AV/FW Killer - Bagle.JR

El Bagle es uno de los mejores killers que se puede descargar, desactiva los antivirus y partes de seguridad del registro de windows, por ejemplo su Firewall y el Modo a prueba de errores. Muchos lo consideran un virus o troyano, pero no puede ser un virus, y mucho menos un troyano. El Bagle es un KILLER, una herramienta para desactivar la seguridad. En este post yo queria decirles como pueden sacarlo, pero si lo quieren descargar esta aca. No lo subi para que muchos lammers subnormales infecten a cualquiera, y NO ME HAGO RESPONSABLE DE SU USO. Si lo descargan van a ver que ya es detectado a cualquier antivirus, pero sabiendo programar, encriptar archivos sin dañar y modificar las firmas digitales, si se lo puede hacer indetectable, pero en el caso de ser n00b, es muy normal el no creerme y usar el Themida como siempre, puede ser que funcione, pero lo destruye.

CAPITULO 1 - EJECUCIÓN DEL KILLER.
...........................................................................

1. En la siguiente imagen van a ver como es su icono y su nombre predeterminado (Disable Windows XP Firewall 1.0). Quien lo propaga generalmente le pone otro nombre y le cambia el icono predeterminado.



2. En esta otra imagen se puede ver un "boton derecho", lo hise desde mi partición C, pueden ver que tengo muchos antivirus, tengo el SpyBot y el Trojan Remover (descarguenlos que son muy buenos xD). En C tambien tenia el Kaspersky, pero cuando probe ese Bagle me lo elimino y hasta ahora no lo recupero, aunque no tengo interes porque ya estoy usando la partición D. Si estas en modo seguro no se va a ejecutar.



3. Al ejecutarlo sale esto, eso hace que uno crea que es un crackeador de software, pero en realidad no crackea nada, cuando seleccionas algo te marca error, y si pones cancelar no sale nada.



4. Hagas lo que hagas, el servidor siempre va a hacer lo mismo, se va a inyectar a un proceso y va a descargar y ejecutar el Bagle desde un FTP o un Hosting, no se cual es la dirección, pero tarda segundos o minutos en hacerlo.

5. Cuando termine, va a cerrar los procesos de todos los antivirus activos, va a hacer visibles todos sus atributos ocultos, reemplaza algunos archivos importantes de todos los antivirus, y los va a dejar totalmente inútiles. En la siguiente imagen se puede ver que hay dos archivos con el mismo nombre, el avp.exe (kaspersky). Al ejecutarlo sale un mensaje como el de la imagen, y al iniciar Windows el antivirus nisiquiera se inicia.




6. Una vez que el Bagle termine su trabajo, se va a quedar guardado y oculto en System32 y sus subdirectorios, cuando hagas visibles los atributos de esa ubicación, no vas a ver nada, pero el Bagle si esta ahí.


CAPITULO 2 - COMO EVITAR QUE SE DESCARGUE AL SER EJECUTADO.
............................................................................................

1. Como dije antes, el que uno ejecuta suele ser un downloader, el killer esta en un servidor FTP o hosting. Se lo puede evitar con el KAV o KIS 2009. En mi caso es el KIS. Analize todo lo el directorio %programfiles% y %windir%. Encontre el downloader inyectado en la barra de herramientas de google. Si no analizaba nada, sistemas de seguridad muy avanzados como el Kaspersky llegarian a detectarlo cuando este por terminar la descargar y preguntarian por autorizar o bloquear al servidor.



2. Al ejecutarlo en mi partición D, el KIS ya lo detecto.



3. Despues de detectarlo te va a preguntar por eliminarlo, eso depende de la configuración que tenga tu antivirus. En mi caso lo elimine por completo.

CAPITULO 3 - COMO HACERLO INDETECTABLE AL %100.

..............................................................................................................

Esto es para los lammers e idiotas, vas a ver una simple explicación de como dejar el Bagle indetectable y funcional, sin dejarlo inservible.

Es muy facil, un truco es usar un encriptador que lo encapsule y no dañe el codigo, el problema es que cuando se extrae, antes de ejecutarse salta el antivirus. Para evitar que eso pase, podes adjuntarle un simple batch que mate el proceso del antivirus que use la victima, así nada va a evitar que haga su trabajo.

La mejor forma es sabiendo programar, se puede configurar el codigo de fuente para que sea indetectable, hasta en el caso que se analizen los directorios de instalación, en el último momento, cuando la victima siga teniendo antivirus.

CAPITULO 4 - COMO DESINFECTARSE.

..........................................................................

La desinfección es simple, solo hay que usar el EliBagle o el BagleGui para analizar toda la partición, sacarlo y despues reparar las partes del registro que hayan quedado deshabilitadas. Lo que yo hise fue analizar toda la partición con el BagleGui, que no me funcionó porque esa versión del Bagle estaba bien actualizada. Despues analize con el EliBagle, que si me permitió encontrarlo en sus ubicaciones basicas y eliminarlo. Después de reiniciar mi ordenador, busque ver la ubicación de la clave del inicio en Modo seguro, cuando la encontré la copie desde mi partición D y reemplazé la parte dañada que estaba en el Registro de Windows del disco C por la nueva. Ahora no tengo más problemas con eso, solo que el Firewall de Windows sigue sin funcionar, y sigo googleando "Reparar Firewall De Windows" y cosas así. Algo que puede ser util, es intentar actualizar Windows.

Herramientas:

.EliBagle.

.BagleGui 1.

.BagleGui 2.

Espero que esta información te sirva.

Cualquier cosa podes dejar un comentario, lo voy a responder.

Atte: Echeniqueitor.

Compilar EXE Cualquier Formato (COM, Batch, etc..)

Sé que este mes estuve un poco "alejado" del blog, pero ahora voy a empezar a subir más manuales. Hoy vas a ver como pasar un archivo Ejecutable EXE, a formato de Comando COM. Tambien se puede convertir un Batch (*.bat) en *.cmd. O mejor, un EXE en un Batch. Yo creo que funciona bien solo cuando es para cambiar formatos a archivos que son del mismo tipo, por ejemplo de *.jpg a *.bmp. Es muy facil, la principal función de esta Herramienta de Windows llamada PACKAGER es crear paquetes SHS (*.shs), como lo dije en mis otros posts.

Materiales:
.Cerebro (si sos otro lammer que se cree hacker sin saber esto, mejor sali de aca porque no me caes bien xD)
.Windows XP Como Minimo (yo solo lo probe con Windows XP WOLF y SP2)
.PACKAGER

Procedimiendo:

1. Ejecutar el PACKAGER, su ubicación esta en el directorio de Windows o System32, se puede encontrar el archivo PACKAGER.EXE o packager.exe. O más simple ejecutar packager.

2. Ir a Archivo > Importar y seleccionar el archivo.

3. Ir a Guardar contenido y escribir el nombre del archivo, pero al final ponerle formato *.com. Si tenes un archivo llamado Server.exe, lo podes cambiar a Server.com.



Despues si vas a ver el directorio donde lo guardaste, si tenes configurada la vista para que se vea la extension, vas a ver que el servidor tiene formato *.com y cuando lo abras vas a ver que si te funciona.


Los hackers saben todo, los lammers creen que saben algo, y los expertos que estudian para ser hackers ayudamos demasiado a la gente.

Solución Al Problema De DRIVERS No Encontrados

Hola, este post va dedicado a los que tienen problemas cuando quieren descargar los controladores para su computadora, aveces cuando queres buscar en google o yahoo los nombres de los drivers, no aparecen, o solo te muestran resultados relacionados e inútiles. A mi me pasaba cuando buscaba "Acer Drivers", "Drivers Acer Aspire 4720Z", y otras cosas. Nunca podia encontrar los drivers, hasta que encontre un programa muy bueno llamado "EVEREST", se puede encontrar con google o softonic. Lo que se puede hacer es instalarlo y despues ejecutarlo, cuando lo hagas vas a ver todos los datos de tu PC, o en algunos casos PCs Remotas. Con eso descubrí que los drivers (controladores) que tengo que buscar no son fabricados por ACER, ya que Acer solamente tiene drivers para Windows Vista, es como una "trampa" especial para que nadie pueda tener una Acer con Windows XP facilmente. Quienes tenian los controladores que yo necesitaba eran los de Atheros. En la imagen pueden ver una linea marcada con rojo, ahí se puede ver que dice el nombre del Driver WiFi que tengo que buscar, yo lo copie, lo pegue en google y me salio una pagina llamada http://www.opendrivers.com que tenia TODO. Al final pude bajar todo lo que queria.

Espero que este manual les sirva a todos de ayuda.






Nota: Mucho cuidado con algunos controladores, por ejemplo los de Video, ya que aveces no son soportados y causan muchos errores. Si tenes una computadora portatil "Acer - Aspire 4720Z", de esas que por defecto vienen con Windows Vista, pero se lo queres cambiar a XP, debido a sus errores.