el chip de las BIOS
Por último decirte q creo el manual me ha gustado y q creo es (a mi entender) una buena introducción al mundillo de los virus. Lo de arriba, son solo pequeñas cosas e impresiones para q si lo crees necesario tomes en consideración.
Un saludo jocanor y enhorabuena x el manual.
gracias por tu opinion, agradezco mucho k me lo comentes, asi lo puedo arreglar. enga un saludo!!!!!
El IFS es el Installable File System, siempre que se usen siglas es recomendable poner entre paréntesis el significado de las siglas.
TseTse
??? jpg ???Pues bien las extensiones de un virus pueden ser:
.bat, .pif, .exe, .cpl, .com, .vbs, .jvs, .jpg
hmm... troyan no es virus... Y clasificación es muy extraño.2. TIPOS DE VIRUS
Hay distintos tipos de virus a continuación los digo todos:
-gusano o worm
-gusano de Visual Basic
-gusano de dos
-troyanos
-virus de macros
buffff, lo de que un troyano no es un virus es muy discutible.
18-12-2002, 15:45
Este manual seria una buen prototipo para el debate en el general de hacer manuales para HH.
Cuando pueda lo leere jocanor, admiro a la gente que se toma la molestia de hacer manuales!!!!
Saludos a todos, enhorabuena jocanor
aquila, a mi me gustan i agredezco las criticas constructivas, pero la tulla no me gusta, por k si ubieses leido todo el manual ubieras visto que abajo detallo eso de los jpg...
Muy buen tutorial, a mi en lo personal me gusto mucho, sobre todo la parte que describes el funcionamiento de algunos virus y troyanos.
Gracias
24-12-2002, 20:00
Wenas,
Solo comentarte que en el manual pones pop3 puerto 120, es a mi parecer el 110. Aunque, bueno eso es un manual de virii y poko importa!
Y ahora una pregunta, segun el manual "Entonces por ejemplo si tu visitas un pagina Web, se te abrirá el puerto 80, y dejará pasar información que provenga de la página Web", no pillo, mirar cuando hago un netstat -an de cualquier pagina me sale esto:
Conexiones activas
Proto Direcci¢n local Direcci¢n remota Estado
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1080 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1081 0.0.0.0:0 LISTENING
TCP 0.0.0.0:59 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1028 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING
TCP 192.168.0.2:1039 62.81.156.182:6667 ESTABLISHED
TCP 192.168.0.2:1080 195.125.165.220:80 ESTABLISHED
TCP 192.168.0.2:1081 195.125.165.220:80 ESTABLISHED
TCP 192.168.0.2:137 0.0.0.0:0 LISTENING
TCP 192.168.0.2:138 0.0.0.0:0 LISTENING
TCP 192.168.0.2:139 0.0.0.0:0 LISTENING
UDP 127.0.0.1:1025 *:*
UDP 127.0.0.1:1028 *:*
UDP 127.0.0.1:1035 *:*
UDP 192.168.0.2:137 *:*
UDP 192.168.0.2:138 *:*
Vale veo que estoy conectado a una web, 195.125.165.220`por el puerto 80 ke es el mio, no?
Y en el otro lado aparece la ip de un ordenador de la LAN , pero ke es eso del puerto 1039¿?
Saludos
A ver, cuando visitas una página web, no solo recibes datos a través del puerto 80, sino que de forma local se te abren puertos aleatorios entre un determinado rango 1xxx. Es lo mismo que los ftps y el modo pasivo.
Sobre le netstat los resultados de tu izquierda es local y el de la derecha remoto. Por ejemplo:
TCP 192.168.0.2:1080 195.125.165.220:80 ESTABLISHED
Eso quiere decir que hay una comunicación entre tu host por el puerto 1080 y el host remoto por el puerto 80.....
TseTse
25-12-2002, 14:03
Entonces tambien kiere decir ke yo cuando conecto con el irc por ejemplo en este caso, se me abre el puerto aleatorio 1039 para conectarse al 6667 del irc.x. me ekivoko?
26-12-2002, 16:47
Holas,
Y ahora una pregunta, segun el manual "Entonces por ejemplo si tu visitas un pagina Web, se te abrirá el puerto 80, y dejará pasar información que provenga de la página Web", esto no esta bien expresado entonces, es decir, se le abrira a tu host remoto el puerto 80 o weno si tu eres un server de paginas web tambien
juer los turrones...me tan cebando pa comerme seguroooo!
me parece k es verdad k es un error en el manual, toi corrigiendolo gracias a vuestras aclaraciones enga gracias!!!!!
Bueno, evidentemente el puerto 80 es el puerto que habitualmente tiene el respaldo de http (web server) y en tu maquina, dudo mucho que se abra el puerto 80 para enviar o recibir dicha info.......es mas, no se abre ese xD. eXcalibur, lo de que los virus no son troyanos me parece que no es tan discutible. El troyano envia informacion del usuario a traves de la red y hace lo que el cliente haga (el supuesto hacker xD). Un virus lo hace mecanicamente, jode y ya está, como mucho enviará alguna informacion vital o se propagara por la red (hablamos entonces de worm).
A mi enteder vaya.
no tengo ninguna duda de k un trojano es un virus, ya k tambien tienen encriptados, polimorfismo etc...etc... ri a google.com i buscar bionet o buschtrommel i despues de leer lo k hace ya vereis como un trojano si es un virus.
Un virus NO obedece a señales provinientes de la red, un trojano SI
bajo mi putno de vista un trojano es un virus ya k:
-se autocopia a escondidas
-tiene tecnicas para evitar el antivirus
si no es un virus, k es?
Se Copia, Pero (a priori) NO se autoreplica.
Hay gente q x virus entiende única y exclusivamente programa auto-replicante. Un virus recibe ese de la biología; los virus son pequeños organismos (¿vivos?) que se autoreplican. Es decir, exctamente igual a los programas auto-replicantes (¿vivos?)
Otra gente no, y utiliza la palabra de modo más extenso.
Así q a mi entender el debate no tendría fin. Dejémoslo como dice eXcalibur
Personalmente creo q hablando estrictamente no lo sería, pero todo depende del uso q se le quiera dar a la palabra (mas restrictivo o menos) creo yo.buffff, lo de que un troyano no es un virus es muy discutible
Saludos a Tod@s
Si no es un virus entonces es un simple Troyano, asi de simple.bajo mi putno de vista un trojano es un virus ya k:
-se autocopia a escondidas
-tiene tecnicas para evitar el antivirus
si no es un virus, k es?
Marcadores