En otro artículo anterior, vimos un pequeño truco para ocultar archivos dentro de una foto con la extensión .jpg.
En ese caso, todo lo que se hizo fue crear un archivo winrar dentro del archivo de imagen con lo que quieras dentro.
Claramente, el tamaño de este archivo .jpg se hace más grande dependiendo de cuántos archivos hay en él y para abrirlo simplemente haga "Abrir con ..." y elija Winrar.
Pero los virus no se esconden así, no solo sería fácil encontrarlo, sino que un archivo .rar es completamente inofensivo, no abre nada en la memoria y no activa ningún proceso.
Se llaman ADS ( Alternate Data Stream ) aquellos archivos que están ocultos dentro de otro archivo, sin cambiar su tamaño y permanecer completamente ocultos a la vista de Windows .
Cuando abre y ejecuta un archivo que contiene un ADS, activa el ADS e inicia el programa debajo de él.
En este artículo, vemos cómo puede crear fácilmente un ADS con su PC y ocultar cualquier archivo dentro de otro para que cuando ejecute el ADS se active en su lugar.
1) Abra el Explorador de Windows, vaya al disco C: y cree una nueva carpeta a la que podamos llamar "Anuncios".
2) En el interior, para probar el experimento, cree un nuevo archivo de texto y llámelo "test.txt" y copie cualquier foto o imagen que esté en la computadora y que se pueda renombrar a immagine_test.jpg.
3) Abra el símbolo del sistema que se encuentra en Star -> Programas -> Accesorios o vaya a Inicio -> Ejecutar -> y escriba " cmd "
4) Ahora escriba cd \ ads para ingresar, a través de Dos, la carpeta creada anteriormente.
5) Para crear un ADS elemental y comenzar a comprender cuáles son, puede escribir " echo Ciao bello> test.txt: testonascosto.txt "; puede notar que no se han agregado archivos a la carpeta de anuncios.
6) Escriba en el mensaje " notepad test.txt: testonascosto.txt " y, como por arte de magia, el bloc de notas se abre con el texto escrito anteriormente; de hecho, se ha ocultado algo escrito que permanece invisible en la computadora, excepto al ejecutar este tipo de comando.
Si la curiosidad comienza a hacer cosquillas al espíritu hacker que hay en cada uno de nosotros, veamos qué más se puede hacer.
7) Si la ocultación de un texto solo puede ser utilizada por espías de la CIA, un pirata informático puede pensar en utilizar esta técnica para ocultar un archivo incorrecto dentro de uno bueno.
Para hacer un experimento práctico, puede copiar el archivo calc.exe en la carpeta Anuncios, que se encuentra en la carpeta del sistema de Windows y se utiliza para abrir la calculadora normal.
Para copiar el archivo a la carpeta Anuncios, simplemente escriba " copiar C: \ windows \ system32 \ calc.exe c: \ ads " en el símbolo del sistema.
8) Ahora puede insertar el archivo image_test.jpg que habíamos tomado antes y que aún debería estar dentro de la carpeta Ads, dentro del archivo calc.exe.
Para hacer esta infiltración, debe escribir en la ventana negra de DOS que hasta ahora nunca hemos cerrado: " escriba immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Resultado: si inicia el archivo calc.exe, no sucede nada extraño; si comienza desde calc el archivo calc.exe escribiendo así: start ./calc.exe : immagine_test.jpg o inicia C: \ ads \ calc.exe: immagine_test.jpg (siempre toma la ruta completa), se abre 'imagen elegida antes y no la calculadora; Si elimina el archivo image_test de la carpeta Anuncios, el resultado no cambia.
Esto significa que el archivo jpg se ha ocultado dentro del archivo calc.exe, ya no es visible, el tamaño de calc.exe se ha mantenido sin cambios y no hay nada que indique la presencia del flujo de datos.
A diferencia del método utilizado con Winrar, esta vez no hay archivo y el archivo oculto se activa y se ejecuta cuando se inicia el host, haciendo clic en el archivo calc.exe de la carpeta abierta, el La imagen no aparece.
También puede ocultar archivos dentro de una carpeta que parecerá estar vacía por error.
10) Puede crear una nueva carpeta dentro de Ads y llamarla Ads2 y luego desde Dos, escribir cd Ads2 y escribir el comando " type c: \ ads \ calc.exe>: pippo.exe "; el archivo calc.exe está en la carpeta Ads2 pero no puede verlo, ni con el comando " dir " que muestra los archivos en los directorios, ni al explorar los recursos con la interfaz gráfica normal.
Estos son trucos bastante antiguos pero que muchos desconocen también porque, de hecho, no tienen una utilidad real, al menos para los usuarios normales; son los hackers malos que los explotan y, en el pasado, han hecho mucho daño con Data Streams.
De hecho, imaginando que, en nuestro ejemplo anterior, en el punto 8, en lugar de un archivo de imagen normal e inofensivo, había escondido dentro de la calculadora, un virus real, sería doloroso.
Si entonces el virus real se llama a sí mismo, por ejemplo svchost.exe, que está presente varias veces en el administrador de tareas, entonces sería realmente difícil de encontrar.
No termina aquí, porque un hacker experto sabe que programas como la calculadora o el bloc de notas siempre están en la ruta C: \ Windows \ System32, por lo tanto, potencialmente, podría dañar ese archivo, sin tener que crear nada nuevo.
Aún así, sin molestar a los virus, puede ocultar un archivo de 10GB dentro de 10 Kbytes y, sin entender por qué, puede encontrarse con la PC bloqueada y sin más espacio.
Afortunadamente, estos problemas de seguridad se superan en gran medida, los antivirus encuentran virus ocultos sobre la marcha y es muy poco probable que sufra un ataque de este tipo si está protegido.
La única recomendación que tengo que hacer es que, dada la facilidad con la que puede crear un archivo malicioso de esta manera, sería el caso de no aceptar ningún archivo de extraños, tal vez enviado por MSN o por correo, incluso si se tratara de fotos, imágenes, música, archivos de texto o lo que sea.
Para el registro, ADS solo funciona en particiones de disco NTFS y no en FAT32, por lo tanto, para eliminar un archivo ADS, puede eliminar el que lo aloja eliminándolo o moviéndolo a una partición FAT32.
Existen herramientas que pueden identificar los flujos de datos, y el mejor es el famoso Hijackthis que ya hemos encontrado varias veces en este blog.
En Hijackthis, al abrir "Misc Tools" encontrarás una utilidad llamada "ADS Spy" que escanea los Streams y, si quieres eliminarlos, pero, sinceramente, sería un celo de seguridad excesivo también porque muchos ADS son útiles para Windows y te arriesgarías a hacer daño.
En ese caso, todo lo que se hizo fue crear un archivo winrar dentro del archivo de imagen con lo que quieras dentro.
Claramente, el tamaño de este archivo .jpg se hace más grande dependiendo de cuántos archivos hay en él y para abrirlo simplemente haga "Abrir con ..." y elija Winrar.
Pero los virus no se esconden así, no solo sería fácil encontrarlo, sino que un archivo .rar es completamente inofensivo, no abre nada en la memoria y no activa ningún proceso.
Se llaman ADS ( Alternate Data Stream ) aquellos archivos que están ocultos dentro de otro archivo, sin cambiar su tamaño y permanecer completamente ocultos a la vista de Windows .
Cuando abre y ejecuta un archivo que contiene un ADS, activa el ADS e inicia el programa debajo de él.
En este artículo, vemos cómo puede crear fácilmente un ADS con su PC y ocultar cualquier archivo dentro de otro para que cuando ejecute el ADS se active en su lugar.
1) Abra el Explorador de Windows, vaya al disco C: y cree una nueva carpeta a la que podamos llamar "Anuncios".
2) En el interior, para probar el experimento, cree un nuevo archivo de texto y llámelo "test.txt" y copie cualquier foto o imagen que esté en la computadora y que se pueda renombrar a immagine_test.jpg.
3) Abra el símbolo del sistema que se encuentra en Star -> Programas -> Accesorios o vaya a Inicio -> Ejecutar -> y escriba " cmd "
4) Ahora escriba cd \ ads para ingresar, a través de Dos, la carpeta creada anteriormente.
5) Para crear un ADS elemental y comenzar a comprender cuáles son, puede escribir " echo Ciao bello> test.txt: testonascosto.txt "; puede notar que no se han agregado archivos a la carpeta de anuncios.
6) Escriba en el mensaje " notepad test.txt: testonascosto.txt " y, como por arte de magia, el bloc de notas se abre con el texto escrito anteriormente; de hecho, se ha ocultado algo escrito que permanece invisible en la computadora, excepto al ejecutar este tipo de comando.
Si la curiosidad comienza a hacer cosquillas al espíritu hacker que hay en cada uno de nosotros, veamos qué más se puede hacer.
7) Si la ocultación de un texto solo puede ser utilizada por espías de la CIA, un pirata informático puede pensar en utilizar esta técnica para ocultar un archivo incorrecto dentro de uno bueno.
Para hacer un experimento práctico, puede copiar el archivo calc.exe en la carpeta Anuncios, que se encuentra en la carpeta del sistema de Windows y se utiliza para abrir la calculadora normal.
Para copiar el archivo a la carpeta Anuncios, simplemente escriba " copiar C: \ windows \ system32 \ calc.exe c: \ ads " en el símbolo del sistema.
8) Ahora puede insertar el archivo image_test.jpg que habíamos tomado antes y que aún debería estar dentro de la carpeta Ads, dentro del archivo calc.exe.
Para hacer esta infiltración, debe escribir en la ventana negra de DOS que hasta ahora nunca hemos cerrado: " escriba immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Resultado: si inicia el archivo calc.exe, no sucede nada extraño; si comienza desde calc el archivo calc.exe escribiendo así: start ./calc.exe : immagine_test.jpg o inicia C: \ ads \ calc.exe: immagine_test.jpg (siempre toma la ruta completa), se abre 'imagen elegida antes y no la calculadora; Si elimina el archivo image_test de la carpeta Anuncios, el resultado no cambia.
Esto significa que el archivo jpg se ha ocultado dentro del archivo calc.exe, ya no es visible, el tamaño de calc.exe se ha mantenido sin cambios y no hay nada que indique la presencia del flujo de datos.
A diferencia del método utilizado con Winrar, esta vez no hay archivo y el archivo oculto se activa y se ejecuta cuando se inicia el host, haciendo clic en el archivo calc.exe de la carpeta abierta, el La imagen no aparece.
También puede ocultar archivos dentro de una carpeta que parecerá estar vacía por error.
10) Puede crear una nueva carpeta dentro de Ads y llamarla Ads2 y luego desde Dos, escribir cd Ads2 y escribir el comando " type c: \ ads \ calc.exe>: pippo.exe "; el archivo calc.exe está en la carpeta Ads2 pero no puede verlo, ni con el comando " dir " que muestra los archivos en los directorios, ni al explorar los recursos con la interfaz gráfica normal.
Estos son trucos bastante antiguos pero que muchos desconocen también porque, de hecho, no tienen una utilidad real, al menos para los usuarios normales; son los hackers malos que los explotan y, en el pasado, han hecho mucho daño con Data Streams.
De hecho, imaginando que, en nuestro ejemplo anterior, en el punto 8, en lugar de un archivo de imagen normal e inofensivo, había escondido dentro de la calculadora, un virus real, sería doloroso.
Si entonces el virus real se llama a sí mismo, por ejemplo svchost.exe, que está presente varias veces en el administrador de tareas, entonces sería realmente difícil de encontrar.
No termina aquí, porque un hacker experto sabe que programas como la calculadora o el bloc de notas siempre están en la ruta C: \ Windows \ System32, por lo tanto, potencialmente, podría dañar ese archivo, sin tener que crear nada nuevo.
Aún así, sin molestar a los virus, puede ocultar un archivo de 10GB dentro de 10 Kbytes y, sin entender por qué, puede encontrarse con la PC bloqueada y sin más espacio.
Afortunadamente, estos problemas de seguridad se superan en gran medida, los antivirus encuentran virus ocultos sobre la marcha y es muy poco probable que sufra un ataque de este tipo si está protegido.
La única recomendación que tengo que hacer es que, dada la facilidad con la que puede crear un archivo malicioso de esta manera, sería el caso de no aceptar ningún archivo de extraños, tal vez enviado por MSN o por correo, incluso si se tratara de fotos, imágenes, música, archivos de texto o lo que sea.
Para el registro, ADS solo funciona en particiones de disco NTFS y no en FAT32, por lo tanto, para eliminar un archivo ADS, puede eliminar el que lo aloja eliminándolo o moviéndolo a una partición FAT32.
Existen herramientas que pueden identificar los flujos de datos, y el mejor es el famoso Hijackthis que ya hemos encontrado varias veces en este blog.
En Hijackthis, al abrir "Misc Tools" encontrarás una utilidad llamada "ADS Spy" que escanea los Streams y, si quieres eliminarlos, pero, sinceramente, sería un celo de seguridad excesivo también porque muchos ADS son útiles para Windows y te arriesgarías a hacer daño.
