14 de julio de 2010

Ganador del desafío 10 de ESET

En el décimo desafío de ESET se cuenta con dos archivos sin extensión y, ante todo, se debe determinar de qué tipo son. Para ello, basta con abrirlo con cualquier editor de texto y se puede ver que la cabecera es la siguiente: 89 50 4E 47 %PNG. Como es fácil adivinar, se trata de archivos de imagen del tipo PNG, por lo que se procede a renombrarlos y abrirlos con un visor de imágenes. En ambos casos se verá la imagen del sitio de Elk Cloner (nombre del primer virus). En este punto hay que destacar que "ElkCloner" también tiene 9 caracteres, simplemente colocado para despistar.

Si se compara la imagen mencionada con los dos archivos descargados, se puede apreciar una diferencia de tamaño de 940 bytes: la imagen original tiene 45.894 bytes, mientras que "uno" y "dos" tienen 46.834 bytes cada uno. Teniendo esta pista, se puede buscar diferencias entre los 3 archivos y, luego de una comparación binaria, se puede llegar a establecer las siguientes y pequeñas diferencias entre "uno" y "dos":



Las diferencias en esos archivos podían dar una pista sobre lo que puede almacenarse en ese lugar.
Si se lee con atención el desafío, se puede ver que nuestro cliente decía que la contraseña se ocultaba en algún sitio, y esta es la clave para saber que las imágenes y el sonido son utilizadas para ocultar información a través de la técnica conocida como esteganografía. En este caso, se utilizó un software muy conocido y antiguo para realizar el camuflaje: Camouflage 1.x [más info].

Si bien no existen demasiadas aplicaciones ni técnicas para detectar este tipo de ocultamiento, StegSecret es una herramienta desarrollada por Alfonso Muñoz y permite saber cómo se realizó el camuflaje. Al utilizar esta aplicación, se puede determinar que ambas imágenes ocultan la misma información en su interior, por lo que se debe intentar extraerla. Para ello se utiliza Camouflage 1.x y se intenta desproteger los archivos (uncamouflage), pero al hacerlo se solicita contraseña. Aquí se puede optar por dos caminos, ya que no está permitido la utilización de fuerza bruta:

1. Utilizar una vulnerabilidad encontrada en Camouflage en enero 2007 y que que permite hallar y/o sobrescribir la clave del archivo camuflado.

2. Encontrar la clave de cualquiera de los dos archivos con la pequeña utilidad Camouflage Password Finder. En el caso del archivo "uno" la clave es "4ec12c8a4f2942c1043dfbe774b284a4" y en el caso de "dos" es "5ec12c8a4f2942c1043dfbe774b284a5". Se debe notar la diferencia en el 4 y 5 inicial y final de la cadena que, obviamente, es la misma diferencia ya observada en binario.

Por supuesto, ninguna de las dos cadenas representa la contraseña buscada, ya que se aclaraba que la misma tiene 9 caracteres. Luego, abriendo los archivos, en cualquiera de los dos se puede observar lo siguiente:



El archivo elk.txt, por su parte, contiene el siguiente texto:
MD5: b9c095c5e07361c00c54ddf7a4f062d5
SHA1: e38ad214943daad1d64c102faec29de4afe9da3d

La primera línea corresponde a un hash MD5 del archivo elkcloner.png original sin camuflar. La segunda línea es un SHA1, que se debe determinar a qué corresponde (puede ser a un archivo o a una cadena de caracteres, como en este caso). Si se buscan formas de obtener la cadena original a partir de un hash, se puede utilizar, por ejemplo, esta base de datos. A partir del SHA1, se puede obtener la (sencilla) contraseña buscada: "password1".

El ganador en este caso es Rafael Pablos, quien brindó la respuesta y la justificación. Dentro de poco tiempo estarás recibiendo tu licencia. ¡Esperamos hayan disfrutado del desafío tanto como nosotros haciéndolo!

Cristian Borghello
Director de Educación

9 de julio de 2010

Desinstalar 'Ask Toolbar' y otras barras de herramientas

Cada vez que instalamos ciertos programas gratuitos, corremos el leve riesgo de instalar a su vez barras como "Ask Toolbar" en el navegador, ralentizando innecesariamente la carga de páginas Web. En principio esto ocurre si no nos fijamos en las opciones 'extra' (y seleccionadas por defecto) incluidas en determinados instaladores, aunque hay algunos que las añaden sin previo aviso.

¿Para qué sirve? El autor del programa que facilita esta barra obtiene beneficio por cada instalación realizada, y Ask.com lo obtiene a su vez por cada clic en sus anuncios, dado que su buscador (por lo tanto, publicidad propia de Ask) es añadido por defecto en el navegador. Estas barras también suelen recolectar cierta información del usuario durante su navegación.

Si el desinstalador no figura en "Programas y características" del Panel de Control, aquí muestro una sencilla (pero rebuscada) solución para acabar con ella:

Desinstalación: Clic en el botón de Inicio y buscar "Símbolo del sistema". Después, copiar y pegar: MsiExec.exe /X {86D4B82A-ABED-442A-BE86-96357B70F4FE} Presionar Intro.

Si quieres conservar esta información por si vuelves a verla en algún navegador, copia y pega la anterior cadena en el Bloc de notas, haz clic en 'Archivo' > 'Guardar como...' y, de nombre, "loquequieras.bat". La próxima vez que veas esta barra, la verás desaparecer con un simple clic.

Nota: Para eliminar esta y otro tipo de barras de manera más rápida y sencilla, aquí facilito un eficaz programa que elimina las principales con tan solo abrirlo (como administrador):

Ask Toolbar
Babylon
Blekko
Claro / iSearch
Conduit
Crossrider
DealPly
Delta
Facemoods / Funmoods
Findgala
Globasearch
Hao123
iLivid
Iminent
IncrediBar
MocaFlix
MyPC Backup
MyWebSearch
PerformerSoft
Privitize
Qvo6
Searchqu
Snap Do
Swag Bucks
Wajam
Web Assistant
WhiteSmoke
Zugo

- Junkware Removal Tool -
[ Descargar ]