<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/3.10.3">
</HEAD>
<BODY>
Gracias por tu respuesta Anatoly,<BR>
<BR>
explico un poco mas lo que quiero hacer. <BR>
<BR>
- la informacion que se podia recuperar, ya se ha recuperado, booteando de CDs de rescate, etc.<BR>
- ahora lo que quisiera es determinar exactamente cual es el problema que tiene la particion NTFS que corresponde al "C:" que hace que la misma no pueda ser booteada o montada desde linux<BR>
- conociendo el daño que tiene, me gustaria poder determinar que software se uso para producir ese daño <BR>
<BR>
Mi pregunta sobre las "logic bombs" era para conocer cuales concretamente han encontrado en incidentes reales. Mi hipotesis es que el ataque no fue llevado a cabo por alguien muy "sofisticado" que desarrollo su propio software, sino que utilizò algo que bajo de Internet. <BR>
<BR>
slds y gracias<BR>
<BR>
Carlos<BR>
<BR>
On Wed, 2006-11-08 at 15:00 -0500, Anatoly A. Pedemonte Ku wrote:
<BLOCKQUOTE TYPE=CITE>
<PRE>
<FONT COLOR="#000000">Hola Estimado Carlos:</FONT>

<FONT COLOR="#000000">Bueno existe malware actualmente que tiene caracter de un logic bomb,</FONT>
<FONT COLOR="#000000">inclusive hay algunos que son manejados desde su desarrollador, pero</FONT>
<FONT COLOR="#000000">estos poseen un caracter hibrido por que al final de todo se convierten</FONT>
<FONT COLOR="#000000">en trojanos...</FONT>

<FONT COLOR="#000000">Empiezan como un simple programa spy, adware, que al final descarga otro</FONT>
<FONT COLOR="#000000">archivo y comience su trabajo habitual del cual fue programado y envíe</FONT>
<FONT COLOR="#000000">información a su autor o propietario, por que propietario por que existe</FONT>
<FONT COLOR="#000000">actualmente desarrolladores que venden malware sofisticados a otros...</FONT>

<FONT COLOR="#000000">Sobre la existencia, de un programa que diagnostique y que guarde un log</FONT>
<FONT COLOR="#000000">de todos los sucesos del sistema, pues tendrias que haber hecho antes</FONT>
<FONT COLOR="#000000">todo una infraestructura dentro de tu equipo, para que puedas verlos</FONT>
<FONT COLOR="#000000">sucesos inclusive despues de haber muerto tu disco o particion, cosa que</FONT>
<FONT COLOR="#000000">por allí he visto, pero trabaja con un hardware en especial, de</FONT>
<FONT COLOR="#000000">tecnología koreana.</FONT>

<FONT COLOR="#000000">Pero en el caso de que quieres una posible solucion, quizas no muy</FONT>
<FONT COLOR="#000000">eficaz desde mi punto de vista, es utilizar ERD Commander, el cual posee</FONT>
<FONT COLOR="#000000">un windows, que carga  desde un CD, pero que lee tus párticiones, el</FONT>
<FONT COLOR="#000000">registro, y el log Viewer del sistema, y es allí donde puedas encontrar</FONT>
<FONT COLOR="#000000">ciertos cosas con respecto a la particion o sucesos en el sistema. Ahora</FONT>
<FONT COLOR="#000000">el windows, no guarda totalmente toda lo que sucede, supongo que sera</FONT>
<FONT COLOR="#000000">por su kernel, en cambio en los unix, pueden ver muchas cosas, y con</FONT>
<FONT COLOR="#000000">herramientas propias del sistema. Y para esto necesitas tener</FONT>
<FONT COLOR="#000000">conocimientos de Analisis Forense...</FONT>

<FONT COLOR="#000000">Tambien puedes montar la unidad en un linux o unix y ver el filesystem</FONT>
<FONT COLOR="#000000">mediante herramientas o toolkit de analisis forenses que existen en la</FONT>
<FONT COLOR="#000000">red de redes... ERD Commander, posee licencia, pero en laspruebas que he</FONT>
<FONT COLOR="#000000">hecho como esta  diseñado para windows, he podido ver que posee buenas</FONT>
<FONT COLOR="#000000">utilidades para hacer una parte de analisis forense en windows...</FONT>


<FONT COLOR="#000000">Ahora si tu particion no es montable o no has podido reestablecerla,</FONT>
<FONT COLOR="#000000">posee solución de volverla a su estado normal....</FONT>

<FONT COLOR="#000000">Bueno, esperomas detalle de tu problema, y si alguien desea comentar o</FONT>
<FONT COLOR="#000000">agregar sobre mi opinión, bienvenido sea... Y si hay cosas nuevas para</FONT>
<FONT COLOR="#000000">explicar mejor aun, asi aprendemos todos...</FONT>

<FONT COLOR="#000000">Disculpen si existe  horrores ortograficos..</FONT>

<FONT COLOR="#000000">Saludos Cordiales...</FONT>

<FONT COLOR="#000000">-----------------------------------------------------------</FONT>
<FONT COLOR="#000000"> Anatoly Alexei Pedemonte Ku </FONT>
<FONT COLOR="#000000"> RAGE SYSTEMS S.A.C.</FONT>
<FONT COLOR="#000000"> <A HREF="http://www.ragesys.net">http://www.ragesys.net</A></FONT>
<FONT COLOR="#000000"> Av. Juan Pascal Pringles 1225 (ex- La Fontana) - LA MOLINA</FONT>
<FONT COLOR="#000000"> LIMA - PERU</FONT>
<FONT COLOR="#000000"> Teléfono: 511.7962262 </FONT>
<FONT COLOR="#000000"> Móvil: 511.97167435 </FONT>
<FONT COLOR="#000000">-----------------------------------------------------------</FONT>
<FONT COLOR="#000000">Este correo y su contenido son confidenciales y exclusivos para su destinatario. Si usted recibe este mensaje por error o no es el destinatario del mismo, por favor sírvase eliminarlo y notificarle a su originador. Así mismo, todas las ideas y reflexiones expresadas en esta comunicación corresponden al originador del correo y NO representa la posición oficial de su empleador.</FONT>
<FONT COLOR="#000000">--------------------------------------------------------------------------------------------------------------------------------------</FONT>
<FONT COLOR="#000000">This email is intended only for the addressee(s) and contains information which may be confidential, legally privileged. If you are not intended recipient please do not save, forward, disclose or copy the content of this email. Please delete it completely from your system and notify originator.Finally, all ideas expressed in this communication are personal comments and NOT represent official position of his employer.</FONT>
<FONT COLOR="#000000">--------------------------------------------------------------------------------------------------------------------------------------</FONT>

<FONT COLOR="#000000">-----BEGIN PGP PUBLIC KEY BLOCK-----</FONT>
<FONT COLOR="#000000">Version: GnuPG v1.4.3 (MingW32)</FONT>

<FONT COLOR="#000000">mQGiBESAj0sRBACbs6YrxgfA3uYWdrMoJ0Sfq9ZAh+uxWF9mjuNV8CMKmovVQfor</FONT>
<FONT COLOR="#000000">o3KosZ9PzEkYa43WNgTYwPjcI1NkF2W0La0s44GBzJaxzfAojhfV9CgQoViJv+UJ</FONT>
<FONT COLOR="#000000">TFe7TG32wdG+M+E/FqA3vUfMvjoVCu/SY74H+VES7v8h7VJsy6dUDT3jKwCgspkU</FONT>
<FONT COLOR="#000000">oGlOVd9M4h3OiW2BINa/BcMD/ikzpBjrZ0wz0yfIBYgPUAO0yhQpfd0cPxL7lAi9</FONT>
<FONT COLOR="#000000">NGuGQtUdunkomPjzLt/989wCM8kmiEkhsR+mu3vceOLqeAR2mfoEX0vC1UYMlOcB</FONT>
<FONT COLOR="#000000">jitRdx19Wjm8fYVI98vuyIs/i6IGclZnXEoMLoOBvdaIIfj7ZpB59CFOx2WH3ixC</FONT>
<FONT COLOR="#000000">s0O6A/0aO7jE8ugDVVHtSdUayw+sAQes2zELdNAy0u8kOpSzWjaxTo2uJ+5py5/M</FONT>
<FONT COLOR="#000000">uBgifYQMljAnYkTCcBYXD39Din43r330peUpHX3OekRPLYYEOg0Px4sOjJVAf828</FONT>
<FONT COLOR="#000000">rysL1q4uKqUljE6aHVnFM+FkItqUKysAVgemW1wGxyW2UhwuBLQtQW5hdG9seSBB</FONT>
<FONT COLOR="#000000">LiBQZWRlbW9udGUgS3UgPGFuYXRvbHlAcmFnZXN5cy5uZXQ+iGYEExECACYFAkSA</FONT>
<FONT COLOR="#000000">j0sCGwMFCQHhM4AGCwkIBwMCBBUCCAMEFgIDAQIeAQIXgAAKCRBJuebWcCX7tbwi</FONT>
<FONT COLOR="#000000">AJsHXrCU+6dCHf8xUeDdrzJN/NTrlQCgiMjRs7KDAQnu9a0yklQYGlG2W2+5Ag0E</FONT>
<FONT COLOR="#000000">RICPgxAIAIFh8TQuAbWfmj9pez98L6mlNDyQSXyrIUXTFXK3hLMOA0u4oyz6EuCH</FONT>
<FONT COLOR="#000000">zZOIUxveeumspSv98F6vP/W7AQBfX5t6pakvmyRHtBcsdx1dFgOlIWRGHP86tgdl</FONT>
<FONT COLOR="#000000">Ci4s+C9vGrbynXbNDPoV/cCqYZeeKNBbUHbUH3j+hKKTz0mpiHPaFWTsGzmxQpoI</FONT>
<FONT COLOR="#000000">cSHnbGPuIwew9TDC9qnESmGscG8IfZXsB7UjkDMyGUVQNwYd+hqPOof/qMFiR2cG</FONT>
<FONT COLOR="#000000">x2IUs3dGroffjkmncgvoPfBPq0B+7cIqhnEznKCxvjvorZnpT/9uW1Apch8QwXcg</FONT>
<FONT COLOR="#000000">SK/QkHBYwweYWzHYaqzkLzustwJ2dNMAAwYH/RReKPnCUJa45gw3Bv76z9UK0ABr</FONT>
<FONT COLOR="#000000">OLRfVq1nnRnqs1LM+z7xKMpEfzQDIyNoqUlE42pNNYd/N8rz+3PP1pRypcpbP+B/</FONT>
<FONT COLOR="#000000">MNOBEaFhvS7X5El8WfXRIaM19hLpEHVeTPG71cOJaiu/PC6a7KkOarKCIJYa7uU0</FONT>
<FONT COLOR="#000000">JhqVPaAeButljRuQJpR9rjpdPPd2+4sVaWrabtnyhm/oiYQthyMdB8xq2slWreTL</FONT>
<FONT COLOR="#000000">hWFtsenfgVvOlBpt8ZwGpQkzASLBwdGhisMYXQStw1D9dbDFQbb8pqO/9eos9rkL</FONT>
<FONT COLOR="#000000">sflAvD1F3VJl2TmaxjvRRgnAgRzdt3vTWvrYPf2WyesT0C78rriVeWzmuD6ITwQY</FONT>
<FONT COLOR="#000000">EQIADwUCRICPgwIbDAUJAeEzgAAKCRBJuebWcCX7tRdWAKCIlj2g5aMf4CKqwEjx</FONT>
<FONT COLOR="#000000">uAEzo28PuQCfV/U+ptv+7+D0xkMzZ5HG1yxMrhQ=</FONT>
<FONT COLOR="#000000">=GD85</FONT>
<FONT COLOR="#000000">-----END PGP PUBLIC KEY BLOCK-----</FONT>



<FONT COLOR="#000000">carlosm escribió:</FONT>
<FONT COLOR="#000000">> El mensaje anterior salio con un subject erroneo, disculpen! </FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">> -----Mensaje original-----</FONT>
<FONT COLOR="#000000">> De: <A HREF="mailto:seguridad-bounces@lacnic.net">seguridad-bounces@lacnic.net</A> [mailto:<A HREF="mailto:seguridad-bounces@lacnic.net">seguridad-bounces@lacnic.net</A>] En</FONT>
<FONT COLOR="#000000">> nombre de carlosm</FONT>
<FONT COLOR="#000000">> Enviado el: Miércoles, 08 de Noviembre de 2006 05:24 p.m.</FONT>
<FONT COLOR="#000000">> Para: <A HREF="mailto:seguridad@lacnic.net">seguridad@lacnic.net</A></FONT>
<FONT COLOR="#000000">> Asunto: Re: [LACNIC/Seguridad] Spamassassin</FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">> Buenas tardes amigos!</FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">> En el curso del análisis de un incidente de seguridad, me encuentro con que</FONT>
<FONT COLOR="#000000">> el sistema potencialmente comprometido (Windows XP) tiene una particion NTFS</FONT>
<FONT COLOR="#000000">> que no es montable. La sospecha parece ser que este daño, cualquiera sea,</FONT>
<FONT COLOR="#000000">> fue intencional.</FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">> Las preguntas que tengo para la lista son:</FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">> - ¿Conocen alguna forma de malware, del estilo de un "logic bomb" que se</FONT>
<FONT COLOR="#000000">> pueda utilizar para dañar una particion NTFS?</FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">> - ¿Conocen alguna herramienta que permita obtener un diagnóstico de cual</FONT>
<FONT COLOR="#000000">> exactamente es el problema con la particion NTFS?</FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">> slds</FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">> Carlos</FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">> _______________________________________________</FONT>
<FONT COLOR="#000000">> Seguridad mailing list</FONT>
<FONT COLOR="#000000">> <A HREF="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</A></FONT>
<FONT COLOR="#000000">> <A HREF="http://lacnic.net/mailman/listinfo/seguridad">http://lacnic.net/mailman/listinfo/seguridad</A></FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">> _______________________________________________</FONT>
<FONT COLOR="#000000">> Seguridad mailing list</FONT>
<FONT COLOR="#000000">> <A HREF="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</A></FONT>
<FONT COLOR="#000000">> <A HREF="http://lacnic.net/mailman/listinfo/seguridad">http://lacnic.net/mailman/listinfo/seguridad</A></FONT>
<FONT COLOR="#000000">></FONT>
<FONT COLOR="#000000">>   </FONT>

<FONT COLOR="#000000">_______________________________________________</FONT>
<FONT COLOR="#000000">Seguridad mailing list</FONT>
<FONT COLOR="#000000"><A HREF="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</A></FONT>
<FONT COLOR="#000000"><A HREF="http://lacnic.net/mailman/listinfo/seguridad">http://lacnic.net/mailman/listinfo/seguridad</A></FONT>
</PRE>
</BLOCKQUOTE>
</BODY>
</HTML>