Prevenir Loader Maligno

Archivado
:: Buenas. Os voy a informar de como podréis evitar el uso accidentado del "Loader Maligno" aparecido hace un par de días.

:: Son pasos sencillos, los cuales algunos ya habrán probado para extraer los datos:

:: Herramientas ::


:: Pasos ::

    1º. Nos descargamos el archivo que nos interesa y la herramienta NDSTool.

    2º. Si es necesario, descomprimimos ambos archivos, metiéndolos en una carpeta nueva que creemos, por ejemplo "NDSTool".

    3º. Ejecutamos la consola de Windows ((Inicio : Ejecutar: Cmd)) .

    4º. Desde la consola nos dirigimos al directorio donde tengamos el NDSTool y el archivo a comprobar.

    5º. Una vez estamos en el directorio desde la consola, ejecutamos el siguiente comando:

    ndstool -x nombrearchivo.nds -9 arm9.bin -7 arm7.bin -y9 y9.bin -y7 y7.bin -d data -y overlay -t banner.bin -h header.bin

    ((En "nombrearchivo.nsd" obviamente tenemos que modificarlo por el nombre del archivo a comprobar, sin espacios))

    6º. Después de que termine de extraer los archivos, podemos cerrar la consola.

:: Bien, ahora pasamos a comprobar los datos, en 3 simples pasos:

    1º. Comprobamos si las carpetas Data y Overlay estan vacías.

    2º. Comprobamos si el archivo bin Arm7 ocupa 2,30KB .

    3º. Comprobamos si los archivos bin Banner y Header contienen la siguiente cabecera mediante algún editor de texto:

    . ê ####    S V € €8 8_ D_ `X ø  PASS È`Oâpâÿ/áOHL `d`|b09J ðø0j€±jòj ð ø0k€±kòk ðøpjwkL``8GKÒšCK’Ò ß÷Fðå þðÿð ÿ  ž¨m

((Si uno de estos datos es positivo, precaución))

:: Advierto que no es estudio fiable, pueden aparecen nuevas variantes que cambien de tamaño, etc., por eso os voy a dejar una lista que ire actualizando con los archivos que contengan este código maligno:

:: Lista Software Maligno ::

    Romloader - 147KB - Cargador de Backups.
    Taihen - 535KB - Visualizador de Imágenes.


:: Espero que tengáis todos máxima cautela. Suerte.

:: PD: Por si alguien tiene interés en ver lo que sucede con este Loader Maligno: Ver Video . Nos vemos.
Muy buena idea la de crear este hilo, gracias por la info!

[beer]
El tercer paso no es muy fiable, todo el homebrew tiene la palabra PASS, es mas, se usa justamente para el arranque automatico desde flashme (DsBoot, PASS o la combinacion de A+B+X+Y)
:: Buenas. Como ya e comentado, son pasos no fiables, aun así hay HomeBrew que estos están modificados, con sus nombres, etc. mientras tanto podemos ir evitando algunos sospechosos con la palabra "PASS", la cual, como podréis ver, muy fácil de editar. Nos vemos.
muy bueno este hilo, poco a poco a ver si entre todos podemos ver si cortamos lo mas posible las posibilidades de vernos "infectados", si alguien encuentra el virus este que lo notifique aqui y hacemos una lista actualizada con los que no se deben usar

yo por mi parte ya lo comente en el hilo de el virus pero estoy usando nintenren que es un renombrador de las roms que si te renombra la rom es porque ha detectado que esta tal cual se dumpeo, osea que no esta modificada por terceros, de esta manera tenemos una comprobacion rapida de si puede o no estar infectado, tambien se puede sumar como precaucion a este metodo de Squall
Basta que alguien lo abra con un editor hexadecimal, añada unos pocos kB aleatorios al final del archivo y reconstruya para que este metodo sea inservible.

Y si usais el de comprobar la palabra pass vais a dejar de usar la mayoria del homebrew no malicioso, por ejemplo el emu de snes.

La unica manera valida de no joder la consola es baajrse los programas de sitios de confianza, por ejemplo de la pagina web de cada autor.
LockeCole escribió:La unica manera valida de no joder la consola es baajrse los programas de sitios de confianza, por ejemplo de la pagina web de cada autor.


el problema es k el autor sea el k kiere propagar el virus [decaio]
anda que si por la historia se me jode la DS... mato xD
:: Buenas. He editado el tercer paso, para que se me entienda mejor, comprobáis toda la cabecera en ambos bin's. Nos vemos.
Y ke tal si alguno de Ustedes se hace una aplicacion donde selecciones el homebrew y diga si eta infectado o no? es que es para estar mas seguros :D
ostia menos mal que pusiste lo del vosualizador de imagenes que te dige, ai a algun degenerao le hubiera dao pro mirarlo... xD, de todas formas seguire mirando en el foro donde se detecto la cosa por si hay mas archivos "sospechosos" pululando poray :D
:: Buenas. Lo confirmo, el punto sobre el tamaño no es cierto, e conseguido el Romloader original y entre los dos Arm ocupa 146KB, lo extraño es que el Arm7 nunca se toca, el cual en ambos ocupa 2,30KB... voy a editar el punto con esta información. Nos vemos.
Squall yo kiero ese romloader me lo puedes pasar?


Gracias [360º]
:: Buenas. Si lo que quieres es compararlo con el Flashme, te digo de antemano que no parecen tener ninguna similitud. Nos vemos.
pero puedes pasarme la url para bajarlo? please [risita]

en un MP si kieres... :) gracias

Salu2!
Esto es la escusa perfecta para instalarse el flashme.

Ya que las consolas con flasme se pueden recuperar. (lo habrán echo para que la gente se ponga el flashme?)
Esta bien informarse para prevenir posibles problemas. Una cosa, que extension de video has puesto Oooh . Je je je es rarisima, al menos para mi.

Un saludo.
Bajate el kit de mega codec, te viene un reproductor del media player clasic, que con ese lo ves todo
Squall escribió::: Buenas. Lo confirmo, el punto sobre el tamaño no es cierto, e conseguido el Romloader original y entre los dos Arm ocupa 146KB, lo extraño es que el Arm7 nunca se toca, el cual en ambos ocupa 2,30KB... voy a editar el punto con esta información. Nos vemos.


El codigo del arm7 no se toca porque es justamente el mismo :D el que se ocupa de borrar el firm, el unico procesador que puede acceder al firmware es el arm7. Y me reitero, los archivos banner y header, son identicos para todos los devkitpro por ejemplo, es que estais dando por echo cosas que no son.
Joder que miedo en la gba no hicieron ninguno ahora con la DS nos quieren joder vivos espero que el tio que cree esos vrus le pete el pc para que aprenda
Gente, sigue sin haber un método FIABLE de verdad para evitar el troyano? Es que DarkFader dice en su página que hasta el método del grep no es fiable al 100%
Siento desilusionar pero creo que realmente nunca habra metodo fiable ... lo mejor es ir comprobando lo q cada uno se instala.

Siempre podran cambiar la forma para que no lo detectemos con estos metodos tan rudimentarios.


Se me ocurre que quizas, para evitar cosas basicas, tambien podriamos primero probarlo primero en un emulador y ver si se ejecuta lo que queremos (caso del visualizador de imagenes). Pero no se si existe algun emulador de la consola en si ... perdonad pero estoy muy verde en lo q hay para PC de la NDS XD Supongo que los emuladores que hay en PC no son de hw propiamente dicho, sino del estilo "carga rom"
[url=http://www.supercard.cn/eng/bbs/view.asp?mode=viewtopic&topicID=155&forumID=1&catID=1&sessionID={CEFE58F2-81AA-4C7F-A71B-437060D84081}&lsd=2005-10-14&login=]http://www.supercard.cn/eng/bbs/view.asp?mode=viewtopic&topicID=155&forumID=1&catID=1&sessionID={CEFE58F2-81AA-4C7F-A71B-437060D84081}&lsd=2005-10-14&login=[/url]

Según Romman, el fix de Darkfader hace que no se pueda jugar a roms en el movieplayer :S.

"romman:
Don't run the Dardfade's movieplayer fix program.

If you run the Dardfade's movieplayer fix program, you can not play NDS games.
You'd better do not run any homebrew program at this moment."

Vamos, que o usas la DS a su manera o.. a su manera.

Un saludo, Nekete.
22 respuestas
Archivado
Volver a Scene