AVZ antiviral toolkit

No suelo usar antivirus, aunque algunas veces lo haga para hacer pruebas más que para proteger mi equipo de posibles amenazas. Buscando por la web me encontré con un antivirus que me ha gustado mucho por varias cosas, es gratuito (de momento), se actualiza con frecuencia, y tiene varias opciones que otros AV no tienen o al menos no muestran.

La página oficial de este AV es http://z-oleg.com/

La herramienta está diseñada principalmente para eliminar adware y spyware aunque se comporta bien en la detección de troyanos y sobre todo de keyloggers.

También es capaz de detectar rootkits.

Y lo mejor de todo es que tiene un módulo de desinfección bastante avanzado.

No requiere de instalación por lo que es ideal para llevar en una memoria USB.

Descargar AVZ antiviral toolkit.

Este programa además permite la creación y uso de plugins, puede descargar de aquí el editor de scripts para hacer plugins, y de aquí un plugin oficial para el programa de correo TheBat.

El programa pertenece a Kaspersky, firma comercial bastante popular en el tema de los AV.

Pronto publicaré un análisis de este programa mostrando como se comporta ante amenazas comunes que podemos encontrarnos en internet.

Aquí tienen una captura de la interface del programa:



No es una herramienta recomendada para los usuarios de a pie, está pensada más bien para profesionales de la seguridad pues tiene un comportamiento bastante paranóico y es facil obtener falsos positivos (por ejemplo detecta los hooks que hacen los firewalls personales y los AV) por lo que a mi personalmente me ha resultado una herramienta muy interesante y desde aquí les invito a probarla.

Antivirus y firmas

Hace tiempo que quería publicar un documento que explique someramente como se crean las firmas para los antivirus. Es un tema complejo e interesante, los antivirus salvo excepciones no son dados a promulgar sus técnicas al común, ya sea por motivos de seguridad o por motivos económicos.

En este pequeño artículo voy a resumir las técnicas empleadas por los antivirus para la creación de firmas, dejando a un lado las detecciones por heurística.

Si no tienes ni idea de que es una firma puedes empezar leyendo aquí.

Las firmas de los antivirus forman en su conjunto una base de datos que el antivirus emplea para identificar ficheros peligrosos, cuando un antivirus escanea un archivo en busca de virus o troyanos lo que hace es buscar unos patrones o firmas en los archivos, estos patrones o firmas han sido construidos previamente tras el análisis en laboratorio del virus o troyano en cuestión.

Veamos paso a paso como generar una de estas firmas, tal como lo harían en un laboratorio antivirus, aprendiendo así un poco más sobre el funcionamiento de estos programas.

Lo primero que hace el antivirus al analizar un archivo es determinar el formato de dicho archivo, es decir, identificar el archivo como un EXE, una DLL, un BAT, un .COM etc. pues dependiendo del tipo de archivo nuestro antivirus trabajará de forma diferente.

Imaginemos que el antivirus va a analizar un archivo .exe y que ha determinado que su estructura corresponde con PE (portable ejecutable), una vez que el antivirus sabe que estructura debe tener el archivo entonces pasará a realizar un análisis de dicha estructura.

Por ejemplo tratará de determinar la información básica de todo PE como su Entry Point, el número de secciones, la TimeDateStamp, la ImageBase, y todos los datos básicos que están definidos dentro del propio archivo.

Después analizará todas sus secciones, buscando cualquier indicio de que el archivo está empacado para tratar de desempacarlo. Si logra desempacar el archivo el análisis continuará entonces sobre el archivo desempacado y no sobre el original, de manera que repetirá todas las acciones desde el principio (tipo de archivo, análisis de sus secciones y cabecera, etc.).

Si no logra desempacarlo entonces el análisis se seguirá realizando sobre el archivo empacado.

Algunos antivirus comprueban también si el archivo está unido a otros archivos (bindeado) o si contiene dentro otro archivo (por ejemplo como recurso). Si determinan que esto está sucediendo entonces separan los archivos y los analizan desde el principio por separado.

Igual hacen con los archivos encriptados, si detectan el tipo de crypter tratarán de descifrar el archivo para analizarlo sin el cifrado.

Si no fueran capaces de desempacar, descifrar, separar, entonces los del laboratorio pondrán las firmas al archivo empacado, cifrado, unido.

Este proceso de desempacado lo puede realizar el antivirus automáticamente, o lo realizan manualmente en el laboratorio al analizar las muestras.

Ahora veremos las soluciones más sencillas que se han implementado para crear firmas para los antivirus:

Checksum MD5
Tan sencillo como calcular el MD5 del archivo. Es un método sencillo pero muy facil de romper. Con tan solo cambiar un byte del archivo original conseguiremos que el antivirus no detecte nada. Por lo que nuestro antivirus nunca puede usar este método de manera exclusiva.

Comparando la suma de comprobación original con la obtenida al analizar el archivo podemos comprobar si es o no el mismo archivo. Como digo esta técnica es muy floja pero es la más básica.

Existen otros algoritmos ampliamente extendidos que se emplean igual que MD5, como SHA o CRC.

Para que este método sea algo más efectivo es preferible basar la firma no en la suma de comprobación del fichero completo sino de algunas de sus partes, por ejemplo de alguna de sus secciones.


Firmas del cuerpo
En estas firmas lo que hacemos es crear firmas en formato hexadecimal, una firma sería una cadena de números hexadecimales tomados del cuerpo del archivo analizado. Esa cadena puede buscarse en todo el cuerpo o en una posición específica representada por EOF - n donde EOF es el final del archivo y n el número de bytes que debemos retroceder para buscar la cadena. Aunque pueden usarse otras referencias para marcar la posición como EP + n o cualquier cosa que se les ocurra.

Pueden obtenerse varias firmas del archivo y realizar operaciones con ellas, por ejemplo comprobar que existen 2 ó más firmas, si no existe alguna, determinar que existe un número concreto de secciones para buscar las firmas en el cuerpo, etc.

Firmas en los recursos
Algunos archivos maliciosos siempre tienen por ejemplo el mismo icono, por lo que puede analizarse tanto la suma de comprobación del recurso como una cadena hexadecimal del mismo. Esta es una sección predefinida llamada .rcrs

Firmas en los metadatos
Los metadatos de un archivo PE están en un lugar específico de los archivos, en los recursos del archivo y se localizan con el nombre VS_VERSION_INFORMATION donde podemos extraer información valiosa para identificar el archivo.

Nuevamente podemos emplear una suma de comprobación o una cadena de números hexadecimales.

Como ven no sería muy complicado crear nuestro propio antivirus que realice un escaneo bajo demanda del usuario y mediante una base de datos de firmas comprobar si el archivo es malware o no. Y por supuesto un buen método combinado de sumas de comprobación y firmas en el cuerpo de los virus.

Incluso sería buena idea dotarlo de firmas blancas, es decir, firmas que aseguren que no es un virus.

La mejor manera de elegir firmas del cuerpo del virus es analizándolo con un depurador como el Olly Debugger y buscando aquellas rutinas propias de un virus, troyano o lo que sea el malware en cuestión.

Los antivirus actuales emplean más tipos de análisis, pues el análisis estático no es del todo eficaz debido a las múltiples modificaciones que se le pueden hacer a los archivos. Por ello tienen firmas referidas al comportamiento del programa, de modo que analizando sus acciones (en una especie de sandbox o entorno seguro) determinan si el programa es potencialmente peligroso.

Y aquí termino. No es mucho, pero son ideas que pueden servir para entender un poco los antivirus.

Hacking para novatos (parte 2)

Tienes los dedos echando humo y quieres aporrear las teclas para atravesar el ciberespacio de lado a lado, quieres codearte con los grandes hackers de Internet, lograr el acceso a supercomputadoras del gobierno, tener el control... Pues bien, en este capítulo vas a comprobar por tí mismo de que pasta estás hecho. Porque este capítulo es pura práctica.

Antes de empezar tengo que advertirte, si no logras hacer lo que expongo aquí en el manual quizá sea mejor que te busques otra afición más acorde con tus intereses y con tu espíritu.

Lo que vamos a ver hoy no es facil, así que probablemente necesites muchas horas de prueba para lograr algo, pero oye nadie dijo que el hacking fuera facil. No te desesperes y aprovecha la oportunidad que te brindo, el conocimiento es como las plantas, sin agua y abono no crece. Procura practicar por tu cuenta.

Bien, ya estás advertido, es la hora del hacking.

El hacking es emocionante, y lo más emocionante del hacking es lograr acceder a otra computadora a través de Internet, y eso es lo que vamos a ver aquí. Voy a explicarte como lograr acceso completamente legal a un sistema remoto que corre el sistema operativo de los hackers, el UNIX.

Hay muchos hackers ahí fuera a los que les gustaría que tu fueras parte de su mundo, por ello ponen a tu disposición sistemas informáticos avanzados para que los uses de manera gratuita y aprendas todo lo necesario. Uno de estos sistemas es el Super Dimension Fortress, una red de hackers que funciona sin ánimo de lucro. Cuentan con muy buenos equipos informáticos aunque empezó todo con un solo ordenador conectado a Internet, ahora cuentan con 8 servidores con procesadores de 64 bits corriendo el sistema operativo NetBSD, y proporcionan acceso gratuito a sus sistemas. Sí, acceso gratuito a sus sistemas.

Su página web es sdf.lonestar.org y allí tienes un montón de información para estar leyendo durante horas, días, semanas e incluso meses. Pero yo te voy a facilitar las cosas, voy a enseñarte como crear una cuenta allí para que puedas acceder a sus equipos remotamente, desde tu casa, y puedas usar toda la potencia de esas supercomputadoras.

Una vez que entres en su página debes pinchar en el enlace que te muestro en la foto, donde dice free shell account:



Una vez que accedes a ese enlace se muestran las instrucciones a seguir dependiendo del sistema operativo que utilices:



Resumiendo un poco, si usas Mac tienes un enlace para acceder, si usas Windows tienes también un enlace que funciona con Java, y si usas Linux solo tienes que escribir en la consola

ssh new@sdf.org

para conectarte.

En el supuesto de que uses Windows te recomiendo que descargues de internet un cliente ssh llamado putty que facilitará las cosas, es mucho mejor que usar el cliente de Java, en serio.

Antes de continuar debes saber que es ssh, porque es lo que vamos a usar para conectarnos a la computadora remotamente.

SSH es el nombre de un protocolo y del programa que implementa este protocolo, la particularidad principal de ssh es que la información entre tu máquina y la máquina remota a la que te conectes viajará cifrada. Hace muchos años se usaba otro protocolo llamado Telnet que ha ido dejando de usarse porque la conexión no era cifrada y todos los datos viajaban en texto plano. Sí, tus passwords cuando viajan a través de Telnet van sin cifrar y cualquiera que tenga interes puede monitorizar todo lo que envias y recibes por Telnet, incluso tu password. Por eso en este tutorial usaremos ssh, para lograr una conexión segura.

¿Demasiado para ser la primera vez?, jaja, agarrate ahora.

Yo recomiendo usar Linux, pero las instrucciones se aplican igual en cualquier sistema, si usas Windows recuerda usar putty como cliente. No voy a poner un manual de putty pero es un programa muy intuitivo que no te costará ningún trabajo usar.

Bien, entonces lo que hay que hacer es conectarse por ssh a sdf.org, para ello en linux abrimos una consola de comandos y escribimos "ssh new@sdf.org" y nos conectamos. El servidor irá dandonos una serie de instrucciones en ingles para completar todo el proceso.



Nada mas conectarnos el cliente ssh nos dirá que la autenticidad del host no puede ser establecida, lo que es lógico pues nunca antes nos habíamos conectado a él, nos pregunta si queremos continuar y le decimos yes.



Ahora nos dice que vamos a conectarnos a NEWUSER mkacct server, que es el servidor encargado de crear nuevas cuentas. Todo esto sale solo a la hora de crearnos la cuenta. Una vez creada podremos conectarnos solo con el nombre de usuario y el password.

Cuando aparezca la palabra RETURN quiere decir que para continuar hay que darle al enter.



Nos conecta automáticamente al servidor que se encarga de atender a los novatos, y nos dice que como login empleemos new. Para que el servidor sepa que somos novatos.

Nos irá haciendo una serie de preguntas tales como si usamos Windows XP o 2K, cual es nuestra tecla de "backspace" (borrar un espacio), y otras cosas:



Y llegaremos a la parte en la que nos creará nuestro usuario, comprobará que no existe ningún otro usuario con el mismo nombre, y nos pedirá que elijamos un password para ese usuario.



De nombre de usuario he elegido "yoyo" y el sistema me ha contestado que está libre:



Nos mostrará las normas del sistema al que vamos a acceder:



Nos hará otra seríe de preguntas ya para ir finalizando:



Y una vez finalizado nos mostrará todos los datos de la cuenta que vamos a crear:



Una vez creada la cuenta accederemos al sistema, nos mostrará un dibujo ascii de la luna:



Y ya tenemos nuestra cuenta creada en el sistema, es hora de descubrir todas las sorpresas que nos aguardan.

Ten en cuenta que el sistema al que estás accediendo está ahí para que tu aprendas de él, su finalidad es enseñarte. Y ponen a tu disposición una cuenta shell gratuita.

Todo hacker empieza sus correrías practicando en cuenta shell como esta, te aseguro que tienes para divertirte y aprender durante mucho tiempo en ese sistema. Tu cuenta shell gratuita tiene una fecha de caducidad que actualmente está en 365 días, pero que puede variar según la cantidad de usuarios nuevos que se registren.

Y aquí termina la segunda parte, pero volveremos con mucho más. Diviertete en tu cuenta shell.

Para salir escribe "logout", y para volver a conectarte "ssh tulogin@sdf.org".

Hacking para novatos (parte 1)

Aquí tienes una guía de hacking para novatos, aprendices, primerizos y despistados. Con esta guía no conseguirás entrar en los ordenadores del Pentágono, cosa que algunas veces ha resultado trivial, pero sí obtendrás una serie de conocimientos que te permitirán comprender qué cosa es el hacking.

Si estás aquí leyendo es porque el hacking te interesa en algún sentido, tal vez has visto la última película de hackers y te has emocionado hasta el punto de querer convertirte en uno. O quizá eres estudiante de informática y tu profe te ha encargado hacer un trabajo sobre las diferentes tribus que habitan en internet. Incluso puede que seas un profe que busca algo de información para explicar claramente a sus alumnos qué son los hackers y qué hacen.

Tal vez solo buscas un poco de diversión, impresionar a tus amigos o conseguir una cita. No importa. Lo que importa es que quieres aprender técnicas de hacking, quieres ser un hacker. Pues vamos a ello.

El hacking es un juego emocionante que deja de ser divertido cuando te detienen, entran en tu casa y se llevan tu ordenador, y terminas en un juicio donde te condenan a un par de años de carcel y a pagar una indemnización millonaria. Por suerte el hacking no siempre va contra la ley.

Has leido bien, puedes hacer hacking legal, hacking ético, puedes aprender sin molestar. Todo lo que vas a aprender aquí es legal. No debes aprender hacking para dañar ordenadores y robar información. Esta guía de hacking para novatos trata de transmitir interes por una afición sana, también es educación gratuita que te servirá para conocer mejor los ordenadores.

La cultura hacker cuenta también con un aspecto oscuro y prohibido, pero te aconsejo que no tires por ese camino si no quieres terminar en la carcel. En ocasiones la línea es muy fina y puede ser tentador sobrepasarla. Cuando tengas dudas sobre si debes o no hacer algo pregúntate si te gustaría que te lo hicieran a ti.

Por último, antes de empezar, has de saber que hay muchos foros de hacking donde puedes crearte una cuenta y preguntar tus dudas, aunque si entras allí y dices: "quiero ser un hacker ayudenme a empezar" lo único que obtendrás serán burlas. En los foros de hacking tus preguntas han de ser muy concretas y técnicas, así será como obtengas las mejores respuestas.

Y hasta aquí llega la primera parte.