BandaAncha.eu

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Phatbot: nueva y potente amenaza sofisticada de ataques cibernéticos en la Red

Prog

Expertos en seguridad informática tanto del sector privado como del Gobierno de EE.UU. están analizando la aparición de un nuevo tipo de herramienta "cracker" altamente sofisticada que usa el mismo sistema que las redes de intercambio P2P, como Kazaa o BearShare. Según las primeras estimaciones, cientos de miles de PCs han sido ya infectados en todo el mundo. Esta herramienta de ataque que los expertos han denominado "Phatbot", permite a sus autores tomar el control de los ordenadores y unirlos a las redes P2P usándolos para enviar cantidades enormes de mensajes de correo electrónico no deseado (spam) o colapsar sitios Web mediante denegaciones de servicio en una tentativa de dejarlos inutilizados. Este nuevo tipo de amenaza cracker fue descubierto por funcionarios del Departamente de Seguridad de EE.UU., quienes dieron la alarma poniéndose inmediatamente en contacto con un grupo escogido de expertos en seguridad de ordenadores. En la alarma, la agencia advirtió que el "Phatbot" roba las contraseñas y los números de serie de los programas en los ordenadores infectados, es tremendamente mutable (polimórfico) e intenta además con éxito inutilizar el software de los antivirus y de cortafuegos instalados.

Una copia de dicha alarma del Departamento de Seguridad fue puesta a disposición del Washington Post por dos fuentes distintas, quienes insistieron en ocultar sus identidades a fin de no arriesgarse a perder en el futuro su accesos a las alarmas informáticas del gobierno. Funcionarios en el Departamento de Seguridad y del CERT (una agencia de supervisión de Seguridad informática financiada por el Gobierno) confirmaron que el mensaje era auténtico.

El Phatbot es "un tipo agresivo de software de ataque que funciona como una 'navaja suiza'" ha confesado Vincent Weafer, Director de Respuestas de Seguridad Informatica en Cupertino, delegación de Symantec (Norton) en California.

Joe Stewart, un investigador en la empresa Lurhq, especializada en seguridad, ha catalogado las características internas que el Phatbot incluye: "fuerte capacidad polimórfica en una tentativa de evadir firmas de antivirus permitiendo extenderse de sistema en sistema sin ser detectado"; "acaparar conexiones a las cuentas personales de AOL y sus contraseñas"; "envíar masivamente spam" "y "sniffar el tráfico en la Red para enviar cookies", entre otras muchas…

El Phatbot es una nueva modalidad de Troyano-Gusano (al estilo del Fizzer, pero mucho más agresivo) que ha despertado la preocupación y el interés entre los expertos porque representa un avanzado salto en sofisticación de este tipo de programas y demuestra lo difícil que lo van a tener las autoridades para aplicar las Leyes, resultando además difícilmente eliminable por las empresas de Antivirus. Como otros Caballos de Troya tradicionales, Phatbot puede infectar los ordenadores mediante varios métodos, como por ejemplo bugs de defectos de seguridad en el sistema operativo o por "puertas traseras" abiertas en máquinas ya infectadas por gusanos como el "Mydoom" o el "Bagle". Pero a diferencia de otros troyanos que actúan individualmente, el Phatbot al transmitirse por una inmensa red de tipo P2P, puede ser usado por los crackers para enviar ordenes masivas a las máquinas infectadas por muchas vías diferentes, siendo muy difícil prevenir un ataque enorme al no existir forma de desinfectar al mismo tiempo cada ordenador afectado o evitar su rápida propagación, sin conocimiento de los usuarios, cuyos antivirus y cortafuegos son anulados en el momento de la infección.

"La preocupación aquí radica en sus características P2P que hace que este tipo de armas cibernéticas sean enormemente resistentes y muy difíciles de erradicar" explicó un funcionario de Seguridad Informática del Departamento de Seguridad Nacional, quien no quiso ser identificado porque el Departamento todavía considera si hay que publicar o emitir algún tipo de alarma pública sobre el Phatbot.

"Con este tipo de redes troyanas P2P, incluso si se detienen por la fuerza la mitad de las máquinas afectadas, el resto de la Red infectada sigue trabajando perfectamente y sin ningún tipo de restricciones y, además, sin poder ser detenida o inmunizada al anular todos los antivirus y cortafuegos" confesó Mikko Hypponen, el director de F-Secure, famosa empresa antivirus ubicada en Finlandia.

Roger Lawson, Director de Informática y Tecnología de la Información en la Universidad de Vermón, explicó que puso en cuarentena más de 200 ordenadores -más del 5% de las máquinas de toda la red de la Universidad- debido a infecciones del Phatbot. "Ninguno de los programas antivirus descubrió al troyano y, al intentar eliminarlo, provocó que el Phatbot se autoreprodujera y comenzara de nuevo su infección", según dijo.

La alta capacidad de Phatbot de inutilizar el software de seguridad (antivirus y firewalls) en los ordenadores significa que el número estimado de PCs infectados podría elevarse a "varios cientos de miles", explicó Hypponen de la empresa de antivirus F-Secure.

Algunos expertos informáticos aseguran que la infección podría ser aún mayor: Igor Ybema, administrador de redes en la Universidad de Twente, en Holanda, eleva el número entre 1 millón y 2 millones de ordenadores infectados. Su conclusión está basada en un comando del Phatbot que fuerza a los ordenadores infectados a probar su velocidad de conexión a Internet enviando un fichero a uno de los 22 servidores Web expresamente seleccionados en el mundo entero, uno de ellos en esta Universidad de Holanda. Según explicó, Twente comenzó a supervisar el tráfico de ordenadores que controlan las pruebas a mediados de febrero, detectando a comienzos de la semana pasada, un promedio de 200,000 a 300,000 peticiones de pruebas de velocidad diarias, lo cual demuestra que los atacantes que antes usaban otras herramientas troyanas menos sofisticadas y de acceso remoto como NetBus, BackOrifice o SubSeven están ahora usando Phatbot para controlar centenares de miles de ordenadores al mismo tiempo mediante su capacidad intrínseca P2P. La mayoría de las infecciones parece que provienen de conexiones de banda ancha de usuarios y de universidades en los Estados Unidos y de la región de Asia-Océano Pacífico, muchos de ellos infectados sin saberlo.

A principios de este mes, Ingenieros de Redes en la Universidad Santa Cruz en California supervisaron el mismo tipo de tráfico de pruebas de velocidad observado por Ybema en Holanda. Mark Boolootian, el ingeniero que descubrió la actividad, explicó que una las razones que pueden explicar que los ordenadores infectados pueden estar desarrollando pruebas de velocidad se debe a la capacidad de Phatbot de idear métodos para comprobar cómo enviar aún más rápidamente grandes cantidades de spam o el envío masivo de datos para echar abajo servidores Web de páginas de gran importancia y prestigio como Yahoo, Amazon, CNN, eBay o Microsoft mediante ataques de denegacion de servicio.

El simple hecho de pensar que cientos de miles de máquinas estén infectadas ya por este nuevo tipo de navaja suiza en forma de troyano sofisticado es aún más peligroso que cualquier ataque imaginado hasta este momento, incluyendo los ya famosos gusanos MyDoom, Bagle o Netsky. Aunque catalogado en este momento aún como de baja peligrosidad por empresas como McAfee (que lo define como gusano) o por Kaspersky (que los define como troyano), lo cierto es que este nuevo tipo de herramienta cracker, que en sí funciona como gusano, como troyano, como herramienta DoS y como Nuke ponen de manifiesto la vulnerabilidad de las redes ante un ataque global generalizado.

En sí, este nuevo virus como unidad individual no es importante; su fuerza radica en la infección generalizada al mismo tiempo de cientos de miles de máquinas en todo el mundo actuando coordinadamente: robar gran parte del ancho de banda de las redes internacionales para el envío de correo no deseado, robar contraseñas o propagar denegaciones de servicios generalizadas es algo que supera con mucho la peligrosidad de otros virus que requieren la actuación directa del usario para su propagación. Una caída global en la Red Inet es igual para todos, independientemente del sistema operativo… Otra nueva forma de virus capaces de echar abajo las redes de todo el mundo mediante el envío masivo de spams o denegaciones de Servicio se está acercando y Phatbot está a la cabeza de ellos. El futuro de nuevos virus, cada vez más peligrosos y sofisticados, ya está aquí…

Más información en:

Yahoo:

story.news.yahoo.com/news?tmpl=story&cid…44_2004mar17

Washington Post:

(link roto) y

(link roto)

(en ambos aparece la noticia para suscriptores como Hackers Embrace P2P Concept, siendo la 1ª noticia de Informática más emitida hoy en EE.UU. mediante correo electrónico)

CNET:

news.com.com/2100-1009_3-5175025.html?tag=nefd_top

F-Secure ha puesto en circulación una herramienta de desinfección en:

ftp://ftp.f-secure.com/anti-virus/tools/f-agobot.zip

McAfee:

(link roto)

meth

Sencillamente impresionante la capacidad y el ingenio de los nuevos virii y sus creacciones.

Lo unico que no me gusta es el uso que de ellos se puede hacer, pero como avance tecnico y conceptual, es impresionante.

Ahora si que podemos pensar que una persona pueda tener el boton de apagado de la red... una sola persona con una creacion asi.

Espero que los antivirus se pongan las pilas, porque les sacan mas de una cabeza los diseñadores de estas herramientas.

Stendall

Había menospreciado las capacidades de windows, ya veo que cada dia va a más.
Para ser el primer virus de este tipo, le veo muchas posibilidades, supongo que con el tiempo sacarán más como el, y con más funcionalidades.
A este paso, creo que Microsoft va a tener que volver a retrasar el lanzamiento de el longhorn para quitarle mas "features".

-= Un saludo =-

🗨️ 4
BocaDePez
BocaDePez

pero que features tiene windows a parte de petar cuando tienes que imprimir un informe?

🗨️ 3
Stendall

Y te parece poco la variedad de cuelques y errores que tiene, exigen una imaginacion tremenda.

-= Un saludo =-

🗨️ 2
BocaDePez
BocaDePez

...extenso que te puedo pasar cuando quieras. Todos distintos y documentados con sus fotografias y todo. Te partes el culo de los nombres que les ponen. En eso si que tienen imaginacion.

TaleQ

🗨️ 1
BocaDePez
BocaDePez

Publicalo !!! subelo a cualquier servidor Web por favor !!! }:)

BocaDePez
BocaDePez

Buff yo ya me estoy imaginando que esto llegue a mas (mucho mas) y tenga que explicarle a vecinos y amigos como y porqué han sido robados sus codigos y se han apropiado de sus PCs...tiemblo de solo pensarlo.

BocaDePez
BocaDePez

A saber lo q se habrán fumado los q se creen estas chorradas.

PD.: si alguien se da por aludido q se joda

Salu2

Catamaran

no se puede calificar de otra forma, podría clasificarse al tio que creo este troyano, virus o lo que sea como de ciberterrorista a escala planetaria, se han empeñado en poner a prueba a la red de redes y algun dia nos encontraremos que por una panda de locos paralicen el mundo, porque aunque nos parezca mentira en la era en la que vivimos se basa en la información rápida precisa y en el momento, si a la era de la información que es la que estamos viviendo ahora, le quitan la información por un ataque cibernético de esta magnitud en que nos podremos quedar? en la edad de piedra?. En fin espero que los responsables de antivirus, firewalls y demás se ponga pero muy muy muy bien las pilas y siento el curro que van a tener los programadores de estas empresas pero de ellos van a depender que no se joda la red mundial entera si no se ponen medidas YA!

🗨️ 35
BocaDePez
BocaDePez

La culpa no es del tio sino de la mierda windows. Hay que suprimir los windows por lo menos los que se conectan a internet pq lo unico que se conseguira es que pete todo por culpa de sus mierda gusanos/virus/troyanos causados por su cutre programacion. Toy hasta los cojones de matar mierdas de virusetes en el kmail, que si netsky que si no se cuantos, cada día lo mismo solo cambia el nombre del virus cada 15 dias, esta mierda virus tendrian que ser mas inteligentes y mandarse solo a la mierda windows y dejar a los pobres usuarios de linux tranquilos.

🗨️ 34
MaestroJedi

En mi opinión, cualquier sistema mal administrado (sea Windows, Linux, UNIX, Solaris o lo que quieras) es vulnerable a cualquier tipo de ataque. No depende de que la gente tenga un Windows o no, sino de que SEPAN usarlo correctamente y se preocupen por la seguridad.

Yo llevo con Windows muchos años, y te puedo asegurar que JAMÁS (sí, jamás) se ha colado un solo virus en este PC. Y simplemente es porque el tema de la seguridad informática me ha interesando siempre, y siempre he querido estar a lo más actualizado posible en este aspecto.

Si te entra un virus, troyano o cualquier malware, lo único que demuestra es que tienes el sistema mal gestionado y poco protegido, sea cual sea. Da igual si es Windows como si es BeOS.

Saludos

🗨️ 33
BocaDePez
BocaDePez

Es que ahora parece que usar un antivirus es algo de lo mas normal x'DD (por desgracia lo es). Siempre estamos con el topico de "si en linux hubiese tantos usuarios como en windows veriais como hay igual cantidad de virus", pero eso no es asi. Los virus/troyanos/gusanos son consecuencia de sistemas mal logrados, pese a quien pese.

A ti te interesara mucho la seguridad informatica, pero si este virus en cuestion, te llega antes que la actualizacion del antivirus te lo comes entero xDD, da igual los que pongas y en el plan que te pongas, si usas windows estas perdido, si te mantienes al dia religiosamente con actualizaciones del sistema y del antivirus quizas menos, pero lo sigues estando, porque en el momento que un virus no cumpla los patrones qeu usan los antivirus para determinar su existencia... ese entra sin llamar :D Asi que estais vendidos a las empresas de Antivirus, vuestra seguridad depende de ellas, ya que a M$ parece ser que se la come xD Pagais por un antivirus y sus actualizaciones cuando era M$ la que tendria que pagar o por lo menos hacerse cargo de su producto mal logrado que permite este tipo gamberradas.

Lo peor no es eso, lo peor es que la mayoria de gente no tiene ni siquiera conceptos basicos de informatica, y vive felizmente con su winXPpro sin actualizar, sin firewall y con el Mcfee de hace 3 años tan felices bajando musica del Kazaa y ayudando a propagar esta clase de gamberradas, luego claro ... no me va el mail ... esta web no carga... vaya lag .. pff

Un saludo.

🗨️ 32
Polanko2k

Y con linux si sale un boquete de seguridad no estaras a salvo hasta que saquen el parche (donde digo linux digo linux, unix, macOS...) eso no es culpa de windows (el tener que esperar el parche) es como funciona el systema, que en linux el tiempo de peligro sera mas corto, seguramente, pero el margen esta en tdos los sistemas operativos.

Yo administro una red, y con sus directivas bien puestas lleva ya un año de trote, esa red es de un insituto y la anterior duro la friolera de 3 semanas. A las 3 semanas eso tenia mas virus, troanos, adware, dialers... pero gracias a las opciones de las directivas de grupo y tal lleva un año sin problemas (y nunca he tenido que i a tocar nada, lo juro).

En la ultima parte de tu post tienes razon, pero eso no se puede eviar, tambien conducimos los que no tenemos ni idea de mecanica, tambien cocinamos los que no tenemos ni idea de cocina, pero para eso esta el mecanico y telepizza xD, que en el caso de la informatica es "el pringao" (en referencia al pringao how-to, lectura obligada xD)

🗨️ 9
BocaDePez
BocaDePez
🗨️ 3
MaestroJedi
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
🗨️ 4
BocaDePez
BocaDePez
🗨️ 3
Polanko2k
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

eso que dices de que llegue el virus antes.... me recuerda al caso del blaster; que todavia hoy en dia padezen los paletos; pues bien el parche del blaster llevaba un mes en windowsupdate antes de que saliera dicho virus; si un tio se preocupa por la seguridad de su pc es muy dificil que le cuelen algo; vamos a quitarnos totnerias; linux o cualkier so tambien tienes sus agujeros de seguridad y tambien hay un tiempo hasta que se corrigen con nuevas actualziaciones

🗨️ 17
MaestroJedi
🗨️ 16
Stendall
🗨️ 14
BocaDePez
BocaDePez
🗨️ 4
Stendall
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
Stendall
🗨️ 1
BocaDePez
BocaDePez
🗨️ 7
MaestroJedi
🗨️ 3
BocaDePez
BocaDePez
🗨️ 1
kanuac

De lo que se trata es de saber hacer, del know-how que dicen los yankis y los repipis; del sentido común también. la gente quiere un aparato que haga todo y lo haga bien y lo haga rápido y que se haga solo. Eso no existe de momento.

Y si un pc puede hacerlo sin riesgos para tus datos sólo puedes conseguirlo a partir de una buena concienciación sobre la situación actual relacionada con la seguridad y una base de conocimiento sobre el sistema operativo que uses.

Por ponerte un ejemplo, no estamos hablando de actualizar el antivirus cada media hora sino de no abrir los adjuntos de cualquier e-mail que llegue.

🗨️ 3
Stendall
🗨️ 2
MaestroJedi
🗨️ 1
BocaDePez
BocaDePez

Esto no es nada nuevo, ya desde hace tiempo hay toda clase de especimenes de virus que usan las redes P2P actuales para propagarse. Una red P2P es un sistema basado en protocolos con los cuales una máquina puede encontrar a otra que esté conectada a la red, que cumpla determinada condición (que posea parte o la totalidad de algún fichero, que tenga cacheada una página web, etc...), por otra parte, el protocolo por el cual se realizan los intercambios de datos (ficheros, páginas, etc), pueden depender o no del protocolo que usa la red para la localización de máquinas. Por ejemplo, sabemos que es muy conocido el protocolo usado por las ya caducas redes tipo GNUtella (Bearshare, Limewire, etc...), precisamente por ser GNU. Por otra parte, en estas redes, el protocolo sólo se encarga de la localización de máquinas que cumplan un patrón de búsqueda (nombres o tipos de ficheros, lo más común). El intercambio de los datos (los ficheros en cuestión), se produce mediante acuerdo entre los clientes (cada uno corre un pequeño servidor http, y el cliente, para conseguir el fichero que interesa, realiza una solicitud http GET a la máquina que posee el fichero). Aunque no termina ahí la implicación del protocolo de Gnutella, ya que se dispone de un modo PASIVO, que permite invertir la conexión entre cliente y el servidor local, realizando una petición a través de la red p2p, petición que no siempre alcanza su destinatario. Sin embargo, el papel de Gnutella termina ahí.

Por qué explico todo esto?, un coder podría ser capaz de usar código de un sofisticado parásito (virus con gran capacidad de mutación de su código, que sea capaz de propagarse como un gusano, para infectar la mayor cantidad de máquinas posible en poco tiempo) y añadirle una version propia de un protocolo como Gnutella, el cual se encargaría de localizar máquinas dentro de su red P2P, para posteriormente contactar con un servicio en aquellas máquinas que el coder habría integrado en su engendro, como puede ser una versión ampliada por el coder del sencillo protocolo de relevo SOCKS (podemos pensar que el coder podría haber usado la versión 4 que es la más sencilla de implementar), añadiendo muy fácilmente comandos extras, como alguno que permitiera multiplicar la conectividad (usando la lista de IP que cada máquina obtiene del protocolo P2P, y un identificador único, para evitar bucles), para que una simple petición desde la máquina atacante se convierta, a través de una pirámide de proxies, en un ejército de máquinas solicitando un servicio a algún servidor (ese servicio y quizás junto a otros que el coder podría implementar, convertirían su engendro en un TROYANO). Además, como el servicio SOCKS implementado por el coder también cumple con los comandos estándares, internet vería incrementado el número de máquinas corriendo un servicio SOCKS abierto (posiblemente en un puerto exótico, pero famoso al cabo de poco tiempo), por lo cual los spammers se estarían frotando las manos, ya que a través de esos proxies, podrían inundar con sus correos basura, y para que cualquiera pudiera usar esas máquinas con propositos no muy honestos.

Todo esto es un supuesto, una hipótesis, no me baso en absoluto en nada que pudiera tener relación con el gusano/troyano de la noticia.

Esto lo explico para que veais que las herramientas estaban ahí, y ya hacía tiempo que se estaban madurando (virus, troyanos, p2p, protocolos, proxies, etc...), y no hace falta ser un gurú (quizás un buen coder) para unir todos esos conceptos y crear un arma de destrucción masiva.

🗨️ 2
BocaDePez
BocaDePez

Si alguien fuese capaz de encontrar la forma de distribuir fuentes falsas atraves de los servidores ... la que se podria liar xD

Por ejmplo, se introduce en los principales servidores de la red edonkey que el host www.microsoft.com en el puerto 80 tiene la ultima pelicula supertaquillera que acaba de salir ..... cuantas petciones podria recibir ese host??? una burrada seguro.

Un saludo.

🗨️ 1
BocaDePez
BocaDePez

a mi me paso lo mismo con la mula del terreno pero le cambié

las bujias y divinamente oye

BocaDePez
BocaDePez

sabéis a qué me recuerda esto? a cuando la RIAA decía que había contratado a una empresa para que programara un gusano para saber quién compartía música y eso. Decían que habían infectado a millones de ordenadores.

Un hoax como un planeta. Y apareció en las principales páginas de noticias... yo ya no me fio de nada. Esto me parece demasiado alarmista... no me lo creo.

🗨️ 6
Polanko2k

Pues eso, a mi tambien me suena a HOAX, me recuerda a esos mails que recibo de amigos diciendo que hay un nuevo supervirus que te roba los mails, te formatea c: y encima se folla a tu novia.

O el nuevo ese que corre que cuenta que hay virus para telefonos moviles, que te pillan la agenda y mandan mensajes solos, y sobretodo, que si te llaman de un numero, o recibes un mensaje tal, no lo abras!!

O ese que te dicen que no agregues al messenger a tal direccion porque es un potente virus, que te hace de todo menos.

Puede ser cierto, no digo que no, pero que a mi me huele mas a hoax que a historia real... demasiado de pelicula, sabeis?

"Un supervirus se extiende por las redes informaticas causando el caos en todo el mundo empresarial, desde el wall street nos informa Trisha takanwa"... y sale el hacker que hackea hasta cuando le chupan el miembro (no me acuerdo de que peli es eso) y pilla a los conspiradores supermalos....

Por cierto, un windows bien administrado no tiene mucho que envidiar a un linux en cuanto a seguridad. Como siempre he dicho, el primer agujero de seguridad es una mala administracion (Y mas aun si viene mal de fabrica xD).

🗨️ 4
GreatMa

Mírate la infromación de Mcafee y otros fabricantes de antivirus. El bicho existe y puede ser muy dañino.

Los hoax son un coñazo pero la falta de información es aún más peligrosa.

Por cierto, paso de la eterna discusión de Linux /Windows. Que cada uno escoja lo que prefiera/conozca/sepa utilizar.

Veo bien que se quiera educar a la gente y que conozcan alternativas pero ya estoy un poco harto de que todos los posts acaben con pique cable/ADSL, Linux/Windows, PP/PSOE....etc.

Discutamos por ver cual es la tía/tío más impresionante del planeta, que es más divertido...

🗨️ 1
BocaDePez
BocaDePez

Eso no tiene discusión, el tío más impresionante del planeta soy YO.

Me reconocereis porque seré el único q quedará en pie después del gran atake.

LoRTH

Pues el hacker q hackea el ordenador central de la CIA con una paba comiendosela, en 60s se corre, y un pabo con una pipa apuntandole en la cabeza, pues sale en la pelicula de Operoacion Sworfish La del trabolta. Que programa un troyano en 3D, con 10 pantallas.....

🗨️ 1
BocaDePez
BocaDePez

y no soy capaz de hacer la O con un canuto xDDDD

BocaDePez
BocaDePez

........ Overpeer x'D.

Salio en un reportaje como el posible "primer virus legal" de la historia jajaja, y no fue un HOAX, fue verdad. Estuvieron tiempo de papeleos con la excusa de que el virus solo inutilizaba material con copyright almacenado ilegalmente y bla bla bla, pero la ley decia que era ilegal. Al final el papeleo se lo llevo el viento y Overpeer no llego a ver la luz (por lo menos de forma legal).

Un saludo.

PD: Entre varios reportajes me acuerdo de uno que se llamaba ... "El kazaador kazaado" xD

BocaDePez
BocaDePez

Pues la verda es que a mi de momento no me impresiona mucho. Me he leido la informacion de McAffe por ser la informacion mas cientifica y menos sensacionalista y suena a virus/troyano de lo mas normal.

De momento me preocupa mas que se pongan las pilas desarrollando una verificacion del remitente en los servidores de correo. El SMTP no es valido ya para estos tiempos. Fiarse de lo que te dice un desconocido no suena a buena idea.

Cualquiera de estas "bestias" que van apareciendo se centran en no ser dectectadas desde dentro (PC, matando antivirus y cosas de esas) pero les es mucho mas dificil evitar ser detectado desde fuera (Antivirus en la salida a Internet, en los servidores de correo, IDS, Firewall, etc).

Cuando tienes que administrar una red de varios PCs lo mejor es controlar lo que intentan hacer esos PCs y desinfectar los que actuan de una forma sospechosa.

Vamos, que a nivel personal no me preocupa (aparte que uso mitad linux mitad windows no tengo nada importante dentro) y a nivel profesional tampoco (todo lo que intente hacer el PC es detectable en el Firewall/IDS).

No os emparanoieis que si esto se pone en marcha en serio no durara en las noticias mas de un par de semanas.

Saludos.

Ojete

Un virus, troyano, gusano, o como querais llamarlo de esta clase, debe representar un punto de inflexion en la mentalidad de toda la sociedad.

A ver si nos damos cuenta de una vez por todas que:

  1. Un ordenador NO ES una consola
  1. Un ordenador NO ES un video
  1. Un ordenador NO ES una maquina de escribir

Hay que hacer comprender a la gente que al conectar a internet tienen que tener una responsabilidad y una madurez sufiecientes para no perjudicarse ellos ni al resto de usuarios. ¿Te dejan conducir sin carnet? ¿Te dejan manipular alimentos sin carnet de manipulador?

Reflexionemos y aprendamos antes de que sea tarde.

🗨️ 1
BocaDePez
BocaDePez

No te esfuerces, tienes toda la razon y estoy contigo, pero es esfuerzo en vano :(

Un saludo.

Graku

Estoy de acuerdo con la conclusión que da el Sr. Ojete. A fecha de hoy, o quizás siempre ha sido así, el buen uso y la mejor protección frente a un ataque ha sido el saber moverse y defenderse de Internet siendo consciente y poniendo los medios necesarios que ofrece tanto la industria del software como del hardware para protegerse de estas malvades.

También quiero decir que a ver cuando se da la gente cuenta que los virus aparte de creárse por gente preparada con un profundo conocimiento de programación hay que achacarle en parte la culpa a las empresas de antivirus por ser ellas una de las bazas de creación en virus dentro de sus departamentos de I+D, ya que a base de que aparezcan virus es su tiempo de subsistencia y porvenir en la vida.

🗨️ 2
BocaDePez
BocaDePez

achacarle en parte la culpa a las empresas de antivirus por ser ellas una de las bazas de creación en virus dentro de sus departamentos de I+D

Valiente chorrada. Seria como decir que la culpa de que caigamos enfermos es de los medicos, de los accidentes de coche es de los fabricantes o cualquier otra comparacion similar.

Los antivirus surgen a raiz de la expansion que tuvieron los codigos malignos, de tal forma que se hacian necesarios, ni mas ni menos. No empeceis a ver conspiraciones en todas partes, que la paranoia os consume.

🗨️ 1
Graku

Hecha la ley, hecha la trampa. ;-)

BocaDePez
BocaDePez

Según (link roto), PhatBot es un nombre genérico que engloba los siguientes virus: Phatbot, Polybot, Agobot Gaobot, SDBot, RandBot... Todos con funcionalidades similares, las cuales sus últimas versiones tienen cualidades víricas, y sobre todo un sofisticado mecanismo polimorfico que los hace indetectables. El antivirus online HouseCall de trend microsystems ha encontrado unos 16000 ficheros con SDBot.MS, repartidos en 2 directorios. Unos 600 en "My Shared Folder" cada uno con un nombre distinto haciendo creer que se trataban de cracks para aplicaciones y juegos bastante conocidos. Los otros en _RESTORE (al parecer diariamente se estaba haciendo una copia de seguridad de esos virus). Si he de creer a mi padre, él no ha ejecutado ninguno de los virus que se encuentran en la carpeta del Kazaa, y que dicho programa sólo lo ha ejecutado un par de días últimamente (ya le dije que lo desinstalara, que el Kazaa es un foco potencial de nuevos viruses), por lo que no tengo motivos para pensar que el virus está instalado, y que se encuentra oculto en memoria a ojos del antivirus, aunque hay que andar con cautela. Naturalmente he borrado completamente tanto My Shared Folder (ya que no tenía nada interesante además de esos viruses), y voy a tratar de eliminar el directorio _RESTORE sin poner en juego la integridad de Windows (me parece bastante inutil su existencia ya que ni siquiera la opción de reestablecer el sistema funciona adecuadamente).

En mis ordenadores (los tenemos todos conectados en red) he pasado el mismo antivirus y no ha encontrado nada.

Sin embargo, si sois excépticos, os recomiendo que reviseis el directorio "My Shared Folder" del kazaa, a ver si encontrais ficherillos de 31K sospechosos. Y por supuesto que de vez en cuando paseis el antivirus (Panda no los ha detectado, pero HouseCall si, a pesar que todos esos ficherillos ya me sugerían que podría tratarse de un virus).

PD: Una colleja para mi papá.

🗨️ 1
BocaDePez
BocaDePez

Deciros que ya he logrado desinfectar el ordenador de mi padre, y 3 antivirus diferentes no encuentran ni rastro. Lo que si que quería comentar, es que hace un par de semanas tenía abierto un proceso llamado "svrhost.exe", que se abría desde la clave de registro ..\CurrentVersion\Run\Generic Service Process. Como me parecía bastante raro, eliminé la clave, y por lo tanto ya no apareció al reiniciar. sin darme cuenta estaba desactivando la versión SDBoT de la familia PhatBot. Lo acabo de leer hace un rato. Si encuentras un proceso llamado svrhost.exe, srvhost.exe, o similar (no confundir con svchost.exe, que es legítimo) entonces tu máquina con mucha probabilidad está infectada (incluso hay otros viruses que abren un proceso con ese nombre). Es muy fácil hacer la prueba.

(link roto)

BocaDePez
BocaDePez

Tengo que decir que intuia algo con respecto a ese tipo de virus hace cierto tiempo. Para los prepotentes... ya que se creen asi ... que usan linux o unix ... que no se piensen que estan inmunes ante este tipo de lacra de virus ... ellos tambien pueden ser atacados, de echo muchas maquinas unix tienen el virus, la potencial capacidad del mismo es muy alta, y me da pena que solo piensen que pueden ser atacacas las plataformas microsoft, desgraciadamente no se salvan ni los mac, la programacion de dicho gusano o caballo de troya, va mucho mas lejos lamentablemente, y es aconsejable reforzar la vigilancia bajo otros sistemas, dicha situación ya informa de ello ALTAIR, empresa española que se dedica a la seguridad en sistemas, informando a los usuarios sobre vulnerabilidades en diversos sistemas operativos.
Unicamente decirles a todos, que no se tomen el asunto a broma, es muy serio, y todas las plataformas se ven afectadas, quien a preparado el ejendro ha sabido hacerlo.

Atentamente:

Vigo_BrAvO

🗨️ 22
semeolvido

Para los prepotentes... ya que se creen asi ... que usan linux o unix ... que no se piensen que estan inmunes ante este tipo de lacra de virus ... ellos tambien pueden ser atacados, de echo muchas maquinas unix tienen el virus, a potencial capacidad del mismo es muy alta, y me da pena que solo piensen que pueden ser atacacas las plataformas microsoft, desgraciadamente no se salvan ni los mac.

Sabiendo que el Phatbot infecta a archivos Win32, aprovecha vulnerabilidades del Windows, se aprovecha de las puertas dejadas por virus como el MyDoom y mas sistemas varios de infección de los S.O Windows, vamos que un remix de varios virus de Windows, explica el método de infección en *nix y Mac.

Bueno a lo mejor esos *nix que se han infectado, tenían el Wine corriendo.

Greetings m8.

🗨️ 20
BocaDePez
BocaDePez

eso esta muy bien; pero si hay un agujero gordo o un problema con un virus en linux; quien se va a enterar? los enterados en linux? por que en pocos foros o en pocas noticias impactantes veras aparecer este tipo de noticias, muchas veces me planteo si la meta de un usuario de linux es compararse todo el tiempo con windows, que teoricamente no lo usan, pk segun ellos es una mierda, o posiblemente sera encontrar un nuevo agujero
La noticia de que van a sacar un SP2 para windows xp para muchos usuarios de otros so es para escribir un libro machacandolo, en cambio la noticia de un nuevo parche para linux es uno mas en un dia mas.

🗨️ 2
semeolvido

pero si hay un agujero gordo o un problema con un virus en linux; quien se va a enterar?

Pues la misma gente que sigue infectada con el blaster, los que se infectan con el MyDoom y derivados, por que mas información que se dio, al día de hoy, hay gente que todavía desconoce esto.

Precisamente por unos errores en el kernel, los cuales a un usuario local le permitía escalar derechos hasta llegar al root, he tenido que cambiar tres veces el kernel, otra cosa es que no te hayas enterado tu, pero ha salido en noticias en paginas webs, foros y mil sitios mas.

Otra cosa es que la gente que usa Windows, muy pocas veces se van a parar a leer noticias sobre *nix y mucho menos suscribirse a listas de security mail, en las cuales tenemos constante información sobre fallos y su solución, y no esperar largas temporadas a que los arreglen.

Ademas comparar cualquier fallo de cualquiera de los 12000 y pico de paquetes que tiene la versión testing de la Debian, por ejemplo, con cualquiera de los fallos de Windows no tiene color.

Pues hombre, que saquen el SP2, es toda una noticia y la gente espera que arreglen los fallos que hasta el día de hoy tienen pendiente, sin embargo que *nix saque un update de un paquete por que se les olvido meter la documentación, por un fichero que al instalarse no se instale en el directorio que le corresponde o no ponga los permisos que le corresponde, por poner un ejemplo, pues como comprenderás no es noticia.

Greetings m8.

PD.
Ademas, todavía no me ha explicado nadie como se han infectado todos esos *nix y la posibilidad de los Mac con el Phatbot.

🗨️ 1
BocaDePez
BocaDePez

nada pues si que es una gran noticia que Windows sale por ejemplo en enero (esto es un ejemplo no real) pero desde diciembre ya estan creando parches y actualizaciones muy grandes, que gran noticia es que corriendo un simple juego se te cague el XP, que gran noticia es que el windows ME te presenta una hermosa pantalla azul cada 10 segundos, que bueno que existe la consola de recuperacion de XP (por que la habran construido? sera por lo robusto que es el XP? ).

todas las buenas noticias que da Microsoft, por ejemplo, si no tienes ni un pedo de dinero para comprate el XP o cualquier version mas avanzada (???) que el 98 ya te cagaste, una GRAN NOTICIA!!!! YA NO HAY NUEVAS ACTUALIZACIONES PARA ESTE SISTEMA!!!!!!!!

Una gran noticia es la creacion de puntos para restaurar sistema de windows, las descripciones que les pongo se parecen a esta: Dios mio!, ojala y que no tenga que restaurarla otra vez.

BocaDePez
BocaDePez

A día de hoy es prácticamente imposible que ese virus polimórfico del que habláis sea capaz de infectar plataformas Windows, Linux y Mac OS. Cualquiera que tenga 2 dedos de frente (y un mínimo de conocimientos de informática), sabe que el mismo binario no se puede ejecutar en dos de estas plataformas (y menos en las tres). En cuanto a un gusano que a día de hoy se propague a través de sistemas Linux y Mac OS... ¿me lo tengo que creer?. Como se puede ver en las páginas de seguridad conocidas y respetadas (no las voy a nombrar para que hackerzuelos como vosotros no puedan bajarse sus exploits de ellas) a dia de hoy NO hay un sólo agujero remoto conocido en Linux ni en Mac OS (al menos en los servicios mas conocidos y usados), Así que, por favor, no nos intentéis vender la moto de que los malditos virus diseñados para vuestro *beloved* Windows nos pueden atacar a los que no lo usamos.

🗨️ 16
semeolvido

A mi no hace falta que me lo expliques, cuéntaselo al de arriba mío, o lo que es mejor, que nos cuente el, como un virus que infecta exclusivamente ejecutables Win32 puede llegar a infectar, por ejemplo, ejecutables ELF.

Greetings m8.

BocaDePez
BocaDePez

Desde luego tio ... no tienes ni zorra idea ... como dices que linux y Unix no tienen vulnerabilidades te posteo unas cuantas .. y deja de hacerte el listo que no tienes ni idea.

Vulnerabilidades de desbordamiento de búfer en xboing

Información sobre el sistema Plataforma afectada:
GNU/Linux
Software afectado:
Debian Linux 3.0
Riesgo: Medio

Solución
Actualización de software
Debian Linux
Debian 3.0
Source
(link roto)

Vulnerabilidad en la implementación del protocolo TCP de FreeBSD

Información sobre el sistema Plataforma afectada:
UNIX
Software afectado:
FreeBSD 4.8
FreeBSD 4.9
FreeBSD 5.2
OpenBSD 3.3
OpenBSD 3.4
Riesgo: Medio

Solución
Actualización de software
FreeBSD
FreeBSD 5.2
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:04/tcp52.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:04/tcp52.patch.asc
FreeBSD 4.8, 4.9
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:04/tcp47.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:04/tcp47.patch.asc
OpenBSD
OpenBSD 3.3
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.3/common/018_tcp.patch
OpenBSD 3.4
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.4/common/013_tcp.patch

Actualización de seguridad de SGI Advanced Linux Environment (ProPack 2.3 y 2.4)

Información sobre el sistema Plataforma afectada:
UNIX
Software afectado:
SGI ProPack v2.4
SGI ProPack v2.3
Riesgo: Medio

Solución
Actualización de software
SGI Advanced Linux Environment
SGI ProPack v2.3
ftp://patches.sgi.com/support/free/security/patches/ProPack/2.3/patch10056.tar.gz
SGI ProPack v2.4
ftp://patches.sgi.com/support/free/security/patches/ProPack/2.4/patch10056.tar.gz

y podria seguir posteandote agujeros del unix y del linux... cualquier hacker que se precie los conoce ... estos y muchos mas... todo es software... y contra todo programa existe su antiprograma... pero ... so burro no digas que linux es el programa Dios y que es imposible que tenga nada porque estas mintiendo...

Existen virus especificos para estas plataformas y existe tambien un phatbot para el mismo que nada tiene que ver con el de windows.

La primera norma que todo buen informatico debe tener es la seguridad y dicha seguridad comienza por conocer las debilidades para mejorar la proteccion y seguimiento.

Sin nada mas y encantado de hablar con todos ustedes se despide atentamente:

Vigo BrAvO

🗨️ 13
Stendall

Package: xboing
Priority: optional
Section: games
Installed-Size: 1548
Maintainer: Alexander Kotelnikov
Architecture: i386
Version: 2.4-26
Depends: libc6 (>= 2.2.4-4), xlibs (>> 4.1.0)
Conflicts: suidmanager (Filename: pool/main/x/xboing/xboing_2.4-26_i386.deb
Size: 511288
MD5sum: 8e0b7296bbe68b2ead1959dea58ebf46
Description: Blockout game for X
XBoing is a blockout type game where you have a paddle which
you control to bounce a ball around the game zone destroying
blocks with a proton ball.
.
Each block carries a different point value. The more blocks
you destroy, the better your score. The person with the
highest score wins.
----------------------------------------------------------------------------

Ahora como buen hacker, me explicas como te lo montas para saber que el ordenador al que quieres entrar, tiene instalado el xboing, y el usuario está hechando una partida, ahh, perdona, es verdad, que el exploit no es remoto, que hace falta que el malo tenga una cuenta en el ordenador ademas de el juego instalado.

¿Nos ponemos a contar los bugs de todos los juegos disponibles que hay para windows?, ah claro, que no hace falta, con que te pases por una web ya puedo hacer lo que quiera con un windows, si, va a ser lo mismo un *nix que windows... eso va a ser.

-= Un saludo =-

semeolvido

Me has puesto los pelos de punta.

Vulnerabilidades de desbordamiento de búfer en xboing.
DSA-451-1 xboing -- desbordamientos de buffer
Fecha del informe:
27 de feb de 2004
Paquetes afectados:
xboing
Vulnerable:

Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CAN-2004-0149.

Información adicional:

Steve Kemp descubrió varias vulnerabilidades de desbordamiento de buffer en el juego xboing, que podría aprovechar un atacante local para obtener acceso al id. del grupo «games».

Para la distribución estable actual (woody), estos problemas se han corregido en la versión 2.4-26woody1.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.4-26.1.

Desde luego que es un bug muy serio, ya que un hacker que este jugando al xboing en el ordenador puede llegar a escalar hasta el grupo games, ahora mismo le voy a actualizar.

Actualización de seguridad de SGI Advanced Linux Environment (ProPack 2.3 y 2.4)

SGI has released Patch 10046: SGI ProPack v2.4: Kernel update fixes security
and other issues, which includes updated RPMs for SGI ProPack v2.4 for the
Altix family of systems, in response to the following security issues:

Linux kernel do_mremap() local privilege escalation vulnerability:
isec.pl/en/vulnerabilities/isec-0013-mremap.txt
access.redhat.com/errata/RHSA-2003:418
access.redhat.com/errata/RHSA-2004:069

SGI BUGs 906731 & 908397

Este otro fallo, se basa en los fallos que tenia el kernel con el mremap system call, que básicamente se basaba en que un atacante local podía ganar derechos de root.

Claro que podrías seguir posteando fallos de Linux y te seguiría diciendo que hasta llegar a tener un fallo que permita a un usuario remoto, no usuario local que hay una gran diferencia, poder ganar derechos hasta conseguir el control de la maquina le queda un trecho largo, por no hablar de que estos fallos que has posteado están solucionados, así que cualquier hacker que se precie sabe lo difícil que es entrar en un maquina *nix.

En cuanto al tema de los virus, claro que hay virus para Linux, pero no han pasado de ser virus de laboratorio, ya que por el funcionamiento de Linux una posible infección por parte de un virus es realmente complejo.

Claro que la primera norma de un informático es estar atento a las noticias relacionadas con la seguridad y por supuesto entenderlas, para luego saber si es un fallo grave y su solución, por que el hacer un cut&paste lo hacemos todos.

¿Donde esta, ese supuesto phatbot para Linux?, porque mucho lo dices, pero no das ni una sola información para verificarlo, hasta el momento nada mas que es un "hoax".

Greetings m8.

🗨️ 11
BocaDePez
BocaDePez
🗨️ 10
MaestroJedi
🗨️ 8
BocaDePez
BocaDePez
🗨️ 7
BocaDePez
BocaDePez
🗨️ 6
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
BocaDePez
BocaDePez
MaestroJedi

Que no existe actualmente ningún SO carente de vulnerabilidades (no, ni siquiera *nix está exento de ellas, y Linux desde luego que no, te vayas a la distro que te vayas). ¿Que Windows tiene vulnerabilidades? Claro que las tiene, para eso sacan actualizaciones y demás, ¿o qué te crees? xD

Si no eres capaz de creértelo, pues no te lo creas... pero que sepas que las tiene también. No existe el SO perfecto, recuérdalo.

Diferente es que digas que sistemas *nix, Linux y Mac tengan menos, que es más coherente y es verdad. Lo que tú dices, no.

Un saludo

BocaDePez
BocaDePez

Ya tengo Panda antivirus corriendo en wineX , gracias por el aviso ;)

Un saludo.

BocaDePez
BocaDePez

El link:

(link roto)

Sería recomendable leer "detenidamente" los cambios de funcionalidad:

(link roto)

También trae un firewall de verdad (stateful host-based firewall):

(link roto)

Por lo que he leido viene activado por defecto y con todo cerrado, al hilo de lo que comentabais arriba muy adecuado para usuarios de "perfil bajo", que tendrán que definir servicios, puertos, programas,... vamos configurarlo a mano. ¿tendrán que aprender por coj****?

Saludos

🗨️ 4
BocaDePez
BocaDePez

Por lo que he leido viene activado por defecto y con todo cerrado

Pues es una buena noticia.

🗨️ 1
Stendall

En mi humilda opinión eso no va a solucionar nada, y diré por qué.
En cuando el firewall pase a ser statefull y cierre todo el trafico a ips con las que no haya iniciado el la comunicación, eso implicará que todos los programas de p2p empezaran a dar lowid si no se deja abierto un puerto especifico, no funcionaran las trasnfarencias de ftp que no sean pasivas, y un largo etc...
Y cuando eso llegue, lo que la gente hará, no es configurar el firewall en condiciones, si no descubrir que tienen un firewall, y que es el que les hace tener lowid en el emule, desactivarán el firewall y santas pascuas.

-= Un saludo =-

MaestroJedi

Y ya es hora de vayan aprendiendo. Un poquito sobre seguridad no hace mal a nadie, y nos beneficia a todos, en vez de tanto eMule, KaZaA, jueguecitos, DivX y no sé qué polladas más. Que aprenda primero algo de Informática, y ya tendrán tiempo para hacer el gamba :)

Saludos a todos

anthrax

Espero que no anuncie a estas alturas M$ a bombo y platillo lo del statefull firewall ... :P

Bueno, al menos ahora no le podrán colocar el worm de turno al XP por el 137 udp. xDD

Saludos 8)

BocaDePez
BocaDePez

Para los interesados en la seguridad:

Vulnerabilidad en GNU automake

Información sobre el sistema
Plataforma afectada:
GNU/Linux

Software afectado:
GNU automake
Riesgo: Medio

Solución

Actualización de software
GNU automake 1.8.3
ftp.gnu.org/gnu/automake/automake-1.8.3.tar.gz

Vulnerabilidad en Apache 2 / mod_ssl

Información sobre el sistema
Plataforma afectada:
GNU/Linux

Software afectado:
Apache 2 httpd
Riesgo: Medio

Solución

Actualización de software

Apache
Apache 2.0.49-dev
httpd.apache.org

Recursos adicionales
Apache Security
apacheweek.com/features/security-20

Vulnerabilidad de creación insegura de archivos temporales en sysstat

Información sobre el sistema
Plataforma afectada:
GNU/Linux

Software afectado:
RedHat Linux
Debian Linux

Riesgo: Medio

Solución

Actualización de software

RedHat Linux

RedHat Linux 9
SRPMS
ftp://updates.redhat.com/9/en/os/SRPMS/sysstat-4.0.7-4.rhl9.1.src.rpm
i386
ftp://updates.redhat.com/9/en/os/i386/sysstat-4.0.7-4.rhl9.1.i386.rpm

Debian Linux

Debian Linux 3.0
Source
(link roto)
(link roto)
(link roto)
Paquetes independientes de arquitectura
(link roto)
Alpha
(link roto)
ARM
(link roto)
Intel IA-32
(link roto)
Intel IA-64
(link roto)
HP Precision
(link roto)
Motorola 680x0
(link roto)
Big endian MIPS
(link roto)
Little endian MIPS
(link roto)
PowerPC
(link roto)
IBM S/390
(link roto)
Sun Sparc
(link roto)

Este que posteo es muy de riesgo muy alto y conviene que corrijan el problema:

Vulnerabilidad en Tru64 UNIX ,usando certificados digitales con IPSec/IKE, permite acceso remoto no autorizado

Información sobre el sistema
Plataforma afectada:
UNIX

Software afectado:
Tru64 UNIX 5.1a
Tru64 UNIX 5.1b

Riesgo: Alto

Solución

Actualización de software

HP True 64 UNIX
HP Tru64 UNIX 5.1a (ipsec_binary_X2.1.2.tar.gz)
(link roto)
HP Tru64 UNIX 5.1b
(link roto) T64KIT0021591-V51BB24-ES-20040216

Recursos adicionales
HP SECURITY BULLETIN HPSBTU00030
(link roto)

X-Force Security Advisory
(link roto)

Para los que se cachondean y rien ... rie mejor el que rie el ultimo, la seguridad no es para tomarsela a broma, es lamentable como algunos llegan incluso a insultar y a faltar al respeto a la gente... bueno creo que ese tipo de personas no se les merece ni que los mencione, y no lo voy a hacer.

Un saludo a todo el foro

Vigo BrAvO

🗨️ 8
BocaDePez
BocaDePez

Por lo menos, si tanto sabes, tanto entiendes y tienes ese "deber" con los usuarios que comentabas antes, haz el puto favor de pastear las descripciones y posibilidades de cada bug señor de Dios, para que podamos ver su ridiculez en unos casos, y que ya estan solventadas en otros (en todos estara ya solventada)

Porque si no te has dado cuenta, de todas esas url que das, menos 2 o 3, son todas enlaces a los parches, no aclaran nada.

Saludos.

🗨️ 7
semeolvido

Joder, no había leido esas perlas, si esto es a lo que le ha llegado el intelecto, no quiero saber cuando lo intente explicar. :-P

Lo que si tiene que aclarar es:

¿Donde coño esta el Pathbot para linux y Mac?
Las famosas maquinas unix infectadas por el Pathbot.

¿Que pasa, trabajas para alguna Agencia de Seguridad de algún país y no te esta permitido hablar de ello?.

Cada día que pasa, esto me recuerda a las famosas armas biológicas de Irak, que decían que había y todavía no se han encontrado.

Greetings m8.

🗨️ 6
BocaDePez
BocaDePez

Nada mas decirles que soy tecnico superior en analisis de sistemas y computación ... y si ... me dedico a la seguridad de sistemas.

Es lamentable el nivel que aprecio en algunos que solo saben reirse y descalificar.

Efectivamente las maquinas unix pueden ser infectadas, con el sofware adecuado ... un gusano muy similar en caracteristicas al PHATBOT... y lamentablemente pese a quien le pese igualmente se puede sacar informacion de dichas plataformas.

Los fallos de seguridad posteados por mi, son los reconocidos e indicado en cada uno de ellos los links para aquellos que no lo tengan actualizado lo puedan llevar a cabo... existen fallos tanto en unix como en linux que no estan publicados y lamentablemente hay que mantenerlos en secreto de momento para que lo conozcan las menos personas posibles para proteger sus identidades de alguna manera y minimizar los riesgos.

No voy a realizar ningun comentario mas, unicamente decirles a los usuarios de linux y unix que se cuiden.

Un saludo

Vigo BrAvO

🗨️ 5
semeolvido

No serás técnico superior en análisis de sistemas y computación basado en plataformas Windows, por que en unix y derivados no andas con las ideas muy claras, solamente con el fallo del Xboing lo dice todo.

Es lamentable el nivel que aprecio en algunos que solo saben reírse y descalificar.
El día que demuestres y sepas lo que de lo que hablas se te tomara con el respeto debido, de momento has hablado de cosas que todavía no has demostrado y encima te contradices, por mucho que hagas cut&paste de bugs de *nix lo único que has demostrado ha sido tu total ignorancia en estos temas.

Si tan técnico superior en análisis de sistemas y computación, como dices que eres, nos podrías dar un enlace a alguna noticia o pagina que hablen de ese famoso PHATBOT para linux, o mejor aun, explicarnos como se llama y como funciona si no te es molestia.

existen fallos tanto en unix como en linux que no están publicados y lamentablemente hay que mantenerlos en secreto de momento para que lo conozcan las menos personas posibles para proteger sus identidades de alguna manera y minimizar los riesgos.

XDDDDDDDDDDDDDDDDDDDDDDDDDD
Esta es cojonuda, yo también quiero un poco de lo que fumas, si todavía será una conspiración a nivel mundial de los gobiernos estilo al Echelon. :-P

Deja de ver la tele y películas de juankers, que luego vas contando lo que vas contando, a ver si es verdad que ya no vuelves ha hacer ningún comentario mas, aunque la verdad que nos perderíamos a un gran showman.

Greetings m8.

PD.
Y me quedare con las ganas de ver ese famoso PHATBOT para Linux.

🗨️ 2
MaestroJedi
🗨️ 1
Stendall

Vamos, las GILIPOLLECES que has dicho, por que no tienen otro nombre, pasan si vienen de alguien que se dedica a chatear en el messenger, pero de un tecnico superior en analisis de sistemas y computación, es que son la repera, no tienes ni pulñetera idea de lo que hablas, y me importa una mierda todos los titulos que tengas, les he hecho examenes de fin de carrera y proyectos a ingenieros de informatica que tienen 20 veces más idea que tu de lo que hablan, y así y todo no se puede decir que sepan mucho.
Los conocimientos se demuestran argumentandolos y demostrandolos, no viniendo a decir que eres tecnico superior en analisis de sistemas y computación XDDDD.
y luego no quieres que se rian de ti, si es que das pena hombre.
Y ya luego con la pelicula de espias que te has montado, no se que decir, pero te superas en tonterias a cada post que haces.

-= Un saludo campeon =-

BocaDePez
BocaDePez

Vamos hombre, en muchos años no habia leido tantas gilipolleces de una misma persona en el mismo blog. Triste triste.

Saludos

BocaDePez
BocaDePez

Durante este año se han detectado un gran número de vulnerabilidades y problemas de seguridad (374 según la base de datos de vulnerabilidades Altair), algunos en productos tan populares como Sendmail o aplicaciones Microsoft (Internet Explorer, IIS#133;).
La mayoría de estas vulnerabilidades pueden permitir a un atacante remoto ejecutar código malicioso en la máquina afectada o provocar denegaciones de servicio. Estas cifras hacen pensar que la situación para el 2004 será similar y que durante este año también aparecerán en la Red virus similares a Blaster, Sobig, Slammer o Bugbear que infecten miles de máquinas.
- Vulnerabilidad en CVS Server
Esta vulnerabilidad en la versión 1.11.4 y anteriores del servidor CVS, aparecida en enero, permite a un atacante hacer caer el servicio o incluso ejecutar en él código arbitrario, sin necesidad de tener cuenta en el sistema. Dado que CVS suele lanzarse desde inetd, que se ejecuta como usuario root, el atacante podría ganar privilegios de root sobre el sistema afectado.
- Error de validación de entrada en Sendmail
Algunas versiones de Sendmail no comprueban correctamente el contenido de ciertas cabeceras de los mensajes, produciéndose un desbordamiento de búfer que puede aprovecharse para ganar acceso al sistema con privilegios de root.
- Vulnerabilidad en la función "ptrace" del kernel de Linux
En ciertas versiones de las ramas 2.2 y 2.4 del kernel de Linux, es posible lanzar situaciones excepcionales que permitan a un usuario ganar privilegios de root.
- Desbordamiento de búfer en Sendmail
Ciertas versiones de Sendmail no controlan adecuadamente la longitud de las direcciones de correo, lo que permitiría a un atacante hacer caer el servicio o incluso ganar acceso al sistema con los mismos derechos con que se ejecuta el servidor de correo (típicamente con privilegios de root).
- Desbordamiento de búfer en Samba
Un usuario remoto, sin cuenta en el servidor Samba, puede provocar un desbordamiento de búfer para ganar privilegios de root en el sistema.
- Dos vulnerabilidades en Internet Explorer permiten la ejecución de código arbitrario
Código HTML generado intencionadamente, incluido en una página web o un mensaje de correo, puede provocar un desbordamiento de búfer en el sistema del usuario, permitiendo la ejecución de código arbitrario.
- Desbordamiento de búfer en la implementación RPC de Microsoft
Debido a un desbordamiento de búfer en el servicio RPC de Windows (NT4, 2000, XP y 2003), un atacante remoto puede conseguir acceso total al sistema o provocar una denegación de servicio. Este fallo, anunciado también en el boletín MS03-026 de Microsoft, fue utilizado por Blaster para infectar las máquinas vulnerables.
- Vulnerabilidad en el servidor ftp wu-ftpd 2.6.2 de Linux
Un atacante remoto, sin cuenta FTP, podría ganar acceso al sistema con privilegios de superusuario, explotando un desbordamiento de búfer en la función fb_realpath()
- Múltiples vulnerabilidades en el servicio RPCSS de Microsoft Window NT/2000/ XP/2003
Tres nuevos fallos en la implementación RPC de Microsoft, similares al descrito en ALTAIR-307-00400, de nuevo permiten a un atacante ganar acceso total a un sistema vulnerable, o causar una denegación de servicio.
- Desbordamiento de búfer en el Servicio de Mensajería de Windows
Una vulnerabilidad en un componente estándar de Windows (NT4, 2000, XP y 2003) permite a un atacante ganar acceso al sistema con privilegios de acceso total. Cabe resaltar que el mencionado "servicio de mensajería" no tiene nada que ver con la aplicación "MSN Messenger", sino que es un componente interno de Windows.
De todas estas vulnerabilidades destacar sobre todo las relativas a componentes internos de Windows (RPC, servicio de mensajería, etc.), ya que afectan a sistemas utilizados por un gran número de usuarios y pueden ser la puerta de entrada idónea para distribuir virus de tipo gusano por la Red. De hecho algunas de las vulnerabilidades aquí nombradas han sido aprovechadas por virus como Blaster o Slammer para propagarse masivamente por la Red. Otros fallos, como los aparecidos en Sendmail, suponen también una amenaza para los servidores UNIX.

La prepotencia solo conduce a la confusion que algunos de ustedes pretenden, no se con que fines, posiblemente confundir al novato o inexperto para tener una presa facil, realmente lamentable.

No merecen ni el mas minimo credito

Un saludo a aquellos que realmente quieren saber y estar informados adecuadamente.

Vigo BrAvO

🗨️ 17
semeolvido

Esta vez veo que has mejorado en la técnica del cut&paste, eso es bueno, pero le veo un pequeño problema, en la pagina de donde has hecho el cut&paste no veo que salga el PHATBOT para linux y es sabido entre todos los técnicos superiores en análisis de sistemas y computación que es un gran peligro y riesgo para la humanidad.

Yo, tanto como Vigo BrAvO, denunciamos la existencia de una conspiración a nivel mundial de los servicios de espionaje para controlar nuestras mentes, sodomizarnos y mil perrerías mas, a través de una artefacto maligno conocido como PHATBOT para Linux. También es posible que afecte a otras plataformas como Mac, GameBoy, neveras, lavadoras y todo lo que se tercie por medio, se esta estudiando en sus formas de mutación, algunos científicos han informado que el virus es capaz de mutar entre fotos de Marujita Díaz y un bocata de chorizo de cantimpalo.

Este maligno artefacto, PHATBOT para Linux, todavía no se ha divulgado en los medios de comunicación, ya que debido a su alto secretísimo solo personas cualificadas, técnicos superiores en análisis de sistemas y computación en especial, tienen acceso a esta privilegiada información y corre peligro su vida si difunden la noticia. Desde aquí alabo la desinteresada labor de Vigo BrAvO, manteniéndonos constantemente informados de este tipo de peligros, estilo PHATBOT para Linux y el famoso bug Xboing, creado por el grupo activista hacker Teletubbies Gamers, conocidos por el caso del ataque a las GameBoy de sus dos hermanos pequeños.

Sigue con este trabajo tan duro y peligroso de cut&paste que muy poca gente sabe apreciar.

Greetings m8.

🗨️ 16
BocaDePez
BocaDePez

Me tienes hasta las pelotas, Linux es un SO similar a UNIX, con una breve pero intensa historia no quiero hablaros de Linus Torvalds y de toda la poesía que rodea a Linux. Para ello puedes mirar www.linux.org.

El término "virus informático" fue acuñado por Fred Cohen a comienzos de los 80. En mi opinión, no es el nombre más adecuado para este tipo de programas. Un virus biológico destruye las células por las que pasa, monopolizando todo su trabajo vital para su provecho, hasta que termina por matar al organismo. Un virus de computadora puede "convivir" durante años con un sistema de producción, y los buenos virus hacen todo lo posible para no interrumpir la funcionalidad de sus programas ya que la finalidad que tienen es subsistir y propagarse.

Los virus, por lo general, necesitan saber si un fichero ha sido infectado ya para no infectar una y otra vez. Aquí puede residir el punto flaco de un virus en cuanto a su supervivencia: si se define una marca de infección muy específica, esa será la llave para que un antivirus lo detecte con precisión.

Existen virus famosos que no tenían marca de infección, como el Jerusalem, que infectaba una y otra vez los ficheros y provocaba el colapso en los discos duros.

Actualmente se suelen utilizar marcas de infección muy sutiles, que puedan cumplir ficheros que no estén realmente infectados, para provocar falsos positivos en los antivirus. Si, por ejemplo, definimos como marca de infección que el tamaño del fichero sea multiplo de 144, no infectaremos a todos los ficheros del sistema, pero un antivirus no podrá detectar el virus usando esa marca de infección, porque habrá muchos ficheros sin infectar que tengan un tamaño múltiplo de 144.

Los ficheros y las páginas o segmentos de memoria se guardan en bloques que suelen ser múltiplos de una cantidad fija de bytes (típicamente 4 KB). Cuando la información no ocupa exactamente un múltiplo de ese tamaño de bloque, se hace un rellenado a ceros o "padding" y ese espacio se marca como inútil.

Un virus podrá hacer uso de este espacio sin alterar el tamaño en disco del fichero en el que se aloja. Si cabe en ese "recoveco" cumplirá dos objetivos: pasar desapercibido y meterse dentro del fichero sin corromper ningún dato original.

El método de sobreescritura es el más obvio y el más sencillo de realizar, pero también el más burdo. Consiste simplemente en sobreescribir el host con el código del virus.

Como habréis adivinado, el huesped queda inutilizado, por lo que ocultar la presencia del virus es casi imposible. Además el método de infección se convierte en su payload. Un "buen" virus (o mal virus, según se mire) permite que el huesped siga funcionando. Este tipo de infección sólo la utiliza gente muy vaga o con pocos conocimientos.

Un símil en shell script podría ser el siguiente:

$> cat virus > host

El siguiente paso lógico es que el virus se copie justo antes que el código del huesped, para asegurarse que el código vírico se va a ejecutar y no interferir en el funcionamiento del huesped.

Este método tiene un inconveniente: es costoso en cuanto a tiempo, y además, variable. Imaginémonos que el virus quiere instalarse en un huesped que es un ejecutable de 500 K's de tamaño: para ello deberá almacenar el equivalente al tamaño del virus en un buffer, luego copiarse al principio, e ir repitiendo este proceso de desplazamiento del código huesped hasta el final. También se podría crear un fichero temporal en el que se copiaría el código del virus y luego concatenar el huesped, para, por último, mover el fichero temporal sobre el fichero que contenía al huesped... Ambas alternativas son costosas en cuanto a tiempo y Entrada/Salida, por lo que esta técnica tampoco es muy eficiente.

Siguiendo con los ejemplos en shell script, el método de copia al principio (prepending) podría entenderse de la siguiente manera:

$> cat virus > tmp
$> cat host >> tmp
$> mv tmp host

Una vez vistas las limitaciones del método anterior, vamos a ver cómo se las ingenian los virus para que el efecto sea el mismo pero reduciendo el tiempo y la Entrada/Salida. La idea es relativamente sencilla: el virus se copia al del huesped y se pones un salto desde el principio del huesped, hasta el principio del código vírico, y cuando termine el virus, otro salto hasta el comienzo del huesped... ¿me seguís? Veamos:

- Situacion inicial:

Virus, Huesped (separados)

- Situacion final:

[saltar a Virus]Huesped[Fin]Virus[saltar a Huesped]

La ejecución sería:

Saltamos a Virus
Virus
Saltamos a Huesped
Huesped
Final

Un companion virus, como su propio nombre indica, lo que hace es acompañar al fichero "huesped", sin modificarlo. Lo que se suele hacer es mover el fichero original a otro (generalmente oculto) y escribir el código vírico en un fichero con el nombre del original.

Este tipo de infección tiene el inconveniente de que si alguien intenta mover o copiar el fichero original, todo el efecto se perderá, ya que se rompera la "compañía" y el código vírico difícilmente encontrará al "huesped" original.

Los virus multiplataforma tienen como peculiaridad la posibilidad de infectar diferentes plataformas. Los casos más espectaculares de este tipo de virus pueden infectar diferentes microprocesadores, haciendo verdaderas virguerías en ensamblador. Normalmente suele hablarse de un virus multipartite cuando infecta ficheros y el sector de arranque, por ejemplo.

Muchos antivirus crean ficheros "cebo" ("bait" o "goat files") para ver si hay un virus en el sistema y comprobar cómo ha cambiado ese fichero. Las técnicas anti-bait pretenden detectar esos ficheros y no infectarlos, saltarse la trampa.

Para poder extenderse por el sistema, un virus puede infectar fichero a fichero o directorio a directorio, pero este método es bastante lento. Una alternativa a este método de diseminación es permanecer residente e infectar los ficheros a los que se vaya accediendo.

Esto en MSDOS o las primeras versiones de Mac era algo muy fácil de hacer (TSRs), pero conforme los sistemas se han ido complicando, las protecciones han sido cada vez más serias y ahora es bastante difícil conseguir una residencia en RING-0 (el nivel más alto de privilegios dentro del procesador) y lo que se utiliza bastante es la residencia en RING-3 (nivel de usuario) "per-process". Esta técnica la inventó Jacky Qwerty, ex-29a, y consiste en parchear una determinada API (por ejemplo CreateProcess) y asi suplantar todas las llamadas a esa API por parte de los procesos hijos que se crean a partir del ejecutable infectado. Este metodo de infeccion es bastante ingenioso, ya que con pocos privilegios se pueden infectar muchos ficheros.

Los primeros antivirus fueron analizadores de cadenas de bytes, los virus tenían siempre el mismo código, y aislando la parte caracterísitca del código del virus, podía detectarse fácilmante con una comprobación (por ejemplo: "Si el fichero contiene 'I Love You, by megah4x0r' entonces ILoveYouDetectado;"). Para tratar de ocultar el código vírico los escritores de virus dividieron el código en dos: una pequeña rutina de desencriptado, y el resto del código vírico encriptado con ese mismo algoritmo.

La anterior técnica oculta el contenido real del virus en cuanto a código, pero sigue generando virus idénticos generación tras generación. Si se convina con el polimorfismo, el virus puede convertirse en una auténtica pesadilla para las casas de antivirus. La idea es que la rutina de encriptado y desencriptado será diferente cada vez, y la clave para encriptar el código vírico será variable. Así, con muchas rutinas de encriptado e infinitas claves posibles, el código del virus va mutando asombrosamente en cada infección, y detectarlo es mucho más difícil.

Para detectar este tipo de virus, en lugar del análisis de cadenas de bytes, se suelen emplear simuladores, que tratan de simular la ejecución del virus para ver si, una vez desencriptado, se trata realmente de un virus.

Cuando un virus infecta un ejecutable, es bastante normal que cambie el Entry Point o puntero a la dirección de memoria que contiene el comienzo del código ejecutable. Antes, al explicar la infección postpending o de copia al final, ocurría esto: el virus cambia el puntero que apunta al comienzo del código por un puntero que apunta al comienzo de SU código, para asegurarse que será lo primero que se ejecute.

Este método es sencillo, pero muy fácilmente detectable por un antivirus. GriYo, de 29a, ideó una técnica para hacer esto menos transparente que consiste en ocultar el salto al código vírico dentro del código del fichero infectado. Es decir, el virus deja que el fichero infectado se ejecute normalmente durante unas instrucciones para que el antivirus no lo detecte, y poco después, lanza su código.

En Linux no hay virus... ¡Falso! Objetivos y técnicas:
Scripts: sh, Perl

Los lenguajes interpretados han sido una constante en todo sistema UNIX. Actualmente los más utilizados son los scripts de shell y Perl. Programar un virus en estos lenguajes es un juego de niños, aquí tenemos un ejemplo de un virus de shell sencillo:

#!/bin/sh
for FICHERO in *
do
tail -4 $0 >> $FICHERO
done

¿Qué hace? Va copiando sus 4 últimas líneas (tail -4 $0) al final de cada fichero en este directorio (">>" es append, o añadir al final). Como podemos ver, es un virus bastante tonto, infecta tanto ejecutables como ficheros de datos, y puede dejarlos inutilizados, pero con unas pocas decenas de líneas más, podría hacerse algo más presentable.

La sencillez de estos virus es su ventaja para sus programadores, pero también su debilidad: son tremendamente fáciles de detectar a simple vista, engordan el tamaño del fichero infectado considerablemente y realentizan su ejecución más allá de lo inperceptible por un usuario normal.

Binarios
a.out
Es un formato realmente simple, casi tanto como los COM de DOS. Actualmente este tipo de ejecutables está en desuso, pero todavía quedan sistemas con a.out's (a pesar de que el compilador genere un fichero llamado "a.out", eso no implica que tenga este formato, casi con seguridad se tratará de un ELF).

Se puede optar por aumentar el tamaño de la sección de código (.text) y desplazar el resto del archivo, o tratar de encontrar una cavidad (cavity) para instalar el virus allí. El virus, además, deberá modificar la cabecera para reflejar los cambios (diferente tamaño de secciones, diferente entry point...).

El formato ELF es el más utilizado hoy en día en los ejecutables para UNIX. Es un formato muy flexible y bastante bien diseñado.

Las investigaciones más serias en este campo vienen de la mano de Silvio Cesare. Ha publicado ya numerosos artículos acerca de este tema, y todos sus virus han sido programados en C, para poder ser compilados en cualquier sistema UNIX. El método que utiliza es el siguiente:

Incrementar un campo en la cabecera del ELF (p_shoff) que indica el desplazamiento u offset donde se encuentra la tabla de cabecera de secciones (Section header table).
Hallar la cabecera de programa del segmento de codigo y:
Incrementar la variable que indica el tamaño que ocupa el código físicamente (p_filesz).
Incrementar la variable que indica el tamaño que ocupa el código cuando se carga en memoria (p_memsz).
Para cada cabecera de programa cuyo segmento esta despues del de codigo (que es donde hemos introducido el virus):
Incrementar el offset del segmento en el fichero (p_offset).
Para cada cabecera de seccion cuya seccion este despues de nuestra insercion:
Incrementar sh_offset, para tener en cuenta el nuevo codigo
Insertar el virus en si en el fichero

Esto puede parecer un lío para más de uno, en simples palabras lo que se trata es de hacer el tamaño del segmento de código más grande para hacer espacio para el virus. Luego hay que actualizar todos los valores para que el código nuevo se cargue, y cambiar el entry point para que apunte al virus.

Infección de un ELF por el método de Silvio Cesare.

Este método de infección funciona perfectamente, pero no es el único. Wintermute presento en el hackmeeting de 2000 un nuevo virus para Linux, el Lotek, que realizaba una infección aprovechando una cavidad (cavity) en la sección ".note".

Recientemente el ex-VXer Bumblebee ha publicado un virus para Linux con residencia per-process en RING-3 y unas cuantas técnicas aprendidas en entornos win32. Muchas de las estructuras de win32 tienen su paralelismo en Linux, por lo que gran cantidad de técnicas pueden portarse fácilmente a los virus de Linux.

Hay algunos intentos de infectar ficheros fuente en lugar de binarios. Se puede realizar un enfoque desde el punto de vista de ensamblador "inline" o embebido dentro del código, o bien un ejecutable que genere fuente como salida.

Packages: .deb, .rpm, .mdk
Un punto todavía poco explotado es el de los paquetes de software de las diferentes distribuciones de Linux. Mucha gente utiliza paquetes para instalar programas de manera sencilla y ordenada, y en ocasiones esos paquetes son descargados por un usuario sin privilegios desde un navegador, para ser instalados posteriormente por "root". En ese intervalo de tiempo en el que permanecen en el directorio del usuario sin privilegios podrían ser infectados y luego, al ser instalados por "root", acceder a todo el sistema.

Un paquete generalmente tiene comprobaciones mediante MD5, pero pueden recalcularse, por lo que este puede ser un punto flaco importante en Linux.

escalada de privilegios

Exploits

Un exploit es un programa que aprovecha un fallo en el sistema para conseguir algo no permitido de él. Si un virus incluye ese código dentro del suyo, podría conseguir acceder a zonas no permitidas y hacerse con el control del sistema.

Este enfoque ha sido utilizado en varios virus para Linux, como el staog por Quantum/VLAD, pero implica la extinción del virus en cuanto el fallo que explota el exploit sea subsanado. Algunos virus intentan aprovecharse del exploit, y si no tiene éxito, eliminan el código del exploit del resto de infecciones.

Este enfoque es más propio de entornos menos dinámicos en cuanto a correcciones de fallos en programas, como Windows (poca gente actualiza periódicamente su navegador o su editor de textos). En entornos de desarrollo open source los fallos suelen ser detectados y subsanados más dinámicamente

El núcleo de Linux es monolítico, pero tiene un sistema de carga y descarga de módulos que permiten un uso más eficiente de los controladores de dispositivos (drivers).

Un módulo del kernel (o LKM) se ejecuta en RING-0, dentro del espacio reservado para el kernel, es decir, tiene un poder total sobre la máquina. Es posible programar LKMs que tengan mas poder o que engañen a "root", por lo que si un virus lograse cargar un módulo dentro del módulo, podría ser una pesadilla para el administrador de la máquina, y el único límite de acción serían las limitaciones físicas de los dispositivos.

Con un LKM se puede hacer de todo: ocultar procesos, modificar tamaños de archivos, etc. por lo que puede que los futuros virus de Linux incluyan LKMs para sus propósitos.

Muchos de los ordenadores personales que utilizan los usuarios de Linux, aunque a veces cueste reconocerlo, tienen una partición con Windows. Existen varias herramientas para acceder a particiones Linux desde Windows, explore2fs quizá sea la más conocida.

Si un virus atacase un sistema Windows, consiguiese los privilegios suficientes como para acceder al disco duro y buscar un fichero clave dentro de la partición Linux, como pueda ser "init" (el proceso inicial del que se crean todos los demás procesos) o la shell que use "root", todas las protecciones de Linux como tal habrían sido inútiles. Aunque suene un poco fuerte: la inseguridad inherente de Windows actuaría como "Caballo de Troya" contra el sistema Linux.

Existe otra herramienta bastante utilizada, VMWare, que permite tener varias máquinas virtuales corriendo Sistemas Operativos diferentes. Es también muy común tener Windows y Linux funcionando al mismo tiempo con VMWare. En lugar de tener que esperar a que el sistema rearranque con Linux como en el caso anterior, la infección podría hacerse directamente, ya que VMWare es fácilmente detectable (utiliza un RING que no es ni 0 ni 3).

Un virus desde una cuenta de usuario podría armarse de paciencia y crear un proceso con muy baja prioridad (para no interferir en el rendimiento normal del sistema) que intentase crackear las contraseñas por fuerza bruta.

Imaginemos un sistema automatizado, en el que el administrador entra sólo cada semana a retocar 4 cosas, pero no hay una supervisión real. Un virus podría colarse desde una cuenta sin privilegios, y estar un par de semanas intentando crackear las contraseñas. Una vez conseguido esto, sólo queda dar el salto a "root" y de ahí a donde quiera (kernel, otros ordenadores...).

El PHATBOT virus polimorfico de naturaleza mutable en una de sus variantes es capaz de detectar la naturaleza del sistema y acoplar sus funciones para realizar la tarea que tiene encomendada.

Solución: una buena "salud" informática
Es decir:

actualizar las versiones de los programas para evitar bugs.
conseguir los programas de fuentes fidedignas.
utilizar siempre que sea posible la versión en código fuente de los programas.
no ejecutar todo lo que nos llegue por Internet

Todo ese tipo de cosas que, como espero que haya quedado claro ;-), utilizan los virus para colarse en nuestros sistemas.

Un saludo

Vigo BrAvO

🗨️ 15
Stendall

Y copio, y pego, y copio, y pego, y hablo y ahorro.
e-ghost.deusto.es/docs/articulo.virus.html
Por cierto, que en la pagina no sale nada del Phatbot para linux.

He programado virus desde el msdos 2.0
En cuanto tenga un ratillo te contesto en condiciones.

-= Un saludo =-

Stendall

No puedo parar de reirme.
lo unico que es tuyo es:
Me tienes hasta las pelotas,

El PHATBOT virus polimorfico de naturaleza mutable en una de sus variantes es capaz de detectar la naturaleza del sistema y acoplar sus funciones para realizar la tarea que tiene encomendada.

Todo ese tipo de cosas que, como espero que haya quedado claro ;-), utilizan los virus para colarse en nuestros sistemas.

Un saludo

Vigo BrAvO

Como decia el compañero Semeolvido, vas mejorando en la tecnica de cut&paste, como sigas asi te vamos a tener que nombrar mirror oficial de unas cuantas paginas.

En definitiva tio, todos sabemos que no tienes ni puñetera idea, ahora, estaria bien que en algún momento tú tambien te dieses cuenta y dejases de hacer el ridiculo.

-= un saludo =-

🗨️ 6
BocaDePez
BocaDePez

Desde luego stendall no existen tacos suficientes en el mundo para definirte... como no sabeis buscar en la red os lo he posteado tal cual, ya que tu mismo te jactabas de ello, el UNIX y el LINUX tienen muchas imperfecciones y agujeros tan grandes que cabria todo un estadio de futbol en ellos, la suerte que tiene de momento el sistema es que pocos se dedican a hacer la puñeta creando virus para el, microsoft no solo es atacada por la competencia, muchas veces por los propios creadores de virus y por niñatos como tu que solo quieren joder la marrana, UNIX y LINUX (con querella interpuesta por plagio), deben de mejorar su oferta creando mas robustez y un amplio abanico de programas para que sea atractivo para el gran publico, de los sistemas que he apreciado mas seguros tengo que decir que es windows 2000, que me ofrece un gran respeto.

Seguir por donde vais con vuestros UNIX y LINUX que vais por buen camino, y que no os coman las chinches.

Antes uso un mac que cojo esa mierda de sistema que empleais.

Vigo BrAvO

🗨️ 5
BocaDePez
BocaDePez
🗨️ 2
Stendall

Creo que se te ha olvidado un parrafo del artículo, ¿por que será?

Está claro que actualmente usar Linux es el mejor antivirus que existe. No he visto a nadie que haya sufrido un virus en Linux y eso que conozco a mucha gente que usa Linux masivamente. Es posible que con el tiempo esta situación vaya cambiando y Linux sea otro escenario donde se libren las batallas entre programadores de virus y de antivirus. Por el momento, salvo experimentos de laboratorio, estamos a salvo.

Creo que debes de pensar que todo el mundo es tan técnico superior en análisis de sistemas y computacióncomo tú, vamos, tan listo.

-= Un saludo, fiera =-

semeolvido

Si señor, definitivamente vas mejorando en la técnica de copy&paste, gracias por el apunte a Maestro_Jedi ;-) , en casa estarán contentos con los progresos que vas haciendo, yo personalmente, pensaba al principio que tenias algún tipo de retraso mental, pero veo que simplemente es pura ignorancia.

Me acuerdo, como si fuera hace dos días, cuando hiciste tus primeros copy&paste sobre vulnerabilidades donde apenas se te entendía, los dos últimos de hoy me han gustado mucho, estas haciendo una labor muy buena.

¿Por un casual, este copy&paste, no será el trabajo de fin de carrera de tu estudios como técnico superior en análisis de sistemas y computación?, me parece un trabajo admirable, ya que el andar con el ratón seleccionando y luego pegar, tiene su arte y parecer que no se ha copiado es muy complicado.

Greetings m8

PD.
No se como andarás del tema de leyes y temas de copyrights, pero creo que deberías poner una breve reseña del autor de ese articulo, ya que estas violando la FDL.

🗨️ 5
BocaDePez
BocaDePez

Se me olvido, ya conteste mas arriba...

Que no te coman las chinches

🗨️ 4
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez

Mirar el articulo de la siguiente page:

terra.com.mx/tecnologia/articulo/128115/

UNIX y LINUX ofrecen recompensa por capturar al creador de Mydoom, 250 mil dolares ... ¡¡¡ han sido infectadas dichas plataformas.

Algunos niñatos van por estos foros de prepotentes haciendo ver a la gente una falsa seguridad inexistente.
Mantengan sus antivirus al dia, y tambien sus cortafuegos.

Un saludo:

Vigo BrAvO

🗨️ 11
Stendall

Es que no te enteras de una monada, vamos , menudo tecnico superior...... que tenemos contigo.

Linux no ha puesto NINGUNA recompensa a la captura de el creador del mydoom, en primer lugar por que Linux NO es una empresa, con una dirección común, en segundo lugar, los que han puesto la recompensa al creador del virus, son SCO y MICROSOFT, en en caso de ninguno de los dos se debe a que el virus infecte sus SOs, que los Windows SI los infecta, los UNIX de SCO NO, han puesto las recompensas, por que los windows infectados con el virus, tachan..., trataban de tirar abajo las webs de cada una de las empresas, y en el caso de SCO lo consiguió.

El grupo SCO, propietario del sistema Unix/Linux,
confirmó por su parte ser el blanco del ataque y ofreció
una recompensa de 250 mil dólares por toda información que
permita detener a los propagadores del virus.

El blanco de el ataque de negacion de servicio que ejecutaban los Windows infectados con el virus a su web, no que el unix de SCO se infectase, que parece que tengas una lobotomia frontal a la hora de entender las cosas que te da la gana.
Por cierto, la reseña de:

El grupo SCO, propietario del sistema Unix/Linux

Es falsa hasta que no acabe el juicio y se demuestre, cosa que hasta los de SCO saben que es falsa, y no veas como estan las acciones de SCo en la bolsa a cuenta del juicio, han bajado un huevo, de 80 y pico dolares al comienzo del juicio a los 20 en que estan ahora.

Tú sigue, que te superas a cada post, me estoy hechando unas risas tremendas gracias a tí.

-= Un saludo =-

semeolvido

Cada día mejoras mas, haces copy&paste y no copias los textos enteros y ahora esto, empiezo a pensar que tienes un Trastorno de aprendizaje:

Los trastornos de aprendizaje afectan la capacidad para interpretar lo que se ve u oye o para integrar dicha información desde diferentes partes del cerebro. Estas limitaciones se pueden manifestar de muchas maneras diferentes.

Te recomendaría este LINK.

Ademas te recomendaría que leyeras información sobre el juicio de aSCO y comprenderás que unix y Linux no son la misma cosa, que me parece que ese termino no lo tienes muy claro.

Por una internet libre, PHATBOT para linux ya

Greetings m8.

🗨️ 9
BocaDePez
BocaDePez

Sigue pensando lo que quieras, y haz lo que te de la santisima gana, que cada cual hace lo propio, pero no me vengas conque tienes el sistema perfecto y que jamas te lo van a violar, es el gran error del siglo por tu parte claro, tu forma de ser lo dice todo.

Vuelvo a repetir algo que estoy comentando desde el principio, UNIX y LINUX tienen muchas vulnerabilidades y agujeros, tanto o mas como los sistemas microsoft, en esta page tienes algunos ejemplos, minimos claros porque, existen otras tantas que o no estan publicadas o estan a punto de serlo.

(link roto)

Cada uno que se quede con aquello que considera mejor para si, bajo mi punto de vista vuelvo a decir que windows 2000 es uno de los sistemas que he apreciado mas estables, y windows xp profesional esta alcanzando los mismos niveles que el 2000, las vulnerabilidades estan ahí, y algun listo acabara esplotandolas.

Algunos intentan meterse en donde los mismisimos angeles no se atreverian.

Un saludo a la sensatez, al raciocinio y a la verdad en la divulgacion de las ideas y a todo aquel que con el conocimiento camine en la vida, el resto no merece mencion alguna, ya el mismo nick del sujeto lo dice, se ve que es como los peces todo se le olvida, una memoria de un par de segundos, semeolvido jajajajajajajaja.

Vigo BrAvO

🗨️ 8
semeolvido

He de reconocer que te he echado de menos estos días, me he aburrido mucho sin ti, me sentía perdido sin tus palabras y aliento, pero claro, encontrar tanta información y digerirla lleva rato. :-)

En esas paginas, que dices que van a ser publicadas, ¿informaran algún día sobre?:

PHATBOT para linux, la amenaza cibernética

A ver si un día, estos programadores de pacotilla de Linux aprenden de una vez y asemejan este S.O. al Windows 2000 y XP, así nos podremos beneficiar y tener un S.O. compatibles con virus, inestabilidad e inseguridad, para hermanarnos con los usuarios de Windows, por que cuando lo dice un técnico superior en análisis de sistemas y computación, por algo lo Dra.

Tienes que darnos mas información de este estilo de paginas, me encantan:

www.astrolabio.net/

Un saludo a la sensatez, al raciocinio y a la verdad en la divulgación de las ideas de Vigo BrAvO, que esta abriendo un nuevo camino en la senda de la informática, avisándonos sobre virus fantasmas y vulnerabilidades estilo Xboing. ;-)

Y como diría nuestro técnico superior en análisis de sistemas y computación, niños no olviden supervitaminizarse y mineralizarse.

Por una internet libre, PHATBOT para linux ya

Greetings m8.

Stendall

¿Y a mi no me dedicas nada? XDDD

Mira tio, esto está ya en la tercera pagina, los unicos que lo leemos somos tú, Semeolvido y yo.
Te vuelvo a repetir lo que ya te dije antes, estás haciendo el ridiculo.
Los dos sabemos de sobra que no tienes ni idea de lo que hablas, solo sabes copiar y pegar lo que encuentras con el google, pero eres incapaz de entender las descripciones de los bugs, que no vulnerabilidades.
Llevo programando y con ordenadores seguramente desde que tu andabas a gatas, y a pesar de eso, estoy al dia y se lo que hay.
He entrado en más ordenadores de los que tu has visto en tu vida, servidores web con windows 2000, hoteles, gestorias, hospitales, y particulares los que quieras,etc... y cuando te digo que windows es una mierda en el tema de seguridad te lo digo con conocimiento de causa.
Si quieres hacemos una apuesta, te apuesto que yo entro y te doy los datos de acceso a cien ordenadores con windows, antes de que tu entres en un solo linux, y luego vas yme dices eso de que es mas seguro el window, si tienes humor.

Por cierto, la pagina que mencionas a parte de tener un monton de fallos garrafales, que luego te contaré, lleva usando linux, y bsd desde el primer dia de su existencia:

OS, Web Server and Hosting History for www.astrolabio.net
OS Server Last changed IP address Netblock Owner
Linux Apache/1.3.27 (Unix) FrontPage/5.0.2.2634 29-Mar-2004 64.41.125.84 Hostway Corporation
FreeBSD Apache 8-Jun-2003 66.150.1.142 InfoSpace/Go2net Inc.
FreeBSD Apache/1.3.26 (Unix) FrontPage/5.0.0.0 mod_ssl/2.8.10 OpenSSL/0.9.6a 13-Aug-2002 66.150.1.142 InfoSpace/Go2net Inc.
FreeBSD Apache/1.3.12 (Unix) FrontPage/5.0.0.0 mod_ssl/2.6.6 OpenSSL/0.9.6a 15-Apr-2002 66.150.1.142 InfoSpace/Go2net Inc.
FreeBSD Apache/1.3.12 (Unix) FrontPage/5.0.0.0 mod_ssl/2.6.6 OpenSSL/0.9.6a 19-Jan-2002 63.251.5.137 Cohesion Marketing
BSD/OS Apache/1.3.6 (Unix) 18-Mar-2001 206.253.222.76 Go2net Inc.

¿Por que será?
yo al menos no soy tan imbecil de decir que windows es una mierda, y al tiempo usarlo, ellos hechan pestes y al final es lo que usan, ¿a ti a que te suena eso?, a mi a hipocresia.

--= Un saludo =-

🗨️ 3
DrMuehehe

Y aunque llega un punto en que hace gracia, creo q no es necesario hacer más sangre. Entiendo que es chungo aburrirse (qué os voy a contar ¬¬) pero sobre estos temas deberíais estar más que acostumbrados.

Y a Semeolvido: no repitas tanto cierto latiguillo, q podrías molestar a otros, hombre. ;P

Saludeixons.

🗨️ 2
Stendall

Vale, ahora entiendo lo de la pagina que has puesto, a que no has leido esto:

PER SYSTEMS® es investigador de virus informáticos desde 1986, miembro registrado del Microsoft Developer Network Professional (USA) desde 1995, mantiene convenios vigentes con el MVI de Microsoft/ICSA Labs (USA) y es Beta Tester de Microsoft (USA).

¿Y supongo que eso te perecerá una opinion imparcial no?

-= un saludo =-

🗨️ 2
BocaDePez
BocaDePez

Habran mas debates, habran mas cosas, mas tertulias, y hablaremos amigos, que cada cual se quede con lo suyo, es maravillosa esa variedad, y que cada uno sea como es, por cierto, el que llevaba chupete cuando el otro hacia uso ya de computadoras (no por ofender) eres tu, no soy un crio que ha salido ahora de la escuela tengo 46 tacos, tengo mujer y una hija que probablemente tenga vuestra edad, estoy haciendo uso de ordenadores desde que se utilizaban fichas perforadas para que tengais una idea, el sistema UNIX, LINUS o WINDOWS no son tan malos cada uno tiene sus esquisiteces y sus problemas, y ambos son validos, como pueden serlo uno que saliera hoy mismo.

Un saludo a todos, estaremos en contacto, porque bandaancha me gusta, y llevo muchos años visitandola, es objetiva, y hace las cosas bien.

Vigo BrAvO

🗨️ 1
BocaDePez
BocaDePez

La realidad del Phabot sólo confirma una cosa, y no es la vulnerabilidad de las redes, sino sólo las redess que funcionan bajo sistemas operativo de Microsoft, bajo las cuales un gran aluvión de fallos y bugs del sitema permiten que guanos tan sumamente reproducibles campen a sus anchas por la red.

Es curioso que se hable de inseguridad, que todo se lleve al extremo de parecer que lo hackers lo van a controlar todo.. realmente el fallo está más abajo, en el propio sistema que permite todo ese tipo de desarrollos sin control, es más, muchos de ellos podría atreverme a asegurar, sin señalar con el dedo, que pueden convenir a ciertos gobiernos; se trata de un control masivo a nivel mundial de la propia red. También conviene este tipo de problemas a las grandes compañias de antivirus,sino hay virus, no hay más productos....

Un sistema como linux, que es automaticamente probado por millones de personas en todo el mundo, que pueden, si saben, mejorar todos los bugs que encuentren en el sistema o simplemente informar de ello, sin la posibilidad de sentirse ostigados por la justicia( caso de un profesor de universidad que dio a conocer los fallos de un producto antivirus en la red) , no siente esa amenaza de los mydoom de todo el mundo, porque el sistema de permisos que posee y la robustez que le van dando dia a dia los miles de usuarios que lo prueban y dan soporte en todo el mundo gratuitamente, lo hacen a largo y corto plazo una vía segura de poseer una red segura sin control, ni fallos, ni sobrecargas del sistema con un montón de programas tontos que ralentizan el sistema para asegurar nuestra tranquilidad.

Los virus son un problema, pero mayor problema son las compañias que elevan la importancia de estos hasta el punto de poder poner a la opinion publica de su parte y crear la necesidad de productos sumamente restrictivos de la libertad. Como ejemplo en el tema del pirateo informático y de otro tipo, la solución de Microsoft, es un microprocesador, que controlara al usuario, que le dira que puede y que no puede instalar en su sistema, y que le obligara a conectar al a conectar su pc a internet para que se baje unas reglas de funcionamiento o sino entrara en un modo de uso reducido. Realmente la posibilidad de una tecnologia como esa expandida a todos nuestros hogares para evitar como excusa estos gusanos, me resulta mas terrorifica. Se han creado una serie de intrereses que las compañias defienden, la libertad de la propia red está en que no nos manejen. Realmente, todo esto venía a que existen sistemas operativos alternativos, mas funcionales y seguros, que la gente no conoce, y que no son tan sumamente dificiles de manejar ni de instalar. El problema lo tiene windows, no las REDES, en general, recordadlo.