Mensajes

Hola Roda, la cabecera del archivo no corresponde a la de un archivo .rar 



Podrías comentar?

Hola Nostarck, como te han comentado es extraño que al abrir un libro, ya sea pdf, chm, etc, no se tendría que abrir la consola de dos. Bajo mi punto de vista algo hay ahí y al reiniciar los cambios ya se han hecho, normalmente si se acompaña de algun tipo de malware en el reinicio se realizan todos los cambios.
Yo analizaría con tu antivirus y algun programa tipo Malwarebytes a ver si encuentra algo.
Puedes revisar los procesos que se inician al cargar el sistema, como comentas se te abre el cmd al iniciar con el mensaje:

por eso pienso que esta extraño que me abriera el cmd, y cada vez que prendo la pc se abre el cmd diciendo "Correcto: se guardo el valor especificado"

En este tema puedes descargar herramientas para analizar tu sistema y poder ver si hay algo detrás de esa adverténcia, que lo más seguro se haya instalado algo en segundo plano:

https://foro.elhacker.net/seguridad/guia_rapida_para_descarga_de_herramientas_gratuitas_de_seguridad_y_desinfeccion-t382090.0.html

Saludos.

@Ninfrock:

A ver... si entiendo bien, te infecta mientras ves los pdf?  muy bien, ahora por lo menos avisan cuando te infectan

Si, ese pdf contiene si no creo recordar mal dos exploits, si tienes actualizado el sistema y navegador no tendría que afectarte, ahora miro para que plataforma y navegador eran, no lo recuerdo, lo siento 

Si que lo bloquea Eset y algun otro antivirus, no he probado con otros. Si no te fías del contenido echale un vistazo desde una VM, virtualbox o sandboxie te servirán.

Saludos.

Adjunto el pdf donde se explica el funcionamiento, via Thehackernews:

Measuring and mitigating AS-level adversaries against Tor:
http://arxiv.org/pdf/1505.05173.pdf

Saludos.

Esta bastante documentado con sus respectivos sources:

http://www.stoned-vienna.com/

Ojo con el aviso:

Download the PDF infector (Warning, infects when viewing!)

Para abrir el pdf puedes usar el programa "spdfedit!".

Saludos.

Hola Atlanty podrías poner brevemente la salución encontrada 

Encontré esta entrada sospechosa en tu log:

Código [Seleccionar] Expandir

O23 - Service: Privoxy (PrivoxyService) (PrivoxyService) - The Privoxy team - www.privoxy.org - C:\Program Files (x86)\Megasoft Security\privoxy.exe

Esta entrada no es de tu log, es de una infección del foro de BleepingComputer (como ejemplo):

Código [Seleccionar] Expandir

C:\Program Files (x86)\Megasoft Security\ssff.exe a variant of Win32/Techsnab.H potentially unwanted application deleted - quarantined.

Saludos.

Source mail:

Código [Seleccionar] Expandir

x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; spf=softfail (sender IP is 5.208.156.149; identity alignment result is pass and alignment mode is relaxed) smtp.mailfrom=etgfln@icloud.com; dkim=none (identity alignment result is pass and alignment mode is relaxed) header.d=icloud.com; x-hmca=fail header.id=etgfln@icloud.com
X-SID-PRA: etgfln@icloud.com
X-AUTH-Result: FAIL
X-SID-Result: FAIL
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: isY2VobhFN9+PbbdQNbelA4VPcMc8X5j6ZduBEJ3NDcymurPntd93lyW4ri5A696fd409PCJT656gZdcqFx6mW8pshkRw+VEn+d2vbdytgMk/S2+TncgizEtAxrmsb0bxVEmi2pFVx0bDnRuGIKNf3UEUUJrd3rgEL8yEKgNfyhUFwYdqgFd77xvd1Ef2uxRBlrCYa3JXtiiRp6NpjfKRWzOMdwrUJOR
Received: from icloud.com ([5.208.156.149]) by COL004-MC5F5.hotmail.com with Microsoft SMTPSVC(7.5.7601.23008);
Sun, 10 May 2015 10:25:30 -0700
Message-ID: <006101d08b46$4ddf8450$8d84676f@SVZQM>
From: "Vegas Casino" <etgfln@icloud.com>
To: <trojan_mom@hotmail.com>
Subject: Free 100$ on Us
Date: Sun, 10 May 2015 19:25:26 -0-100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_005E_01D08B57.11685450"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
Return-Path: etgfln@icloud.com
X-OriginalArrivalTime: 10 May 2015 17:25:31.0620 (UTC) FILETIME=[50F8D240:01D08B46]

This is a multi-part message in MIME format.

------=_NextPart_000_005E_01D08B57.11685450
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Dear Customer,

With the Cool Cat Casino Instant-Win Scratch Ticket Game you can get $100 =
on the house right now.

Click below to claim. Just by visiting our site, you will automatically =
receive a 100 dollar chip that you can use to play over 100 of the best =
games online. From all your favorites, like Blackjack and Roulette, to new =
original games, including our new scratch card games, Cool Cat Casino =
wants to make playing and winning as easy as scratching a virtual ticket.

hxtp://t.cn/RAeG2Ku


Sincerely,

Cool Cat Casino Staff


-----------------------------
If you would like to not be contacted from us in the future please press =
on the link below:
hxtp://t.cn/RAeGoYr
------=_NextPart_000_005E_01D08B57.11685450--


__________________


URL: hxtp://t.cn/RAeG2Ku

UQ: http://urlquery.net/report.php?id=1431286944590
VT: https://www.virustotal.com/es/url/d871cbfb07a343af009c12ec8c1b6d759746b482baba82bf84990da428df06ad/analysis/1431286951/
PB: http://pastebin.com/FG4PkQtd


IP   180.149.135.224
ASN   AS23724 IDC, China Telecommunications Corporation
Location   [China] China


Setup.exe:

VT: https://www.virustotal.com/es/file/7e3575349318701e5049963a546257a1babee6e45d9bde40630aaedc83b2d4fd/analysis/1431287817/ --> 8/57
PB: http://pastebin.com/qETmtSj7 (Strings)




Strings:




@ehn_labs

¿Donde puedo descargarlo?

Suele venir adjunto a un mail, aunque se sabe de páginas donde el server estaba instalado y preparado para infectar, lee el artículo completo, el panel de control lo tienen o tenian en :

www.centozos[.]org[.]in

Aquí lo explican brevemente:

http://blogs.cisco.com/security/talos/rombertik#conclusion

Saludos.

Hoy me ha llegado este mensaje:

Código [Seleccionar] Expandir

x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; spf=softfail (sender IP is 177.86.85.53; identity alignment result is pass and alignment mode is relaxed) smtp.mailfrom=ildmtfumev@icloud.com; dkim=none (identity alignment result is pass and alignment mode is relaxed) header.d=icloud.com; x-hmca=fail header.id=ildmtfumev@icloud.com
X-SID-PRA: ildmtfumev@icloud.com
X-AUTH-Result: FAIL
X-SID-Result: FAIL
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 4kU6N5vIigdQZ1PXxV4SlsQf+bE6DPf1q3Q2RZePiMhfETCaHvNokNMig8sWHRr579sJ6j4vU2qjsh5CxTsAJEQLJpCz48Y3iJma2G5RyODi+zuU33hCPCK+wAfqqcVmKGFhQamBN3YGSI/dEsyAI1gm+LX+zb0JvCR3nK/h71cpk05BB8jfSOm8gjxdT7IKGQhJFkKS4xMG3ABs+4c3j3VlU+oD1+e5
Received: from icloud.com ([177.86.85.53]) by COL004-MC2F43.hotmail.com with Microsoft SMTPSVC(7.5.7601.23008);
Sun, 3 May 2015 20:39:58 -0700
Message-ID: <013301d0861b$fbdd2ec0$639cfaec@pibryx>
From: "Size XXL" <ildmtfumev@icloud.com>
To: <twright2000@hotmail.com>,
<tommoe@hotmail.com>
Subject: Buddy, you can last all night
Date: Mon, 04 May 2015 05:39:54 -0-100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0130_01D0862C.BF65FEC0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
Return-Path: ildmtfumev@icloud.com
X-OriginalArrivalTime: 04 May 2015 03:39:59.0309 (UTC) FILETIME=[FEEF77D0:01D0861B]

This is a multi-part message in MIME format.

------=_NextPart_000_0130_01D0862C.BF65FEC0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Don't bore your sex partner in bed. Follow theses 2 steps and Become a Sex =
Machine today!

hxtp://t.cn/RAR2EPh

Go Here For A Risk Free Trial...


Click here to unsubscribe
hxtp://t.cn/RAR2n7P
------=_NextPart_000_0130_01D0862C.BF65FEC0--

Revisando la url acortada:



Aquí el source de la página a la que se nos redirige: http://pastebin.com/Avcm7HB5

URL: hxtp://jraux.com/menstar

UQ: http://urlquery.net/queued.php?id=396934007
WH: http://whois.domaintools.com/118.193.198.105
IP   118.193.198.105
ASN   AS58879 Shanghai Anchang Network Security Technology Co.,Ltd.
Location   [China] China

System: Apache 2.2.15 (CentOS) port 80

Código [Seleccionar] Expandir

<html>

<head>
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<title>Male Pornstar Blog - Secrets To Fuck Like a Pornstar!</title>
</head>

<frameset rows="0,*" cols="*">
 <frame name="header" scrolling="no" noresize target="main" src="/menstar/top.html">
 <frame name="main" src="/menstar/index1.html">
 <noframes>
 <body>

 <p>This page uses frames, but your browser doesn't support them.</p>
 </body>
 </noframes>
</frameset>



Vista de los frames:

Código [Seleccionar] Expandir

 <frame name="header" scrolling="no" noresize target="main" src="/menstar/top.html">
 <frame name="main" src="/menstar/index1.html">

Source "/menstar/index1.html": pastebin.com/x5ZAVqeJ

Otra página incluida en el source es: hxtp://secure.drowl.com


Saludos.

La noticia es del dia 24 pero no la vi por el foro.

Cientos de gasolineras en España y miles en total en otros países son completamente vulnerables a ataques informáticos que, entre otras cosas, podrían poner en riesgo la seguridad de sus tanques de combustible. Un experto en seguridad ha destapado el fallo. Lo más grave: en España, por ejemplo, ni autoridades ni petroleras han solucionado aún el problema.

El agujero de seguridad lo destapó a finales de marzo Amador Aparicio, ingeniero superior en informática y especialista en seguridad. Su hallazgo, detallado por él mismo en un artículo en el blog Security by Default, fue preocupante: por descuido o negligencia profesional, muchas gasolineras tienen su propia red privada conectada a Internet y, lo grave, completamente desprotegida. A esta red interna se conectan todos sus sistemas, desde la caja registradora a los dispositivos de monitorización de los tanques de combustible. Aparicio descubrió no solo que la red está conectada a Internet y que los envíos de datos no están cifrados, sino que el acceso a sistemas críticos ni siquiera está protegido con una simple contraseña y nombre de usuario. Pudo entrar hasta la cocina, desde las cámaras de vigilancia o el TPV para cobrar a los clientes, hasta los sistemas de control de los tanques de combustible. De hecho, cualquier persona con mínimos conocimientos informáticos puede acceder y manipular a placer los sistemas de la gasolinera con consecuencias potencialmente muy graves.

Amador lo explica en conversación telefónica con Gizmodo en Español:

    El fallo permite, por ejemplo, manipular el sistema de alarmas de los tanques de combustible. Cada gasolinera tiene unos tanques donde almacena combustible. Estos cuentan con dispositivos que monitorizan el estado de los tanques, su temperatura, si tienen gasolina o gasóleo, cuánto queda... Puedes entrar y desactivar sin problema las alarmas, como las de temperatura. Si la temperatura del tanque empieza a subir por un fallo técnico, el operario no recibiría ninguna alarma. Imagínate qué pasaría...

Desde luego, nada bueno....

Sigue leyendo...:

http://noticiasseguridad.com/vulnerabilidades/el-grave-fallo-de-seguridad-que-permite-hackear-miles-de-gasolineras/

Saludos.