Removendo o vírus Win32/Sality

- O que é o vírus Sality? -
O vírus Sality, ou conhecido também como ( Vírus Win32 ) é um vírus que infecta principalmente arquivos executáveis (.EXE). Ele detona com os executáveis. Provavelmente ele não irá permitir você abrir seus programas, dará sempre um erro como: "O windows não pode acessar o dispositivo" e falar que você não tem permissão para isso.
­
Outra coisa que ele ira fazer é infectar os arquivos do windows exemplo: "cmd.exe" fazendo assim seu antivírus deletar arquivos essenciais para o funcionamento do windows, levanto o mesmo a não funcionar corretamente, ou até mesmo deixar de funcionar.
­
Uma coisa, é que não adianta formatar o HD, ele continuará la.
Muitas pessoas até hoje falam não ser possível a remoção do malware. Corre até mesmo um boato de que só realizando a troca da RAM é que se livra do vírus. Mais isso não é verdade, e vou explicar aqui como remove-lo facilmente.
­­­­
OBS: Comigo houve também o problema de não conseguir baixar muitas ferramentas que pensei que iriam ajudar a remove-lo. Uns dos links bloqueados por ele no meu caso, foi também o update.microsoft.com

Leia Mais ...

- Como remove-lo? -


O primeiro passo a se fazer, é baixar a ferramenta fornecida pela AVG, e rodar em sua máquina.

Aqui está o link dos arquivos necessários: http://www.mandamais.com.br/download/7koz1162009192214
­
­­
Após extrair, lembrando que os arquivos devem estar juntos na pasta sality, execute o arquivo: "rmsality.exe". Agora ira começar um scan que provavelmente te livrará deste vírus horrível. Se isso não acontecer, aconselho usar o scan do eTrust antivírus.

Criei esse pequeno tutorial, pra ajudar a quem passar por essa situação, qualquer dúvida pode perguntar ai!
Espero que isso ajude alguém.

Como abrir pastas mais rápido no windows XP

1 - Você deve ir até Iniciar>Executar e digitar: SYSTEM.INI

2 - Encontre a chave ( 386enh ) Coloque o cursor de texto logo na frente e de enter para cria ruma nova linha.

3- Na linha vazia coloque o comando abaixo:

conservativeswapfileusage=1

Exemplo de como ficará depois de modificado:

; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
conservativeswapfileusage=1
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON

4) Salve o arquivo modificado e feche o bloco de notas!

Code Inject

Bom pessoal vou falar sobre Code Inject  , essa técnica é muito útil para desvio de rotinas particularmente em ER , hoje eu vou ser bem sucinto , vou envolver Code Inject e AutoKeygenning.

Vou também tentar exemplificar bem o que vou fazer , para isso escolhi novamente o crackme que meu amigo Rafael fez para teste , então vamos lá.

Primeiramente cheguei até a rotina principal por referência as strings de mensagem de erro ,dei um breakpoint no inicio dela e executei meu alvo , preenchi meus campos , e agora vou seguir trançando com F8.

Em 4531E4 eu tenho a instrução MOV EDX,[EBP-4] , essa instrução move o conteúdo armazenado em 16F620 para EDX que é a senha para nosso nome (em BASE64) , essa instrução é importante pra nós por isso vamos usá-la mais adiante.

Na linha seguinte temos uma Call zera nossos registros , logo após um JNZ que nos joga na mensagem de erro, aqui vemos a estrutura da nossa MessageBox , nós também vamos altera-la para ficar com um aspecto melhor:

453203 PUSH 10                        Style   MB_OK
453205 MOV ECX,0045330C   Title    "Tente Novamente"
45320A MOV EDX,00453324   Text    "Valores Incorretos !"

Bem é essas três estruturas que iremos modificar , o nosso style de janela , o title e o text que vai ser nosso valor correto para o nome , depois dessa pequena analise vamos voltar a executar o programa e perceber que a CALL que vem depois de 4531E4 limpa nossos registros , se irmos ao dump e digitar o endereço 16F620 vamos notar que mesmo essa CALL tendo limpado nossos registros , ainda temos o nosso serial guardado na memória , então poderemos fazer referência por esse endereço , mas não especificamente ele porque em outros casos o programa pode altenar de endereço ao guardar esse conteúdo , então vamos gerar vicios bons, vamos usar a operação de MOV EDX,[EBP-4] já que mesmo depois desse CALL nosso EBP não é limpo.

Bem já que não vamos acertar de primeira mesmo vamos usar o JNZ que há em 4531EC para nos jogar para um code cave , eu por exemplo usei o endereço 4535E1 e 4535E4 , respectivamente para injetar o serial em EDX e pular novamente pra rotina , para exemplificar melhor :

Então no meu ficou assim :

4531EC     JMP 4535E1
453203     PUSH 30
453205     MOV ECX,4532F0
45320A     MOV EDX,EDX
4535E1     MOV EDX,[EBP-4]
4535E4     JMP 453203

Agora é só pegar o OFFSET dos endereços e modificar pelos bytes correspondentes , como essa parte é muito chata e exige muita atenção coisa que não tenho muito (conheço alguém que ira discordar) , eu já fiz pra vocês e apliquei em um source para "patchear" escrito em C :

#include <stdio.h> 
#define name "gg.exe"

  void patchr(long int offset,int byte)
 {
     FILE *arquivo;
     arquivo=fopen(name,"rb+");
     fseek (arquivo,offset,SEEK_CUR);
     fprintf(arquivo,"%c",byte);
     fclose(arquivo);

 } 

 main()
 {  
 
       patchr(0x525EC,0xE9);patchr(0x529E4,0xE9);
       patchr(0x525ED,0xF0);patchr(0x52606,0xF0);
       patchr(0x525EE,0x03);
       patchr(0x525EF,0x00);patchr(0x525F0,0x00);
       patchr(0x52604,0x30);
       patchr(0x52607,0x32);
       patchr(0x5260A,0x8B);patchr(0x529E1,0x8B);
       patchr(0x5260B,0xD2);
       patchr(0x529E2,0x55);
       patchr(0x529E3,0xFC);patchr(0x529E6,0xFC);
       patchr(0x529E5,0x1A);
       patchr(0x529E7,0xFF);patchr(0x529E8,0xFF);

  
       return 0; 
 } 

Abaixo o link com o alvo , o meu script para calcular o OFFSET e o source em C , e espero que tenham entendido

http://gustavosh.110mb.com/sources/injectc.zip

Lendo Emails com o Telnet

Primeiramente você tem que saber qual é o endereço pop do seu servidor de email o qual eu estarei usando será o servidor pop da bol
primeiramente saiba a porta e o endereço pop o da bol é pop3.bol.com.br e a porta é 110.
mas, antes vc tera que executar o pompt de comando vc tera que ir no iniciar executar e digitar cmd com o cmd já aberto
digite telnet ( O comando telnet é para o prompt de comando ter a fererencia pelo telnet) ai dps digite o endereço pop e porta
do servidor do email o da bol é pop3.bol.com.br e a porta é 110 de enter ai digitar a endereço e porta



Leia Mais ...

ao todo ficará telnet pop3.bol.com.br 110
ai quando vc der enter aparecerá +OK POP server ready ai dps tu digitará
user: (aqui ficará o seu usuario)mas, não coloque o @bol.com.br deixe só oque vem antes e de enter na senha digite
pass: (aqui ficará a sua senha)
no meu caso fica

user: erick.teste
pass: teste...

e de enter ai aparecerá ao total na janela

+OK POP server ready.
user: erick.teste
OK Passoword requiride for erick.teste@bol.com.br
pass: teste1...+OK mailbox ready.

ai os comandos para ver quantos emails tem na sua caixa de menssagens sera list esse sera o comando
para se ver os email recebidos, ai aparecerá +OK scan listing follows
e abaixo os emails
nos emails tera a numeração e ao lado é o tamanho dos emails para ver os emails vc tera que mandar o comando
rert e mais o numero do email para mim no meu email se aplica
rert 1
e de enter aparecera um monte de coisas mais abaixo mas, o email mesmo que a pessoa te enviou vira acima de uma
grande linda por exemplo
_______________________________________________________________________________________________________

acima dessa linha sera o email mais não se engane tem uma diferença de espaço para a parte superior do email com os dados
da pessoa que te mandou e com o email nesses dados tera o email do remetente

Fim de mais um tutorial de Telnet

Oque é Telnet

Telnet é um protocolo Cliente-servidor usado para comunicações.
Uma especie de chat entre dois computadores ( Exemplo Do filme "Hackers Piratas de Computadores )
ligados numa rede, baseados em TCP
( Transmission Control Protoco traduzindo Controle de Envio de Protocolo. )
Antes de exitir os chats em IRC ( Internet Relé Chat ) o Telnet já permitia este gênero de funções.


Leia Mais ...

O protocolo Telnet também permite obter um acesso remoto a um computador.
O Telnet vem sendo substituido pelo SSH ( Escudo de segurança ).
Acho uma besteira trocar o telnet porque todo mundo que quer entrar no mundo hacking, pelo menos deve saber o basico de telnet mais voltando....
o SSH ele é criptografado antes de ser enviado para a pessoa a medida que os administradores de sistemas vão tndo maiores preocupações de segurança
Com o Telnet Todas as comunicações entre cliente e o servidorpara ser vistas inclusive SENHAS
já que são somente textos planos permitidos assim que com o uso de "port-stealing" intercepte a conexão e seus pacotes, fazendo hijacking ( Codigos maliciosos)


Bom os codigos são alguns deles


c - close fecha a conexão atual
d - display exibe parâmetros operacionais
o - open hostname [port] conecta a um nome de host (padrão porta 23).
q - quit encerra o telnet
set - set define opções (digite 'set ?' para listas)
sen - send envia seqüências de caracteres ao servidor
st - status imprime informações de status
u - unset anula definições de opções (digite 'unset ?' para listas)
?/h - help imprime informações de ajuda

Configurando o cFosSpeed

Olá pessoal, vou mostra um programa aqui, que alguns já devem conhecer. É o cFosSpeed. Achei ele quando buscava por algum programa que acelerasse a conexão com a internet. Ele me ajudou com o ping do counter strike, um pouco na taxa de download e um pokinho na taxa de upload. Então achei bom ta postando aqui como configura-lo!

Vamos la!

Leia Mais ...

Após instalado, ele vai ficar ao lado do relógio vãos até la com o botão direito do mouse e navegar até OPÇOES > CONFIGURAÇÕES.

http://img34.picoodle.com/img/img34/3/12/25/f_01m_2562062.jpg

DENTRO DE PREFERENCIAS.

Agora temos que especificar o nosso tipo de conexão.

http://img19.picoodle.com/img/img19/3/12/25/f_02m_2df77f6.jpg

No meu caso é a terceira opção pois a internet é compartilhada mais só em um tenho o programa instalado!

Nas opções abaixo marque todas, como na imagem abaixo!

http://img32.picoodle.com/img/img32/3/12/25/f_03m_df52991.jpg

DENTRO DE PROTOCOLOS.

Na aba especial, coloque tudo em “muita alta” como na imagem abaixo:

http://img26.picoodle.com/img/img26/3/12/25/f_04m_c73a179.jpg

OBS: Antes de trocar de uma aba pra outra, tem que clicar em “salvar protocolos”.

Na aba protocolos dos clientes coloque tudo em “muito alta”.

Na aba mídia e transmissão contínua coloque tudo em “muito alta”.

Na aba protocolos de servidor coloque tudo em “muito alta”.

Na aba compartilhamentos de arquivos deixe como a imagem abaixo:

http://img26.picoodle.com/img/img26/3/12/27/f_05m_fc221fa.jpg

EM PROGRAMAS.

Na aba voz-sobre-ip deixe TEAMSPEAK e XFIRE em normal.

Na aba jogos deixe +/- como os destaques da imagem abaixo:

http://img37.picoodle.com/img/img37/3/12/27/f_06m_4da98b3.jpg

Na aba compartilhamento de arquivos, coloque em “muito baixa” os programas que estão ali e que você não usam, ex: ABC TORRENT. So coloque em “muito alta” os programas que você usa, seja ele limewere, emule, bitcomed, utorrent etc.. Lembrando que você pode também inserir um programa que não tenha ali!

Através do menu dele la embaixo perto do relógio você pode escolher entre habilita e desabilitar modelagem de tráfego.

Agora os resultados do que eu testei:

Ele habilitado ajuda a navegar mais rápido na net, mesmo que seja pouca coisa.

Ajudou no ping do counter strike

Ajudou a aumentar a taxa de download pelo Firefox

Ele desabilitado.

Ajudou um pouco na taxa de upload, e download pelo limewere!

Sempre que for download teste ele habilitado e desabilitado, você vai achar o modo certo!

Eu pessoalmente recomendo ele Habilitado para Down. E Desabilitado para Up.

Espero que gostem!

Envie um tutorial para gente!

Ajude o site, envie um tutorial para gente! Iremos analisar seu tutorial e publica-lo no site, com os seus devidos créditos. Se você já ajuda o site mandando tutoriais, e quer fazer parte da equipe, entre em contato!