[LACNIC/Seguridad] Incidente en Windows XP

Anatoly A. Pedemonte Ku apedemonte en gmail.com
Mie Nov 8 18:00:22 BRST 2006


Hola Estimado Carlos:

Bueno existe malware actualmente que tiene caracter de un logic bomb,
inclusive hay algunos que son manejados desde su desarrollador, pero
estos poseen un caracter hibrido por que al final de todo se convierten
en trojanos...

Empiezan como un simple programa spy, adware, que al final descarga otro
archivo y comience su trabajo habitual del cual fue programado y envíe
información a su autor o propietario, por que propietario por que existe
actualmente desarrolladores que venden malware sofisticados a otros...

Sobre la existencia, de un programa que diagnostique y que guarde un log
de todos los sucesos del sistema, pues tendrias que haber hecho antes
todo una infraestructura dentro de tu equipo, para que puedas verlos
sucesos inclusive despues de haber muerto tu disco o particion, cosa que
por allí he visto, pero trabaja con un hardware en especial, de
tecnología koreana.

Pero en el caso de que quieres una posible solucion, quizas no muy
eficaz desde mi punto de vista, es utilizar ERD Commander, el cual posee
un windows, que carga  desde un CD, pero que lee tus párticiones, el
registro, y el log Viewer del sistema, y es allí donde puedas encontrar
ciertos cosas con respecto a la particion o sucesos en el sistema. Ahora
el windows, no guarda totalmente toda lo que sucede, supongo que sera
por su kernel, en cambio en los unix, pueden ver muchas cosas, y con
herramientas propias del sistema. Y para esto necesitas tener
conocimientos de Analisis Forense...

Tambien puedes montar la unidad en un linux o unix y ver el filesystem
mediante herramientas o toolkit de analisis forenses que existen en la
red de redes... ERD Commander, posee licencia, pero en laspruebas que he
hecho como esta  diseñado para windows, he podido ver que posee buenas
utilidades para hacer una parte de analisis forense en windows...


Ahora si tu particion no es montable o no has podido reestablecerla,
posee solución de volverla a su estado normal....

Bueno, esperomas detalle de tu problema, y si alguien desea comentar o
agregar sobre mi opinión, bienvenido sea... Y si hay cosas nuevas para
explicar mejor aun, asi aprendemos todos...

Disculpen si existe  horrores ortograficos..

Saludos Cordiales...

-----------------------------------------------------------
 Anatoly Alexei Pedemonte Ku 
 RAGE SYSTEMS S.A.C.
 http://www.ragesys.net
 Av. Juan Pascal Pringles 1225 (ex- La Fontana) - LA MOLINA
 LIMA - PERU
 Teléfono: 511.7962262 
 Móvil: 511.97167435 
-----------------------------------------------------------
Este correo y su contenido son confidenciales y exclusivos para su destinatario. Si usted recibe este mensaje por error o no es el destinatario del mismo, por favor sírvase eliminarlo y notificarle a su originador. Así mismo, todas las ideas y reflexiones expresadas en esta comunicación corresponden al originador del correo y NO representa la posición oficial de su empleador.
--------------------------------------------------------------------------------------------------------------------------------------
This email is intended only for the addressee(s) and contains information which may be confidential, legally privileged. If you are not intended recipient please do not save, forward, disclose or copy the content of this email. Please delete it completely from your system and notify originator.Finally, all ideas expressed in this communication are personal comments and NOT represent official position of his employer.
--------------------------------------------------------------------------------------------------------------------------------------

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.3 (MingW32)
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=GD85
-----END PGP PUBLIC KEY BLOCK-----



carlosm escribió:
> El mensaje anterior salio con un subject erroneo, disculpen! 
>
> -----Mensaje original-----
> De: seguridad-bounces en lacnic.net [mailto:seguridad-bounces en lacnic.net] En
> nombre de carlosm
> Enviado el: Miércoles, 08 de Noviembre de 2006 05:24 p.m.
> Para: seguridad en lacnic.net
> Asunto: Re: [LACNIC/Seguridad] Spamassassin
>
> Buenas tardes amigos!
>
> En el curso del análisis de un incidente de seguridad, me encuentro con que
> el sistema potencialmente comprometido (Windows XP) tiene una particion NTFS
> que no es montable. La sospecha parece ser que este daño, cualquiera sea,
> fue intencional.
>
> Las preguntas que tengo para la lista son:
>
> - ¿Conocen alguna forma de malware, del estilo de un "logic bomb" que se
> pueda utilizar para dañar una particion NTFS?
>
> - ¿Conocen alguna herramienta que permita obtener un diagnóstico de cual
> exactamente es el problema con la particion NTFS?
>
>
> slds
>
> Carlos
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> http://lacnic.net/mailman/listinfo/seguridad
>
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> http://lacnic.net/mailman/listinfo/seguridad
>
>   

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 187 bytes
Desc: OpenPGP digital signature
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20061108/44b0c10f/attachment.sig>


Más información sobre la lista de distribución Seguridad