INVESTIGACIN

Asignatura: SEGURIDAD INFORMATICA

Instituto Tecnolgico Superior de Coatzacoalcos
Agosto 2012- Enero 2013
Alumnos:

Candelaria Alejo Jess Eduardo
Cruz Rodrguez Alejandrina Isabel
Gutirrez Monola ngel
Meza Toledo Ivonne
Romn Dionisio Emilio
Snchez Zacaras Marcos Julin
Zapatero Teoba Ulises











N. Control: Semestre: 7 Grupo: B
Fecha de inicio: Fecha de trmino:

Nombre del Docente: M.T.I VELAZQUEZ PEA MIGUEL ANGEL

2

MERGE STREAMS
COMBINAR DOCUMENTOS CON MERGE STREAMS
Esta utilidad esta disponible desde la pagina de NT Kernel e implementa un
aspecto interesante de como se tratan los objetos OLE en documentos Microsoft
Office, la idea es mezclar o combinar una hoja de calculo en un documento
Word.
El uso es muy sencillo, dispone de una GUI que permite seleccionar el documento
Word y la hoja Excel y a partir de estos datos en el propio documento Word
mezcla la hoja de clculo.

El resultado es el mismo documento Word. Una vez mezclado, comprobamos que:
El tamao en disco del documento Word no ha variado y sigue siendo el
mismo.
Si abrimos el documento, vemos que el contenido es idntico al original (no
aparece nada de hoja de calculo).
La cadena HASH si que ha cambiado, por lo que sabemos que ha habido
modificaciones.

3

A continuacin vamos a ver la funcionalidad de Merge Streams:
1. Eliminamos la hoja de calculo que hemos utilizado para mezclar (este
paso no es necesario).
2. Seleccionamos el documento documentoword.doc y lo renombramos a
XLS documentoword.xls.
3. Abrimos el documento y vemos que se trata de una hoja de clculo.


Si volvemos a renombrar a .DOC, podremos comprobar que sigue siendo un
documento Word.
Esta utilidad demuestra un aspecto importante en el mbito de la ofuscacin o de
la fuga de informacin, dado que de esta forma te puedes llevar un documento u
hoja de clculo importante sin que nadie lo advierta.


4

STEALTH FILES
Stealth Files oculta cualquier tipo de archivo en casi cualquier otro tipo de
archivo. Esto se conoce como esteganografa. Esta es una forma de encriptar
datos de modo que es difcil de encontrar. No se puede descifrar algo a menos
que sepa lo que debe descifrar. Usando esteganografa, Stealth Files comprime,
cifra y oculta cualquier tipo de archivo en el interior de muchos otros tipos de
archivos, incluyendo EXE, DLL, OCX, COM, JPG, GIF, ART, MP3, AVI, WAV,
DOC, BMP y ms otros tipos de archivos de vdeo, imagen y ejecutables.
Usted todava ser capaz de ver, abrir y ejecutar estos archivos sin y
problemas. Si lo desea, tambin puede utilizar una contrasea para cifrar los
archivos ocultos.
Cuando los agentes desaparecen misteriosamente, o un sendero pasa fro,
algunos casos parece que se mantendr sin resolver para siempre. Los Stealth
Files dar a los lectores la oportunidad de descifrar cdigos y poner en prctica
habilidades de campo, ya que enfrentar a su ingenio contra estos casos
imaginativos de la bveda de GIO.
PLATAFORMA: Windows 95/98/ME/NT/2000/XP
CAPTURA DE PANTALLA:




5

MASKER STEGANOGRAPHY
Masker es un programa que cifra sus archivos, de manera que se necesita una
contrasea para abrirlos, y luego oculta los archivos y carpetas dentro de los
archivos de soporte, tales como archivos de imgenes, archivos de vdeo,
programas o sonido. El cifrado de alta seguridad de hasta 448-bit y proteccin con
contrasea hace que los datos ocultos inaccesibles para los usuarios no
autorizados.
Slo usted utilizando su contrasea es capaz de abrir y extraer los archivos
ocultos. Puede ocultar los archivos y carpetas enteras, incluso con sub-carpetas!
El archivo de transportista seguir siendo completamente funcional! Las imgenes
pueden ser vistas, los sonidos se pueden reproducir y vdeos se pueden visualizar
en el monitor. Usted puede transferir el archivo de soporte a travs de Internet y
los archivos ocultos en el interior sern transferidos simultneamente con el
archivo de soporte, ya que son la parte del archivo de soporte. Utilice Masker para
mantener tus archivos secretos sensibles asegurar oculto y sper protegido.
PLATAFORMA: Windows 95, Windows 98, Windows Me, Windows NT, Windows
2000, Windows XP, Windows 2003, Windows Vista.
CARACTERSTICAS:
Ocultar los archivos, carpetas y subcarpetas dentro de un archivo portador.
Mostrar, extraer los archivos ocultos y carpetas de un archivo portador.
Cifrado (hasta 448 bits) y compresin.
Disponible 7 algorihtms cifrado fuerte (Blowfish, Rijndael, etc.)
Apoyar escondites mltiples
Funcin de vista previa (los archivos ocultos se pueden visualizar y
modificar en modo oculto).
Funcin de bsqueda.
Desbloquear bloques de funcin el uso no autorizado.

6

HERMETIC STEGO
Hermetic Stego es un programa para ocultar un archivo de datos en una sola
imagen BMP o en un conjunto de imgenes BMP y para la extraccin de un
archivo de datos ocultos de esta manera. El archivo puede ser de cualquier tipo,
no slo un archivo de texto, y por lo tanto puede ser un archivo tal como un
documento de Microsoft Word, una hoja de clculo Excel o un archivo de imagen.
Adems, el archivo puede ser de cualquier tamao hasta 200 MB, siempre y
cuando los archivos de imagen BMP son suficientes en nmero y tamao para
contener los datos.
Esto inserta esteganografa software de datos en el archivo de imagen de una
manera pseudo-aleatoria en funcin de una contrasea (que tambin se utiliza
para cifrar los datos), y los cambios de otros bits del archivo de imagen para
compensar las modificaciones inducidas por los datos ocultos as como para evitar
la modificacin de las propiedades estadsticas del archivo de imagen. Por tanto,
es mucho ms seguro que la mayora de los programas de esteganografa.
Otro uso para Hermetic Stego es transportar datos sensibles (por ejemplo, dentro
de una hoja de clculo de Excel) sin ser detectado. Uno puede ocultar los datos en
un conjunto de imgenes BMP y poner esas imgenes en una tarjeta de memoria
(tambin conocida como unidad de memoria flash). Despus de llegar a destino
uno de los datos a continuacin, se puede extraer de las imgenes.
Hermetic Stego se diferencia de otro software steganograpy en cuatro aspectos:
1) No hay lmite en el tipo o el tamao del archivo que se oculta porque
Hermetic Stego puede ocultar un archivo de datos, no slo en un solo
archivo de imagen BMP, sino en un conjunto de ellos - como las imgenes
que sean necesarias para contener los datos archivo (pero vea la nota
abajo).
2) Los bits de los datos se insertan en los bytes de los archivos de imgenes
al azar y de tal manera como para vencer el uso de pruebas estadsticas
para revelar la presencia de los datos ocultos.
3) El programa puede ser utilizado con una clave especificada por el usuario
Stego o con una clave predeterminada stego; uso de una clave
predeterminada estego permite el envo de datos ocultos a otra persona
que no sabe lo que es clave stego.
4) La clave stego (especificada por el usuario o por defecto) se utiliza no slo
para facilitar la seleccin aleatoria de bytes para ocultar los bits de datos de
archivos, pero tambin se utiliza para cifrar el archivo de datos.




7

Aqu hay una captura de pantalla normal, despus de ocultar un archivo:














8

DRIVECRYPT
DCPP
DriveCrypt Plus Pack ofrece cierto tiempo real "sobre la marcha" 256-bit de encriptacin de
disco. Proporcionar avanzado FDE (cifrado de disco completo), frente a VDE (cifrado de
disco virtual) o el cifrado "container", DCPP es un importante paso evolutivo en el mbito de
la proteccin de datos transparente.
DCPP le permite asegurar su disco (s) (incluyendo un medio extrable) con un algoritmo de
cifrado potente y probada (AES-256) a nivel del sector, asegurando que slo los usuarios
autorizados pueden acceder a l. El algoritmo de cifrado utilizado por DCPP es de confianza,
el algoritmo validado elegido por el Instituto Nacional de Estndares y Tecnologa (NIST) y
declar ser el estndar de cifrado para los prximos aos. AES-256 es un algoritmo
aprobado por FIPS encriptacin simtrica que puede ser utilizada por organizaciones
gubernamentales de Estados Unidos (y otros) para proteger la informacin sensible.
DCPP archivo de software de encriptacin es automtica y completamente transparente
para el usuario. No slo esta participacin de los usuarios y reducir los requisitos de
formacin, sino que tambin crea la base para la seguridad exigible. La integracin
cuidadosa de proteccin durante el arranque y el cifrado automtico ofrece un alto grado de
seguridad con un mnimo impacto en los usuarios. Proteccin impide que arranque la
subversin del sistema operativo (a travs de disquetes de arranque, por ejemplo) o la
introduccin de programas maliciosos mientras que el sector de cifrado sector hace que sea
imposible de copiar archivos individuales para ataques de fuerza bruta. DCPP garantas de
cifrado de Windows el sistema operativo y el archivos importantes del sistema (que a
menudo contienen pistas sobre las contraseas de Windows).
DCPP es el ms rpido y ms ricos de la caracterstica de tiempo real cifrado de disco
completo del sistema disponible, especial cuidado se han tomado para hacer que todas las
piezas criptogrficas como invisible y transparente posible.
PRE-BOOT AUTHENTICATION
El usuario se autentica mediante autenticacin previa al arranque (PBA) antes de que se
inicie el sistema y por lo tanto antes de que el sistema operativo se inicie. Este tipo de
autenticacin no se puede manipular, PBA por lo tanto garantiza la mxima seguridad. Ni las
llaves, ni las contraseas se almacenan en el disco duro del PC. Toda la informacin
necesaria para arrancar el sistema operativo se deriva de la contrasea. Esto hace que el
uso de herramientas de disco duro para analizar el disco duro completamente ineficaz.
PBA en provista por un BootAuth llamada al sistema y es una pantalla de inicio de sesin
completamente grfico.



9

CIFRADO COMPLETO DEL DISCO
Automtica y transparente de cifrado de disco completo (FDE) ofrece varias ventajas
importantes en relacin con el cifrado de archivos. FDE asegura el sistema y los archivos
temporales que a menudo contienen datos confidenciales, pero se pierden por el cifrado de
archivos. Incluso la eliminacin de la unidad en s no da acceso a cualquier archivo o
estructura de directorios. FDE se realiza sector por sector, sin crear temp o archivos de
copia de seguridad.
Como resultado, los archivos grandes descifrar sin demora, mientras que el cifrado de
archivos es normalmente mucho ms lento. Whole Disk Encryption tambin evita tareas que
consumen tiempo como borra seguras de archivos temporales o archivos de trabajo en texto
plano, y evita la necesidad de hacer un borrado completo de los discos que ser descartada.

CMO FUNCIONA?
Como los datos se leen desde el disco duro, DCPP descifra automticamente los datos
antes de que se cargue en memoria. Cuando los datos se vuelven a escribir en el disco
duro, es automticamente re-codificado. Este proceso es completamente transparente para
el usuario o los programas de aplicacin, los datos se llam "sobre la marcha", como se
transfiere hacia atrs y adelante entre el disco duro y la memoria. Por lo tanto, los usuarios
no necesitan recordar para descifrar o volver a cifrar sus datos, o cambiar el funcionamiento
normal de su PC. Adems, slo los sectores individuales se descifran en cualquier momento,
no todo el disco duro. Otros productos que dicen ser "on the fly" desencriptar un archivo
completo y cargarlo en la memoria, creando riesgos significativos de seguridad. DCPP es
ms inteligente y ms seguro, ya que slo descifra los sectores especficos de un archivo
que est en uso. Datos no protegidos no reside en un disco encriptado DCPP.

SISTEMA OPERATIVO OCULTO:
DCPP es el software de cifrado de disco nico en el mercado capaz de ocultar un sistema
operativo completo dentro del espacio libre en el disco de otro sistema
operativo. Prcticamente se puede definir dos contraseas para el disco encriptado DCPP:
Una contrasea es para el sistema operativo visible y la otra invisible para el uno. El primer
"falso" la contrasea que da acceso a un sistema operativo pre-configurado (exterior OS),
mientras que el otro le da acceso a su sistema operativo real de trabajo. Esta funcionalidad
es muy til si tienes miedo de que alguien le puede obligar a proporcionar la contrasea
DCPP, en este caso, slo tiene que dar el primer (falso) contrasea para que el atacante
ser capaz de arrancar el sistema, pero slo ver el preparado informacin que desea que la
encontrara. El atacante no podr ver los datos confidenciales y personales y que tampoco
ser capaz de comprender que la mquina est almacenando un sistema operativo ms
oculto. Por otro lado, si se introduce la contrasea privada (para el disco invisible), el sistema
se arranca un sistema operativo diferente (su sistema de trabajo) que le da el acceso a todos
sus datos confidenciales. La creacin de un sistema operativo oculto no es obligatorio y,
como tal, no es posible para cualquier persona que no tiene la contrasea oculta OS saber o
averiguar si un sistema operativo oculto existe o no.
10


CARACTERSTICAS Y VENTAJAS
Algunas de las principales caractersticas y beneficios: proteccin Boot Pre-Boot
Authentication: Login antes de iniciar el sistema operativo Soporte para mltiples arranque
del sistema operativo (Microsoft) sistema operativo Invisible (permite ocultar todo el sistema
operativo completo o parcial de cifrado de disco duro Sector nivel de proteccin completo
power " off ", es decir la proteccin de los usuarios autorizados tienen prohibido poner en
marcha el PC AES de 256 bits de encriptacin Sin lmite de tamao para los discos
cifrados Maneja un nmero ilimitado de discos cifrados de forma simultnea. Permite
esteganografa para ocultar datos en imgenes de Troya y la proteccin del teclado sniffer
prevencin de contraseas se oli / captura (pantalla roja modus).
Diccionario y de fuerza bruta contra los mecanismos de ataque (debido a la naturaleza de
DCPP, es el sistema ms difcil de atacar en comparacin con cualquier otra cosa
disponible.) Cifra casi cualquier tipo de soporte (discos duros, disquetes, ZIP, JAZ, etc...) de
administrador / usuario derechos especficos USB-Token de autenticacin a nivel de pre-
arranque (Aladdin R2 y Rainbow USB-Token) Facilidad para validar la integridad del mtodo
de cifrado. Discos de recuperacin de "recuperacin de desastres Fcil de instalar,
implementar y utilizar. Completamente transparente para el usuario mnima administracin y
formacin de usuarios

CAMERA/SHY

Se llama Six/Four por la fecha de la masacre de Tiananmen. Permite engaar a los
cortafuegos, garantiza el anonimato y utiliza estenografa (texto escondido en imgenes)
para intercambiar informacin prohibida. De fcil uso y cdigo abierto, est pensado para los
activistas de derechos humanos en pases con censura. Sus autores son hackers tan
conocidos como el alemn Mixter o los tejanos Cult of the Dead Cow, unidos bajo el
nombre Hacktivismo. Este fin de semana lo presentaron en Nueva York, en la reunin H2K2.
El protocolo Six/Four combina tecnologas tan actuales como el peer-to-peer (comunicacin
entre iguales), las Redes Privadas Virtuales y losproxies abiertos, para el acceso annimo a
Internet. Las Redes Privadas permiten crear tneles seguros de comunicacin directa entre
ordenadores y, gracias al peer-to-peer, la informacin no va del punto A al B sino que da una
larga vuelta de A a K y Z o G, engaando a los cortafuegos que no permitan recibir o enviar
datos de sitios censurados.
La primera aplicacin diseada para este protocolo es Camera/Shy, un navegador basado
en Internet Explorer, para intercambiar contenido censurado usando una tcnica
criptogrfica llamada esteganografa. Camera/Shy, dedicado a la memoria del disidente
chino Wang Ruowang, esconde la informacin en imgenes.gif protegidas por contrasea,
que pueden colgarse en pginas aparentemente inocuas. Con un sencillo proceso, las
11

descifra sin dejar rastro en el sistema del usuario. Al ocupar 1,21 MB, puede trasladarse en
un disquete. Est previsto que, al ofrecer prximamente a la comunidad el cdigo del nuevo
protocolo Six/Four, sta escriba otros programas compatibles, como lectores de grupos de
noticias, chat o correo, segn afirm Mixter. Con esta tcnica, recalc Oxblood Ruffin,
de Cult, 'los sitios podrn estar activos un par de das para desaparecer despus y aparecer
en otro sitio. Ser una autntica guerrilla mvil de la informacin'.
Paralelamente, hackers relacionados tambin con Cult of the Dead Cowhan publicado esta
semana el esperado cdigo fuente de una aplicacin que lucha de forma parecida contra la
censura, Peekabooty: funciona con Windows y permite saltarse los cortafuegos, navegando
annimamente.
En palabras de sus creadores Camera/Shy es "la nica herramienta esteganogrfica que
busca y presenta, de forma automtica, contenido descifrado desde la Web". Esta afirmacin
(aunque quizs plenamente correcta en el ingls original) requiere algunas explicaciones
adicionales si se quiere comprender plenamente la utilidad del programa.
En muy pocas palabras, Camera/Shy es un navegador de Internet -de hecho est basado en
Internet Explorer- que presenta algunas caractersticas peculiares. Sin duda, la principal de
ellas radica en que permite acceder a ciertos contenidos que permanecern ocultos para el
resto de navegadores. Estos contenidos han debido ser previamente ocultados por el
webmaster en alguna de las imgenes gif habituales en cualquier pgina web. Los
destinatarios ideales del programa son aquellos usuarios finales que se encuentren tras
cortafuegos corporativos o nacionales y quieran establecer comunicaciones no censuradas
son el exterior.
El procedimiento no es nuevo (se denomina esteganografa y es de sobra conocido) pero
Camera/Shy -a diferencia de otras herramientas ya existentes- facilita un acceso
transparente de los internautas a esos contenidos ocultos, siempre que se conozca tambin
la contrasea empleada al crearlos, ya que -adems- estn cifrados (en este caso por el
algoritmo AES -256 bits).
Como consecuencia de lo dicho, es fcil adivinar que el uso de Camera/Shy ser diferente
segn su usuario sea un creador de contenidos o de un mero receptor de los mismos:

El creador de contenidos habr de seleccionar una imagen gif cualquiera (o varias) de su
disco duro, introducir en ella el contenido que desea ocultar, cifrarlo y subir esa imagen
modificada a un sitio web (su propio web o -por ejemplo- un foro pblico que permita subir
imgenes). Adems, deber comunicar a sus posibles visitantes la URL donde est la
imagen y la contrasea utilizada para cifrarla (en persona, por correo cifrado, etc.), de modo
que slo los conocedores de la contrasea, que accedan al sitio mediante el navegador
Camera/Shy, podrn ver el contenido oculto. Quienes tambin utilicen Camera/Shy pero
desconozcan la contrasea, ni siquiera sabrn que existen contenidos ocultos en las pginas
12

visitadas.
El simple usuario de Camera/Shy que desee acceder a los contenidos que otros hayan
ocultado en sus pginas, deber acceder a las URLs correspondientes mediante este
navegador y proporcionar al mismo previamente la contrasea que el productor de la imagen
le haya indicado (de hecho, la contrasea es doble, puesto que Camera/Shy presenta dos
cajas de texto a tal efecto, una para introducir la contrasea en s y otra para la denominada
"firma" -signature- recomendndose que se trate de palabras largas o frases completas, en
orden a aumentar la proteccin).
Por otro lado, al simple navegante le bastar utilizar Camera/Shy con la opcin [View ->
Browser Full Windows] siempre activada, mientras que quien quiera crear contenidos
secretos deber desactivarla cuando pretenda ocultar contenidos en imgenes, para poder
acceder as a las opciones que le permiten cargar imgenes limpias desde su disco, escribir
el texto a ocultar, introducirlo en la imagen y guardar la imagen modificada, as como
acceder a la vista de los contenidos ocultos en sus propias imgenes desde el disco duro.
Por supuesto las imgenes manipuladas pueden ser detectadas por los posibles censores,
por lo que la seguridad del sistema radica en el secreto de la contrasea, de la firma y de la
URL que alberga la imagen. Por ello, los autores recomiendan que las imgenes se
distribuyan por sitios poco sospechosos (por ejemplo, el sitio ideal para que un grupo
anticomunista colocara una imagen manipulada sera un web procomunista). Los autores
recomiendan tambin que se inunde la web de imgenes falsamente manipuladas (es decir,
sin contenido real), para complicar la labor de los censores.
Camera/Shy incorpora algunas modificaciones en su funcin como navegador, buscando no
dejar rastro: no guarda historial, no presenta su marca o firma, trabaja slo en cach y ste
se borrar al cerrar el programa (en la prctica, esto implica que conviene cerrar y abrir el
programa con frecuencia, si no se quieren obtener resultados confusos). Por ltimo,
Camera/Shy va en un solo fichero ejecutable que tiene el tamao perfecto para caber en un
simple disquete, lo que permite llevarlo encima, copiarlo en un ordenador (en un cibercaf,
por ejemplo) y despus borrarlo sin dejar ningn rastro de la actividad desplegada.







13


STEGO INTRUSION DETECTION SYSTEM:
La esteganografa es el arte de la ocultacin de informacin. En los mensajes de
hoy era digital se pueden ocultar en las imgenes, archivos de sonido, texto y
otros objetos digitales. Para un observador casual, estos mensajes son invisibles.
El uso de la esteganografa en redes pblicas, como Internet, es desconocido
debido a su naturaleza furtiva. A menos que est siendo activamente buscado,
uno no sabe que est ah. Por ejemplo, pop-ups, fotos en Ebay y otros sitios de
recreacin, todos tienen el potencial de contener mensajes ocultos. Aunque
algunos grupos han asumido la gran responsabilidad de buscar sitios web de gran
tamao y las reas de grupos de noticias para las imgenes esteganogrficos
potenciales, esto no es algo que una organizacin promedio hara. La mayora de
las organizaciones pueden y lo hacen, sin embargo, el trfico de red monitor que
entra y sale de la red de rea local. En este trabajo se presenta un marco de
deteccin que incluye herramientas para detectar, recuperar y analizar imgenes
de contenido steganographic al entrar y salir de una red monitorizada. El marco
se compone del motor Steg_IDS que opera en el entorno UNIX. Steg_IDS
combina software personalizado por escrito y tercer partido y los procesos para
ofrecer un servicio integrado de esteganografa sistema de deteccin de
intrusiones
desde su invencin hasta nuestros das,el numero de ordenadores ha crecido
hasta consolidarse como un instrumento casi impresindible en la vida cotidiana del
hombre.su versatilidad,potencia de calculo y cada vez mas fcil manejo hacen de
ellos una herramienta muy importante en gran variedades, desde la cientfica ala
ldica.
Con la posibilidad de interconectar mltiples ordenadores formando redes,
surgieron nuevos retos y aplicaciones.es difcil imaginarse hoy algn banco,
hospital o gran superficie comercial en un pas desarrollado, que no mantenga los
datos de sus clientes o haga sus transacciones de forma electrnica. Hoy en da
los bancos hacen uso de redes para efectuar sus operaciones financieras, los
hospitales tienen los historiales de sus pacientes en base de datos y muchos
comercios estn presentes en internet de forma que cualquier usuario del planeta
puede tanto escoger el producto que desea como pagarlo a travs de la red. Los
datos manejan este tipo de empresas deben mantenerse a salvo de cualquier
intruso a toda costa. La seguridad en este tipo de empresas tiene una importancia
crtica.




14


INS.EXE
En todos los informes threatexpert, el archivoins.exe fue identificado
principalmente como una amenaza.
Archivos ins.exe tiene las siguientes estadsticas:
Nmero total de informes analizados

611.932
Nmero de casos que involucraban el
archivo "ins.exe"
4
Nmero de incidentes cuando el
archivo fue encontrado para ser una
amenaza
3
Volumen estadstico de casos en que
"ins.exe" era una amenaza
75%


El archive ins.exe se sabe que se creo bajo los siguientes nombres:
% ALLUSERSPROFILE% \ cncdown.exe
% AppData% \ 1.exe
% AppData% \ blaah.exe
% AppData% \ calc.exe
% AppData% \ codecsetup.exe
% AppData% \ codecsetup3788.exe
% AppData% \ codecsetup4127.exe
% AppData% \ codecsetup6400.exe
% AppData% \ codecsetup8536.exe
% AppData% \ cp_setup_assist.exe
% AppData% \ cuda.exe
15

% AppData% \ \ dealassistant dauninstall.exe
%% AppData \ digifast \ dfuninstall.exe
% AppData% \ hose.exe
% AppData% \ ijango_toolbar_installer.exe
% AppData% \ ldr.exe
% AppData% \ microsoft \ DTSC \ t.exe
% AppData% \ microsoft \ office71 \ vhchk.exe
% AppData% \ microsoft \ windows \ ernsjyi.exe
% AppData% \ microsoft \ windows \ jjcmdrj.exe
% AppData% \ microsoft \ windows \ nheste.exe
% AppData% \ microsoft \ windows \ nxmwp.exe
% AppData% \ microsoft \ windows \ rwmgh.exe
% AppData% \ microsoft \ windows \ security \ user0.exe
% AppData% \ microsoft \ windows \ tbljxjk.exe
% AppData% \ microsoft \ windows \ vohth.exe
% AppData% \ microsoft \ windows \ vvpmyvaw.exe
%% AppData \ MXPlay \ temp \ mxplay_installer.exe
% AppData% \ ntcom.dll
% AppData% \ nthead.dll
%% AppData \ pak-5593.exe
%% AppData \ pak-5594.exe
%% AppData \ pak-5595.exe
%% AppData \ pak-5596.exe
%% AppData \ pak-5597.exe
16

%% AppData \ pak-5598.exe
%% AppData \ pak-5599.exe
%% AppData \ pak-5600.exe
%% AppData \ pak-5601.exe
%% AppData \ pak-5602.exe
%% AppData \ pak-5603.exe
% AppData% \ salehoo \ auctionalert \ _tmp \ aa.exe
% AppData% \ salehoo \ salehooalert \ _tmp \ aa.exe
% AppData% \ scvhost.exe
%% AppData \ Silverlight \ silverlight.exe
%% AppData \ skynet \ MuOnline \ _cw0srv.exe
% AppData% \ skynet \ \ MuOnline 234672.exe
% AppData% \ skynet \ \ MuOnline 239874.exe
% AppData% \ skynet \ \ MuOnline 293874.exe
% AppData% \ skynet \ \ MuOnline 345674.exe
% AppData% \ skynet \ \ MuOnline 345676.exe
% AppData% \ skynet \ \ MuOnline 435627.exe
% AppData% \ skynet \ \ MuOnline 543978.exe
% AppData% \ skynet \ \ MuOnline 546783.exe
%% AppData \ SpeedRunner \ sruninstall.exe
% AppData% \ temp.dll
% AppData% \ truesword4.exe
% AppData% \ wefisetup.exe
%% AppData \ winbutler \ winbuninstaller.exe
17

%% AppData \ winbutler \ winbutler.exe
% AppData% \ windows.exe
%% AppData \ wintouch \ wintouch.exe
%% AppData \ wintouch \ wtuninstaller.exe
% AppData% \ wrar380d.exe
%% AppData \ s \ yeah374809.exe
%% \ CommonAppData 38001914.exe
CommonAppData% \% 3810eef8.exe
CommonAppData% \% 381751d0.exe
CommonAppData% \% 388f0900.exe
CommonAppData% \% 38d3ff69.exe
%% CommonAppData \ aol downloads \ aoltoolbar \ setuptoolbar.exe
%% CommonAppData \ av1 \ av1.exe
%% CommonAppData \ av1 \ av1i.exe
CommonAppData% \% av1 \ av1i2.exe
%% CommonAppData \ av1 \ av1two.exe
%% CommonAppData \ av1 \ qwprotect.dll
CommonAppData% \% av1 \ svchost.exe
%% CommonAppData \ av2010 \ av2010.exe
%% CommonAppData \ av2010 \ iedefender.dll
CommonAppData% \% av2010 \ svchost.exe
%% CommonAppData \ dyned \ eng_loc.exe
CommonAppData% \% e4a12b7 \ extraav.exe
CommonAppData% \% e4a12b7 \ ua2009.exe
18

CommonAppData% \% e4a12b7 \ valarm.exe
%% CommonAppData \ e4a12b7 \ vmelt.exe
CommonAppData% \% e4a12b7 \ vsweep.exe
%% CommonAppData \ Fetion \ fetionupdate.exe
%% CommonAppData \ gav \ sgav.exe
%% CommonAppData \ n 1 \ n1.exe
%% CommonAppData \ n 1 \ n1i.exe
%% CommonAppData \ n 1 \ n1two.exe
%% CommonAppData \ n 1 \ qwprotect.dll
CommonAppData%% \ n1 \ svchost.exe
%% CommonAppData \ Nexon \ NGM \ ngmdll.dll
%% CommonAppData \ qw2010 \ qw2010.exe
%% CommonAppData \ qw2010 \ qw2010i.exe
%% CommonAppData \ qw2010 \ qw2010i2.exe
%% CommonAppData \ qw2010 \ qwprotect.dll
CommonAppData% \% qw2010 \ svchost.exe
CommonAppData%% \ tormenta \ temp \ update.exe
Nota:
AllUsersProfile%% es una variable que especifica la carpeta de perfil de
todos los usuarios. De forma predeterminada, es C: \ Documents and
Settings \ All Users (Windows NT/2000/XP).
% AppData% es una variable que hace referencia al directorio del sistema
de archivos que sirve de repositorio comn para datos especficos de la
aplicacin. Una ruta de acceso tpica es C: \ Documents and Settings \
[nombre de usuario] \ Datos de programa.
%% CommonAppData es una variable que hace referencia al directorio del
sistema de archivos que contiene datos de aplicacin para todos los
usuarios. Una ruta de acceso tpica es C: \ Documents and Settings \ All
Users \ Datos de programa.
19


Las siguientes amenazas se saben que estn asociados con el archivo ins.exe:
Alias amenazas Nmero de Incidentes
Mal / EncPk-CK [Sophos] 3
Trojan.LdPinch [Ikarus] 3
Infostealer.Vipect [Symantec] 2
Trojan: Win32/Helpud.A [Microsoft] 2
Trojan-GameThief.Win32.OnLineGames.vugj [Kaspersky Lab] 2
Keylog-Perfect.dr [McAfee] 1
Mal / Dropper-PQ [Sophos] 1
MonitoringTool: Win32/PerfectKeylogger [Microsoft] 1
Nueva Win32.g4 [McAfee] 1
TROJ_QDOWN.I [Trend Micro] 1
Trojan.generic [Ikarus] 1
Trojan.PWS.Banker.AUFB [PC Tools] 1
Trojan-Spy.Win32.Perfloger [Ikarus] 1




20

LADS
Microsoft no proporciona ninguna herramienta ni ninguna utilidad por defecto para
detectar la presencia de ADS. Una herramienta excelente para detectar ADS por
lnea de comandos es LADS, escrita por Franck Heyne.
Descargamos LADS y lo extraemos, ya que viene empaquetado en el archivo
comprimido lads.zip. Las utilidades WinZip o 7zip gestionan muy bien estos
archivos y hay gran cantidad de tutoriales disponibles de Internet.
Tras la descompresin, copiamos el archivo lads.exe en c: \WINDOWS \system32
\. La ejecucin del escner se realiza simplemente con el comando lads c: \ /S.













21

BIBLIOGRAFIA
Acissi. (2011). SEGURIDAD INFORMATICA. ETHICAL HACKING. Conocer el ataque para una mejor
defensa. Barcelona: ENI.
http://www.webpanto.com/noticias-articulo-imprimir-549-camera-shy-herramienta-aanticensura.html
http://www.hacktivismo.com

http://www.hacktivismo.com/projects/camerashy

http://sourceforge.net/projects/camerashy/
http://www.hermetic.ch/hst/hst.htm
http://pcwin.com/Security___Privacy/Decrypting___Decoding/Masker/screen.htm
http://elpais.com/diario/2002/07/18/ciberpais/1026959731_850215.html
http://translate.google.com.mx/translate?hl=es&langpair=en%7Ces&u=http://stealth-
files.software.informer.com/
http://translate.google.com.mx/translate?hl=es&langpair=en%7Ces&u=http://stealth-
files.software.informer.com/
http://destripandolared.wordpress.com/
http://www.froebis.com/english/sf40.shtml