Walhez | Tag Archive

Virus Gpcode que encripta toda tu información

Miércoles, Junio 11, 2008 | Por Arturo Jamaica

Kasperky Labs esta anunciando que sea detectado un tremendo Troyano que ataca a sistemas Windows. Su nombre es Virus.Win32.Gpcode.ak y tiene como particularidad de encriptar mas de 143 extensiones de tus documentos. En pocas palabras bloquea tus archivos y te inhabilita a no entrar a ellos hasta que agregues el algoritmo adecuado para desbloquearlos. Este virus la encriptacion es tan poderosa que requeriría mas de 15 millones de computadores trabajando por todo un año para poder encontrarlo. Es del tipo 1024-bit RSA.

El Grupo de Hackers ademas colocan un mail de contacto para poder comprarles, a manera de chantaje, la llave de tus archivos. Imagina que este tipo de Trojanos llegue a tu oficina o empresa, perderías toda tu información de administración y finanzas. Por ello se recomienda tener un BackUp de tus archivos.

Enlace | Virus List

Continuar Leyendo...

Agujero de Seguridad en Kaspersky AV 6 y 7

Jueves, Septiembre 20, 2007 | Por Walter Hernandez

0 Comentarios

Agujero de Seguridad en Kaspersky AV 6 y 7

Mi antivirus favorito Kaspersky, desde hace mucho tiempo sufre de un bug en sus versiones 6.0 y 7.0, el bug consiste en un crash del sistema protegido por este antivirus, incluso desde la cuenta de invitado. Este material fue hecho público varios años atras (desde el 2005), y en el ultimo verano publicaron un nuevo exploit para Kaspersky AV 6.0 el cual se basa en los descubrimientos previos de Ms-Rem. Y después de todo este tiempo, nada ha cambiado. Aún ahora con la nueva versión de Kaspersky AV 7.0 este exploit sigue funcionando muy bien.

El objetivo principal de este exploit es hacer una llamada a NtOpenProcess con parámetros inválidos. Esta función esta hookeada por el driver de Kaspersky llamado klif.sys y la razón para el hook es obia (Esta es la manera en que Kaspersky AV se protege de accesos no autorizados que pudieran cerrar el proceso, esta es una practica muy usada por diferentes tipos de rootkits y malware)

El exploit original creado por Ms-Rem en el 2005 consiste en lo siguiente:
NtOpenProcess(NULL, (HANDLE)0, NULL, NULL);

Este es el prototipo de la función:
NTSYSAPI NTSTATUS NTAPI NtOpenProcess( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId OPTIONAL );

Y este es un pequeño exploit escrito en Pascal:
var ob1: OBJECT_ATTRIBUTES; p1: DWORD; begin ob1.Length := sizeof(ob1); NtOpenProcess(@p1, PROCESS_QUERY_INFORMATION, @ob1, pointer($82000000)); end;