Este documento presenta información sobre cómo detectar y prevenir infecciones de malware en un equipo. Explica señales comunes de infección como nuevos elementos en el navegador, cambios en la página de inicio o búsqueda, mensajes emergentes o un rendimiento más lento. También proporciona consejos sobre mantener software antivirus y antimalware actualizado para proteger los equipos.

1. El Mundo de Dinosaurio
http://world-of-dino.blogspot.com/
Jhon Jairo Hernández Hernández
Nickname: Dinosaurio – Dino @d7n0
d7n0s4ur70@gmail.com
Compulink_ltda@hotmail.com
http://world-of-dino.blogspot.com

7. Cómo saber si el equipo está infectado por software
malintencionado???
• Observa nuevas barras de herramientas, vínculos o favoritos que
no haya agregado intencionadamente a su explorador web.
• Su página principal, el puntero del mouse o el programa de
búsqueda cambia de forma inesperada.
• Escribe la dirección de un sitio concreto, como un motor de
búsqueda, pero se le dirige a otro sitio web sin previo aviso.
• Los archivos se eliminan automáticamente del equipo.
• Su equipo se emplea para atacar a otros equipos.
• Ve anuncios emergentes aunque no esté en Internet.
• Su equipo de repente comienza a funcionar más lento de lo
habitual.

8. Cómo saber si el equipo está infectado por software
malintencionado???
• De pronto se muestran mensajes o imágenes inesperados se
reproducen sonidos o música inusuales de forma aleatoria.
• El lector de CD-ROM se abre y se cierra de forma misteriosa
los programas se inician de pronto en su ordenador .
• Su cortafuegos le informa de que algunas aplicaciones
intentan conectarse a Internet, aunque usted no las haya iniciado.
• Sus amigos mencionan que han recibido mensajes desde su
dirección, y usted está seguro de no que usted no los ha enviado.
• Su bandeja de entrada contiene muchos mensajes sin la
dirección del remitente o encabezado.

9. Cómo saber si el equipo está infectado por software
malintencionado???
• Su ordenador se paraliza con frecuencia o encuentra
errores.
• Su ordenador se vuelve lento cuando se inician los
programas.
• El sistema operativo no puede cargarse.
• Los archivos y carpetas han sido borrados o su
contenido ha cambiado.
• Su disco duro es accedido con mucha frecuencia.
• Microsoft Internet Explorer se paraliza o funciona de
forma errática.

10. Inteligencia, Sensatez y Prudencia al no dar a
todo Click o Aceptar…….

11. A nivel de software la primera medida de
prevención con que debemos contar es un
buen Kit de Seguridad…….

13. Y si no tienes la certeza de que en realidad estés infectado o alguien ronde por tu
computador, puedes hacer uso de diversas cajas de herramientas para determinar
tu infección.!!

33. /

34. /

35. /

36. /

46. Puesto, que tome la
dirección IP de mi
vecino al vulnerar su
Inalámbrica y Router
para realizar la prueba
de concepto ( Un
delito cometido por
una justa causa de la
manera mas sana
posible) para realizar
este PoC!!!

47. Este es su Router con credenciales por default, para lo cual quien realiza la caza
puede optar por lograr información de credenciales u otra información referente
a los equipos de comunicación.

48.  http://www.phenoelit-us.org/dpl/dpl.html
 http://www.routerpasswords.com/
 http://www.receiverpasswords.com/
 http://www.cirt.net/passwords
 http://www.cyxla.com/passwords/
 http://www.routeripaddress.com/
 http://www.anameless.com/blog/default-passwords.html
 http://www.governmentsecurity.org/articles/default-logins-and-passwords-for-
networked-devices.html

49.  http://www.exploit-db.com/exploits/15753/
 http://secunia.com/advisories/33692/
 http://www.juniper.net/security/auto/vulnerabilities/vuln33556.html
 http://www.emagined.com/securityfocus-advisory/44743/d-link-dir-300-tools-
admin-php-security-bypass-vulnerability
 http://www.dlink.com.au/tech/Download/download.aspx?product=DIR-300
 http://es.scribd.com/doc/18484465/DIR-300-Wireless-Router-Manual
 ftp://ftp.dlinkla.com/pub/drivers/DIR-
300/MANUAL%20EN%20ESPANOL_DIR-300.pdf

50. Shodan es el primer motor de búsqueda de ordenador que te
permite buscar en la Internet para las computadoras. Encontrar
los dispositivos basados ​en, ciudad, país, latitud / longitud
nombre de host del sistema, de operación y propiedad
intelectual

51. SI YA SE QUE EL ROUTER ES DE MI VECINO
COMPROMETIDO POR UN ATACANTE Y SOLO ESTOY
LLEGANDO A LOS EQUIPOS DE MI VECINO!!!!!!!

52. Pero entre el atacante y la victima siempre hay algo en
común !!!!!

53. AUNQUE LA IP CAMBIE O INDEPENDIENTE DEL TIPO DE
CONEXIÓN DEL MALWARE, SIEMPRE HABRA UNA
ITERACCION CONTINUA ENTRE ATACANTE - VICTIMA

54. CREANDO EL GRAN DILEMA ATAQUE O DEFENSA ???

55. Que podemos hacer con el Router al cual accedimos de
nuestro atacante???

56. Que Sigue???

57. Alternativa 1: Lanza un DB_AUTPWN

58. Creando la BD en Postgresql

59. Escaneo con DB_NMAP

60. Escaneo con DB_NMAP

61. Lanzando DB_AUTPWN

62. Lanzando DB_AUTPWN

63. Si tienes Sesiones te invito a leer:
http://world-of-dino.blogspot.com/2011/05/command-shell-
session-1-opened-that-it.html

64. Alternativa 2: Lanza un NEXPOSE_&_DB_AUTPWN

65. Alternativa 2: Cargando y Conectando NEXPOSE_&_DB_AUTPWN

66. Alternativa 2: Cargando y Conectando NEXPOSE_&_DB_AUTPWN

67. Alternativa 3: Usando OpenVAS_&_DB_AUTPWN

68. Alternativa 3: db_import OpenVAS_&_DB_AUTPWN

69. Alternativa 3: Lanzando OpenVAS_&_DB_AUTPWN

73. Dos cosas importantes: Primero Que pasa con los PROXYS??

74. CIRCUITO DE PROXYS TOR / PRIVOXY

75. CIRCUITO DE PROXYS TOR / PRIVOXY

76. CIRCUITO DE PROXYS TOR / PRIVOXY
IP Inicial del Circuito.
Análisis del circuito de Proxy,
permitiendo determinar la IP inicial su
cambio rotativo y retoma de la IP inicial
del atacante para la cual el Cazador
prepara sus scripts o herramientas de
ataque tratando de aprovechar el tiempo
posible antes de cambio de IP y retoma
nuevamente en el circuito el cual el
tiempo es aumentado cada vez.
Si deseas configurar tu TOR en Linux
visita:http://world-of-dino.blogspot.com/2009/06/h0ls-
bueno-en-vista-de-que-tengo-que.html
Retoma de la IP Inicial del Circuito.

77. CRUZAS LA LINEA DELGADA DE LA LEGALIDAD / ILEGALIDAD ??
LEY 1273 DE 2009
http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html

79. CABECERAS DE CORREO

80. CABECERAS DE CORREO

81. CABECERAS DE CORREO

82. CABECERAS DE CORREO

83. CABECERAS DE CORREO

84. CABECERAS DE CORREO

85. PROCESO DE GEOLOCALIZACION (Ya Visto )

89. Q + Podemos Hacer???
http://www.getnotify.com/
http://blog.juanescobar.org/2009/12/captur http://www.readnotify.com/default.asp/from/gle
ador-de-datos-en-php/ rdntfy?gclid=CPKL5oaX2qkCFcTe4AodZU-MXw

90. Interactuar con el usuario de manera amable y
solidaria para lograr mayor información del mismo.

91. Mail falso para replicar el correo haciendo uso de Re@dNotify o Getnotify

92. Correo enviado al atacante con actitud solidaria y apoyo a la gestión que
pretende realizar, con la finalidad de lograr mayor información y analizar
comportamientos de redacción y patrones de escritura.

93. Metadatos tomados de un documento enviado por el atacante con la
herramienta FOCA de Informatica64. También se puede realizar con la
versión libre descargable de FOCA

94. Información que recopila
Re@dNotify

95. Información que recopila y envía a tu correo
Re@dNotify

96. Información más completa (otro seguimiento) que recopila y envía a tu
correo Re@dNotify

97. Información más completa (otro seguimiento) que recopila de un
Documento PDF enviado Re@dNotify

98. De igual forma podemos determinar el servidor de Correo de donde es
enviado (origen) utilizando NMAP (Insecure.org) que permite verificar el
servidor IP: [xxx.xx.xx.110], presentando la siguiente información:
do

99. Plugins de Tracking que puedes activar de Re@dNotify

100. También podemos usar el aporte de nuestro amigo SERVANT de
http://blog.juanescobar.org/

101. Podrias invitarlo a visitar una Web en donde puedas recopilar su
informacion. De que depende de tu astucia, habilidad y perspicacia!!!

102. En donde recopilarías una buena cantidad de Información. El Arte del
Tratamiento de la Estupidez Humana “La Ingeniería Social” será tu mejor
arma:

104. A partir de un dato inicial (correo, usuario, nombre, nickname, Web, etc) se
puede lograr una gran cantidad de información del usuario que este halla
expuesto en la Red, realizando los procesos adecuados de FootPrinting. Tema
que tiene demasiado por tratar o como diríamos coloquialmente “Queda mucha
tela por Cortar” del cual no tenemos mas tiempo para tratar en esta charla, pero
que en próximos artículos escribiré en mi Blog:
http://world-of-dino.blogspot.com/
En un dos articulos tema que estoy preparando:
 “FOOTPRINTIN G EN PROFUNDIDA ”
 “ ANALISIS DE UN ROGUE SOFTWARE"

105. Haciendo uso de diversas herramientas como:

106. Detallen usar FOCA SIN CREAR un PROYECTO una simple búsqueda con sus
opciones por defecto (que también pueden ser modificadas) haciendo uso de
los cuatro buscadores principales en la Red. (No se si informática64 sepa de
esto).

107. Como muestra observemos lo siguiente, sin profundizar en procesos metódicos
de Análisis Web, solo a partir de un dato encontrado posiblemente en la Web de
tu atacante:
Crawling a al sitio Web de tu atacante . Formularios del sitio Web.

108. Se encuentran publicaciones de Investigación de este personaje. Con
información relevante para lograr un acercamiento con él y datos para realizar
mayores búsquedas

109. Sitio Red Social de Windows Live:
Determinar sus Equipos de Trabajo:

110. No puede faltar determinar su perfil profesional y correlacionar la información
obtenida:

111. Determinando sus correos, sitios Web y Otras redes sociales.

112. Información sensible del usuario para contactos, acercamientos y alimentar
diccionarios destinados a fuerza bruta:

113. Contactos del Usuario:

114. Como cosa rara con lo que escribo y quiero preparar siempre se me extiende…..
Enlaces de Interés para lograr información Competitiva Inteligente de un
Objetivo Militar u Atacante:
http://www.peoplesmart.com/
http://www.123people.es/s/katherine+angulo
https://profiles.google.com/katherock11#katherock11/about
http://www.google.com.co/search?hl=es&tbm=mbl&q=dragonjar&aq=f&aqi=g10&a
ql=&oq=
http://whatismyipaddress.com/
http://wink.com/people/nm/KATHERINE%20ANGULO/l/colombia/
http://pipl.com/search/?FirstName=KATHERINE+&LastName=ANGULO&City=Popaya
n&State=&Country=CO&CategoryID=2&Interface=1
http://blogsearch.google.com.co/?tab=Xb
https://picasaweb.google.com/lh/view?hl=es&q=4v4t4r&authuser=0&um=1&ie=UT
F-8&sa=N&tab=wq#
http://www.google.com.co/intl/es/options/
http://groups.google.com/groups/search?hl=es&q=4v4t4r&qt_s=Buscar+en+Grupos
https://docs.google.com/?tab=go&authuser=0&pli=1#advanced-
search/q=4v4t4r&view=0&hidden=1

115. Enlaces de Interés para lograr información Competitiva Inteligente de un
Objetivo Militar u Atacante:
http://co.search.yahoo.com/search;_ylt=Atyb9TzDn8bQzNQ8jbKDm5hm.bt_;_ylc=X1MDMjE0
MzAyNTUxMARfcgMyBGZyA3lmcC10LTcyOARuX2dwcwMwBG9yaWdpbgNjby55YWhvby5jb20E
cXVlcnkDNHY0dDRyBHNhbwMx?vc=&p=4v4t4r&toggle=1&cop=mss&ei=UTF-8&fr=yfp-t-
728#r=fr2%3Dsite%26ei%3DUTF-8%26fr%3Dyfp-t-
728%26p%3D4v4t4r%26vst%3D0%26vs%3Dslideshare.net&rid=refiner4
http://co.search.yahoo.com/search;_ylt=Atyb9TzDn8bQzNQ8jbKDm5hm.bt_;_ylc=X1MDMjE0
MzAyNTUxMARfcgMyBGZyA3lmcC10LTcyOARuX2dwcwMwBG9yaWdpbgNjby55YWhvby5jb20E
cXVlcnkDNHY0dDRyBHNhbwMx?vc=&p=4v4t4r&toggle=1&cop=mss&ei=UTF-8&fr=yfp-t-
728#r=fr2%3Dsite%26ei%3DUTF-8%26fr%3Dyfp-t-
728%26p%3D4v4t4r%26vst%3D0%26vs%3Dtwitter.com&rid=refiner1
http://picasaweb.google.com/4v4t4r
http://twittercounter.com/4v4t4r
http://person.langenberg.com/
http://siri.procuraduria.gov.co/cwebciddno/Consulta.aspx
http://linea.ccb.org.co/TiendaConsultas/tienda/Busqueda.aspx?tipo=zlkvQxSZgjY=
https://servicios.ccc.org.co/renovacion/jsp/index.jsp
http://autoliqweb.ccc.org.co/autoLiquidacionWeb/jsp/index.faces

116. Enlaces de Interes para lograr información Competitiva Inteligente de un
Objetivo Militar u Atacante:
http://serversniff.net/content.php?do=hostonip
http://www.inforapid.de/html/srdownload.htm
http://www.myipneighbors.com/1
http://www.cuwhois.com/search.php?domain=1
http://www.chatox.com/whois/whois.html
http://www.iptools.com/
http://www.yougetsignal.com/
http://www.intodns.com/
http://www.freednsinfo.com/
http://www.dnsenquiry.com/
http://visualroute.visualware.com/
http://www.123people.es/

117. Ah por ultimo, pues contarles lo ya contado, que estoy terminando de trabajar
en el análisis al seguimiento de un Malware AV Rogué (falso antivirus) para
determinar su origen y autores, el cual es un negocio muy lucrativo para sus
creadores, luego les mostrare por que eso daría para otra charla u articulo……