2 dic. 2007

Tutorial// ¿Como destruir un Antivirus? Parte 1/4


Bueno, de verdad lo escribí lo mejor que pude (no soy ningún Recetador, pero lo hice como pude e intente explicarme lo mejor posible), me pareció fácil, pero extenso.

En cuanto a la cantidad de partes aun no estoy seguro, pongo 4 como numero tentativo.

Ya ni mas Palabras.... Los dejo con el Mini-Tutorial...

Bueno queridos compañeros este es el comienzo de :

¿Como matar un Antivirus?


La verdad no se como comenzar, hay muchas cosas q explicar hasta para este Lame attack, lo descubrí cuando me di cuenta de q los antivirus no detienen la ejecución de los Archivos en formato .bat lo que nos da un montón de libertades para juguetear con la pc.
Empezare desde allí entonces.

Mmm.... Por donde empezar....???....
Bueno, Vamos por lo mas Básico:

1. ¿Como iniciar el CMD.exe?

Muy fácil,:
- Vas al Menú Inicio (Ya sabes, ese que esta halla abajo a la izquierda, ese botoncito se llama menú Inicio).
- Seleccionas la opción Ejecutar.
- Y escribes en la cajita que te apareció: "CMD.EXE" sin comillas.

2. Muy bien ya me enseñaste a iniciarlo pero yo solo veo una caja negra, que carajo es????

Mas Facil.
El CMD.EXE es la interface raiz de tu sistema, podriamos decir que es el esqueleto de tu sistema operativo, y como ya podras observar, es bastante basico (una pedorra caja negra con un bichito que titila!).
Bueno, para aquellos que no lo saben(que son MUUUUCHOS) esta caja negra puede hacer todas esas cosas milagrosas q hacen con su Raton solo que se vuelve mas complicado hacerlo con la "Cajita Negra" y para ello estan las Interfaces Graficas que le facilitan mucho el trabajo a los monos ignorantes que realmente somos todos, ;-).

Digamos que la interface grafica es un monito que esta dentro de sus PC's que transforma sus Rapidos movimientos y acciones con el mouse al lenguaje de esa "Cajita Negra".

Y que luego esa cajita negra lo transforma en lenguaje Maquina, es decir, si escribes 17(que es mi edad) ella pasara a la maquina el mismo numero pero en binario, o sea, 10001.

Eso d los ceros y unos lo enseñare pero muuuuuuy luego. Averiguen en su Internet, no se conformen con lo que les digo yo!

3. Ok ya tengo la "Cajita negra" y ya se que es, ahora como destruyo el antivirus? Escribo Matar_antivirus y doy enter?

De todo eso solo hay una cosa que hiciste medio Bien... Los comandos del CMD no llevan espacios, el espacio solo se usa para los atributos y para iniciar algo dentro de una linea.
Y por cierto es mucho mas complicado que eso amigo.

Ahora procederemos al estudio intensivo de los comandos del CMD(Para que sepan lo que hacen)

Lista bajada de internet sobre los comandos del CMD y su funcion(LEANLO!!!!!):

O===========================================================================O

Archivos y sistemas de ficheros

cacls: Permite modificar los permisos en ficheros y carpetas, permitiendo o prohibiendo a cada usuario leer, escribir o modificar el contenido de dichos archivos o carpetas.

chkdsk: Comprueba el estado de una partición y repara los daños en caso de que encuentre alguno. Si lo ponemos sin ningún parámetro simplemente escaneará la partición, si queremos que además corrija los errores, deberemos añadir la opción /F, es decir, chkdsk /F.

cipher: Permite cifrar archivos, directorios o particiones siempre que se encuentren en el sistema de archivos NTFS.

comp: Compara archivos o carpetas y muestra las diferencias existentes entre ellos.

compact: Permite comprimir archivos o carpetas para ahorrar espacio en el disco duro. Para comprimir los archivos deberemos utilizar el modificador /c y para descomprimirlo en modificador /u. Por ejemplo, para comprimir la carpeta c:\pruebas debemos utilizar el comando compact /c c:\pruebas y para descomprimirla compact /u c:\pruebas.

convert: Convierte particiones FAT ó FAT32 a NTFS. Antes de utilizar este comando es recomendable realizar una copia de seguridad puesto que es posible que durante la conversión se pierdan datos.
defrag: Desfragmenta los archivos de una unidad, similar a la utilidad Defragmentador de discos de Windows pero en modo consola.

diskpart: Permite crear, eliminar y administrar particiones. Este programa en modo consola debemos utilizarlo con cuidado puesto que es fácil que eliminemos sin darnos cuenta todo el contenido del disco duro o de la partición activa.

"find" y "findstr": Estos comandos buscan cadenas de textos en el interior de uno o varios archivos. Sin embargo, el comando findstr ofrece más opciones de búsqueda que el comando find.

iexpress: Este comando lanzará un asistente para crear archivos comprimidos .CAB autodescomprimibles.

openfiles: Muestra a un administrador los archivos abiertos en un sistema a un administrador y permite desconectarlos si se han abierto a través de red.

Configuración del sistema

bootcfg: Permite ver y modificar las entradas del archivo boot.ini. Estas entradas nos permiten seleccionar con que sistema operativo deseamos iniciar el equipo.

control userpasswords2: Permite modificar las claves y los permisos de los diferentes usuarios, así como requerir la pulsación de control+alt+suprimir para poder iniciar sesión, haciendo el inicio de sesión más seguro.

Comandos desde Consola

driverquery: Hace un listado de todos los drivers instalados en el sistema y muestra información sobre cada uno de ellos.

dxdiag: Lanza la herramienta de diagnóstico de Direct X, con la cual podremos comprobar la versión Direct X que tenemos instalada y permite comprobar mediante tests que todo lo referente a estos controladores funcione correctamente.

gpresult: Muestra información sobre las políticas de grupo aplicadas a un usuario.

gpupdate: Vuelve a aplicar las políticas de grupo.

msconfig: Desde esta aplicación en modo gráfico podremos seleccionar que programas y servicios se cargan durante el inicio de Windows así como los sistemas operativos que el usuario puede seleccionar para iniciar el ordenador.

pagefileconfig: Permite configurar el archivo de paginación de Windows.

prncnfg: Muestra información sobre las impresoras instaladas

prnjobs: Muestra información sobre los trabajos de impresión en cola.

reg: Permite ver y modificar valores del registro de Windows. Las opciones posibles son:

reg query => realiza una consulta en el registro

reg add => añade una entrada al registro

reg delete => elimina una clave del registro

reg copy => copia una clave del registro a otra parte del registro o a otro equipo

reg save => guarda una parte del registro en un archivo

reg restore => restaura una parte del registro de un archivo

reg load => carga una clave o árbol al registro desde un archivo

reg unload => descarga una clave o árbol del registro

reg compare => compara varios valores del registro

reg export => exporta el registro o parte del registro a un archivo

reg import => importa el registro o parte del registro de un archivo

regedit: Editor del registro en modo gráfico.

sc: Este commando nos permite administrar los servicios, ya sea iniciar uno, detenerlo, mandarle señales, etc.

sfc: Este comando permite buscar archivos del sistema dañados y recuperarlos en caso de que estén defectuosos (es necesario el CD de instalación del sistema operativo para utilizarlo). Para realizar una comprobación inmediata, deberemos ejecutar la orden sfc /scannow.

systeminfo: Muestra información sobre nuestro equipo y nuestro sistema operativo: número de procesadores, tipo de sistema, actualizaciones instaladas, etc.

taskkill: Permite eliminar un proceso conociendo su nombre o el número del proceso (PID).

tasklist: Realiza un listado de todos los procesos que hay. Útil si deseamos eliminar un proceso y no conocemos exactamente su nombre o su PID.

Redes

arp: Muestra y permite modificar las tablas del protocolo ARP, encargado de convertir las direcciones IP de cada ordenador en direcciones MAC (dirección física única de cada tarjeta de red).

ftp: Permite conectarse a otra máquina a través del protocolo FTP para transferir archivos.

getmac: Muestra las direcciones MAC de los adaptadores de red que tengamos instalados en el sistema.

ipconfig: Muestra y permite renovar la configuración de todos los interfaces de red.

nbtstat: Muestra las estadísticas y las conexiones actuales del protocolo NetBIOS sobre TCP/IP, los recursos compartidos y los recursos que son accesibles.

net: Permite administrar usuarios, carpetas compartidas, servicios, etc. Para un listado completo de todas las opciones, escribir net sin ningún argumento. Para obtener ayuda sobre alguna opción en concreto, escribier net help opción.

netsh: Este programa en modo consola permite ver, modificar y diagnosticar la configuración de la red

netstat: Mediante este comando obtendremos un listado de todas las conexiones de red que nuestra máquina ha realizado.

nslookup: Esta aplicación se conecta a nuestros servidores DNS para resolver la IP de cualquier nombre de host. Por ejemplo, si ejecutamos nslookup y escribimos www.xdireccion.com, nos responderá con algo como:

Respuesta no autoritativa:
Nombre: www.xdireccion.com
Address: 217.76.130.250

Esto quiere decir que la dirección webwww.xdireccion.com corresponde con la IP 217.76.130.250.

pathping: Muestra la ruta que sigue cada paquete para llegar a una IP determinada, el tiempo de respuesta de cada uno de los nodos por los que pasa y las estadísticas de cada uno de ellos.

ping: Poniendo detrás del comando ping el nombre o la dirección IP de la máquina, por ejemplo ping 192.168.0.1 enviaremos un paquete a la dirección que pongamos para comprobar que está encendida y en red. Además, informa del tiempo que tarda en contestar la máquina destino, lo que nos puede dar una idea de lo congestionada que esté la red.

rasdial: Permite establecer o finalizar una conexión telefónica.

route: Permite ver o modificar las tablas de enrutamiento de red.

tracert: Muestra el camino seguido para llegar a una IP y el tiempo de respuesta de cada nodo.


Varios

at: Permite programar tareas para que nuestro ordenador las ejecute en una fecha o en un momento determinado.

logoff: Este comando nos permite cerrar una sesión iniciada, ya sea en nuestro ordenador o en otro ordenador remoto.

msg: Envía un mensaje a unos o varios usuarios determinados mediante su nombre de inicio de sesión o el identificador de su sesión

msiexec: Permite instalar, desinstalar o reparar un programa instalado mediante un paquete MSI (archivos con extensión .msi).

runas: Permite ejecutar un programa con privilegios de otra cuenta. Útil por ejemplo si estamos como usuario limitado y queremos hacer algo que necesite privilegios de administrador.

shctasks: Permite administrar las tareas programadas.

shutdown: Permite apagar, reiniciar un ordenador o cancelar un apagado. Es especialmente útil si hemos sido infectado con el virus Blaster o una de sus variantes para cancelar la cuenta atrás. Para ello, tan sólo tendremos que utilizar la sintaxis shutdown -a.


Microsoft Management Console (MMC)

Estos comandos nos darán acceso a distintas partes de la Microsoft Management Console, un conjunto de pequeñas aplicaciones que nos permitirán controlar varios apartados de la configuración de nuestro sistema operativo.

Comandos desde Consola

Para acceder a estas opciones, no es necesario entrar en la consola del sistema (cmd.exe), sino que basta con introducirlos directamente desde inicio - ejecutar.

ciadv.msc: Permite configurar el servicio de indexado, que acelera las búsquedas en el disco duro.

compmgmt.msc: Da acceso a la Administración de equipos, desde donde podemos configurar nuestro ordenador y acceder a otras partes de la MMC.

devmgmt.msc: Accede al Administrador de dispositivos.

dfrg.msc: Desfragmentador del disco duro.

diskmgmt.msc: Administrador de discos duros.

fsmgmt.msc: Permite administrar y monitorizar los recursos compartidos.

gpedit.msc: Permite modificar las políticas de grupo.

lusrmgr.msc: Permite ver y modificar los usuarios y grupos locales.

ntmsmgr.msc: Administra y monitoriza los dispositivos de almacenamientos extraíbles.

ntmsoprq.msc: Monitoriza las solicitudes del operador de medios extraíbles.

perfmon.msc: Monitor de rendimiento del sistema.

secpol.msc: Configuración de la política de seguridad local.

services.msc: Administrador de servicios locales.

wmimgmt.msc: Configura y controla el servicio Instrumental de administración (WMI) de Windows.

Como podemos comprobar, muchas de las opciones aquí listadas sólo son accesibles a través de esta consola, por lo que tareas como personalizar nuestro sistema de acuerdo a nuestros gustos, adaptarlo a nuestras necesidades con una mayor precisión o simplemente por conocer cómo funciona nuestro sistema operativo o cómo está configurado podemos realizarlas con ayuda de estos menús ocultos.


O===========================================================================O

Bafffff.... Que lista tan buena, Si se la leen y la practican toda ya son unos pipes o por lo menos estaran algo avanzados en el uso del CMD.

La verdad es que no quiero que el CMD se tarde demasiado, por eso me apresurare un poco en los siguientes pasos.

4. Ok ya me he leido y he practicado toda la lista... Ahora que?

Umm, que bien... Ahora, me puedes decir que hace esto:

Taskkill /f /IM symlcsvc.exe
cd C:\Archivos de programa\Archivos comunes\Symantec\SharedCCPD-LC
attrib -H -S -R *.*
del /s /q *.*

5. ....................???????????????????????????????????

... Ya me parecia, de verdad compas les sugiero que lean la lista, esta muy buena y completa, aun cuando le faltan la mayoria de los atributos es buena para empezar (si tuvieran que leerse los atributos se dormirian en la PC) (Ya me ha pasado!!), llegar a hacer algo no es facil.
Ahora la explicacion de lo que hicimos alli:

- Primera parte: Matando el Proceso

Taskkill
: es un comando del CMD que por decir algo "Mata Procesos" ahora, fijense en los atributos,

/f: le dice al interprete que el proceso debe ser acabado a la fuerza! y sin piedad!.

/IM: deja un espacio abierto para que coloques el nombre completo del proceso a "Matar".

symlcsvc.exe: es el nombre del proceso! ya despues de esto el proceso no existe!, ya ha sido eliminado por las ordenes que diste.

- Segunda Parte: Cambiar los atributos de la raiz del proceso.

cd: Si leyeron arriba de seguro ya saben que es el comando para mover el interprete de directorio.

C:\Archivos de programa\Archivos comunes\Symantec\SharedCCPD-LC: Es la ruta o lugar a donde estamos mandando el traductor, esta es simplemente una carpeta que se encuentra en el disco duro.

attrib: Es un comando que cambia o visualiza los atributos de los archivos

-H: Quita el atributo de "Archivo Oculto"

-S: Quita el atributo de "Archivo de sistema"

-R: Quita el atributo de "Solo Lectura"

*.*: Se que parece una carita pero no lo es, es de hecho un "Comodin" que le dice al interprete que aplique esos atributos a todos los archivos en el directorio actual. LEAN CABROS!!!

- Tercera Parte: Erradicar la raiz del proceso

del: Es el comando utilizado para borrar archivos y carpetas vacias

/s: Elimina todos los archivos del directorio actual y de todos sus sub-directorios(todas las carpetas que tenga adentro)

/q: Activa el modo silencioso para que el usuario ni se entere de lo que pasa.

*.*: Otra vez la carita de la muerte!!!.

Bueno creo que lo he explicado bien.
Poco a poco y detallado.
Me gustaria que estudiaran mas CMD que es, de hecho, la parte fundamental del ataque, lo demas es adorno. Para ello le adjunto unos Bat....Ohhh Diossss.... No les he explicado el Batch!!!...

6. ¿Que Batch q????... Explica carajo!

De verdad se me habia pasado compas me enterre en eso del CMD y se me olvido por completo.

El BATCH es lo que hace posible nuestro trabajo... Imaginense que un dia su mama les deja una Notica que dice: "Limpia el Baño", Bueno todo bien. Al dia siguiente les deja dos noticas, una dice: Limpia el Baño, y la otra: Limpia tu Cuarto. Despues de eso te deja tres con tres tareas diferentes y asi sucesivamente y un dia te das cuenta de que tu casa esta llena de papelitos!!! y te dices WATTAFAKKK!!! y no sabes que hacer con ellos!. De repente otra mañana te despiertas y te brillan los ojos al darte cuenta que tu madre en vez de dejarte una cantidad morbosa de papelitos te dejo uno solo larguito y bien organizado, Algo asi es el Batch es una lista de comandos para el CMD puesta en un solo ejecutable, cosa que al darle doble clic ejecute todas las ordenes que hay en el.

Es una forma mas organizada y limpia de llevar el trabajo, ademas te permite trabajar mejor con las variable y con el puedes hacer Menus...

Uno de los mejores menus hechos con BATCH y con mucho trabajo, lo adjunto a esta edicion. La Primera vez que lo lei me parecio un trabajo enorme para una sola persona. cosa de Semanas pegado al PC luchando con un Bloc de notas.

Claro eso del Bloc. Un batch puede ser programado en cualquier interprete de Texto Plano, es decir, Sin imagenes ni colores ni nada por el estilo, Tal y como el Bloc de Notas de Windows, el unico paso extra es Guardarlo con la extension .bat y ya sera un ejecutable ^_^.

7. Oye, eso del BATCH esta bastante interesante, dime mas...!!!!

Bueno, para saber del Batch debes conocer los comandos mas Basicos, te aconsejo que abras EL CMD en tu compu para que pruebes todo lo que te voy diciendo:

Esto es una prueba de BATCH:

@echo off: Esto le dice al interprete que no debe mostrar las acciones realizadas en los comandos

:ipconfig
: Esto es una marca, le dice al interprete que este es el punto llamado IPCONFIG

ipconfig
: Es un comando del CMD Que muestra tu IP (Por ser un comando no importa si esta el echo off).

msg * OK esa fue tu IP, Recuerdala!
: Esta linea Muestra una caja de Mensaje que dice: OK esa fue tu IP, Recuerdala!

pause
: Esto frena al interprete Hasta que pulses alguna tecla

cls
: Limpia la pantalla.

goto inicio
: Manda al interprete hacia la Pocision :inicio

Estos son los comandos mas Basicos (Por si acaso no se los leyeron en la lista de arriba!!.):

- CLS
Si escribes esto borrara todos los caracteres que hallan quedado impresos en la "Cajita", Es una opcion Limitada, pero bastante util, en especial cuando estas haciendo un menu y quieres que todo se vea como al principio.

- CD
Comando para cambiar el directorio, siver para insertar codigos maliciosos o simplemente mover el interprete!.

- MD
Para crear una nueva carpeta

- DEL
Para borrar archivos y Carpetas.

- SET
Sirve para visualizar y Aplicar Variables es util al hacer el menu principal.

- GOTO
Orden para mover el interprete a X pocision.

- ECHO
Sirve para imprimir caracteres, sea en un archivo o en la pantalla

- START
Sirve para ejecutar archivos.

- SHUTDOWN
Apaga la PC, requiere de atributos para funcionar.

-REG
COMANDO IMPORTANTISIMO. Te permite modificar el Registro de Windows y agregar entradas(o borrarlas) a tu antojo y sin dar señal a la victima. MUY IMPORTANTE. En la lista salen todas las formas en las que se puede utilizar este comando. El unico problema es que es algo complicado.

Luego les explicare como usarlo mejor.

- EXIT
Cierra el BATCH

Eso es lo Basico de los Batch.
Leanse los Ejemplos que les mando.

Bueno aqui termina esta leccion.
Esta es la leccion mas importante de TODO deben saber manejar el CMD para lo que viene.
UDS. engendraran su propio trojano yo solo les dare las herramientas.

ESTUDIEN MAlVADOS FLOJOS!!!!!

Tambien les dejare un link con la mejor guia para el BATCH. Aun no picarones (La pondre junto con el Archivo de Material) XD.

Ahhh por cierto respondo dudas y acepto Sugerencias...

Chao les Dice:

Rapi_Burrito

El Material: Es el mismo Material en todos los links, solo q esta asi por si acaso se cae en alguno, tienen otros 4...


Mirror
Mirror
Mirror
Mirror
Mirror



Y tu que opinas?