Forensics in Spanish
Archivos sospechosos en el sistema. Jan 16 2007 02:42PM
LaLo (gonza_lol hotmail com) (3 replies)
RE: Archivos sospechosos en el sistema. Jan 16 2007 05:35PM
Alaminos, Rodrigo \(ES - Madrid\) (ralaminos pmsaie com) (1 replies)
Re: Archivos sospechosos en el sistema. Jan 16 2007 08:26PM
Gonzalo Asensio Asensio (gonzalo seguridadeninternet es)
Hola a todos,

Si la verdad que estoy con Rodrigo (ambas herramientas que propone) son muy
útiles no solo para estudiar el comportamiento de un fichero anómalo, sino
que son validas para sacar fallos en software legitimo.

Independientemente del control sobre el fichero, no es mala idea que lo
hagas o bien en una máquina virtual o en un entorno sandbox (existen
diferentes aplicaciones para windows como por ejemplo;
http://www.sandboxie.com/ )

Ahora bien, si quieres tener un control sobre tu sistema sin necesidad de
estar pendiente de herramientas especificas y sobre ficheros específicos,
(es decir controlar y monitorizar todo el sistema para evitar cualquier
imprevisto), te recomiendo un HIDS, en este caso conozco uno gratuito para
Windows llamado Patriot http://www.security-projects.com/?Patriot además de
ser un IDS que te alerta de muchas cosas, también actúa en algunos casos
como IPS permitiéndote remediar la infección.

Un saludo y espero que te sirva!!
Gonzalo

El día 16/01/07, Alaminos, Rodrigo (ES - Madrid) <ralaminos (at) pmsaie (dot) com [email concealed]>
escribió:
>
> Ola Gonzalo.
>
> Puedes probar REGMON (monitoriza los accesos de los procesos al registro)
> y FILMON (monitoriza el acceso y la escritura en los discos)
> Estas herramientas las puede encontrar aquí:
>
>
> http://www.microsoft.com/technet/sysinternals/systeminformationutilities
.mspx
>
> Un saludo.
> Rodrigo.
>
> ------------------------------
> *From:* listbounce (at) securityfocus (dot) com [email concealed] [mailto:listbounce (at) securityfocus (dot) com [email concealed]]
> *On Behalf Of *LaLo
> *Sent:* martes, 16 de enero de 2007 15:42
> *To:* forensics-es (at) securityfocus (dot) com [email concealed]
> *Subject:* Archivos sospechosos en el sistema.
>
> Buenos días.
>
>
>
> Ayer sufrí una infección en mi sistema de lo que seguramente sea algún
> tipo de virus? digo esto ya que pasó desapercibido para el Antivirus.. y no
> logro encontrar información a cerca de este tipo de infección.
>
>
>
> No me queda más remedio que, utilizando otro equipo, infectarlo de nuevo
> para poder ver que es lo que hace exactamente este "virus".
>
>
>
> Es por esto que os quería consultar si sabéis de alguna aplicación que me
> permita monitorizar la ejecución de la aplicación, o bien monitorizar el
> sistema? para así saber si crea archivos, si añade claves al registro o crea
> algún tipo de servicio.
>
>
>
>
>
> Se aceptan sugerencias!
>
>
>
> Por cierto, el S.O. que fue infectado fue Windows XP.
>
>
>
>
>
> Gracias de antemano.
>
>
>
>
>
>
>
> Un saludo, ^LaLo^.
>
>
> ------------------------------
> *ADVERTENCIA LEGAL*
>
> Le informamos, como destinatario de este mensaje, que el correo
> electrónico y las comunicaciones por medio de Internet no permiten asegurar
> ni garantizar la confidencialidad de los mensajes transmitidos, así como
> tampoco su integridad o su correcta recepción, por lo que el emisor no asume
> responsabilidad alguna por tales circunstancias. Si no consintiese en la
> utilización del correo electrónico o de las comunicaciones vía Internet le
> rogamos nos lo comunique y ponga en nuestro conocimiento de manera
> inmediata.
>
> Este mensaje va dirigido, de manera exclusiva, a su destinatario y
> contiene información confidencial y sujeta al secreto profesional, cuya
> divulgación no está permitida por la ley. En caso de haber recibido este
> mensaje por error, le rogamos que, de forma inmediata, nos lo comunique
> mediante correo electrónico remitido a nuestra atención o a través del
> teléfono (+ 34) 91 514 50 00 y proceda a su eliminación, así como a la de
> cualquier documento adjunto al mismo. Asimismo, le comunicamos que la
> distribución, copia o utilización de este mensaje, o de cualquier documento
> adjunto al mismo, cualquiera que fuera su finalidad, están prohibidas por la
> ley.
>
> ------------------------------
> *PRIVILEGED AND CONFIDENTIAL*
>
> We hereby inform you, as addressee of this message, that e-mail and
> Internet do not guarantee the confidentiality, nor the completeness or
> proper reception of the messages sent and, thus, the sender does not assume
> any liability for those circumstances. Should you not agree to the use of
> e-mail or to communications via Internet, you are kindly requested to notify
> us immediately.
>
> This message is intended exclusively for the person to whom it is
> addressed and contains privileged and confidential information protected
> from disclosure by law. If you are not the addressee indicated in this
> message, you should immediately delete it and any attachments and notify the
> sender by reply e-mail or by phone (+ 34 91 514 50 00). In such case, you
> are hereby notified that any dissemination, distribution, copying or use of
> this message or any attachments, for any purpose, is strictly prohibited by
> law.
>

--
Gonzalo Asensio Asensio
Analista de Seguridad Informática (IT-Deusto)
Jefe de Proyecto en Telefónica de España
Tlf:+34 91 456 7717 Móvil: 659 43 43 33
E-mail:gonzalo (at) seguridadeninternet (dot) es [email concealed]
Web: www.seguridadeninternet.es
Hola a todos,<br><br>Si la verdad que estoy con Rodrigo (ambas herramientas que propone) son muy útiles no solo para estudiar el comportamiento de un fichero anómalo, sino que son validas para sacar fallos en software legitimo.
<br><br>Independientemente del control sobre el fichero, no es mala idea que lo hagas o bien en una máquina virtual o en un entorno sandbox (existen diferentes aplicaciones para windows como por ejemplo; <a href="http://www.sandboxie.com/">
http://www.sandboxie.com/</a> )<br><br>Ahora bien, si quieres tener un control sobre tu sistema sin necesidad de estar pendiente de herramientas especificas y sobre ficheros específicos, (es decir controlar y monitorizar todo el sistema para evitar cualquier imprevisto), te recomiendo un HIDS, en este caso conozco uno gratuito para Windows llamado Patriot
<a href="http://www.security-projects.com/?Patriot">http://www.security-pro
jects.com/?Patriot</a> además de ser un IDS que te alerta de muchas cosas, también actúa en algunos casos como IPS permitiéndote remediar la infección.
<br><br><br>Un saludo y espero que te sirva!!<br>Gonzalo<br><br><div><span class="gmail_quote">El día 16/01/07, <b class="gmail_sendername">Alaminos, Rodrigo (ES - Madrid)</b> <<a href="mailto:ralaminos (at) pmsaie (dot) com [email concealed]">ralaminos (at) pmsaie (dot) com [email concealed]
</a>> escribió:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

<div vlink="purple" link="blue" lang="ES">
<div>
<div>
<div dir="ltr" align="left"><font color="#000080" face="Tahoma" size="2"><span>Ola Gonzalo.</span></font></div>
<div dir="ltr" align="left"><font color="#000080" face="Tahoma" size="2"><span></span></font> </div>
<div dir="ltr" align="left"><font color="#000080" face="Tahoma" size="2"><span>Puedes probar REGMON (monitoriza los accesos de
los procesos al registro) y FILMON (monitoriza el acceso y la escritura en
los discos) </span></font></div>
<div dir="ltr" align="left"><font color="#000080" face="Tahoma" size="2"><span>Estas herramientas las puede encontrar
aquí:</span></font></div>
<div dir="ltr" align="left"><font color="#000080" face="Tahoma" size="2"><span></span></font> </div>
<div dir="ltr" align="left"><font color="#000080" face="Tahoma" size="2"><span><a href="http://www.microsoft.com/technet/sysinternals/systeminformationuti
lities.mspx" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
http://www.microsoft.com/technet/sysinternals/systeminformationutilities
.mspx</a></span></font></div>
<div dir="ltr" align="left"><font color="#000080" face="Tahoma" size="2"><span></span></font> </div>
<div dir="ltr" align="left"><font color="#000080" face="Tahoma" size="2"><span>Un saludo.</span></font></div>
<div dir="ltr" align="left"><font color="#000080" face="Tahoma" size="2"><span>Rodrigo.</span></font></div><br>
<div dir="ltr" align="left" lang="en-us">
<hr>
<font face="Tahoma" size="2"><span class="q"><b>From:</b> <a href="mailto:listbounce (at) securityfocus (dot) com [email concealed]" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">listbounce (at) securityfocus (dot) com [email concealed]</a>
[mailto:<a href="mailto:listbounce (at) securityfocus (dot) com [email concealed]" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">listbounce (at) securityfocus (dot) com [email concealed]</a>]
<b>On Behalf Of </b>LaLo<br></span><b>Sent:</b>
martes, 16 de enero de 2007 15:42<span class="q"><br><b>To:</b>
<a href="mailto:forensics-es (at) securityfocus (dot) com [email concealed]" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">forensics-es (at) securityfocus (dot) com [email concealed]</a
><br><b>Subject:</b> Archivos sospechosos en el
sistema.<br></span></font><br></div>
<div></div>
<div>
<div><span class="e" id="q_1102c75bbb519fe8_5"><p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;">Buenos
días.</span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;"> </span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;">Ayer sufrí una infección en mi
sistema de lo que seguramente sea algún tipo de virus? digo esto ya que pasó
desapercibido para el Antivirus.. y no logro encontrar información a cerca de
este tipo de infección.</span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;"> </span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;">No me queda más remedio que,
utilizando otro equipo, infectarlo de nuevo para poder ver que es lo que hace
exactamente este "virus".</span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;"> </span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;">Es por esto que os quería consultar
si sabéis de alguna aplicación que me permita monitorizar la ejecución de la
aplicación, o bien monitorizar el sistema? para así saber si crea archivos, si
añade claves al registro o crea algún tipo de
servicio.</span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;"> </span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;"> </span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;">Se aceptan
sugerencias!</span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;"> </span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;">Por cierto, el S.O. que fue
infectado fue Windows XP.</span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;"> </span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;"> </span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;">Gracias de
antemano.</span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;"> </span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;"> </span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;"> </span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;">Un saludo,
^LaLo^.</span></font></p>
<p><font face="Arial" size="2"><span style="font-size: 10pt; font-family: Arial;"> </span></font></p></span></div></div></div>
<font face="Verdana" size="1">
<font color="navy">
</font></font><div style="font-size: 9pt; font-family: Courier New;">
<hr style="width: 734px;" size="2">
</div>
<div style="font-size: 9pt; font-family: Courier New;"><font face="Verdana" size="1"><font color="navy">          
;            
;            
;         <strong><font face="Verdana" size="1">ADVERTENCIA LEGAL</font></strong> 
<br><br>Le informamos, como destinatario de este mensaje, que el correo electrónico y las comunicaciones por medio de Internet no permiten asegurar ni garantizar la confidencialidad de los mensajes transmitidos, así como tampoco su integridad o su correcta recepción, por lo que el emisor no asume responsabilidad alguna por tales circunstancias. Si no consintiese en la utilización del correo electrónico o de las comunicaciones vía Internet le rogamos nos lo comunique y ponga en nuestro conocimiento de manera inmediata.
<br><br>Este mensaje va dirigido, de manera exclusiva, a su destinatario y contiene información confidencial y sujeta al secreto profesional, cuya divulgación no está permitida por la ley. En caso de haber recibido este mensaje por error, le rogamos que, de forma inmediata, nos lo comunique mediante correo electrónico remitido a nuestra atención o a través del teléfono (+ 34) 91 514 50 00 y proceda a su eliminación, así como a la de cualquier documento adjunto al mismo. Asimismo, le comunicamos que la distribución, copia o utilización de este mensaje, o de cualquier documento adjunto al mismo, cualquiera que fuera su finalidad, están prohibidas por la ley. 
<br><br></font></font></div>
<div style="font-size: 9pt; font-family: Courier New;">
<hr style="width: 746px;" size="2">
</div>
<div style="font-size: 9pt; font-family: Courier New;"><font face="Verdana" size="1"><font color="navy">          
;            
;            
;      <font face="Verdana" size="1"><strong>PRIVILEGED AND CONFIDENTIAL</strong> </font>

</font></font></div>
<div style="font-size: 9pt; font-family: Courier New;"><font face="Verdana" size="1"><font color="navy"> <br>We hereby inform you, as addressee of this message, that e-mail and Internet do not guarantee the confidentiality, nor the completeness or proper reception of the messages sent and, thus, the sender does not assume any liability for those circumstances. Should you not agree to the use of e-mail or to communications via Internet, you are kindly requested to notify us immediately.
<br><br>This message is intended exclusively for the person to whom it is addressed and contains privileged and confidential information protected from disclosure by law. If you are not the addressee indicated in this message, you should immediately delete it and any attachments and notify the sender by reply e-mail or by phone (+ 34 91 514 50 00). In such case, you are hereby notified that any dissemination, distribution, copying or use of this message or any attachments, for any purpose, is strictly prohibited by law.
</font></font></div>

</div></div>

</blockquote></div><br><br clear="all"><br>-- <br>Gonzalo Asensio Asensio<br>Analista de Seguridad Informática (IT-Deusto)<br>Jefe de Proyecto en Telefónica de España<br>Tlf:+34 91 456 7717 Móvil: 659 43 43 33<br><a href="mailto:E-mail:gonzalo (at) seguridadeninternet (dot) es [email concealed]">
E-mail:gonzalo (at) seguridadeninternet (dot) es [email concealed]</a><br>Web: <a href="http://www.seguridadeninternet.es">www.seguridadeninternet.es</a>

[ reply ]
RE: Archivos sospechosos en el sistema. Jan 16 2007 05:35PM
Gustavo Donayre (gdonayre IPEN GOB PE)
Re: Archivos sospechosos en el sistema. Jan 16 2007 05:23PM
Alonso Caballero Quezada / ReYDeS (reydes gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus