web by spit
spit - informacion sobre troyanos
  UNEFA-NUCLEO-GUACARA-SECCION G-015-D
  CONTACTO (deja tu correo)
  Libro de visitantes
  tutoriales
  => como hackear paginas web
  => manual del troyano netbus para torpes
  => manual sobre el troyano subseven
  => manuales del backoriffice para torpes
  => informacion sobre troyanos
  => programacion Shell script unix
  => Manual del troyano netbus para torpes...
  => MANUAL DE SQL SERVE
  => RESUMEN DEL HACKING NT
  => manual mirc scripting
  => introduccion a los routers cisco y sus seguridad
  => MANUAL Q EXPLICA QEU ES UN IP Y REDES Y ETC PARA PRINCIPIANTES
  => explicaciones del dns, y dns abuse
  => hacking ataques atraves de hadware
  => cmo hacer mi primer scripts en ares
  => instrucciones de para hacer un script en ares
  => COMO HACKEAR PC X NETBIOS lo mas buscado por el ares
  => aprender a hackear pagina web
  => tecnica y metodo de scaneo
  => bug del unicodex
  => biblia del hacker
  deja tu web aqui!
  descargas
  LOGIN
  foro de programadores y otras areas
Traducción libre, pura y dura del ISS Vulnerability Alert de 10/09/98. -------------------------------------------------------------------------------- ILa siguiente información es nueva en este artículo: * Información sobre la puerta trasera NETBUS para Windows 95/98 y NT. * Una puerta trasera en NetBus y cómo eliminar el programa. * Dramático aumento de la infecciones del Back Orifice en máquinas vulnerables. * Nuevas mejoras a Back Orifice que ayudan a los hackers y disponiblidad de nuevas herramientas para detectar y eliminar BO. * El Troyano BoSniffer. Un grupo de hackers conocido como el "Culto de la Vaca Muerta" desarrolló una puerta trasera para W95/98 llamada "Back Orifice" (BO). Una vez instalada, esta puerta trasera permite a usuarios no autorizados ejecutar operaciones privilegiadas en la máquina afectada . Back Orifice muestra evidencia de su existencia y puede ser detectado y eliminado. ISS RealSecure 2.5 lo detecta y le notifica de cualquier actividad del BO en su red, independientemente del puerto que utilice. También existe otro programa disponible en Internet, llamado NetBus, con funcionalidades similares al BO, pero en algunos aspectos más avanzado. La proliferación de esta herramienta de hacking no se ha producido hasta hace muy poco. Diferente al BO, NetBUS funciona en W95/98 y NT. Desde la aparición de Back Orifice, ISS X-Force ha dado noticia del aumento de máquinas que pueden verse afectadas. ISS X-Force ha recibido numerosas peticiones solicitando ayuda para máquinas infectadas por BO o NetBus. -------------------------------------------------------------------------------- Descripción: Una puerta trasera (Backdoor) es un programa diseñado para esconderse en el interior de un servidor objetivo, el cual instala un medio de entrada al sistema para permitir la incursión desde fuera como un acceso normal o explotando una vulnerabilidad. -------------------------------------------------------------------------------- Funcionamiento: El programa BO es una puerta trasera diseñada para W95/98. Una vez instalado, permite a cualquiera que conozca el número de puerto escuchado y la contraseña del BO controlar remotamente el servidor. El servidor BO permite a los intrusos ejecutar comandos, listar archivos, activar/desactivar servicios, compartir directorios, subir y bajar archivos, manipular el registro, matar procesos, listar procesos entre otras opciones. NetBus, disponible en http://members.spree.com/NetBus/index.html, permite al usuario remoto la mayor parte de las opciones del BO además de abrir/cerrar la unidad de CD-ROM, enviar diáologos interactivos incluso charlar con el sistema afectado, escuchar el micrófono del sistema (si lo tiene), y algunas posiblidades más. La página web citada anteriormente contiene información sobre todas las capacidades de NetBus. Esta página contiene también instrucciones para erradicar NetBus de su sistema. -------------------------------------------------------------------------------- Determinando si BO está instalado en su máquina: El servidor de BO hace ciertas cosas cuando se instala a sí mismo en el objetivo. *Instala una copia del servidor BO en el directorio /system (C:WINDOWSSYSTEM) como ".exe" u otro nombre especificado por el usuario. *Crea una llave de registro bajo HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices con el nombre que se le haya llamado al servidor y con el campo descripción de éste "(Default)" o una descripción especificada por el usuario. *El servidor comienza a escuchar en el puerto 31337 UDP o en el puerto UDP especificado por quien lo haya instalado. Puede usted configurar RealSecure para monitorizar su trafico en el puerto por defecto UDP 31337 para localizar posibles signos de alerta. -------------------------------------------------------------------------------- Para determinar si usted es vulnerable: 1. Ejecute el programa regedit (C:windowsregedit.exe). 2. Acceda a la clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunServices. Busque cualquier archivo que no haya sido instalado intencionadamente en la máquina. Si la longitud de uno de estos archivos es de 124.928 (con un margen de 30 bytes) es muy probable que se trate del Back Orifice. Usted también puede utilizar el programa netstat para averiguar si su sistema está infectado. "netstat -an" listará todas los puertos abiertos y conectados, y no debería haber ningun puerto UDP abierto. Este es un ejemplo de los resultados de netstat: C:WINDOWS>netstat -an | find "UDP" UDP 0.0.0.0:31337 *:* En este ejemplo, puede distinguir un servicio UDP conectado al puerto 31337. Este servicio es Back Orifice. Si no tiene abierto el puerto 31337, y usted observa algo que parezca sospechoso, chequee su registro. Más información sobre BO puede encontrarse en la página web de cDc en http://www.cultdeadcow.com. Más información sobre su detección y elminación en http://www.nwi.net/~pchelp/bo.html. -------------------------------------------------------------------------------- Determinando si NetBus se ha instalado en su máquina: NetBus utiliza el protocolo TCP y siempre los puertos 12345 y 12346 para escuchar las conexiones. netstat puede ayudarle a detectar NetBus con el comando "netstat -an | find "12345". En ese momento, ejecute el programa telnet de windows y conecte a su propia dirección utilizando el puerto 12345. Si NetBus está instalado, una serie de caracteres similar a "NetBus 1.53" o "NetBus 1.60 x" aparecerá en la ventana telnet. El protocolo NetBus no está encriptado y los comandos tienen un formato muy simple: el nombre del comando, seguido de punto y coma, seguido de los argumentos separados por puntos y comas. Es posible configurar una clave para el servidor NetBus, y ésta es guardada en el registro en texto plano en: HKEY_CURRENT_USERPatchSettingsServerPwd. X-Force ha descubierto aquí una puerta trasera en NetBus que permite a cualquiera conectarse sin clave. Cuando el cliente envía la clave al servidor, envía otra cadena similar a "Password;0;my_password". Si el cliente usa un 1 en lugar de 0, usted puede ser autentificado sin ningún tipo de clave. Por defecto, el servidor NetBus se llama "Patch.exe", pero puede ser renombrado. -------------------------------------------------------------------------------- Acciones recomendadas: BO puede ser desactivado borrando el servidor y su entrada en el registro. Si le es posible, debe copiar todos sus datos de usuario, formatear su disco duro y reinstalar todos los sistemas operativos y el software de la máquina infectada. Existen dos maneras de eliminar NetBus, dependiendo de la versión que usted utilice: --Para versiones 1.5x, las instrucciones para desactivar NetBus se encuentran en http://members.spree.com/NetBus/remove_1.html. ---Para versiones 1.6, las instrucciones para eliminarlo están en http://members.spree.com/NetBus/remove_2.html. Usted puede eliminar toda instalación de NetBus 1.6 haciendo telnet a la máquina al puerto 12345, escribiendo "Password;1;" presionando ENTER, escribiendo "RemoveServer;1" y presionando ENTER. Cuando se desconecte, NetBus se desactiva pero debe eliminar Patch.exe de su directorio de Windows si usted quiere eliminarlo completamente. Este procedimiento funciona incluso si ha configurado una clave, pero no es así en las versiones 1.5x. -------------------------------------------------------------------------------- Determinando la clave y configuración de un BO instalado. 1.Usando un editor de texto, como el bloc de notas, oberve server.exe. 2. Si la última línea del archivo es "88$8(8,8084888<8@8D8H8L8P8T8X88'8d8h8l8", entonces el servidor está usando la configuración por defecto. Si no es así, la configuración está presente en varias de las últimas líneas del archivo en este orden: -------------------------------------------------------------------------------- Plugins para el Back Orifice: Hay varias aplicaciones para BO, llamadas "BUTTplugs" de cDc, las cuales pueden usarse para aumentar las funcionalidades del BO. Actualmente existen cuatro plugins disponibles en la web de cDc. (http://www.cultdeadcow.com/tools/bo_plugins.html). Estos plugins pueden enviar un e-mail al atacante cuando alguien instale una copia del BO, o acceder automáticamente al IRC entrando en un canal y notificando dónde está instalado. También hay un plugin para incrustar BO en cualquier programa que se desee, haciendo más sencilla la caída de incautos en la trampa. Los últimos plugins disponibles son: Speakeasy - Un plugin IRC que loguea secretamente en el servidor predefinido y transmite la dirección IP de la víctima. Silk Rope - Inserta BO en cualquier programa existente. Saran Wrap - Camufla BO en cualquier programa instalador del tipo "InstallShield". Butt Trumpet - Envía al atacante un e-mail con las direcciones IP de la víctima. -------------------------------------------------------------------------------- Detector del BO un poco rana: Se trata de un programa llamado BoSniffer que se distribuye en Internet y anuncia a bombo y platillo que detecta y elimina el Back Orifice de su sistema. Este programa es realmente un Back Orifice, y por supuesto, se recomienda no usarlo. Mucho cuidado con cualquier tipo de solución para el BO cuya procedencia resulte dudosa. Este fraudecillo se distribuye generalmente con los nombres de bosniffer.exe y bosniffer.zip. -------------------------------------------------------------------------------- Conclusión: Back Orifice proporciona una forma fácil a los intrusos de instalar una puerta trasera en una máquina vulnerable. La autentificación y encriptación del Back Orifice es débil, por lo que un administrador puede determinar qué actividades e información es enviada vía BO. Este troyano sólo funciona en W95 y 98 por ahora, actualmente no funciona en NT. NetBus cuenta con una característica superior al BO, funciona en Windows NT, pero es más fácil de detectar que su competencia, puesto que NetBus opera en el puerto 12345 TCP y muestra su versión en un pequeño cartel al conectarse mediante telnet.
 
Hoy habia 15 visitantes¡Aqui en esta página!
aqui encontraras de todo Este sitio web fue creado de forma gratuita con PaginaWebGratis.es. ¿Quieres también tu sitio web propio?
Registrarse gratis