N. Control: Semestre: 7 Grupo: B Fecha de inicio: Fecha de trmino:
Nombre del Docente: M.T.I VELAZQUEZ PEA MIGUEL ANGEL
2
MERGE STREAMS COMBINAR DOCUMENTOS CON MERGE STREAMS Esta utilidad esta disponible desde la pagina de NT Kernel e implementa un aspecto interesante de como se tratan los objetos OLE en documentos Microsoft Office, la idea es mezclar o combinar una hoja de calculo en un documento Word. El uso es muy sencillo, dispone de una GUI que permite seleccionar el documento Word y la hoja Excel y a partir de estos datos en el propio documento Word mezcla la hoja de clculo.
El resultado es el mismo documento Word. Una vez mezclado, comprobamos que: El tamao en disco del documento Word no ha variado y sigue siendo el mismo. Si abrimos el documento, vemos que el contenido es idntico al original (no aparece nada de hoja de calculo). La cadena HASH si que ha cambiado, por lo que sabemos que ha habido modificaciones.
3
A continuacin vamos a ver la funcionalidad de Merge Streams: 1. Eliminamos la hoja de calculo que hemos utilizado para mezclar (este paso no es necesario). 2. Seleccionamos el documento documentoword.doc y lo renombramos a XLS documentoword.xls. 3. Abrimos el documento y vemos que se trata de una hoja de clculo.
Si volvemos a renombrar a .DOC, podremos comprobar que sigue siendo un documento Word. Esta utilidad demuestra un aspecto importante en el mbito de la ofuscacin o de la fuga de informacin, dado que de esta forma te puedes llevar un documento u hoja de clculo importante sin que nadie lo advierta.
4
STEALTH FILES Stealth Files oculta cualquier tipo de archivo en casi cualquier otro tipo de archivo. Esto se conoce como esteganografa. Esta es una forma de encriptar datos de modo que es difcil de encontrar. No se puede descifrar algo a menos que sepa lo que debe descifrar. Usando esteganografa, Stealth Files comprime, cifra y oculta cualquier tipo de archivo en el interior de muchos otros tipos de archivos, incluyendo EXE, DLL, OCX, COM, JPG, GIF, ART, MP3, AVI, WAV, DOC, BMP y ms otros tipos de archivos de vdeo, imagen y ejecutables. Usted todava ser capaz de ver, abrir y ejecutar estos archivos sin y problemas. Si lo desea, tambin puede utilizar una contrasea para cifrar los archivos ocultos. Cuando los agentes desaparecen misteriosamente, o un sendero pasa fro, algunos casos parece que se mantendr sin resolver para siempre. Los Stealth Files dar a los lectores la oportunidad de descifrar cdigos y poner en prctica habilidades de campo, ya que enfrentar a su ingenio contra estos casos imaginativos de la bveda de GIO. PLATAFORMA: Windows 95/98/ME/NT/2000/XP CAPTURA DE PANTALLA:
5
MASKER STEGANOGRAPHY Masker es un programa que cifra sus archivos, de manera que se necesita una contrasea para abrirlos, y luego oculta los archivos y carpetas dentro de los archivos de soporte, tales como archivos de imgenes, archivos de vdeo, programas o sonido. El cifrado de alta seguridad de hasta 448-bit y proteccin con contrasea hace que los datos ocultos inaccesibles para los usuarios no autorizados. Slo usted utilizando su contrasea es capaz de abrir y extraer los archivos ocultos. Puede ocultar los archivos y carpetas enteras, incluso con sub-carpetas! El archivo de transportista seguir siendo completamente funcional! Las imgenes pueden ser vistas, los sonidos se pueden reproducir y vdeos se pueden visualizar en el monitor. Usted puede transferir el archivo de soporte a travs de Internet y los archivos ocultos en el interior sern transferidos simultneamente con el archivo de soporte, ya que son la parte del archivo de soporte. Utilice Masker para mantener tus archivos secretos sensibles asegurar oculto y sper protegido. PLATAFORMA: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows 2003, Windows Vista. CARACTERSTICAS: Ocultar los archivos, carpetas y subcarpetas dentro de un archivo portador. Mostrar, extraer los archivos ocultos y carpetas de un archivo portador. Cifrado (hasta 448 bits) y compresin. Disponible 7 algorihtms cifrado fuerte (Blowfish, Rijndael, etc.) Apoyar escondites mltiples Funcin de vista previa (los archivos ocultos se pueden visualizar y modificar en modo oculto). Funcin de bsqueda. Desbloquear bloques de funcin el uso no autorizado.
6
HERMETIC STEGO Hermetic Stego es un programa para ocultar un archivo de datos en una sola imagen BMP o en un conjunto de imgenes BMP y para la extraccin de un archivo de datos ocultos de esta manera. El archivo puede ser de cualquier tipo, no slo un archivo de texto, y por lo tanto puede ser un archivo tal como un documento de Microsoft Word, una hoja de clculo Excel o un archivo de imagen. Adems, el archivo puede ser de cualquier tamao hasta 200 MB, siempre y cuando los archivos de imagen BMP son suficientes en nmero y tamao para contener los datos. Esto inserta esteganografa software de datos en el archivo de imagen de una manera pseudo-aleatoria en funcin de una contrasea (que tambin se utiliza para cifrar los datos), y los cambios de otros bits del archivo de imagen para compensar las modificaciones inducidas por los datos ocultos as como para evitar la modificacin de las propiedades estadsticas del archivo de imagen. Por tanto, es mucho ms seguro que la mayora de los programas de esteganografa. Otro uso para Hermetic Stego es transportar datos sensibles (por ejemplo, dentro de una hoja de clculo de Excel) sin ser detectado. Uno puede ocultar los datos en un conjunto de imgenes BMP y poner esas imgenes en una tarjeta de memoria (tambin conocida como unidad de memoria flash). Despus de llegar a destino uno de los datos a continuacin, se puede extraer de las imgenes. Hermetic Stego se diferencia de otro software steganograpy en cuatro aspectos: 1) No hay lmite en el tipo o el tamao del archivo que se oculta porque Hermetic Stego puede ocultar un archivo de datos, no slo en un solo archivo de imagen BMP, sino en un conjunto de ellos - como las imgenes que sean necesarias para contener los datos archivo (pero vea la nota abajo). 2) Los bits de los datos se insertan en los bytes de los archivos de imgenes al azar y de tal manera como para vencer el uso de pruebas estadsticas para revelar la presencia de los datos ocultos. 3) El programa puede ser utilizado con una clave especificada por el usuario Stego o con una clave predeterminada stego; uso de una clave predeterminada estego permite el envo de datos ocultos a otra persona que no sabe lo que es clave stego. 4) La clave stego (especificada por el usuario o por defecto) se utiliza no slo para facilitar la seleccin aleatoria de bytes para ocultar los bits de datos de archivos, pero tambin se utiliza para cifrar el archivo de datos.
7
Aqu hay una captura de pantalla normal, despus de ocultar un archivo:
8
DRIVECRYPT DCPP DriveCrypt Plus Pack ofrece cierto tiempo real "sobre la marcha" 256-bit de encriptacin de disco. Proporcionar avanzado FDE (cifrado de disco completo), frente a VDE (cifrado de disco virtual) o el cifrado "container", DCPP es un importante paso evolutivo en el mbito de la proteccin de datos transparente. DCPP le permite asegurar su disco (s) (incluyendo un medio extrable) con un algoritmo de cifrado potente y probada (AES-256) a nivel del sector, asegurando que slo los usuarios autorizados pueden acceder a l. El algoritmo de cifrado utilizado por DCPP es de confianza, el algoritmo validado elegido por el Instituto Nacional de Estndares y Tecnologa (NIST) y declar ser el estndar de cifrado para los prximos aos. AES-256 es un algoritmo aprobado por FIPS encriptacin simtrica que puede ser utilizada por organizaciones gubernamentales de Estados Unidos (y otros) para proteger la informacin sensible. DCPP archivo de software de encriptacin es automtica y completamente transparente para el usuario. No slo esta participacin de los usuarios y reducir los requisitos de formacin, sino que tambin crea la base para la seguridad exigible. La integracin cuidadosa de proteccin durante el arranque y el cifrado automtico ofrece un alto grado de seguridad con un mnimo impacto en los usuarios. Proteccin impide que arranque la subversin del sistema operativo (a travs de disquetes de arranque, por ejemplo) o la introduccin de programas maliciosos mientras que el sector de cifrado sector hace que sea imposible de copiar archivos individuales para ataques de fuerza bruta. DCPP garantas de cifrado de Windows el sistema operativo y el archivos importantes del sistema (que a menudo contienen pistas sobre las contraseas de Windows). DCPP es el ms rpido y ms ricos de la caracterstica de tiempo real cifrado de disco completo del sistema disponible, especial cuidado se han tomado para hacer que todas las piezas criptogrficas como invisible y transparente posible. PRE-BOOT AUTHENTICATION El usuario se autentica mediante autenticacin previa al arranque (PBA) antes de que se inicie el sistema y por lo tanto antes de que el sistema operativo se inicie. Este tipo de autenticacin no se puede manipular, PBA por lo tanto garantiza la mxima seguridad. Ni las llaves, ni las contraseas se almacenan en el disco duro del PC. Toda la informacin necesaria para arrancar el sistema operativo se deriva de la contrasea. Esto hace que el uso de herramientas de disco duro para analizar el disco duro completamente ineficaz. PBA en provista por un BootAuth llamada al sistema y es una pantalla de inicio de sesin completamente grfico.
9
CIFRADO COMPLETO DEL DISCO Automtica y transparente de cifrado de disco completo (FDE) ofrece varias ventajas importantes en relacin con el cifrado de archivos. FDE asegura el sistema y los archivos temporales que a menudo contienen datos confidenciales, pero se pierden por el cifrado de archivos. Incluso la eliminacin de la unidad en s no da acceso a cualquier archivo o estructura de directorios. FDE se realiza sector por sector, sin crear temp o archivos de copia de seguridad. Como resultado, los archivos grandes descifrar sin demora, mientras que el cifrado de archivos es normalmente mucho ms lento. Whole Disk Encryption tambin evita tareas que consumen tiempo como borra seguras de archivos temporales o archivos de trabajo en texto plano, y evita la necesidad de hacer un borrado completo de los discos que ser descartada.
CMO FUNCIONA? Como los datos se leen desde el disco duro, DCPP descifra automticamente los datos antes de que se cargue en memoria. Cuando los datos se vuelven a escribir en el disco duro, es automticamente re-codificado. Este proceso es completamente transparente para el usuario o los programas de aplicacin, los datos se llam "sobre la marcha", como se transfiere hacia atrs y adelante entre el disco duro y la memoria. Por lo tanto, los usuarios no necesitan recordar para descifrar o volver a cifrar sus datos, o cambiar el funcionamiento normal de su PC. Adems, slo los sectores individuales se descifran en cualquier momento, no todo el disco duro. Otros productos que dicen ser "on the fly" desencriptar un archivo completo y cargarlo en la memoria, creando riesgos significativos de seguridad. DCPP es ms inteligente y ms seguro, ya que slo descifra los sectores especficos de un archivo que est en uso. Datos no protegidos no reside en un disco encriptado DCPP.
SISTEMA OPERATIVO OCULTO: DCPP es el software de cifrado de disco nico en el mercado capaz de ocultar un sistema operativo completo dentro del espacio libre en el disco de otro sistema operativo. Prcticamente se puede definir dos contraseas para el disco encriptado DCPP: Una contrasea es para el sistema operativo visible y la otra invisible para el uno. El primer "falso" la contrasea que da acceso a un sistema operativo pre-configurado (exterior OS), mientras que el otro le da acceso a su sistema operativo real de trabajo. Esta funcionalidad es muy til si tienes miedo de que alguien le puede obligar a proporcionar la contrasea DCPP, en este caso, slo tiene que dar el primer (falso) contrasea para que el atacante ser capaz de arrancar el sistema, pero slo ver el preparado informacin que desea que la encontrara. El atacante no podr ver los datos confidenciales y personales y que tampoco ser capaz de comprender que la mquina est almacenando un sistema operativo ms oculto. Por otro lado, si se introduce la contrasea privada (para el disco invisible), el sistema se arranca un sistema operativo diferente (su sistema de trabajo) que le da el acceso a todos sus datos confidenciales. La creacin de un sistema operativo oculto no es obligatorio y, como tal, no es posible para cualquier persona que no tiene la contrasea oculta OS saber o averiguar si un sistema operativo oculto existe o no. 10
CARACTERSTICAS Y VENTAJAS Algunas de las principales caractersticas y beneficios: proteccin Boot Pre-Boot Authentication: Login antes de iniciar el sistema operativo Soporte para mltiples arranque del sistema operativo (Microsoft) sistema operativo Invisible (permite ocultar todo el sistema operativo completo o parcial de cifrado de disco duro Sector nivel de proteccin completo power " off ", es decir la proteccin de los usuarios autorizados tienen prohibido poner en marcha el PC AES de 256 bits de encriptacin Sin lmite de tamao para los discos cifrados Maneja un nmero ilimitado de discos cifrados de forma simultnea. Permite esteganografa para ocultar datos en imgenes de Troya y la proteccin del teclado sniffer prevencin de contraseas se oli / captura (pantalla roja modus). Diccionario y de fuerza bruta contra los mecanismos de ataque (debido a la naturaleza de DCPP, es el sistema ms difcil de atacar en comparacin con cualquier otra cosa disponible.) Cifra casi cualquier tipo de soporte (discos duros, disquetes, ZIP, JAZ, etc...) de administrador / usuario derechos especficos USB-Token de autenticacin a nivel de pre- arranque (Aladdin R2 y Rainbow USB-Token) Facilidad para validar la integridad del mtodo de cifrado. Discos de recuperacin de "recuperacin de desastres Fcil de instalar, implementar y utilizar. Completamente transparente para el usuario mnima administracin y formacin de usuarios
CAMERA/SHY
Se llama Six/Four por la fecha de la masacre de Tiananmen. Permite engaar a los cortafuegos, garantiza el anonimato y utiliza estenografa (texto escondido en imgenes) para intercambiar informacin prohibida. De fcil uso y cdigo abierto, est pensado para los activistas de derechos humanos en pases con censura. Sus autores son hackers tan conocidos como el alemn Mixter o los tejanos Cult of the Dead Cow, unidos bajo el nombre Hacktivismo. Este fin de semana lo presentaron en Nueva York, en la reunin H2K2. El protocolo Six/Four combina tecnologas tan actuales como el peer-to-peer (comunicacin entre iguales), las Redes Privadas Virtuales y losproxies abiertos, para el acceso annimo a Internet. Las Redes Privadas permiten crear tneles seguros de comunicacin directa entre ordenadores y, gracias al peer-to-peer, la informacin no va del punto A al B sino que da una larga vuelta de A a K y Z o G, engaando a los cortafuegos que no permitan recibir o enviar datos de sitios censurados. La primera aplicacin diseada para este protocolo es Camera/Shy, un navegador basado en Internet Explorer, para intercambiar contenido censurado usando una tcnica criptogrfica llamada esteganografa. Camera/Shy, dedicado a la memoria del disidente chino Wang Ruowang, esconde la informacin en imgenes.gif protegidas por contrasea, que pueden colgarse en pginas aparentemente inocuas. Con un sencillo proceso, las 11
descifra sin dejar rastro en el sistema del usuario. Al ocupar 1,21 MB, puede trasladarse en un disquete. Est previsto que, al ofrecer prximamente a la comunidad el cdigo del nuevo protocolo Six/Four, sta escriba otros programas compatibles, como lectores de grupos de noticias, chat o correo, segn afirm Mixter. Con esta tcnica, recalc Oxblood Ruffin, de Cult, 'los sitios podrn estar activos un par de das para desaparecer despus y aparecer en otro sitio. Ser una autntica guerrilla mvil de la informacin'. Paralelamente, hackers relacionados tambin con Cult of the Dead Cowhan publicado esta semana el esperado cdigo fuente de una aplicacin que lucha de forma parecida contra la censura, Peekabooty: funciona con Windows y permite saltarse los cortafuegos, navegando annimamente. En palabras de sus creadores Camera/Shy es "la nica herramienta esteganogrfica que busca y presenta, de forma automtica, contenido descifrado desde la Web". Esta afirmacin (aunque quizs plenamente correcta en el ingls original) requiere algunas explicaciones adicionales si se quiere comprender plenamente la utilidad del programa. En muy pocas palabras, Camera/Shy es un navegador de Internet -de hecho est basado en Internet Explorer- que presenta algunas caractersticas peculiares. Sin duda, la principal de ellas radica en que permite acceder a ciertos contenidos que permanecern ocultos para el resto de navegadores. Estos contenidos han debido ser previamente ocultados por el webmaster en alguna de las imgenes gif habituales en cualquier pgina web. Los destinatarios ideales del programa son aquellos usuarios finales que se encuentren tras cortafuegos corporativos o nacionales y quieran establecer comunicaciones no censuradas son el exterior. El procedimiento no es nuevo (se denomina esteganografa y es de sobra conocido) pero Camera/Shy -a diferencia de otras herramientas ya existentes- facilita un acceso transparente de los internautas a esos contenidos ocultos, siempre que se conozca tambin la contrasea empleada al crearlos, ya que -adems- estn cifrados (en este caso por el algoritmo AES -256 bits). Como consecuencia de lo dicho, es fcil adivinar que el uso de Camera/Shy ser diferente segn su usuario sea un creador de contenidos o de un mero receptor de los mismos:
El creador de contenidos habr de seleccionar una imagen gif cualquiera (o varias) de su disco duro, introducir en ella el contenido que desea ocultar, cifrarlo y subir esa imagen modificada a un sitio web (su propio web o -por ejemplo- un foro pblico que permita subir imgenes). Adems, deber comunicar a sus posibles visitantes la URL donde est la imagen y la contrasea utilizada para cifrarla (en persona, por correo cifrado, etc.), de modo que slo los conocedores de la contrasea, que accedan al sitio mediante el navegador Camera/Shy, podrn ver el contenido oculto. Quienes tambin utilicen Camera/Shy pero desconozcan la contrasea, ni siquiera sabrn que existen contenidos ocultos en las pginas 12
visitadas. El simple usuario de Camera/Shy que desee acceder a los contenidos que otros hayan ocultado en sus pginas, deber acceder a las URLs correspondientes mediante este navegador y proporcionar al mismo previamente la contrasea que el productor de la imagen le haya indicado (de hecho, la contrasea es doble, puesto que Camera/Shy presenta dos cajas de texto a tal efecto, una para introducir la contrasea en s y otra para la denominada "firma" -signature- recomendndose que se trate de palabras largas o frases completas, en orden a aumentar la proteccin). Por otro lado, al simple navegante le bastar utilizar Camera/Shy con la opcin [View -> Browser Full Windows] siempre activada, mientras que quien quiera crear contenidos secretos deber desactivarla cuando pretenda ocultar contenidos en imgenes, para poder acceder as a las opciones que le permiten cargar imgenes limpias desde su disco, escribir el texto a ocultar, introducirlo en la imagen y guardar la imagen modificada, as como acceder a la vista de los contenidos ocultos en sus propias imgenes desde el disco duro. Por supuesto las imgenes manipuladas pueden ser detectadas por los posibles censores, por lo que la seguridad del sistema radica en el secreto de la contrasea, de la firma y de la URL que alberga la imagen. Por ello, los autores recomiendan que las imgenes se distribuyan por sitios poco sospechosos (por ejemplo, el sitio ideal para que un grupo anticomunista colocara una imagen manipulada sera un web procomunista). Los autores recomiendan tambin que se inunde la web de imgenes falsamente manipuladas (es decir, sin contenido real), para complicar la labor de los censores. Camera/Shy incorpora algunas modificaciones en su funcin como navegador, buscando no dejar rastro: no guarda historial, no presenta su marca o firma, trabaja slo en cach y ste se borrar al cerrar el programa (en la prctica, esto implica que conviene cerrar y abrir el programa con frecuencia, si no se quieren obtener resultados confusos). Por ltimo, Camera/Shy va en un solo fichero ejecutable que tiene el tamao perfecto para caber en un simple disquete, lo que permite llevarlo encima, copiarlo en un ordenador (en un cibercaf, por ejemplo) y despus borrarlo sin dejar ningn rastro de la actividad desplegada.
13
STEGO INTRUSION DETECTION SYSTEM: La esteganografa es el arte de la ocultacin de informacin. En los mensajes de hoy era digital se pueden ocultar en las imgenes, archivos de sonido, texto y otros objetos digitales. Para un observador casual, estos mensajes son invisibles. El uso de la esteganografa en redes pblicas, como Internet, es desconocido debido a su naturaleza furtiva. A menos que est siendo activamente buscado, uno no sabe que est ah. Por ejemplo, pop-ups, fotos en Ebay y otros sitios de recreacin, todos tienen el potencial de contener mensajes ocultos. Aunque algunos grupos han asumido la gran responsabilidad de buscar sitios web de gran tamao y las reas de grupos de noticias para las imgenes esteganogrficos potenciales, esto no es algo que una organizacin promedio hara. La mayora de las organizaciones pueden y lo hacen, sin embargo, el trfico de red monitor que entra y sale de la red de rea local. En este trabajo se presenta un marco de deteccin que incluye herramientas para detectar, recuperar y analizar imgenes de contenido steganographic al entrar y salir de una red monitorizada. El marco se compone del motor Steg_IDS que opera en el entorno UNIX. Steg_IDS combina software personalizado por escrito y tercer partido y los procesos para ofrecer un servicio integrado de esteganografa sistema de deteccin de intrusiones desde su invencin hasta nuestros das,el numero de ordenadores ha crecido hasta consolidarse como un instrumento casi impresindible en la vida cotidiana del hombre.su versatilidad,potencia de calculo y cada vez mas fcil manejo hacen de ellos una herramienta muy importante en gran variedades, desde la cientfica ala ldica. Con la posibilidad de interconectar mltiples ordenadores formando redes, surgieron nuevos retos y aplicaciones.es difcil imaginarse hoy algn banco, hospital o gran superficie comercial en un pas desarrollado, que no mantenga los datos de sus clientes o haga sus transacciones de forma electrnica. Hoy en da los bancos hacen uso de redes para efectuar sus operaciones financieras, los hospitales tienen los historiales de sus pacientes en base de datos y muchos comercios estn presentes en internet de forma que cualquier usuario del planeta puede tanto escoger el producto que desea como pagarlo a travs de la red. Los datos manejan este tipo de empresas deben mantenerse a salvo de cualquier intruso a toda costa. La seguridad en este tipo de empresas tiene una importancia crtica.
14
INS.EXE En todos los informes threatexpert, el archivoins.exe fue identificado principalmente como una amenaza. Archivos ins.exe tiene las siguientes estadsticas: Nmero total de informes analizados
611.932 Nmero de casos que involucraban el archivo "ins.exe" 4 Nmero de incidentes cuando el archivo fue encontrado para ser una amenaza 3 Volumen estadstico de casos en que "ins.exe" era una amenaza 75%
El archive ins.exe se sabe que se creo bajo los siguientes nombres: % ALLUSERSPROFILE% \ cncdown.exe % AppData% \ 1.exe % AppData% \ blaah.exe % AppData% \ calc.exe % AppData% \ codecsetup.exe % AppData% \ codecsetup3788.exe % AppData% \ codecsetup4127.exe % AppData% \ codecsetup6400.exe % AppData% \ codecsetup8536.exe % AppData% \ cp_setup_assist.exe % AppData% \ cuda.exe 15
% AppData% \ \ dealassistant dauninstall.exe %% AppData \ digifast \ dfuninstall.exe % AppData% \ hose.exe % AppData% \ ijango_toolbar_installer.exe % AppData% \ ldr.exe % AppData% \ microsoft \ DTSC \ t.exe % AppData% \ microsoft \ office71 \ vhchk.exe % AppData% \ microsoft \ windows \ ernsjyi.exe % AppData% \ microsoft \ windows \ jjcmdrj.exe % AppData% \ microsoft \ windows \ nheste.exe % AppData% \ microsoft \ windows \ nxmwp.exe % AppData% \ microsoft \ windows \ rwmgh.exe % AppData% \ microsoft \ windows \ security \ user0.exe % AppData% \ microsoft \ windows \ tbljxjk.exe % AppData% \ microsoft \ windows \ vohth.exe % AppData% \ microsoft \ windows \ vvpmyvaw.exe %% AppData \ MXPlay \ temp \ mxplay_installer.exe % AppData% \ ntcom.dll % AppData% \ nthead.dll %% AppData \ pak-5593.exe %% AppData \ pak-5594.exe %% AppData \ pak-5595.exe %% AppData \ pak-5596.exe %% AppData \ pak-5597.exe 16
CommonAppData% \% e4a12b7 \ valarm.exe %% CommonAppData \ e4a12b7 \ vmelt.exe CommonAppData% \% e4a12b7 \ vsweep.exe %% CommonAppData \ Fetion \ fetionupdate.exe %% CommonAppData \ gav \ sgav.exe %% CommonAppData \ n 1 \ n1.exe %% CommonAppData \ n 1 \ n1i.exe %% CommonAppData \ n 1 \ n1two.exe %% CommonAppData \ n 1 \ qwprotect.dll CommonAppData%% \ n1 \ svchost.exe %% CommonAppData \ Nexon \ NGM \ ngmdll.dll %% CommonAppData \ qw2010 \ qw2010.exe %% CommonAppData \ qw2010 \ qw2010i.exe %% CommonAppData \ qw2010 \ qw2010i2.exe %% CommonAppData \ qw2010 \ qwprotect.dll CommonAppData% \% qw2010 \ svchost.exe CommonAppData%% \ tormenta \ temp \ update.exe Nota: AllUsersProfile%% es una variable que especifica la carpeta de perfil de todos los usuarios. De forma predeterminada, es C: \ Documents and Settings \ All Users (Windows NT/2000/XP). % AppData% es una variable que hace referencia al directorio del sistema de archivos que sirve de repositorio comn para datos especficos de la aplicacin. Una ruta de acceso tpica es C: \ Documents and Settings \ [nombre de usuario] \ Datos de programa. %% CommonAppData es una variable que hace referencia al directorio del sistema de archivos que contiene datos de aplicacin para todos los usuarios. Una ruta de acceso tpica es C: \ Documents and Settings \ All Users \ Datos de programa. 19
Las siguientes amenazas se saben que estn asociados con el archivo ins.exe: Alias amenazas Nmero de Incidentes Mal / EncPk-CK [Sophos] 3 Trojan.LdPinch [Ikarus] 3 Infostealer.Vipect [Symantec] 2 Trojan: Win32/Helpud.A [Microsoft] 2 Trojan-GameThief.Win32.OnLineGames.vugj [Kaspersky Lab] 2 Keylog-Perfect.dr [McAfee] 1 Mal / Dropper-PQ [Sophos] 1 MonitoringTool: Win32/PerfectKeylogger [Microsoft] 1 Nueva Win32.g4 [McAfee] 1 TROJ_QDOWN.I [Trend Micro] 1 Trojan.generic [Ikarus] 1 Trojan.PWS.Banker.AUFB [PC Tools] 1 Trojan-Spy.Win32.Perfloger [Ikarus] 1
20
LADS Microsoft no proporciona ninguna herramienta ni ninguna utilidad por defecto para detectar la presencia de ADS. Una herramienta excelente para detectar ADS por lnea de comandos es LADS, escrita por Franck Heyne. Descargamos LADS y lo extraemos, ya que viene empaquetado en el archivo comprimido lads.zip. Las utilidades WinZip o 7zip gestionan muy bien estos archivos y hay gran cantidad de tutoriales disponibles de Internet. Tras la descompresin, copiamos el archivo lads.exe en c: \WINDOWS \system32 \. La ejecucin del escner se realiza simplemente con el comando lads c: \ /S.
21
BIBLIOGRAFIA Acissi. (2011). SEGURIDAD INFORMATICA. ETHICAL HACKING. Conocer el ataque para una mejor defensa. Barcelona: ENI. http://www.webpanto.com/noticias-articulo-imprimir-549-camera-shy-herramienta-aanticensura.html http://www.hacktivismo.com