Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

¿El Zone Alarm NO es confiable?

Estaba tranquilamente chateando con un par de amigos q no veía hace tiempo, cuando repentinamente mi TCmonitor detectó un cambio en el registro... Era raro y nunca había visto tal cosa, la llave del registro Run había un valor sospechoso, y me puse a buscar en Inet toda la info disponible sobre éste archivo. No hace mucho había instalado el flamante ZA 3.0.0.82...

LA cuestión era q ése valor raro era del plug-in NewDotNet.
"Es una empresa q se dedica a vender dominios no estándares del primer nivel (TLD) incluyendo el .free, .xxx y .shop, mientras varios dominios no estándares están siendo aplicadas por muchas organizaciones, bajo la consideración de la ICANN. Ésta particular implementación parece un intento de robar a más dueños legítimos de dominios, con dominios alternados para conseguir dinero fácil."
O sea ésto está traducido con mi "humilde inglés", pero es fácil entender q éste programa no es muy beneficioso q digamos, y continúa:
"Los múltiples sistemas ofreciendo TLDs va a haber una propagación sobreponiendose los nombre de dominios, lo cual significa q múltiples sitios pueden tener direcciones exactamente iguales, y lo que saldrá al ingresar, digamos, www.ejemplo.free, dependerá de los DNS en los que sea peticionado primero!!"

Bueno, eso es divertido, pero aún no está lo mejor:
Se afirma, pero aún no está verificado, que el componente NewDotNet no está claramente expresado en las condiciones de instalación (del Zone Alarm, en este caso) Esta observación es debido a los correos que hemos recibido de clientes quienes encontraron New.Net en sus sistemas y que no tienen idea de cómo ha llegado allí. Es afirmado por una gran cantidad de lectores (de las condiciones) que ignoran el medio por el cual el plug-in ha llegado a sus sistemas.

Bien, pero aún no llegamos a la parte saladita:
También hay reportes no verificados que el plug-in es capaz de acceder a Internet sin ser detectado por el popular firewall personal: Zone Alarm. Otros reportes indican que el ZA ha detectado exitosamente y ha bloqueado los intentos de conección. Un usuario ha confirmado que el Zone Alarm (gratis) 2.6 detecta el app satisfactoriamente. Éste comportamiento es posible porque el DLL es una librería de función y no un programa en sí: debe ser enlazado por el empaquetador "RunDLL32.exe" de windows. Si la regla del ZA ya habia sido establecida para el RunDLL32.exe corriendo un dll, el newdot~*.dll podría obtener los mismos permisos ya autorizados al RunDLL32.exe previamente. Éste comportamiento aparenta haber sido arreglado en la versión 2.6.

Como habrán visto, acá hay muchas irregularidades sospechosas, y como dije (o como afirmamos con Cesalv), ser poppular puede causar problemas, y uno de esos problemas q sospechaba q podría tener era de este tipo. ¿Quien sabe si zonelabs metíó algún backdoor apropósito?, ¿quien sabe?

tb podemos preguntarnos si windows viene buggie de fábrica apropósito, cosa q no es descabellada... o si PGP ahora q es closed source no viene backdooreada(para los fed, obviamente)....o si los virus lo crean las mismas compañías antivirus.... Pero todos (o bien la gran mayoría) tienen un punto en común: la popularidad.

Just a thought...
hypnosys

PS: El sitio original gringo donde me informe de esta irregularidad fue éste: www.cexx.org/newnet.htm
PS2: Si se sienten perdidos con tantos dominios, y quieren saber cómo funcionan éstas cosas, vayan a: www.nic.pe/interna/01-normas/introduccion.htm

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    El zone alarm 3 está LIMPIO

    Como no me deja editarlo pongo la explicacion aqui...

    Esta tarde n el foro le pedi a un bocadepez (bike no?, por cierto muchas gracias por el envio ;) ) el keygen al q el achacaba la supuesta infeccion:

    "hola , mira , mi nivel , seguramente no es tan bueno como el tuyo , pero te puedo contar mi experiencia con el run32dll.exe.tmp
    anoche antes de ins. el zone 3 , me baje el keygen , y por exeso de paranoia , ANTES de instalar el zone 3 , probe el keygen , y mi zone 2.6 me pide paso al run32dll , se lo niego , lo quito del zone (programs) y me lo sigue pidiendo!!!!
    de esto deduzco que el zone 3 , que ni siquiera lo comence a instalar en ese momento , no lo tiene , lo tiene en mi caso el keygen , asi que a cuidarse d los keygen , que si es verdad lo de los centavos , los que hacen los key gen , se forraran!!
    saludos
    bike"

    Como su post m llamo la atencion quise desensamblar el keygen a ver q tenia dentro (por si a alguien le interesa uso el w32dasm 8.93) d entrada el fichero es grande pa lo q es (107.251 bytes) aqui no vale q tenga un efecto tipo demo ni musica ni ostias, he visto keygens muy currados con animaciones y sonido y no pasaban d los 20 kb asi q m olio mal solo verlo. Al desensamblar un aviso d q el formato d ejecutable no era standard... y tanto, no habia llamadas a funciones ni nada q se le pareciese, obviamente estaba hecho d forma q al desensamblar no se pudiera ver nada, asi q ejecuté el programa n cuestion a ver q pasaba...

    De entrada el zone alarm dio un aviso d q rundll32.exe queria salir al exterior, lo curioso no es la ip (americana, le perdi el rastro n n.york) sino el puerto... 65.161.40.3:6667 si no m falla la memoria el sub7 cuando infectaba una maquina conectaba un bot d irc para saber q maquinas estaban disponibles... q cosas... Obviamente le digo q no y salta un 2º aviso, este mas divertido aun, queria privilegios d servidor...

    Al mismo tiempo el tcmonitor empieza a cantar q ha habido un cambio n una clave del registro:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "Win32 Rundll Loader"="Rundll32.exe"
    (t suena hypnosis? xD)

    Y no contento con esto m encasqueta dentro d system32 un rundll32.exe.tmp nada mas q 3 veces mas grande q el original (como pa pasar desapercibido xDDDDD)

    Ah si, tb generaba un serial pero no lo he probado porq no m he molestado n bajar el zone 3 asi q dudo q haya sido el firewall quien m infectase xDD

    Lo mejor d la historia fue q win2k se porto como un campeon y se dio cuenta del jaleo "Se intentó remplazar el archivo en el archivo de sistema protegido e:\winnt\system32\rundll32.exe. Se restauró este archivo a su versión original para mantener la estabilidad del sistema. La versión del archivo de sistema es 5.0.2134.1"

    Bueno, borro la clave (si alguien tiene problemas d este tipo puede borrar la clave n cuestion, the cleaner confirmo q no deberia existir) y desensamblo los ficheros a ver q encuentro. Como no todo el mundo tiene nociones d ensamblador y seria muy largo explicar todo lo q vi voy a resumir lo mas posible. Al desensamblar un ejecutable sale una relacion d funciones q emplea la aplicacion, como windows es modular a partir d las fn q usa sabemos lo q hace ese programa (n lineas generales)

    Aqui teneis la cabecera d mi rundll32.exe legitimo tras ser restaurado por el sistema:

    +++++++++++++++++++ IMPORTED FUNCTIONS
    Number of Imported Modules = 4 (decimal)

    Import Module 001: KERNEL32.dll <- sistema
    Import Module 002: GDI32.dll <- entorno grafico (formularios)
    Import Module 003: USER32.dll <- fn d usuario
    Import Module 004: IMAGEHLP.dll <- no es representativa (dcom)

    y aqui la cabecera del rundll32.exe.tmp q expandio el keygen

    +++++++++++++++++++ IMPORTED FUNCTIONS
    Number of Imported Modules = 6 (decimal)

    Import Module 001: wsock32.dll <- control d sockets (conexiones)
    Import Module 002: WININET.DLL <- si, se refiere a internet
    Import Module 003: SHELL32.DLL <- para ejecutar otros programas
    Import Module 004: KERNEL32.DLL <- nucleo del sistema
    Import Module 005: ADVAPI32.DLL <- esta api le da acceso al registro
    Import Module 006: CRTDLL.DLL <- runtime d c para windows...

    Esta bastante claro q el rundll32.exe q pretendia encasquetarme el keygen lejos d hacer lo q tiene encomendado normalmente estaba "un pelin" orientado a la red no?

    Es decir ha habido un intento d infeccion tal y como describia hypnosis sin q haya aparecido por mi disco duro el zone alarm 3, tan solo un keygen firmado n el .nfo por T H E W O L V E S H O U S E

    Conclusion: el zone alarm 3 NO tiene vulnerabilidades propiamente dichas, sino q es el keygen (al menos este n concreto) el q infecta la maquina (hace un rato q he terminado d "desinfectar" y m acaba d salir la pantalla d instalacion del gator xDDDDDDDDDD) Lo q si es un riesgo potencial es lo q se menciona n el articulo q propuso hipnosys acerca d q si el rundll32.exe original tenia permitido el acceso a internet, una infeccion d este tipo es factible aunq supongo q sea un fallo d alguna version n concreto ya q el zone distingue los ejecutables incluso detecta si han sido modificados.

    De una forma u otra, hay q recordar q con los keygen toda precaucion es poca, hace tiempo q no traen virus pero nunca conviene bajar la guardia.

    A pasarlo bien, q io mañana madrugo :)

    P.D. Si alguien quiere los archivos q he mencionado (keygen, codigo desensamblado o demas) q m los pida, los enviaré encantado para contrastar opiniones, mientras a lo mejor habria q editar el titulo d la noticia, no sea q os denuncien por difamacion :D

    • Cerrado

      BocaDePez BocaDePez
      0

      Hola compañero, yo me pierdo un poco en el soft que comentas,…

      Hola compañero, yo me pierdo un poco en el soft que comentas, uno empieza en estas cosas y va descubriendo poco a poco.

      Hablas del tcmonitor, podrias ampliar un poco sobre este.

      Por otro lado, no se si podras aclararme en esto, estaba buscando soft para monitorizar los paquetes tcp/ip de una red pero en linux (supongo algo asi como un sniffer, supongo) pero no conozco. Oi el network monitor de windows, pero parece ser que necesita server para testear.

      Veo que los compañeros analizan en el foro el cablemodem y sus trazas, pero desconozco como, puedes decirme al respecto?

      Gracias.

      • Cerrado

        El tcmonitor es un modulo d "The Cleaner" (www.moosoft.com) q…

        El tcmonitor es un modulo d "The Cleaner" (www.moosoft.com) q es un limpiador d troyanos, algo asi como un antivirus especializado n troyanos y gusanos d vbscript. Tiene un modulo (tcmonitor) q se qda residente, como los antivirus, vigila el registro d windows y salta cada vez q algun programa toca algo dentro d el. Asi ayuda a detectar anomalias y cosas raras.

        Desensamblado, lo contrario d compilar, es coger un ejecutable y desarmarlo para ver como esta hecho y q hace exactamente.

        Sniffers... no m qda claro si quieres para windows o linux asi q uno d cada, para linux el ethereal y para windows el iris, ambos t permiten capturar y leer todos los paquetes q pasan por la tj d red, con lo q puedes "oir" el trafico d la red, hay mas pero esos son los mas populares, uno lo tienes n www.ethereal.com y el iris mejor q lo busques por warez porq la version demo solo dura 15/30 dias maximo.

        • Cerrado

          BocaDePez BocaDePez
          0
          Gracias compañero, baje ethereal pero para windows, va de…

          Gracias compañero, baje ethereal pero para windows, va de muerte, ahora me falta practicar con el y identificar que coñas es cada cosa pero funciona de maravilla.

          Fue instalarlo, decirle que use la tarjeta de red y se puso a capturar paquetes como una fiera.

          Baje el clean y lo instale; efectivamente es un 'sentinel' del registro y varias cosas mas, aun no te puedo decir sobre el porque no he tenido tiempo de pelearme con el pero tiene muy buena pinta.

          Me falta instalar el ethereal pero para la maquina linux.

          ya os contaré, confirme vaya viendo, de nuevo gracias por la info.

          Un saludo

    • Cerrado

      Esta tarde he estado enredando con dos versiones d zone…

      Esta tarde he estado enredando con dos versiones d zone (3.0.0.82 y 3.0.0.91) y ninguna ha modificado el registro (tcmonitor siempre activo durante los procesos, no como hypnosys q lo quitó mientras instalaba O_o (si alguien se ha perdido q mire n el foro d hack/seguridad)) No ha habido cambios n el registro, ni d rundll32.exe ni nada por el estilo, asi como n el caso d bike dije (y comprobé) q era el keygen el q traia regalito, no puedo saber saber cual es el origen del suceso n el ordenador d hypnosys (lo sabras tu, colega?) pero puedo descartar y afirmar con una seguridad del 99% q el zone alarm 3 está limpio y sigue siendo fiable (no lo garantizo al 100% porq si despues pinta q aparece un bug la peña se m echa encima q ya m conozco como van estas cosas...)

      Para asegurarme he probado el leaktest y un par d escaneos d puertos online, el mas famoso el shields up d steve gibson (www.grc.com) y sigue siendo fiable como la version anterior. Incluso he pedido a un colega un scaneo con nmap a fondo y sigue dando el mismo resultado.

      OJO: NO estoy diciendo ni q el zone alarm sea el mejor, ni recomendandolo ni nada parecido, la eleccion del firewall es cosa d cada uno, segun gustos, tan solo quiero q quede claro q he mirado a fondo el asunto y estoy convencido d q no es cierto q sea vulnerable, al menos d momento.

      Quiero pensar q la precipitacion d hypnosys ha sido mas por los nervios o la inexperiencia q su ya conocida mania hacia el zone, pero sinceramente semejante "bulo" ha dejado tu credibilidad por los suelos, la proxima vez antes d abrir la boca asegurate porq si alguien mas confirma lo q digo todo lo q digas n adelante no podrá ser tomado n serio, lo siento tio pero las cosas funcionan asi :| Es lo mismo q lo q estoy diciendo yo ahora mismo, q nadie lo interprete como q por obra y gracia lo q yo digo va a misa, m he limitado a comprobar q lo q decias no es achacable al zone, q el firewall tiene fallos? seguro, la seguridad absoluta no existe y n informatica menos, pero el zone no es tan malo como dices ni tan bueno como otros lo ponen... todo es relativo, pero esta vez el no ha tenido la culpa.

    • Cerrado

      BocaDePez BocaDePez
      0

      /server 65.161.40.3:6667 *** Identd request from 65.161.40.3…

      /server 65.161.40.3:6667

      *** Identd request from 65.161.40.3
      -
      -twisted.ma.us.dal.net- *** Looking up your hostname...
      -
      -twisted.ma.us.dal.net- *** Checking Ident
      -
      -twisted.ma.us.dal.net- *** Found your hostname
      -
      Closing Link: 0.0.0.0 (Invalid username [~#])
      -
      *** Disconnected
      -
      *** Connect retry #1 65.161.40.3 (6667)

      nada que no hay cojones de conectarse a dalnet y hacer un /who sub7* ;)

  • Cerrado

    BocaDePez BocaDePez
    0

    backdoor

    trinca el ethereal y mira a ver que es realmente. Sobre el empaquetado del exe, pues claro, es lo más normal, compilarlo y comprimirlo despues, tienes varias decenas de compresores decentes... y otros MUY decentes jeje. Los descompresores los podras encontrar en cracktools.com porque como lo desensambles directamente con el wdasm no vas a ver ni pijo... y aun con todo, con el wdasm tienes pa años luz pa ver lo que hace XDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD

    Sami.

  • Cerrado

    los moderadores de esta web que filtro aplican a las noticias?

    yo es que lo flipo cada dia más con esta web que al principio parecía que iba a ser la leche y cada dia se hunde más con noticias como esta que no están contrastadas ni de ningún modo y se publican igual, alegremente, sin tener en cuenta que hay gente que no tiene idea de nada y todo lo que lee aquí se lo toma como leido de la biblia de la informática.

    vayamos por puntos...

    aquí el tal hypnosys se ve que mucho de inglés no sabe o se lee las cosas a la ligera y sin asimilar el contenido.

    sobre la traducción que hace este tio en cuanto al tema de las condiciones legales previas a la instalación, el coleguita hace una traducción muy suya porque no tiene nada que ver con el texto original.en la web que cita como fuente de la noticia (http://www.cexx.org/newnet.htm) dice textualmente esto: "It is asserted, but unverified, that the NewDotNet component is not substantially disclosed in the install agreements (if at all). This observation is due to the many mails we have received from customers who found New.Net on their systems and had no idea how it got there. It is asserted by a large number of readers that they don't know how this got on their systems"

    es decir, resumiendo, el párrafo viene a decir que el componente newdotnet no suele estar suficientemente reseñado en las condiciones legales previas a la instalación (resaltar que indica "agreements", PLURAL de "agreement", porque se está refiriendo a condiciones legales de programas en general, no a las condiciones del Zone Alarm como dice este tal hypnosys) y se apolla para decir eso en que mucha gente se ha encontrado con el new.net en sus sistemas sin tener ni idea de como ha llegado hasta ahí.

    así que... que quede bien claro que el zone alarm no contiene el new.net en su instalación

    y sobre el otro punto... el hecho de que zone alarm no pudiera detectar a new.net en sus conexiones dice así: "There are also unverified reports that the plug-in is capable of accessing the Internet undetected by the popular personal firewall software, Zone Alarm. Other reports indicate ZA successfully detecting and blocking its connection attempts. A user has confirmed that Zone Alarm (free) 2.6 detects the app successfully. This behaviour is most likely because the DLL is a function library and not a stand-alone program--it must be linked by Windows' "RunDLL32.exe" wrapper. If a ZA rule has already been established for RunDLL32.exe running another DLL, newdot~*.dll would obtain the same permissions already granted to RunDLL32.exe. This behaviour appears to have been fixed as of version 2.6"

    con lo que, primero decir, que cita casualmente el zone alarm como ejemplo ya que es un firewall muy conocido y según parece hay gente que ha informado de que en ocasiones no detecta el new.net, pero, como bien explica más adelante también dice que esto es sobre todo debido a un problema respecto a cuando se ha instalado zone alarm si antes o después del new.net ya que de ello dependerá que zone alarm deje pasar el new.net al ser un dll asociado al permiso de acceso del rundll32.exe que es un componente de windows al que zone alarm le permite obviamente el acceso.

    y para terminar dice que de todos modos este incoveniente parece que ha sido corregido con la versión 2.6 de zone alarm. por lo que en el peor de los casos, sería un problema que ya ha dejado de ser tal!!

    una última cosa... si vais a la web original y os meteis en la sección de "adware/spyware" vereis que si vais a pinchar en el artículo que trata sobre este tema teneis este enlace "New Net, Inc (NewDotNet) Installed by BearShare among others" es decir, que el artículo fue escrito pensando en el programa BearShare y otros (casi todos los que instalan el new.net son programas de intercambio de archivos). por no hablar de que este artículo tiene ya meses de antiguedad con lo que seguramente el zone alarm está más pulido que pulido ya sobre este tema del new.net.

    total... que el tipo este no se entera de la mitad y los moderadores dejan pasar las noticias sin... leerlas?? parece que solo mirasen si son ofensivas o contienen insultos, si pasan ese filtro se publican aunque no tengan nada de contrastadas o de ciertas... ¿será falta de tiempo? chicos... si os hace falta gente para echar una mano... pedidla coño ;) pero no dejeis que esto se vaya de las manos!!

    • Cerrado

      6

      El trabajo del moderador, unicamente es ver si una noticia…

      El trabajo del moderador, unicamente es ver si una noticia aparentemente es interesante y tiene un mínimo de lógica. Nadie aquí gana un duro así que a nadie se puede pedir que dedique su tiempo a investigar una noticia. Eso hariamos si esto fuera un periódico, pero la ventaja de ser un weblog, es que las noticias enviadas se encargan de contrastarlas los propios visitantes, siendo los comentarios en ocasiones tan importantes como el artículo.

      • Cerrado

        BocaDePez BocaDePez
        0

        no obstante esto no es el foro y esta noticia huele fatal con…

        no obstante esto no es el foro y esta noticia huele fatal con solo leerla. Evidentemente cuando la gente ha respondido queda clara la falsedad de la noticia, pero es que se veía que no tenía sentido sin necesidad de investigar nada.

        ¿moderador? Un moderador "modera", esta noticia es de las que crea "alarma" y más conforme está escrita, ¿donde esta la moderación?

        Yo diria que mas que moderador lo que hay es un seleccionar, nada más.

        En definitiva, no tendriamos que estar comentando esta noticia porque no debería haber aparecido. Tu justificación no me parece acertada.

        • Cerrado

          6
          Es posible que sea un error. En cualquier caso cada moderador…

          Es posible que sea un error. En cualquier caso cada moderador es responsable de los artículos que modera y como todos somos iguales, también cometemos errores.

          Aún así, insisto en que yo no he investigado la noticia y no puedo decir si me parece un error o no.

    • Cerrado

      La noticia es vieja, pero el Zone Alarm nuevo sí instala el…

      La noticia es vieja, pero el Zone Alarm nuevo instala el Newdotnet.
      Antes de instalar el zone no tuve esto. OKok, me habre precipitado en poner la noticia, pero fue algo chocante leerlo. En cuanto tenga algo nuevo sobre esto, acutalizo esto ok?..

      • Cerrado

        Ahora voy a cenar q con el lio se m ha enfriao y mi madre m…

        Ahora voy a cenar q con el lio se m ha enfriao y mi madre m quiere matar, pero como adelanto os digo, m he autoinfectado con el crack q habiamos comentado n el foro q hace cosas raras y ha cantado el firewall, el tcmonitor, el antivirus y hasta el canario d la vecina... Muchisimo cuidado con los keygens, hasta q sepamos seguro q pasa con el asunto no useis uno q viene firmado por T H E W O L V E S H O U S E en el archivo .nfo

        Despues edito esto con mas datos y lo q he averiguado.

  • Cerrado

    BocaDePez BocaDePez
    0

    Poner aqui la noticia es precipitado...

    Sobre todo cuando estamos comentando n el foro d hack q existe la posibilidad d q el zone no sea el culpable... decir asi a la ligera q es un coladero sin hacer mencion a q no hay nada seguro aun no m parece bien, por lo menos comprobar la noticia no?

  • Cerrado

    BocaDePez BocaDePez
    0

    Pos vaya colador ¡¡¡¡

    Pos vaya con el zonealarm, aunque hay otra nueva version ya en la web la 3.0.091 que no se si le afectara lo que cuentas.

    Yo tengo la version que tu dices y de momento no tengo nada de lo que comentas, aunque antes de instalarla tube mis dudas y si lo llego a saber aplico lo de "mas vale lo bueno conocido, que los bugs por conocer"

1