terça-feira, 8 de março de 2016

Junos Pulse-Roll Back na instalação

Questão:
Problemas para instalar o Junos Pulse no Windows, durante a instalação apresenta erro e a instalação é finalizada (Roll Back)
Pare resolver esse problema, você terá que alterar um valor no Regedit
Cuidado:  A edição do Registro do Windows pode causar problemas no computador. Se você for capaz de fazer essas alterações, siga os passo abaixo:
  1. No Windows, usar o Internet Explorer para baixar o arquivo de correção de registro.

    1. No Internet Explorer, vá para o a página Ferramentas Virginia Tech Software. Obs. Não use o Firefox, porque o Firefox não vai salvar corretamente o arquivo
    2. Na coluna da esquerda, clique com o botão direito no  pulso Junos instalar o fix  link.

      Imagem dos Junos pulso link de instalação correção
    3. Selecione  Salvar destino como ... .

      Imagem da opção "salvar destino como" no drop-down
    4. Defina o destino salvar para um local que você vai se lembrar.
    5. Clique no  Salvar  botão.
  2. Para definir a chave de registro manumit a 14, execute o arquivo do registro que você acabou de baixar.

    1. No  Windows Explorer ou o Gerenciador de arquivos , navegue até o local onde você baixou o arquivo do registro;
    2. Para iniciar a correção do registro, clique duas vezes no  MaxNumFilters;

      O ícone MaxNumFilters
    3. Se for solicitado sobre o editor não pôde ser verificada, clique no  Run  botão;

      Imagem do botão Run
    4. Se for solicitado por uma janela de controle de conta de usuário, clique no  Sim  botão;
    5. Se for solicitado sobre você tem certeza que deseja continuar, clique no  Sim  botão;

      Imagem do botão Sim
    6. Quando a mensagem dizendo que as chaves e valores foram adicionadas ao Registro aparecer, clique em  OK;

      Imagem do OK.
    7. Reinicie o computador;
  3. No Windows, proceda à instalação de pulso normalmente seguindo as instruções em  baixar e usar Junos pulso segura para conectar para Acesso Remoto - VPN .
By às Nenhum comentário: Marcadores: , ,

segunda-feira, 7 de março de 2016

Como Excluir Perfil(nome da rede) via Prompt de Comando

Aprenda como excluir uma conexão de rede Wireless pelo prompt de comando. Para executar essa tarefas você deve ser o administrador da máquina.

 Como Excluir Perfil(nome da rede) via Prompt de Comando

 1. Abrir o Prompt de Comando - digitar Prompt de Comando ou CMD na caixa de pesquisa;
2. No Prompt de Comando, entre com o comando abaixo para excluir a rede desejada
netsh wlan delete profile name="Nome_Da_Rede"

 Se você quiser visualizar todas as redes que você se conectou, entre com o comando:
netsh wlan show profiles
By às Nenhum comentário: Marcadores: , ,

sexta-feira, 4 de março de 2016

Não pode ser carregado porque a execução de scripts foi desabilitada neste sistema

Este erro ocorre porque a política de execução de scripts PowerShell está definida como "Restricted" no sistema, o que significa que a execução de scripts está desativada. Para corrigir o problema, você precisa habilitar a execução de scripts no PowerShell. 

Aqui estão os passos que você pode seguir:
  • Abra o PowerShell como administrador: Clique com o botão direito do mouse no ícone do PowerShell e selecione Executar como Administrador no menu de contexto.
  • Verifique a política de execução atual: Execute o comando Get-ExecutionPolicy para verificar a política de execução atual. O resultado deve ser "Restricted".
  • Defina a política de execução como Unrestricted: Execute o comando Set-ExecutionPolicy Unrestricted para permitir a execução de scripts sem restrições. Você verá uma mensagem de aviso sobre os riscos de segurança associados à execução de scripts. Digite "S" e pressione Enter para confirmar a alteração. Set-ExecutionPolicy Unrestricted
  • Verifique a política de execução atual novamente: Execute novamente o comando Get-ExecutionPolicy para verificar se a política de execução foi atualizada para Unrestricted.

Mais detalhes da execução dos comandos:

Get-ExecutionPolicy


Para permitir a execução de scripts sem qualquer restrição, vamos utilizar a regra Unrestricted, que permite executar todo e qualquer script PowerShell com o comando:
Set-ExecutionPolicy Unrestricted


Será exibida uma mensagem informando sobre a proteção quanto à execução de Scripts. Digite “S” e pressione Enter. 
Agora digite novamente:
Get-ExecutionPolicy
Retornará a mensagem Unrestricted,  isso quer dizer que agora você já podem executar seus script Power Shell

Existem ainda outras regras além da Unrestricted e da Restricted que registrarem a execução de script a serem definidas quanto a sua execução:
AllSigned – Todos os scripts devem ser assinados por alguém confiável.
Remote Signed – Todos os scripts que forem baixados da Internet devem ser assinados por alguém confiável.
By às Um comentário: Marcadores: , , , , , , ,

quarta-feira, 2 de março de 2016

Agora já é possível enviar Documentos pelo WhatsApp

Sabemos que não é tão novidade, mas agora já está funcionando o envio de Documentos pelo o WhatsApp na aba de Anexos, é possível enviar, por enquanto, apenas documentos no formato PDF.

Lembrando que para realizar o envio ou recebimento, é preciso ter a mais nova versão do WhatsApp instalada. Disponível nas versões 2.12.453 e 2.12.289 para Android e 2.12.4 do WhatsApp para iOS. 


Essa nova versão do WhatsApp conta ainda com mais uma novidade, que é a mudança na página de Perfil dos seus contatos e grupos. Agora o status e o número do seu contato aparecem juntos no mesmo campo.

Se você ainda não recebeu a atualização do seu WhatsApp, se inscreva no programa de testes do 

WhatsApp Messenger

By às Nenhum comentário: Marcadores: ,

terça-feira, 1 de março de 2016

Kali Linux Dual Boot-Reparar GRUB com Windows 7-8-10

Se você estiver tentando instalar o Kali Linux ao lado(Dual Boot) do Windows 7, 8 ou Windows 10 e estiver com problema para instalar ou reparar o GRUB(GRand Unifield Bootloader), siga as dicas abaixo para resolver o seu problema.

Você já tinha alguma instalação do Windows 7,8 ou 10 e fez uma instalação do Kali Linux  ou instalou o Windows e ele removeu o GRUB e com isso não apareceu no gerenciador de boot a opção para você selecionar o SO que será inicializado. 

Se você estiver com esse problema, terá que seguir os passos abaixo:

1. Inicialize com a mídia(CD/DVD/Pendrive) que você utilizou para instalar o Kali e escolha o modo live;
2. Inicialize o GParted e identifique o local que o Kali foi instalado, geralmente é no sistema de arquivo ext4, no meu caso foi o SDA9;
3. Agora que você identificou o local de instalação, abra o terminal e entre com os respectivos comandos:

mount /dev/sda9 /mnt
mount --bind /dev /mnt/dev
mount --bind /dev/pts /mnt/dev/pts
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt
grub-install /dev/sda
update-grub
exit
umount /mnt/dev/pts
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount /mnt

Com isso o GRUB foi restaurado. Agora você precisa inicializar mais uma vez com sua mídia do Kali em modo live, abrir o terminal e entrar com os seguintes comandos:

os-prober
update-grub
By às 4 comentários: Marcadores: , ,

sexta-feira, 26 de fevereiro de 2016

Senha roteador Motorola

Abrir o browser e entre com o seguinte endereço: http://192.168.1.1
E entre com a seguinte conta:
Usuário: admin
Senha: tvanc313
By às Nenhum comentário: Marcadores: , ,

Senha roteador Vivo

Abra o browser e entre com o seguinte endereço: http://192.168.1.1
E entre com a seguinte conta:
Usuário : admin
Senha : últimos 4 dígitos do endereço Mac do modem

By às Nenhum comentário: Marcadores: , ,

sexta-feira, 19 de fevereiro de 2016

Saiba tudo sobre o Poseidon - A Terrível Ameaça do Varejista

Recentemente um novo tipo ameaças, de codinome Poseidon, vem tirando o sono de muitos empresários no mundo afora, principalmente os responsáveis por redes de varejistas. Essa ameaça é conhecida por roubar informações nos sistemas de ponto de venda (PDV) no momento da utilização de cartões de credito.

No texto abaixo, adaptado do site blogs.cisco, você vai conhecer com mais detalhes o funcionamento do terrível Poseidon


 A Ameaça Poseidon

Quando os consumidores fazem compras de um varejista, a transação é processada através de sistemas de ponto-de-venda (PDV). Quando um cartão de crédito ou de débito, é utilizado um sistema de POS é utilizado para ler a informação armazenada na fita magnética no verso do cartão de crédito. Uma vez que esta informação é roubado a partir de um comerciante, ele pode ser codificado numa fita magnética e usado por um novo cartão. 
Existem os "mercado negro" para comprar estas informações valiosa, porque os atacantes são capazes de rentabilizar facilmente os dados do cartão de crédito roubado. Incidentes envolvendo PoS Malwares têm vindo a aumentar, afetando muitas grandes organizações, bem como estabelecimentos de mom-and-pop pequenas e ganhando um monte de atenção da mídia. A presença de grandes quantidades de informação financeira e pessoal garante que essas empresas e seus sistemas de POS de varejo permanecerá alvos atraentes.
image14

Visão geral

Há uma nova família de Malware visando sistemas de POS, infectando máquinas para pegar dados na memória com informações de cartão de crédito e enviar esses dados para servidores, também TLD principalmente os da .ru, para a colheita e provavelmente revenda. Esta nova família de Malware, que já apelidado de Poseidon, tem alguns componentes para ele, como ilustra o diagrama abaixo:
PoSeidonimage10
Em um nível alto, ele começa carregando um arquivo binário que ao ser executado tentará primeiro se manter na máquina de destino, a fim de sobreviver a uma possível reinicialização do sistema. Ao carregar ele se conectar com um servidor, que faz todo o gerenciamento das requisições, passando uma URL que contém um outro binário para baixar e executar as informações coletada. 
O binário baixado, FINDSTR , instala um keylogger e verifica a memória do dispositivo POS para sequências de números que podem ser números de cartão de crédito.Após a verificação de que os números estão em números de cartão de crédito, teclas e números de cartão de crédito são codificados e enviados para um servidor exfiltração.

Detalhes técnicos

Keylogger

O arquivo com SHA256 334079dc9fa5b06fbd68e81de903fcd4e356b4f2d0e8bbd6bdca7891786c39d4 talvez pudesse estar na origem do compromisso sistema POS. Chamamos isso de KeyLogger arquivo com base em informações de depuração encontrado no binário:

Após a execução, este arquivo se copia para tanto %SystemRoot%\system32\<filename>.exe ou %UserProfile%\<filename>.exe e adiciona entrada de registo sob HKLM (ou HKCU)\Software\Microsoft\Windows\CurrentVersion\Run .
O arquivo também abre HKCU\Software\LogMeIn Ignition e enumera as chaves para a chave de sub-conta, abre-e exclui o PasswordTicket Valor e obtém o Email Value. Também exclui árvore de registroHKCU\Software\LogMeIn Ignition\<key>\Profiles \ * .
O arquivo envia a um servidor exfiltration por postar dados para um desses URIs:
  • wondertechmy[.]com/pes/viewtopic.php
  • wondertechmy [.] ru / pes / viewtopic.php
  • wondwondnew [.] ru / pes / viewtopic.php
 O formato é de URI
uid =% I64u & ganhar =% d.% d & vers =% s
O componente Keylogger foi potencialmente usado para roubar senhas e poderia ter sido o vetor de infecção inicial.

Carregador

O carregador para o malware Poseidon PoS recebe o nome de depuração informações encontradas no binário:
PoSeidonimage08
Após a ser executado, carregador verifica para ver se ele está sendo executado com um desses dois nomes de arquivo:
  • WinHost.exe
  • WinHost32.exe
Se não estiver, ele irá certificar-se de que nenhum serviço Windows está sendo executado com o nome WinHost. Carregador vai se copiar para % SystemRoot% \ System32 \ WinHost.exe , substituindo qualquer arquivo nesse local que iria acontecer de ter o mesmo nome. Em seguida, carregador vai iniciar um serviço chamado WinHost.
PoSeidonimage13
Isto é feito para que ele permaneça em execução na memória mesmo se o usuário atual efetue logoff.Se carregador não é capaz de instalar-se como um serviço, ele vai tentar encontrar outras instâncias de si mesmo em execução na memória e finalizá-las. Posteriormente, ele vai se copiar para % UserProfile% \ WinHost32.exe e instalar a chave do Registro HKCU \ Microsoft \ Windows \ CurrentVersion \ Run \\ WinHost32 . Finalmente, ele irá criar um novo processo para executar % UserProfile% \ WinHost32.exe .
Agora que a persistência foi alcançado, carregador irá apagar-se, executando o seguinte comando:
  • cmd.exe / c del <path_to_itself> >> NUL
A instância do carregador funcionando em tentativa de memória para ler dados de configuração em % SystemRoot% \ System32 \ WinHost.exe.cfg . Este arquivo pode conter uma lista de URLs para ser adicionado a uma lista de URLs codificados já contida no carregador .
Loader então tenta entrar em contato com um dos servidores codificado C & C:
image00
  • linturefa.com
  • xablopefgr.com
  • tabidzuwek.com
  • lacdileftre.ru
  • tabidzuwek.com
  • xablopefgr.com
  • lacdileftre.ru
  • weksrubaz.ru
  • linturefa.ru
  • mifastubiv.ru
  • xablopefgr.ru
  • tabidzuwek.ru
Os endereços IP associados:
  • 151.236.11.167
  • 185.13.32.132
  • 185.13.32.48
  • Redigido a pedido da Lei Federal Enforcement
  • 31.184.192.196
  • 91.220.131.116
  • 91.220.131.87
Se um dos domínios acima resolver para um endereço IP de um HTTP POST é feita usando a seguinte string user-agent:
Mozilla / 4.0 (compatível; MSIE 8.0; Windows NT 6.1; Trident / 4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)

dados POST é enviada para qualquer um:
    • <IP ADDRESS>/ldl01/viewtopic.php
    • <Endereço IP> /pes2/viewtopic.php

dados POST segue o formato:
uid =% I64u & uinfo =% s & ganhar =% d.% d & bits =% d & vers =% s & construir =% s
PoSeidonimage12
Carregador espera que a seguinte resposta do servidor C & C:
{<CommandLetter>: <ArgumentString>}
Exemplo de resposta:
  • {R:http://badguy.com/malwarefilename.exe}
  • {b:pes13n|373973303|https://01.220.131.116/ldl01/files/pes13n.exe}
PoSeidonimage04
É por buscar e executar o executável referenciado na resposta do servidor que a segunda parte da Poseidon encontra o seu caminho para o dispositivo de PoS.

fINDSTR

O carregador para o malware Poseidon PoS recebe o nome de depuração informações encontradas no binário:

image04
Um PE embutido é extraído através shellcode e execução continua com o binário incorporado. Este arquivo instala um keylogger mínima que é implementado de forma semelhante à descrição encontradaaqui . Os dados interceptados por este keylogger será posteriormente enviado para um servidor de exfiltração.
O PE, em seguida, percorre todos os processos em execução no dispositivo PoS a olhar para processos com um token de segurança não associado com o "NT AUTHORITY" nome de domínio. Ele itera através de todas as páginas de leitura / escrita dentro desses processos para informações sobre os cartões de crédito.
O malware procura somente sequências de números que começam com:
  • 6, 5, 4, com um comprimento de 16 dígitos (Discover, Visa, Mastercard)
  • 3 com um comprimento de 15 dígitos (American Express)

Em seguida, ele usa o algoritmo Luhn para verificar que os números são realmente números de cartão de crédito ou de débito, como mostrado pelo segmento de código abaixo:
PoSeidonimage02
Em seguida, a resolução de DNS é tentada para os domínios abaixo. Estes são alguns dos servidores exfiltração dados conhecidos:
  • quartlet.com
  • horticartf.com
  • kilaxuntf.ru
  • dreplicag.ru
  • fimzusoln.ru
  • wetguqan.ru
Se um dos domínios acima resolver para um endereço IP de um HTTP POST é feita usando a seguinte string user-agent:
Mozilla / 4.0 (compatível; MSIE 8.0; Windows NT 6.1; Trident / 4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)
dados POST é enviada para:
<Endereço IP> /pes13/viewtopic.php
image11
Dados segue o seguinte formato:
oprat = 2 & uid =% I64u & uinfo =% s & ganhar =% d.% d & vers =% s
image12

Dados opcionais POST (dados: números de cartão de crédito, registros de dados: keylogger)
e dados = <XORed_with_0x2A_then_base64_data_unk> 
& registra = <XORed_with_0x2A_then_base64_data_unk>

números de cartão de crédito e dados keylogger é enviado para o servidor exfiltration depois de ser XORed e base64 codificado.
A resposta esperar do servidor exfiltração é:
Este mecanismo permite que o malware se atualizar, com base em comandos recebidos do servidor exfiltração.

Loader vs FINDSTR

PoSeidonimage01
Comparando uma cópia descompactada de carregador versão 11.4 a uma cópia descompactada deFINDSTR versão 7.1 com bindiff mostra que 62% da funcionalidade em ambas as amostras é o mesmo.Os atores por trás desse malware provavelmente desenvolveu algumas funcionalidades core e compilado-lo em uma biblioteca para ser utilizado por outros projetos que estão em desenvolvimento.

 COI

image09
Clique para Endpoint COI Versão
domínios
  • linturefa.com
  • xablopefgr.com
  • tabidzuwek.com
  • linturefa.ru
  • xablopefgr.ru
  • tabidzuwek.ru
  • weksrubaz.ru
  • mifastubiv.ru
  • lacdileftre.ru
  • quartlet.com
  • horticartf.com
  • kilaxuntf.ru
  • dreplicag.ru
  • fimzusoln.ru
  • wetguqan.ru
 Endereços IP:
  • 151.236.11.167
  • 185.13.32.132
  • 185.13.32.48
  • Redigido a pedido da Lei Federal Enforcement
  • 31.184.192.196
  • 91.220.131.116
  • 91.220.131.87
  • Redigido a pedido da Lei Federal Enforcement
Conclusão
Poseidon é outro no número crescente de sistemas de POS malwares Point-of-Sale segmentação que demonstram as técnicas e abordagens de autores de malware sofisticados. Atacantes vai continuar a orientar os sistemas de POS e empregam várias técnicas de ofuscação em uma tentativa de evitar a detecção. Enquanto ataques PoS continuar a proporcionar retornos, os atacantes vão continuar a investir em inovação e desenvolvimento de novas famílias de malware. Os administradores de rede terá de permanecer vigilantes e aderir às melhores práticas da indústria para garantir a cobertura e proteção contra o avanço ameaças de malware.
Regras do Snort: 33836-33852. Por favor, consulte Centro de Defesa ou FireSight console de gerenciamento para obter informações atualizadas.
Protegendo os usuários contra essas ameaças
image06
Nós encorajamos as organizações a considerar as melhores práticas de segurança, começando com uma abordagem ameaça-centric. Dado o cenário de ameaças dinâmico, defendemos essa abordagem ameaça-centric e operacionalizado que implementa proteções em toda a rede estendida - e em todo o continuum de ataque total - antes, durante e depois de um ataque. Esta abordagem está baseado em visibilidade superior, controle contínuo e proteção avançada contra ameaças em toda a rede estendida e todo o contínuo ataque


By às Nenhum comentário: Marcadores: ,

quinta-feira, 18 de fevereiro de 2016

Listar sessões dos Serviços de Área de Trabalho Remota

Para exibir as informações sobre as sessões dos Serviços de Área de Trabalho Remota, você pode utilizar o comando QWINSTA. Abaixo você pode conferir algumas das opções de linha de comando do qwinsta.

QWINSTA /SERVER:nome_do_Servidor - O servidor a ser consultado
QWINSTA /MODE - Exibe as configurações de linha atuais.
QWINSTA /FLOW - Exibe as configurações de controle de fluxo atuais.
QWINSTA /CONNECT - Exibe as configurações de conexão atuais.
QWINSTA /COUNTER - Exibe informações sobre contadores dos Serviços da Área de Trabalho Remota atual.
QWINSTA /VM - Exibe informações sobre sessões nas máquinas virtuais.
By às Nenhum comentário:

Como desabilitar reinicialização automática no Windows

Quem nunca teve o desprezar de ter seu computador reinicializado automaticamente apos uma atualização do Windows? O MS Windows quando instalar atualização pede para reinicializar o computador e se você não fizer isso, ele em algum momento vai fazer por você. 

 Nessa dica vamos lhe mostrar como desativar a reinicialização automática do Windows.

 1. Abrir o Regedit, no menu Iniciar pesquise por "Regedit.exe";
2. Vá para chave: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU;
3. Clicar com o lado direito do mouse na janela em braco e criar uma nova chave do tipo Valor DWORD (32 bits) com o nome NoAutoRebootWithLoggedOnUsers, vide exemplo abaixo

Com isso o Windows não será mais reinicializado automaticamente toda fez que fizer uma atualização

By às Nenhum comentário: Marcadores: ,

quarta-feira, 17 de fevereiro de 2016

Maximum capacity of RAM Windows Server 2012

Limites de memória física: Windows Server 2012

A tabela a seguir especifica os limites de memória física para o Windows Server 2012. Windows Server 2012 somente está disponível nas edições x64.
VersãoLimite para X64
Windows Server 2012 Datacenter
4 TB
Windows Server 2012 Padrão
4 TB
Windows Server 2012 Essentials
64 GB
Windows Server 2012 Foundation
32 GB
Windows Storage Server 2012 Workgroup
32 GB
Windows Storage Server 2012 Padrão
4 TB
Hyper-V Server 2012
4 TB
By às Nenhum comentário: Marcadores:

segunda-feira, 15 de fevereiro de 2016

O Windows Device Recovery Tool foi atualizado para suportar mais smartphone de terceiros

A Microsoft atualizou a ferramenta de recuperação para versão 3.1.6. A ferramenta, Windows Device Recovery Tool, pode ajudá-lo a redefinir as configurações de fabrica do seu telefone, se o seu telefone não estiver respondendo ou estiver com algum outro problema.

 Confira algumas das novidades dessa nova versão 3.1.6:
  • Suporte para o dispositivo AlcatelOne FierceXL Windows 10.
  • Suporte para o BLU Win HD W510U Windows Phone.
  • Suporte para o BLU Win HD LTE X150Q Windows Phone.
  • Suporte para o MCJ Madosma Q501 Windows Phone.


 Sem contar as melhorias de aplicativos e correções de bugs.

 Baixar Windows Recovery Tool do Windows para PC
By às Nenhum comentário: Marcadores: , ,