Windows vista & Malware!!!

0x666

Bueno, ayer el irc me llego este enlace, http://blog.xpyxt.net/?p=21 , es el blog de uno de los mas activos y avanzados programadores de malware, en esta entrada cuenta que ha conseguido ejecutar software de invisibilidad en vista.
Como se puede observar en las capturas la ejecucion es invisible y usar el svchost para saltarse la seguridad.

Capturas:
http://blog.xpyxt.net/fotos/screenshots/vistacrss0.3public.jpg
http://blog.xpyxt.net/fotos/screenshots/vistacrss03netstat.jpg

Muy interesante!

B

mmmm al fin y al cabo el usuario es el mejor antivirus -y el único posible en muchos casos-, es él el que tiene que saber que programa ejecuta, haría falta concienciarlos (pero antes habría que hacerlo con muchos problemas sociales más importantes que la informática xD)

cosa q no quita responsabilidad a microsoft por crear un software tan extendido y tan mal pario, pero bueno, cosas así hacen que cada vez haya más trabajo en mi empresa xDDDD

y si, como usuario "final" los muertos del spwyware, malware y spmware xD

kas

Tan malo como el de mozilla pero a ellos nadie les dice nada.

Este es otro motivo para no ponerme windows vista.

r2d2rigo

Venga va, eso de "invisible" tiene lo que yo de obispo. En primer lugar necesitas ejecutar el CRShell manualmente y bajo administrador, y por si fuera poco te lo registra como servicio. Vale, cualquier persona con bajos conocimientos de informatica (vease 90% de los usuarios de ordenador) se lo come de lleno. Pero de los medianamente entendidos, quien ejecuta "enanito.exe" que le han enviado por email como administrador? Si es que no hay mas virus que el propio usuario...

Y ese tio no se como sera de "activo" y "avanzado", pero no le hace falta abuela. En su blog da a entender que "es el mejor", "la gente le dice que es de los mejores de la scene"... y entonces que coño haces escribiendo un blog? Y demostrando tu conocimiento de RLE y dobles punteros como si lo acabases de descubrir? No se que pensareis de el, pero yo la primera impresion que he tenido es de script kiddie de tres al cuarto.

EDIT: Si son hackers, si... tienen el foro lleno de spambots y ni se dignan en limpiarlo y bloquearlo... http://www.remotecontrolstudio.net/foro/viewforum.php?f=9

B

pues uno de nuestros distribuidores ya ha dejado de ofrecer equipos con winxp preinstalado, solo windows vista... esto ya ha empezao a rodar...

q por cierto comparto la misma opinion q rodrigo, vaya soplagaitas el tio

0x666

#4 81.9.228.50 :D
te gusta y ... respondes a los ping...
Tu buscas que las cosas se ejecuten solas o como?
Logicamente si tienes que isntalar un servicio las tienes que hacer desde administrador...
De invisibilidad hablamos:
ftp://xpyxt.net/movies/ bajate esos 2 videos, se muestra perfectamente que el programa es invisibible... ahora logicamente tienes que ejecutarlo...

http://www.remotecontrolstudio.net/?page_id=18 <- No es invisible pero te saltas la heuristica e IDS de los antivirus ahi mencionados...

Para mi que tu tienes ENVIDIA!!!

Le defiendo, si le defiendo, por que fui yo quien le pedi lo de RLE y el lo programo para mi y lo publico en la web...

PD: nadie ha dicho que sean hackers, sino programadores de malware y es lo que hacen...

B

no se, es la manera de decirlo en

yo solo leí de ese blog el about (q misteriosamente ha desaparecido) y me dio la sensación de prepotencia o algo parecido, de soplagaitas vaya

r2d2rigo

Hostia! Y eso que es? Tienes mi IP! Joder que miedo!

Vamos a ver, tu eres tonta o comes calcetines? Que coño tiene que ver que responda a un ping? Eso lo unico que significa es que tengo el ordenador en linea, o que hay algun equipo en esa IP asignada. Que vas a hacer, meterme 343344354 virus como 0z4m4? Una cosa BIEN hecha es un virus/programa/malware que se aprovecha de security holes no documentados y MUY peligrosos. O no te acuerdas del Blaster? Cuantos clicks tuviste que hacer para que se te instalara? Gusano de propagacion automatica que se instalaba aprovechando las vulnerabilidades de los remote procedure calls.

Y si, ese Berserk que me has posteado es la puta hostia, invisible, se salta las heuristicas... tanto que el puto AVG me lo detecta sin siquiera sacarlo del archivo comprimido: http://img404.imageshack.us/img404/7656/quemeloljx3.jpg

Hala, disfruta tus lecciones de h4x0r1ng y sigue chupandole el pene a tu amado XPyXT.

PD: El RLE lo hace cualquiera con un minimo de conocimientos. Si googleas o utilizas el code search encontraras miles de ejemplos... pero quiza el uso de estas herramientas escapa a tu comprension.

PD2: Gracias por pingear la red local de mi universidad. Que pase un buen dia.

EDIT: Arteunporro, para algo esta la google cache no? http://72.14.209.104/search?hl=es&q=cache%3Ahttp%3A%2F%2Fblog.xpyxt.net%2F%3Fpage_id%3D2&btnG=B%C3%BAsqueda&meta=

0x666

#8 http://img404.imageshack.us/img404/7656/quemeloljx3.jpg
con esa caputas me demuestra lo que sabes en temas realacionadas con la seguridad informatica xD
Si fueras capaz de modificar las firmas de un archivo publico tu mismo te darias cuetna de tu propia ignorancia...
y despuesta el avg... que gran antivirus...

elfito

#9 y...http://img126.imageshack.us/img126/7089/pandact6.jpg con el 05 :P

ahora saltas y ke gran antivirus... por si no lo sabes en cuanto a heuritica esta a la altura del Nod32 ( aunke es mejor la del nod pero por lo menos tiene buena huristica..

0x666

Tu mismo te has respondido...
ya que vais de listos, sabreis deferenciar, las firmas, la heuristica y el IDS de un antivirus.

Y si Panda 2006 y 2007 tiene mejor sistema de IDS que NOD32.

Si no sabeis lo que es os doy unas clases...

Ha... las capturas solo demuestran que estan fichados, ¿que pasa si es una version privada con una firma no conocida?

Ya que criticais tanto a XpyXt a RCS en general mirar esto pringados.. http://www.nuclearwintercrew.com/ concretamente en http://www.nuclearwintercrew.com/content.php?page=4&coder=caesar2k

A ver si leemos mas antes de hablar...

r2d2rigo

Oh claro, resulta que ahora por colgar un JPG en imageshack, vas a utilizar tu magia para averiguar mi IP, mi numero de tarjeta de credito, mi direccion, y vendras a robarme, apalearme y violar a mis hijas. Y a mi que coño me importa que sepas que utilizo el Photo Editor y lo comprimo a calidad 70? Vas a aprovechar los fallos de las GDI por buffer overflow al abrir JPGs en mi contra? Venga va... que vas de hacker y no llegas a ofimatica.

El AVG? Por una simple razon... me divierte buscarle las cosquillas a gente como tu demostrando que un antivirus tan "malo" detecta todo lo "invisible". En 11 años que llevo con un ordenador en mis manos (seguramente el primero que llego a tus manos fue cuando bajabas al ciber a usar el MSN o jugar a juegos) no me ha entrado ningun virus/malware que yo no haya querido probar por diversion (bueno, para ser sinceros... quien no ha sufrido el Blaster/Sasser en aquel dramatico dia de su ataque?).

En fin, sigue pensando lo que quieras con tus tretas de "hacking", seguro que eres de las que vio "Hackers" y dijo, "OH, ZEROC00L ES MI DIOS!"

PD: Ya me lo has dicho todo con ese enlace...

All my programs are available for undetectable version selling. Released tools price may vary from 20 Euros to 50 Euros, depending on the tool.

Buenas noches y buena suerte, script kiddie.

2

Lo cojonudo del tema es que la IP es mía que fuí el que posteo en su blog diciendo que me rompía de risa quoteando su about (por eso debió desaparecer)...

Me estás amenazando superjuanker? Cosas que se ejecutan solas? Eres tu el que me está abriendo la unidad de cd?
Deberías comerte un ban como una catedral por andar dando ips de los usuarios al público y spameando tu blog.

Aquí te espero respondiendo pings omg.... bss ktst tkm GAÑAN

B

io no uso antivirus directamente y nunca me ha entrado un virus, y el blaster o el sasser tenía el zonealarm puesto (y hace más de 11 años q ievo con ordenador)

pd. hay otras maneras de autosuperarse y demostrarse la valía que programando malware (e incluso más provechosas), hay gente q se reta asi mismo a ver cuantas pajas seguías se pueden hacer...

a mi el antivirus q realmente me pone es el kaspersky

0x666

Si si sabeis mucho de seg informatica XD
ha!! y no es mi blog...
realmente la culpa es mia por postear esto en una web de exjugadores del cs...
Al ir a jugar al cs que es lo unico que sabeis hacer...

elfito

#15 pues ake esperas de comentar cosas??? dilas leches xD

r2d2rigo

Pues da la casualidad que yo (como muchos otros) me paso por estos foros solo para leer offtopic y ayudar en lo posible en desarrollo. Estas discutiendo con gente que tiene una carrera o esta en proceso de sacarsela (o no necesariamente, pueden ser autodidactas o tener otro tipo de estudios), y que poseen conocimientos que van mas alla de cojer el codigo de un troyano, ponerle cuatro chorradas, añadirle un logo hecho en paint con el nick y el email (viva la privacidad!) y colgarlo como si fuera suyo, dandoselas de pr0. Estoy seguro, SEGURISIMO, que tu y tu amigo no habeis pisado webs de renombre como CodeProject, CodeGuru, ProgrammersHeaven o Gamasutra en vuestra puta vida. Os limitais a lurkear por webs de grupos importantes y en el momento que cuelgan un troyano/worm simple junto con su codigo, para intenciones didacticas, os abalanzais a por el.

Tienes la puta suerte que en sitios como SomethingAwful o 4chan solo odien a los script kiddies que escriben sus logros en ingles. Si no, ahora mismo tendrias una jodida legion de tards rapeandote el culo.

maRc

#1, ¿te cuento un secreto?

http://kriptopolis.org/microsoft-confirma-que-vista-puede-ser-infectado-por-un-tercio-del-malware-existente

Pero oye, no se lo digas al xpyxpxpxx ese.

Por otro lado, ¿70€ por un software de este tipo no es demasiado barato?

guiye

"que vas de hacker y no llegas a ofimatica"

xDDDDDDDDDDDDDDDDDDDDDD

scumah

...yo soy una personal normal y corriente, pero que destaca por marcar tendencias (eso me ha dicho varias personas dentro y fuera del mundo de la scene*)...

scene: mundo underground informatico.

Esta frase es de auténtico crack con mayúsculas. CRACK, vaya.

Buena idea lo de reescribir el about, antes sonaba poco humilde... A lo Matías. También puedes decirle que procure no tener faltas como eso me ha dicho varias personas, para así conseguir una mayor credibilidad.

erdanblo

Venga, si de verdad son hackers, que me abran el Internet Explorer!.

Karurosu

#20 esta bien escrito eso.
Siempre lleva H cualquier palabra que pueda sonar con el n. Por ejemplo: Me han dicho que eres feo, me ha dicho que eres feo.

En cambio por ejemplo: vete a tomar por culo (es asi, por que si llevara h sonaria vete han tomar por culo, y eso lo diria un tartaja o mongolo)

No intento ofender ni ownear, solo para que lo sepas.

2

#20 esta bien escrito eso.
Siempre lleva H cualquier palabra que pueda sonar con el n. Por ejemplo: Me han dicho que eres feo, me ha dicho que eres feo.

Se refiere al ha en singular, cuando debería ser plural.
Movemos el tema al foro ortografía? xD

PD: para simplificarte la regla, lleva h cuando es del verbo haber y puerta. :)

0x666

r2d2rigo ahi ahi... demostrando lo que sabes...
Con el msdn nos bastamos.
#18 malware que se oculta el listado de procesos sin hacer hooks??? jajaja 1,2,3, intetalo de nuevo.
Damos unas clases sobre distintos de malware???

#17 una cosa es programar y otra cosa jugar con botnets y lo segundo esta perseguido por la ley...

Para programar ese tipo de software hay que tener MUCHOS conocimientos de programacion, igual #17 con lo que te dan en la uni tu vas mas que sobrado y te dedicas hacer bluques y escribir en ficheros de texto plano...

Y para los bocazas, una de links...
http://216.239.59.104/search?q=cache:fXR6DNhnha0J:www.indetectables.net/foro/viewtopic.php%3Ft%3D1007%26start%3D0%26sid%3Dc55ae4cf4e06bf18fb608881972b379f+xpyxt&hl=es&ct=clnk&cd=22&gl=es&client=firefox-a
http://cyruxnet.org/extirpar_rootkit.htm
http://www.hispanew.org/html/?p=51
http://www.governmentsecurity.org/archive/t8949.html
http://cyruxnet.org/news.htm#20051206.00

Aun nadie me ha dicho que diferencias hay entre Heuristica, IDS y sistema de firmas.

#17 confundes la programacion con actividades ilegales? Culturizate un poco.

Karurosu

Tu bujarron que te calles ya, que nos la suda y eres un Ozama del palo.

maRc

#24, no tengo ni puta idea de malware, pero tu vienes aquí comentándonos algo de que un amiguito tuyo tiene un malware de la muerte, que al parecer era para XP y ahora también funciona en el Vista.

Mi enlace dice que el 30% del malware para XP funciona en Vista.

Yo no se que estás intentando demostrar tú, yo solo decía que tu amiguito ha tenido la suerte, junto con el 30% de los creadores de malware, de utilizar una vulnerabilidad que no han resuelto en el Vista.

1, 2, 3, intentalo otra vez.

PD: Que conste que no había entrado en tus enlaces hasta que r2d2igo te ha dejado KO xD.

B

IDS sistema de detección de intrusos, las siglas en inglé

Heurística es detección de virus sin tener la firma de dichos virus, es decir, q los antivirus son tope listos y ven patrones de posibles virus en los ficheros q analizan

y sistemas de firmas son los sistemas q crean los clubs de fans de famosos para pedirle autógrafos, no?

r2d2rigo

A ver, analicemos los links que has posteado...

  • 2 de ellos son de spam de tu amiguito diciendo lo chupiguay que es su troyano. Admiradme! Admiradme! Soy el maestro programador del mundo mundial!
  • 1 es un manual de como quitar rootkits con Hack Defender... oh dios mio! Dificultad extrema! No se hacer doble click en un ejecutable con un asistente para limpieza!
  • Otro es un exploit de LSASS (redactado con en un ingles que haria a Shakespeare revolverse en su tumba)... en un principio nos apuntaria a los conocimientos de }-XpyXt-{ (si, el nick ahora lleva simbolos, es mas c00l)... una lastima que sea de la misma epoca que cuando ataco Blaster/Sasser e internet fue un hervidero con informacion de ese bug.
  • Ah! Me olvidaba! Falta mi preferido. Un thread en el que se discute si se programara un bot para IRC... y que acaba desembocando en si se usara "Visual Basic" o "el compilador Visual Studio 2005 (?)" (ahi ahi, profesionalidad! Demostrando que sobran huevos) y un circlejerk por parte de los participantes... lamentable

En fin, que si, que si, que te creemos, eres la hostia, te metes en los ordenadores del Pentagono, tu amigo te programa las appz, m0c0$0ft suxxxxx, lunix powah, etc etc etc.

Vamos a hacer una cosa. Yo, cuando llegue a mi casa, desenchufo el router, conecto mi portatil por modem, desinstalo firewall, antivirus, arranco varios servidores (HTTP, FTP) y te mando la IP por mensaje privado, para que no tengas que molestarte, no sea que te hagas daño. Asi que dejo un Windows Media Center en tus manos, en bandeja de plata, entras, haces las diabluras que quieras, te diviertes, y cuando acabes te haces una paja pensando en lo l33t que eres y lo que te vas a divertir contandoselo a tus amiguitos de la "scene underground" y lamiendote el culo. Pero a cambio solo te pido un pequeño favor, y es que dejes de pulular este foro creyendote un dios, porque no eres mas que un jodido troll rabietoso que porque le llevan la contraria personas que tienen muchos mas conocimientos que abrir el Visual Basic y poner cuatro botoncitos ya tiene que armar la de cristo y empezar a hablar de cosas de las que ha oido campanas pero no sabe donde.

Asi que nada, dime si aceptas lo que te ofrezco, que vamos a salir todos ganando. Tu porque vas a tener tus 15 minutos de gloria y los demas porque nos vas a dejar en paz de una puta vez.

mar10

#28 el puto amo ;)

BlisZ

r2d2rigo me das miedo

Usuarios habituales