Forensics in Spanish
Archivos sospechosos en el sistema. Jan 16 2007 02:42PM
LaLo (gonza_lol hotmail com) (3 replies)
RE: Archivos sospechosos en el sistema. Jan 16 2007 05:35PM
Alaminos, Rodrigo \(ES - Madrid\) (ralaminos pmsaie com) (1 replies)
Ola Gonzalo.

Puedes probar REGMON (monitoriza los accesos de los procesos al registro) y FILMON (monitoriza el acceso y la escritura en los discos)
Estas herramientas las puede encontrar aquí:

http://www.microsoft.com/technet/sysinternals/systeminformationutilities
.mspx

Un saludo.
Rodrigo.

________________________________

From: listbounce (at) securityfocus (dot) com [email concealed] [mailto:listbounce (at) securityfocus (dot) com [email concealed]] On Behalf Of LaLo
Sent: martes, 16 de enero de 2007 15:42
To: forensics-es (at) securityfocus (dot) com [email concealed]
Subject: Archivos sospechosos en el sistema.

Buenos días.

Ayer sufrí una infección en mi sistema de lo que seguramente sea algún tipo de virus... digo esto ya que pasó desapercibido para el Antivirus.. y no logro encontrar información a cerca de este tipo de infección.

No me queda más remedio que, utilizando otro equipo, infectarlo de nuevo para poder ver que es lo que hace exactamente este "virus".

Es por esto que os quería consultar si sabéis de alguna aplicación que me permita monitorizar la ejecución de la aplicación, o bien monitorizar el sistema... para así saber si crea archivos, si añade claves al registro o crea algún tipo de servicio.

Se aceptan sugerencias!

Por cierto, el S.O. que fue infectado fue Windows XP.

Gracias de antemano.

Un saludo, ^LaLo^.
--------------------------------------------------------

ADVERTENCIA LEGAL

Le informamos, como destinatario de este mensaje, que el correo electrónico y las comunicaciones por medio de Internet no permiten asegurar ni garantizar la confidencialidad de los mensajes transmitidos, así como tampoco su integridad o su correcta recepción, por lo que el emisor no asume responsabilidad alguna por tales circunstancias. Si no consintiese en la utilización del correo electrónico o de las comunicaciones vía Internet le rogamos nos lo comunique y ponga en nuestro conocimiento de manera inmediata.

Este mensaje va dirigido, de manera exclusiva, a su destinatario y contiene información confidencial y sujeta al secreto profesional, cuya divulgación no está permitida por la ley. En caso de haber recibido este mensaje por error, le rogamos que, de forma inmediata, nos lo comunique mediante correo electrónico remitido a nuestra atención o a través del teléfono (+ 34) 91 514 50 00 y proceda a su eliminación, así como a la de cualquier documento adjunto al mismo. Asimismo, le comunicamos que la distribución, copia o utilización de este mensaje, o de cualquier documento adjunto al mismo, cualquiera que fuera su finalidad, están prohibidas por la ley.

--------------------------------------------------------

PRIVILEGED AND CONFIDENTIAL

We hereby inform you, as addressee of this message, that e-mail and Internet do not guarantee the confidentiality, nor the completeness or proper reception of the messages sent and, thus, the sender does not assume any liability for those circumstances. Should you not agree to the use of e-mail or to communications via Internet, you are kindly requested to notify us immediately.

This message is intended exclusively for the person to whom it is addressed and contains privileged and confidential information protected from disclosure by law. If you are not the addressee indicated in this message, you should immediately delete it and any attachments and notify the sender by reply e-mail or by phone (+ 34 91 514 50 00). In such case, you are hereby notified that any dissemination, distribution, copying or use of this message or any attachments, for any purpose, is strictly prohibited by law.
<HTML >
<HEAD>
<META http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

<META content="MSHTML 6.00.5730.11" name=GENERATOR>
<STYLE>@page Section1 {size: 595.3pt 841.9pt; margin: 70.85pt 3.0cm 70.85pt 3.0cm; }
P.MsoNormal {
FONT-SIZE: 12pt; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Times New Roman"
}
LI.MsoNormal {
FONT-SIZE: 12pt; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Times New Roman"
}
DIV.MsoNormal {
FONT-SIZE: 12pt; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Times New Roman"
}
A:link {
COLOR: blue; TEXT-DECORATION: underline
}
SPAN.MsoHyperlink {
COLOR: blue; TEXT-DECORATION: underline
}
A:visited {
COLOR: purple; TEXT-DECORATION: underline
}
SPAN.MsoHyperlinkFollowed {
COLOR: purple; TEXT-DECORATION: underline
}
SPAN.EstiloCorreo17 {
COLOR: windowtext; FONT-FAMILY: Arial; mso-style-type: personal-compose
}
DIV.Section1 {
page: Section1
}
</STYLE>
</HEAD>
<BODY lang=ES vLink=purple link=blue>
<DIV>
<DIV>
<DIV dir=ltr align=left><FONT face=Tahoma color=#000080 size=2><SPAN
class=661153217-16012007>Ola Gonzalo.</SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Tahoma color=#000080 size=2><SPAN
class=661153217-16012007></SPAN></FONT> </DIV>
<DIV dir=ltr align=left><FONT face=Tahoma color=#000080 size=2><SPAN
class=661153217-16012007>Puedes probar REGMON (monitoriza los accesos de
los procesos al registro) y FILMON (monitoriza el acceso y la escritura en
los discos) </SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Tahoma color=#000080 size=2><SPAN
class=661153217-16012007>Estas herramientas las puede encontrar
aquí:</SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Tahoma color=#000080 size=2><SPAN
class=661153217-16012007></SPAN></FONT> </DIV>
<DIV dir=ltr align=left><FONT face=Tahoma color=#000080 size=2><SPAN
class=661153217-16012007><A
href="http://www.microsoft.com/technet/sysinternals/systeminformationuti
lities.mspx">http://www.microsoft.com/technet/sysinternals/systeminforma
tionutilities.mspx</A></SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Tahoma color=#000080 size=2><SPAN
class=661153217-16012007></SPAN></FONT> </DIV>
<DIV dir=ltr align=left><FONT face=Tahoma color=#000080 size=2><SPAN
class=661153217-16012007>Un saludo.</SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Tahoma color=#000080 size=2><SPAN
class=661153217-16012007>Rodrigo.</SPAN></FONT></DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> listbounce (at) securityfocus (dot) com [email concealed]
[mailto:listbounce (at) securityfocus (dot) com [email concealed]] <B>On Behalf Of </B>LaLo<BR><B>Sent:</B>
martes, 16 de enero de 2007 15:42<BR><B>To:</B>
forensics-es (at) securityfocus (dot) com [email concealed]<BR><B>Subject:</B> Archivos sospechosos en el
sistema.<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV class=Section1>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Buenos
días.<o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Ayer sufrí una infección en mi
sistema de lo que seguramente sea algún tipo de virus… digo esto ya que pasó
desapercibido para el Antivirus.. y no logro encontrar información a cerca de
este tipo de infección.<o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">No me queda más remedio que,
utilizando otro equipo, infectarlo de nuevo para poder ver que es lo que hace
exactamente este “virus”.<o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Es por esto que os quería consultar
si sabéis de alguna aplicación que me permita monitorizar la ejecución de la
aplicación, o bien monitorizar el sistema… para así saber si crea archivos, si
añade claves al registro o crea algún tipo de
servicio.<o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Se aceptan
sugerencias!<o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Por cierto, el S.O. que fue
infectado fue Windows XP.<o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Gracias de
antemano.<o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Un saludo,
^LaLo^.<o:p></o:p></SPAN></FONT></P>
<P class=MsoNormal><FONT face=Arial size=2><SPAN
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P></DIV></DIV>
<FONT FACE="Verdana" SIZE="1">
<FONT COLOR="navy">
<DIV STYLE="FONT-SIZE: 9pt; FONT-FAMILY: Courier New">
<HR STYLE="WIDTH: 734px; HEIGHT: 2px" SIZE="2">
</DIV>
<DIV STYLE="FONT-SIZE: 9pt; FONT-FAMILY: Courier New">           &
nbsp;           &
nbsp;           &
nbsp;       <STRONG><FONT FACE="Verdana" SIZE="1">ADVERTENCIA LEGAL</FONT></STRONG>  <BR><BR>Le informamos, como destinatario de este mensaje, que el correo electrónico y las comunicaciones por medio de Internet no permiten asegurar ni garantizar la confidencialidad de los mensajes transmitidos, así como tampoco su integridad o su correcta recepción, por lo que el emisor no asume responsabilidad alguna por tales circunstancias. Si no consintiese en la utilización del correo electrónico o de las comunicaciones vía Internet le rogamos nos lo comunique y ponga en nuestro conocimiento de manera inmediata. <BR><BR>Este mensaje va dirigido, de manera exclusiva, a su destinatario y contiene información confidencial y sujeta al secreto profesional, cuya divulgación no está permitida por la ley. En caso de haber recibido este mensaje por error, le rogamos que, de forma inmediata, nos lo comunique mediante correo electrónico remitido a nuestra atención o a través del teléfono (+ 34) 91 514 50 00 y proceda a su eliminación, así como a la de cualquier documento adjunto al mismo. Asimismo, le comunicamos que la distribución, copia o utilización de este mensaje, o de cualquier documento adjunto al mismo, cualquiera que fuera su finalidad, están prohibidas por la ley. <BR><BR></DIV>
<DIV STYLE="FONT-SIZE: 9pt; FONT-FAMILY: Courier New">
<HR STYLE="WIDTH: 746px; HEIGHT: 2px" SIZE="2">
</DIV>
<DIV STYLE="FONT-SIZE: 9pt; FONT-FAMILY: Courier New">           &
nbsp;           &
nbsp;           &
nbsp;    <FONT FACE="Verdana" SIZE="1"><STRONG>PRIVILEGED AND CONFIDENTIAL</STRONG> </FONT>
</DIV>
<DIV STYLE="FONT-SIZE: 9pt; FONT-FAMILY: Courier New"> <BR>We hereby inform you, as addressee of this message, that e-mail and Internet do not guarantee the confidentiality, nor the completeness or proper reception of the messages sent and, thus, the sender does not assume any liability for those circumstances. Should you not agree to the use of e-mail or to communications via Internet, you are kindly requested to notify us immediately. <BR><BR>This message is intended exclusively for the person to whom it is addressed and contains privileged and confidential information protected from disclosure by law. If you are not the addressee indicated in this message, you should immediately delete it and any attachments and notify the sender by reply e-mail or by phone (+ 34 91 514 50 00). In such case, you are hereby notified that any dissemination, distribution, copying or use of this message or any attachments, for any purpose, is strictly prohibited by law.</DIV>
</FONT>
</FONT>
</DIV></BODY></HTML>

[ reply ]
Re: Archivos sospechosos en el sistema. Jan 16 2007 08:26PM
Gonzalo Asensio Asensio (gonzalo seguridadeninternet es)
RE: Archivos sospechosos en el sistema. Jan 16 2007 05:35PM
Gustavo Donayre (gdonayre IPEN GOB PE)
Re: Archivos sospechosos en el sistema. Jan 16 2007 05:23PM
Alonso Caballero Quezada / ReYDeS (reydes gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus