Taddong: Owning a PC via GPRS/EDGE

Publicado: noviembre 12, 2012 en Seguridad

 

Ayer publicaban desde Taddong – autores del libro de hacking de comunicaciones móviles GRPS/UMTS/EDGE – un vídeo que muestra la importancia de tener en cuenta la seguridad de los terminales y las comunicaciones móviles, y cómo pueden comprometer un equipo comprometiendo sus comunicaciones GPRS.

Y es que desde hace tiempo los que trabajamos en seguridad informática nos estamos volcando en dispositivos móviles sí o sí debido a su impacto en la sociedad actual. Aprovecho para informaros de que la semana que viene tendrá lugar enInformática64 una nueva edición del curso de Análisis forense de dispositivos móviles. Esta formación tiene una duración de 10 horas y en ella se podrán ver los fundamentos de la captura y análisis de evidencias en terminales iOSAndorid oWindows Phone. El curso de hace en 4 sesiones de 2 horas y media en horario de 16:00 a 18:30 y podéis acceder al guión del curso en formato PDF.Además, como nos lo había solicitado ya mucha gente, también hemos abierto una nueva convocatoria del mismo curso pero en formato Online, que tendrá lugar la semana del 17 al 20 de Diciembre de este año y a la que ya puedes apuntarte. Esa misma semana de Diciembre, para completar las formaciones destinadas a dispositivos móviles, vamos a tener un curso de Desarrollo de Apps para Android enMadrid.
Por último, aún estás a tiempo de apuntarte al curso que dará a partir del 26 de Noviembre Raúl Siles, de la empresa Taddong, en Londres dedicado a a la seguridad de dispositivos móviles de SANS SEC575: Mobile Device Security and Ethical Hacking. Tiene 6 días de duración y se impartirá en Inglés.Saludos Malignos!
Via http://www.elladodelmal.com

Instalación de un servidor Samba en Centos 6.2

 

Instalación realizada en Centos 6.2

Servidores de ficheros e impresión en GNU/Linux

  1. NFS(Network File System). Se usa entre Linux o Unix
  2. SAMBA es una aplicación open source (GNU). Se usa entre Linux y Windows

 

¿Qué es samba?

Samba es un servicio que permite a un sistema GNU/Linux compartir archivos e impresoras entre sistemas Linux o entre Linux, Windows y Mac OS. Además también es posible configurarlo para que trabaje como un PDC (Primary Domain Controler). También  incluye una herramienta web (SWAT) para la configuración más intuitiva del servicio por medio del puerto 901.

 

Samba y sus 3 demonios. 

  1. nmdb,  demonio necesario
  2. smdb, demonio necesario
  3. winbindd. Demonio no necesario

Netbios IBM

SMB Microsoft -> CIFS en la actualidad

NBNS Netbios Name service > WINS en la actualidad

SMB/CIFS usa los puertos 137, 138 y 139 acepta o deniega petición de acceso al recurso.

 

Verificar si el servicio esta o no instalado en el sistema.

# rpm –qa|grep samba

 

Si imprime en  pantalla los siguientes paquetes:

samba-winbind-clients
samba-client
samba
samba-swat
samba-common

 

Es la mejor forma de saber que ya tiene un servidor SAMBA instalado y no es necesaria una nueva instalación.

Nota: Con este procedimiento se puede conocer la versión de cada paquete.

Estudiando el archivo de configuración de SAMBA smb.conf

El  smb.conf  mantiene todas las configuraciones adecuadas para que haya un correcto funcionamiento del servicio Samba. Este archivo de configuración por lo general se encuentra ubicado en cualquiera de los siguientes directorios:

  1. /etc/samba/smb.conf
  2. /usr/local/samba/lib/smb.conf

Abrimos un terminal y nos autentificamos como root.

 $ su root

Estando como root, abrimos el archivo smb.conf con  un editor de texto como nano, aplicando el siguiente comando.

# nano /etc/samba/smb.conf

 

Instalación del servidor SAMBA

 

Escribimos el siguiente comando en una terminal y como root

# yum –y install samba samba-client samba-common samba-swat

Antes de configurar la herramienta SWAT debes contar con el servicio httpd.

Después de instalado el servicio de samba, procedemos a configurar la herramienta SWAT (Samba Web Administration Tools) Administrador Web de Samba. Se puede acceder a este  servicio por medio del puerto 901 escribiendo en el navegador web

 

http://localhost:901

 

# cd /etc/xinetd.d
# nano swat

 

Editamos la línea que dice disable = yes por: disable = no  con esto se habilita el administrador web de Samba.

Guardamos los cambios en el archivo con Control + O y salimos con Control + X

 

Reiniciamos el servidor httpd

# service httpd restart

Configuramos SWAT

 

# chkconfig swat on

Nota: Se aconseja reiniciar completamente el sistema Centos 6.2

Abrimos un navegador web y escribimos en su barra de direcciones:

http://localhost:901

 

Colocamos nuestro usuario root y la contraseña de administración del sistema, para ingresar al entorno gráfico web y administrar el servicio Samba.

Antes de tocar la configuración de SAMBA, se recomienda por seguridad realizar una copia del archivo smb.conf .

 

En el terminal escribimos:

# cp /etc/samba/smb.conf /etc/samba/smb_copy.conf

 

Se procede a dar de alta al usuario root en el servicio SAMBA

# smbpasswd  -a root

Ingresado el comando, se debe escribir un  New SMB password para el usuario root.

Comando que sirve para verificar si SAMBa fue mal configurado antes de que se reinicie el servicio

# testparm /etc/samba/smb.conf

 

Configurando los parámetros básico para que samba pueda funcionar.

 

Editando el archivo de configuración de samba smb.conf

# nano /etc/samba/smb.conf

 

Dentro de la sesión Global Settings se encuentra un parámetro fundamental que especifica el nombre del grupo o dominio al cual pertenecerá el servidor, el parámetro workgroup.

workgroup = SERVIDORSAMBA

 

Se debe configurar de igual forma el server string, este parámetro especifica un mensaje para identificar al servidor desde los equipos clientes.

server string = Bienvenido  a mi servidor SAMBA

 

Ejemplos de configuración de usuarios e impresoras dentro del smb.conf

El archivo smb.conf  nos permite configurar el servicio de samba y nos provee unos pequeños ejemplos para que intuitivamente se creen las configuraciones de usuarios e impresoras. Se hace referencia entonces de las sesiones de: Printing Options y Filesystem Options.

 

El la sesión de Printing Options se encuentra el parámetro load printers el cual espera un dato siendo este yes o no y que permite cargar o no las impresoras en el servidor. Por defecto se encuentra configurado en yes.

load printers = yes

El tipo de impresión que manejará el samba y que por defecto se encuentra configurado en el parámetro cups options como raw.

cups options = raw

 

El la sesión de Share Definitions  se encuentra los ejemplos para configurar directorios o impresoras. En la configuración por defecto aparece una compartición para los directorios [homes] de los usuarios GNU/Linux y una para toda las impresoras de GNU/Linux [printers].

 

Seguridad en SAMBA

Editando el archivo de configuración de samba smb.conf

 # nano /etc/samba/smb.conf

 

Dentro de la sesión Global Settings se encuentra un parámetro llamado hosts allow. En esa línea host allow se especifican las redes desde las cuales se permitirá acceso a nuestro servidor Samba. Por seguridad se debe limitar el trato de redes para que otros no puedan tener acceso al servidor. Se debe descomentar (eliminar el  ; ) la línea para su funcionamiento.

Buscamos la línea de código que dice:

;     hosts allow = 127.   192.168.12.  192.168.13.

Dentro de la sesión Standalone Server Options se encuentra un parámetro llamado security, el cual especifica el tipo de seguridad que tendrá el servidor. Los tipos de seguridad aceptados son:  User, Domain, Ads y Server. Por defecto el tipo de seguridad es User.

security = user

 

Hoy hasta aquí, nos vemos…

by Mauroxan

Summary

This module uses a rule-based rewriting engine (based on a regular-expression parser) to rewrite requested URLs on the fly. It supports an unlimited number of rules and an unlimited number of attached rule conditions for each rule, to provide a really flexible and powerful URL manipulation mechanism. The URL manipulations can depend on various tests, of server variables, environment variables, HTTP headers, or time stamps. Even external database lookups in various formats can be used to achieve highly granular URL matching.

This module operates on the full URLs (including the path-info part) both in per-server context (httpd.conf) and per-directory context (.htaccess) and can generate query-string parts on result. The rewritten result can lead to internal sub-processing, external request redirection or even to an internal proxy throughput.

Further details, discussion, and examples, are provided in the detailed mod_rewrite documentation.

Tomado de: http://httpd.apache.org/docs/current/mod/mod_rewrite.html

 

Editamos el archivo:

# nano /etc/httpd/conf/httpd.conf

Localizamos la línea => AllowOveride None

y cambiamos por => AllowOveride All

Ejemplo:
<Directory "/var/www/html">
             Options FollowSymLinks
             AllowOverride All
<Directory>

Reiniciamos el servidor Apache

# service httpd restart

La necesidad de activar el mod_rewrite fue porque necesitaba hacer funcionar KumbiaPHP Framework PHP.

by Mauroxan

Logo Mundohackertv

Ver el video completo – Online

MUNDOHACKERTV – Análisis Forense Informático

Definición de Análisis Forense

1. El análisis forense se da cuando tienes la sospecha de que algo ha sucedido en un sistema o en un grupo de sistemas, y mediante una orden judicial  requieres extraer las suficientes evidencias para poder analizar qué ha pasado de una forma válida a ojos de un juez, para poder luego incriminar a una persona o entidad.

Lorenzo Martínez.

2. Es un proceso de recabar esas evidencias y preservarlas para que sean válidas ante un juzgado.

Jean Paul.

3. El análisis forense informático es el estudio de cuatro atributos:

  • Identificar
  • Preservar
  • Analizar
  • Presentar

Una serie de evidencias digitales que van a ser correctas a nivel judicial.

Jesus.

Preservar la evidencia

En cuanto a preservar la evidencia se recomienda que el analista forense no realice sus estudios en caliente, es decir; que el sistema comprometido no se encuentre en funcionamiento ya que es más cómodo preservar la evidencia mientras el sistema se encuentra apagado.

Para realizar estos análisis se cuenta con herramientas libres y privativas que  deberían brindar una copia igual y exacta de la evidencia. En esta situación la validez de la copia realizada con o sin certificado debe ser la misma.

¿Para qué se clonan los dispositivos?

La idea de clonar dispositivo es trastear, para después entrar al análisis de la información. Este clon o copia se realiza con el objetivo de que la evidencia original se mantenga. El clon de un dispositivo de almacenamiento se puede hacer bajo Software Libre, Software privativo o bien mediante la utilización de Hardware que se encuentre especializado para estos fines.

Cuando un bien es clonado es necesario que se le calcule su Hash – MD5, para comprobar frente a la evidencia original  que la clonación que se ha realizado es exacta. A partir de este momento es posible continuar trabajando en el análisis.

Recuperar la información 

Después de clonar la evidencia es necesario entrar a recuperar información perdida. Para ello se utilizan herramientas que logren identificar las cabeceras o indices de los archivos que esten perdidos y que  finalmente el sistema de recuperación logre reconstruir dichas cabeceras y por ende rescatar los ficheros extraviados.

Entrega del Informe

La entrega del informe debe ser entendible y con poco tecnisimo. Hay que tener en cuenta que el juez debe entender lo que se ha escrito el el informe forense.

Herramientas forenses

  • Distribución BackTrack
  • Distribución CAINE
  • Autopsy

Recomendaciones para usuarios de Iphone

Instalación de la herramienta Sysinfo Plus, que nos permitirá hacer seguimiento a los procesos que estén levantados en teléfonos Iphone, evitando de esta forma cualquier tipo de  actividad malintencionada.

Palabras del grupo de amigos MundoHackerTV  🙂

by Mauroxan

logo Hijackthis

A continuación se copia un log tomado con HijackThis en un Sistema Operativo Windows XP Profesional para su posterior estudio.

Nota: El Sistema Operativo es totalmente nuevo y  no tiene problemas de infección por Malware.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:44:28, on 03/02/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Archivos de programa\VMware\VMware Tools\vmacthlp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe
C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe
C:\Archivos de programa\VMware\VMware Tools\VMUpgradeHelper.exe
C:\Archivos de programa\VMware\VMware Tools\TPAutoConnSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\VMware\VMware Tools\TPAutoConnect.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [VMware Tools] "C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe"
O4 - HKLM\..\Run: [VMware User Process] "C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\archivos de programa\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
O20 - Winlogon Notify: TPSvc - TPSvc.dll (file missing)
O20 - Winlogon Notify: VMUpgradeAtShutdown - VMUpgradeAtShutdownWXP.dll (file missing)
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TP AutoConnect Service (TPAutoConnSvc) - ThinPrint AG - C:\Archivos de programa\VMware\VMware Tools\TPAutoConnSvc.exe
O23 - Service: TP VC Gateway Service (TPVCGateway) - ThinPrint AG - C:\Archivos de programa\VMware\VMware Tools\TPVCGateway.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe
O23 - Service: Auxiliar de actualización de VMware (VMUpgradeHelper) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Tools\VMUpgradeHelper.exe
O23 - Service: Servicio auxiliar de disco físico de VMware (VMware Physical Disk Helper Service) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Tools\vmacthlp.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 4834 bytes

A continuación se copia un log de Windows XP Profesional infectado por Malware.

Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 23:23:13, on 04/02/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Archivos de programa\VMware\VMware Tools\vmacthlp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe C:\Archivos de programa\VMware\VMware Tools\VMUpgradeHelper.exe C:\Archivos de programa\VMware\VMware Tools\TPAutoConnSvc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe C:\WINDOWS\system32\kernel32.dlI C:\WINDOWS\system32\wind.exe C:\WINDOWS\system32\ctfmon.exe C:\Archivos de programa\VMware\VMware Tools\TPAutoConnect.exe C:\downfull.exe C:\WINDOWS\system32\wuauclt.exe C:\Archivos de programa\Mozilla Firefox\firefox.exe C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O4 – HKLM\..\Run: [VMware Tools] “C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe” O4 – HKLM\..\Run: [VMware User Process] “C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe” O4 – HKLM\..\Run: [kernel32] C:\WINDOWS\system32\kernel32.dlI O4 – HKLM\..\Run: [system] c:\WINDOWS\system32\wind.exe O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 – HKCU\..\Run: [WindowsUpdate] C:\\downfull.exe O4 – HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICIO LOCAL’) O4 – HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Servicio de red’) O4 – HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 – HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O9 – Extra button: (no name) – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 – Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 – Extra button: Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Archivos de programa\Messenger\msmsgs.exe O9 – Extra ‘Tools’ menuitem: Windows Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Archivos de programa\Messenger\msmsgs.exe O10 – Unknown file in Winsock LSP: c:\archivos de programa\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll O10 – Unknown file in Winsock LSP: c:\archivos de programa\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll O20 – Winlogon Notify: TPSvc – TPSvc.dll (file missing) O20 – Winlogon Notify: VMUpgradeAtShutdown – VMUpgradeAtShutdownWXP.dll (file missing) O22 – SharedTaskScheduler: Precargador Browseui – {438755C2-A8BA-11D1-B96B-00A0C90312E1} – C:\WINDOWS\system32\browseui.dll O22 – SharedTaskScheduler: Demonio de caché de las categorías de componente – {8C7461EF-2B13-11d2-BE35-3078302C2030} – C:\WINDOWS\system32\browseui.dll O23 – Service: Servicio del administrador de discos lógicos (dmadmin) – Unknown owner – C:\WINDOWS\System32\dmadmin.exe O23 – Service: Registro de sucesos (Eventlog) – Unknown owner – C:\WINDOWS\system32\services.exe O23 – Service: Servicio COM de grabación de CD de IMAPI (ImapiService) – Unknown owner – C:\WINDOWS\system32\imapi.exe O23 – Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) – Unknown owner – C:\WINDOWS\system32\mnmsrvc.exe O23 – Service: Plug and Play (PlugPlay) – Unknown owner – C:\WINDOWS\system32\services.exe O23 – Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) – Unknown owner – C:\WINDOWS\system32\sessmgr.exe O23 – Service: Tarjeta inteligente (SCardSvr) – Unknown owner – C:\WINDOWS\System32\SCardSvr.exe O23 – Service: Registros y alertas de rendimiento (SysmonLog) – Unknown owner – C:\WINDOWS\system32\smlogsvc.exe O23 – Service: TP AutoConnect Service (TPAutoConnSvc) – ThinPrint AG – C:\Archivos de programa\VMware\VMware Tools\TPAutoConnSvc.exe O23 – Service: TP VC Gateway Service (TPVCGateway) – ThinPrint AG – C:\Archivos de programa\VMware\VMware Tools\TPVCGateway.exe O23 – Service: VMware Tools Service (VMTools) – VMware, Inc. – C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe O23 – Service: Auxiliar de actualización de VMware (VMUpgradeHelper) – VMware, Inc. – C:\Archivos de programa\VMware\VMware Tools\VMUpgradeHelper.exe O23 – Service: Servicio auxiliar de disco físico de VMware (VMware Physical Disk Helper Service) – VMware, Inc. – C:\Archivos de programa\VMware\VMware Tools\vmacthlp.exe O23 – Service: Instantáneas de volumen (VSS) – Unknown owner – C:\WINDOWS\System32\vssvc.exe O23 – Service: Adaptador de rendimiento de WMI (WmiApSrv) – Unknown owner – C:\WINDOWS\system32\wbem\wmiapsrv.exe — End of file – 5084 bytes

Pasa el tiempo y me llama la atención el siguiente log de la computadora de un amigo, por ello lo publico.
Este log fue tomado después de pasar un escaner de Malware con Avast 6, y lógicamente después de haber eliminado mucho código malicioso del ordenador.

Logfile of Trend Micro HijackThis v2.0.4
 Scan saved at 18:47:47, on 23/02/2012
 Platform: Windows 7  (WinNT 6.00.3504)
 MSIE: Internet Explorer v9.00 (9.00.8112.16421)
 Boot mode: Safe mode
Running processes:
 C:\Windows\SYSTEM32\WISPTIS.EXE
 C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
 C:\Windows\Explorer.EXE
 C:\Windows\system32\ctfmon.exe
 C:\Windows\helppane.exe
 C:\Users\carlos\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=189246db0000000000000021866f6fd7&tlver=1.4.19.19&ss=1&affID=18028
 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
 R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll
 O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
 O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll
 O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
 O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
 O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
 O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
 O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll
 O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
 O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
 O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll
 O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll
 O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
 O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe"
 O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
 O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
 O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICIO LOCAL')
 O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICIO LOCAL')
 O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')
 O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')
 O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
 O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
 O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
 O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
 O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
 O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
 O9 - Extra button: Mostrar u ocultar HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
 O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
 O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
 O17 - HKLM\System\CCS\Services\Tcpip\..\{60C208C2-FDB6-44F6-AC2F-200333B43242}: NameServer = 192.168.2.4,172.17.3.157
 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
 O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
 O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
 O23 - Service: @%SystemRoot%\system32\aelupsvc.dll,-1 (AeLookupSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe
 O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
 O23 - Service: @%systemroot%\system32\appidsvc.dll,-100 (AppIDSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\appinfo.dll,-100 (Appinfo) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
 O23 - Service: @appmgmts.dll,-3250 (AppMgmt) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-204 (AudioEndpointBuilder) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-200 (Audiosrv) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
 O23 - Service: @%SystemRoot%\system32\AxInstSV.dll,-103 (AxInstSV) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\bdesvc.dll,-100 (BDESVC) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\bfe.dll,-1001 (BFE) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\qmgr.dll,-1000 (BITS) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\browser.dll,-100 (Browser) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\bthserv.dll,-101 (bthserv) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\certprop.dll,-11 (CertPropSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\cscsvc.dll,-200 (CscService) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\defragsvc.dll,-101 (defragsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\dhcpcore.dll,-100 (Dhcp) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\dnsapi.dll,-101 (Dnscache) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\dps.dll,-500 (DPS) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\ehome\ehrecvr.exe,-101 (ehRecvr) - Unknown owner - C:\Windows\ehome\ehRecvr.exe
 O23 - Service: @%SystemRoot%\ehome\ehsched.exe,-101 (ehSched) - Unknown owner - C:\Windows\ehome\ehsched.exe
 O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @comres.dll,-2450 (EventSystem) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\fdPHost.dll,-100 (fdPHost) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\fdrespub.dll,-100 (FDResPub) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\FntCache.dll,-100 (FontCache) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
 O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
 O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
 O23 - Service: @%SystemRoot%\System32\hidserv.dll,-101 (hidserv) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\kmsvc.dll,-6 (hkmsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\ListSvc.dll,-100 (HomeGroupListener) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\provsvc.dll,-100 (HomeGroupProvider) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: hpqcxs08 - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Servicio HP CUE DeviceDiscovery (hpqddsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
 O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\IPBusEnum.dll,-102 (IPBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\iphlpsvc.dll,-500 (iphlpsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @comres.dll,-2946 (KtmRm) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\wkssvc.dll,-100 (LanmanWorkstation) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\lltdres.dll,-1 (lltdsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\mmcss.dll,-100 (MMCSS) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\FirewallAPI.dll,-23090 (MpsSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe
 O23 - Service: @%SystemRoot%\system32\iscsidsc.dll,-5000 (MSiSCSI) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\Windows\system32\msiexec.exe
 O23 - Service: @%SystemRoot%\system32\qagentrt.dll,-6 (napagent) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: Net Driver HPZ12 - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\netman.dll,-109 (Netman) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\netprofm.dll,-202 (netprofm) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\nlasvc.dll,-1 (NlaSvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\nsisvc.dll,-200 (nsi) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8004 (p2pimsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8006 (p2psvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\pcasvc.dll,-1 (PcaSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\peerdistsvc.dll,-9000 (PeerDistSvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\pla.dll,-500 (pla) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\pnrpauto.dll,-8002 (PNRPAutoReg) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8000 (PNRPsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\umpo.dll,-100 (Power) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\profsvc.dll,-300 (ProfSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%Systemroot%\system32\rasauto.dll,-200 (RasAuto) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%Systemroot%\system32\rasmans.dll,-200 (RasMan) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @regsvc.dll,-1 (RemoteRegistry) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
 O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
 O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
 O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
 O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
 O23 - Service: @%windir%\system32\RpcEpMap.dll,-1001 (RpcEptMapper) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe
 O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
 O23 - Service: @%SystemRoot%\System32\SCardSvr.dll,-1 (SCardSvr) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\certprop.dll,-13 (SCPolicySvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\Sens.dll,-200 (SENS) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\sensrsvc.dll,-1000 (SensrSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\SessEnv.dll,-1026 (SessionEnv) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-12288 (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe
 O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe
 O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe
 O23 - Service: @%SystemRoot%\system32\sppuinotify.dll,-103 (sppuinotify) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\ssdpsrv.dll,-100 (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\sstpsvc.dll,-200 (SstpSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wiaservc.dll,-9 (StiSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\StorSvc.dll,-100 (StorSvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\sysmain.dll,-1000 (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\TabSvc.dll,-100 (TabletInputService) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\tapisrv.dll,-10100 (TapiSrv) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\termsrv.dll,-268 (TermService) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\themeservice.dll,-8192 (Themes) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\mmcss.dll,-102 (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\trkwks.dll,-1 (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
 O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe
 O23 - Service: @%SystemRoot%\system32\umrdp.dll,-1000 (UmRdpService) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\upnphost.dll,-213 (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\dwm.exe,-2000 (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe
 O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe
 O23 - Service: @%SystemRoot%\system32\w32time.dll,-200 (W32Time) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe
 O23 - Service: @%systemroot%\system32\wbiosrvc.dll,-100 (WbioSrvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wcncsvc.dll,-3 (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\WcsPlugInService.dll,-200 (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\wdi.dll,-502 (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\wdi.dll,-500 (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\webclnt.dll,-100 (WebClient) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wecsvc.dll,-200 (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wercplsupport.dll,-101 (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%Systemroot%\system32\wsmsvc.dll,-101 (WinRM) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe
 O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\wmpnetwk.exe
 O23 - Service: @%SystemRoot%\system32\wpcsvc.dll,-100 (WPCSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wpdbusenum.dll,-100 (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wscsvc.dll,-200 (wscsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Unknown owner - C:\Windows\system32\SearchIndexer.exe
 O23 - Service: @%systemroot%\system32\wuaueng.dll,-105 (wuauserv) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wudfsvc.dll,-1000 (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wwansvc.dll,-257 (WwanSvc) - Unknown owner - C:\Windows\system32\svchost.exe
--
 End of file - 23766 bytes

by Mauroxan

Logo HijackThis

Hoy quiero hablar un poco de HijackThis

HijackThis es un  software que le permitirá encontrar los ajustes modificados por  spyware, malware u otros programas no deseados. Trend Micro HijackThis genera un informe en profundidad para que pueda analizar y reparar su computadora infectada.

HijackThis puede ser instalado en:

  • Microsoft™ Windows™ XP
  • Microsoft™ Windows™ 2000
  • Microsoft™ Windows™ Me
  • Microsoft™ Windows™ 98
  • Microsoft™ Windows™ Vista
  • Microsoft™ Windows™ 7

Es importante resaltar que es necesario tener conocimientos básicos para poder eliminar las entradas infectadas.

Si no  ha utilizado antes este aplicativo, se le recomienda leer el tutorial que han publicado en su foro  los amigos de elhacker.net

Primer Tutorial

Si aun no estás satisfecho y quieres aprender más… entonces puedes leer el Tutorial publicado por los amigos de infospyware.com en su foro.

Segundo Tutorial

Instalación de HijackThis Version 2.0.5 (Beta) en Windows XP

1. Inicialmente se debe ingresar  a la página de Trend Micro para descargar el HijackThis desde la siguiente URL: http://free.antivirus.com/hijackthis/

2. Se presiona el vínculo Installer para descargar el Software.

3. Se mostrará una nueva ventana para ejecutar o guardar el HijackThis, se presiona el botón de Guardar.

4. Se selecciona la ubicación donde se guardará el HijackThis en la computadora.

5. Se ha guardado el HijackThis en el escritorio del computador.

6. Se hace doble click al instalador de HijackThis para que empiece la instalación y finalmente presionar el botón Ejecutar

7. En la nueva ventana de instalación debe presionar el botón Next.

8. Se debe colocar el chulo  para aceptar los términos de licencia y nuevamente  se presiona el botón Next.

9. En esta ventana se muestra la ubicación donde se instalará HijackThis, se deja la ubicación  por defecto y se presiona el botón Next.

10. En esta última etapa se presiona el botón Install.

11. No queda mas que presionar el botón Finish. La instalación ha culminado con éxito.

12. En el escritorio se encontrará un nuevo icono que dice Hijackthis, y que debe ejecutar presionando doble click.

13. En esta ventana se presiona el botón Do a system scan and save a logfile para que se realice el scaneo del sistema y se muestren los resultados en pantalla.

Por último se debería guardar el informe que se muestra y ejecuta con el bloc de notas para su posterior estudio.

by Mauroxan

THC-Hydra es un práctico Software con licencia GPLv3, que permite realizar auditoria por medio de fuerza bruta a las cuentas de  usuarios y contraseñas de los diferentes servicios que se estén  implementando en un sistema de información.

Existe otro tipo de software con funcionalidad parecida,  pero, de THC-Hydra podemos destacar las siguiente características:

  • Licencia que permite el uso y descarga con total libertad.
  • Soporte a gran cantidad de protocolos ( detalles en Currently this tool supports)
  • Flexible en cuanto al uso, y rápido al auditar los sistemas de información.
  • Multiplataforma (Windows, Linux, Solaris, FreeBSD, etc)

Actualmente se está implementando de forma estable la versión 7.1. En BackTrack 5 R1, se encuentra la versión 6.5 instalada y funcional.

Currently this tool supports:
	  AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST,
	  HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD,
	  HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle,
	  PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum,
	  SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP.
Tomado de http://www.thc.org/thc-hydra/
 

Opciones para uso de la versión 6.5 implementada en BackTrack 5 R1

Options:
  -R        restore a previous aborted/crashed session
  -S        connect via SSL
  -s PORT   if the service is on a different default port, define it here
  -l LOGIN or -L FILE login with LOGIN name, or load several logins from FILE
   -p PASS  or -P FILE try password PASS, or load several passwords from FILE
  -x MIN:MAX:CHARSET  password bruteforce generation, type "-x -h" to get help
  -e ns     additional checks, "n" for null password, "s" try login as pass
   -C FILE   colon separated "login:pass" format, instead of -L/-P options
  -M FILE   server list for parallel attacks, one entry per line
  -o FILE   write found login/password pairs to FILE instead of stdout
   -f        exit after the first found login/password pair (per host if -M)
  -t TASKS  run TASKS number of connects in parallel (default: 16)
  -W TIME   defines the wait time between connects for one thread in seconds
   -w TIME   defines the max wait time in seconds for responses (default: 20)
  -4 / -6   prefer IPv4 (default) or IPv6 addresses
  -v / -V   verbose mode / show login+pass combination for each attempt
  -U        service module usage details
Tomado de las ayudas del software que se imprimen por el terminal

THC-Hydra en la Práctica.

Ejemplo 1.

Práctica realizada desde una  distribución BackTrack 5 R1 y con la versión 6.5 de THC-Hydra.

En el siguiente ejemplo atacaremos por fuerza bruta y éticamente con THC-Hydra al servicio SSH instalado en un servidor con IP 172.16.66.219 instalado para estos fines.

En el terminal se escribe el siguiente código:

# hydra -l david -P acronym  172.16.66.219 ssh -s 22 -w 99999999

Donde:

-l hace referencia al nombre de la cuenta del usuario que utiliza el servicio SSH, en el ejemplo es: david.

-P Hace referencia al archivo (diccionario) donde estará el listado de las posibles contraseñas a adivinar, en el ejemplo es: acronym.

ssh Se refiere al servicio que será auditado y se encuentra activo.

-s Hace referencia al puerto del servicio a auditar, en el ejemplo es el 22 correspondiente al servicio SSH.

-w Esta propiedad es muy importante, y hace referencia al tiempo que tomará la auditoría.

 
 Hydra v6.5 (c) 2011 by van Hauser / THC and David Maciejak - use allowed only for legal purposes.
 Hydra (http://www.thc.org/thc-hydra) starting at 2012-01-22 12:45:56
 WARNING: Restorefile (./hydra.restore) from a previous session found, to prevent overwriting, you have 10 se..
 [DATA] 16 tasks, 1 servers, 19195 login tries (l:1/p:19195), ~1199 tries per task
 [DATA] attacking service ssh on port 22
 [STATUS] 152.00 tries/min, 152 tries in 00:01h, 19043 todo in 02:06h
 [22][ssh] host: 172.16.66.219   login: david   password: ADDICT-L
 [STATUS] attack finished for 172.16.66.219 (waiting for children to finish)
 Hydra (http://www.thc.org/thc-hydra) finished at 2012-01-22 12:48:53

Finalmente el THC-Hydra arroja los resultados, se puede constatar que la contraseña ha sido adivinada, ya que se encontraba dentro del diccionario utilizado como prueba.

Ejemplo 2.

En este ejemplo buscamos a todos los de usuarios que tienen como contraseña 123456 en el  servidor SSH y además se encuentre dentro del diccionario llamado dic.

#hydra -L dic -p 123456 172.16.66.219 ssh -s 22 -w 99999

Hydra v6.5 (c) 2011 by van Hauser / THC and David Maciejak - use allowed only for legal purposes.
Hydra (http://www.thc.org/thc-hydra) starting at 2012-01-22 21:53:18
 WARNING: Restorefile (./hydra.restore) from a previous session found, to prevent overwriting, you have 10 se..
[DATA] 16 tasks, 1 servers, 133 login tries (l:133/p:1), ~8 tries per task
[DATA] attacking service ssh on port 22
 [22][ssh] host: 172.16.66.219   login: laura   password: 123456
[STATUS] 74.00 tries/min, 74 tries in 00:01h, 59 todo in 00:01h
[STATUS] 46.00 tries/min, 92 tries in 00:02h, 41 todo in 00:01h
[22][ssh] host: 172.16.66.219   login: carlos   password: 123456
 [STATUS] attack finished for 172.16.66.219 (waiting for children to finish)
Hydra (http://www.thc.org/thc-hydra) finished at 2012-01-22 21:56:27

Vemos los únicos 2 nombres de usuarios que cumplen con la contraseña 123456.

Hasta una próxima.

by Mauroxan