Mensajes

Me ha pasado que descargo un instalador, y sin darme cuenta, viene con una de esas barras maliciosas y que te redireccionan de paginas web. El antivirus, solo porque ejecute el instalador, creyó que podía dejar modifcar cualquier cosa. En mi caso estoy hablando de Windows. (Aunque hablar de malware es sinonimo de Windows XD).

Así está el plan de antivirus, ni si quiera pueden detectar la instalación de plugins maliciosos o que no nos convengan, ni siquiera una alerta, ya me dirás lo dificil que sería eso para un antivirus que tenga un poco de prestigio, aunque las técnicas para evadirlos están más que al dia.

Saludos.

[youtube=640,360]https://www.youtube.com/watch?v=QZvdPM_h2o8&feature=youtu.be[/youtube]

Fuente: http://www.kaspersky.com/about/news/virus/2014/Infected-ATMs-give-away-millions-of-dollars-without-credit-cards-around-the-globe

La botnet que le enganche al xnowz era "Vertexnet", ellos no programan las botnets, se descargan una y a destrozar lo que puedan. Al menos no pusieron la versión vulnerable, no digo que no sepan nada de informática, en la DEFCON los llaman Script-kiddies...

Saludos.

Buen ataque esta vez, no se levantaba el sitio ni en broma, joder.
A ver que datos pueda sacar el brujo, por lo que he podido oir el ataque se realiza desde proxies...

Saludos.

Si sacando el disco todo sigue bien, revisaría no tener algun sector defectuoso en es disco que has añadido. Vuelve a conectarlo y revisa a fondo sectores dañados y a ser posible te los repare.
Por consumo no creo que sea, no se que fuente ni gráfica tienes, pero que vamos un disco no es que consuma mucha energía.
Revisaría también alguna posible infección, nunca está demás, notaste algún otro sintoma a parte del lag, procesos raros, etc.

Saludos.

Código fuente del mensaje recibido:

Código [Seleccionar] Expandir

Source:
x-store-info:4r51+eLowCe79NzwdU2kRwMf1FfZT+JrOrNqUS7nEGb27WyWDr7OJIxM0/W6OFf7u/luuGOYHbJldrqaw7hjArci/+7PnaiUt1GYT0o94FwoX2U9VuS+OZ/tzwamW3DXyb0HNhWfLe4=
Authentication-Results: hotmail.com; spf=fail (sender IP is 50.116.33.183; identity alignment result is fail and alignment mode is relaxed) smtp.mailfrom=www-data@uol.com.br; dkim=none (identity alignment result is pass and alignment mode is relaxed) header.d=hotmail.com; x-hmca=none header.id=mixelyx@hotmail.com
X-SID-PRA: mixelyx@hotmail.com
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTkwsv9Zisdxe0OuIg2e9Xe3+nPJERnQMhzmYY2w30rOUADLyhfuKR0VAaHUpByYtQLqMSnQ5cvatKmlMNBa08gleb5J4UwfwM+ovq0PfAyv3mz88ptSD0ilrCaCqbPo0o3ZNeCNF7ifkeTaGhV0pjHHB9a/uoMOHlOZRQxSQN11TsGCL4xbkYs7HGuVKA4O9XNoGdRoUSK0o1ZJ3ttMjIvd
Received: from uol.com.br ([50.116.33.183]) by BAY004-MC2F29.hotmail.com with Microsoft SMTPSVC(7.5.7601.22712);
        Tue, 23 Sep 2014 01:53:39 -0700
Received: by uol.com.br (Postfix, from userid 33)
       id 6A09161439; Tue, 23 Sep 2014 07:33:35 +0000 (UTC)
To: xxxxx@hotmail.com
Subject: Segue em anexo a 2 via do boleto, Dpto Juridico.
X-PHP-Originating-Script: 0:index.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Juridico <mixelyx@hotmail.com>
Message-Id: <20140923073335.6A09161439@uol.com.br>
Date: Tue, 23 Sep 2014 07:33:35 +0000 (UTC)
Return-Path: www-data@uol.com.br
X-OriginalArrivalTime: 23 Sep 2014 08:53:39.0464 (UTC) FILETIME=[DE80F880:01CFD70B]

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
 <meta content="text/html; charset=ISO-8859-1"
http-equiv="content-type">
 <title></title>
</head>
<body>
<a href="hxtps://storage.googleapis.com/visualizaoronlines/documento.html"><img
style="border: 0px solid ; width: 971px; height: 648px;"
src="hxtp://gsete.com/osticket/js/emiss.png"
alt="Para ver o anexo clique aqui"></a>
<p><img src="hxtp://bit.ly/XZrR6u" width="1" height="1" /></p>
</body>
</html>

Aquí tenemos el archivo:

hxtps://storage.googleapis.com/visualizaoronlines/documento.html  

VT: https://www.virustotal.com/es/url/b237e77608d997a5f4d036e39f87c473379436332ab8eeb7b74677e90b47a1fc/analysis/1412065188/ --> 0 / 59
AI: https://anubis.iseclab.org/?action=result&task_id=1aeb136b9180b69e47900b7de352b3a03



Aqui el análisis del archivo content.js:
VT: https://www.virustotal.com/es/file/94244ae5709a34df53ab8e1160be3dbeb8970805da2ddb652bf3a7e76744a12b/analysis/1412057891/
SHA256: 94244ae5709a34df53ab8e1160be3dbeb8970805da2ddb652bf3a7e76744a12b

Nombre: content.js
Detecciones: 2 / 55
Fecha de análisis: 2014-09-30 06:18:11 UTC ( hace 0 minutos )

instal.rdf:

Código [Seleccionar] Expandir


File: install.rdf
MD5:  b39f4830a0e4e05367e585209fbcc71b
Size: 1080

Ascii Strings:
---------------------------------------------------------------------------
<?xml version="1.0" encoding="utf-8"?><!-- This Source Code Form is subject to the terms of the Mozilla Public
  - License, v. 2.0. If a copy of the MPL was not distributed with this
  - file, You can obtain one at http://mozilla.org/MPL/2.0/. --><RDF xmlns="http://www.w3.org/1999/02/22-rdf-syntax-ns#" xmlns:em="http://www.mozilla.org/2004/em-rdf#">
 <Description about="urn:mozilla:install-manifest">
   <em:id>jid1-Sqj4NY0VG6TS9g@jetpack</em:id>
   <em:version>0.1</em:version>
   <em:type>2</em:type>
   <em:bootstrap>true</em:bootstrap>
   <em:unpack>false</em:unpack>
   <!-- Firefox -->
   <em:targetApplication>
     <Description>
       <em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}</em:id>
       <em:minVersion>21.0</em:minVersion>
       <em:maxVersion>29.0a1</em:maxVersion>
     </Description>
   </em:targetApplication>
   <!-- Front End MetaData -->
   <em:name>Visualizador Documentos</em:name>
   <em:description>a basic add-on</em:description>
   <em:creator></em:creator>
   
   
   
 </Description>
</RDF>

Versiones afectadas para firefox:

<em:minVersion>21.0</em:minVersion>
       <em:maxVersion>29.0a1</em:maxVersion>

harness-options.json:

Código [Seleccionar] Expandir


hxtp://lucasdasilvaregere.biz/


view-source:http://lucasdasilvaregere.biz/:

<script src="//ajax.googleapis.com/ajax/libs/jquery/1.10.2/jquery.min.js" ></script>

 <link id="css-3373342544" class="www-core" rel="stylesheet" href="https://s.ytimg.com/yts/cssbin/www-core-webp-vflhcl-Ef.css" data-loaded="true">


     <link id="css-2187159078" class="www-player" rel="stylesheet" href="https://s.ytimg.com/yts/cssbin/www-player-webp-vfl3CEEFK.css" data-loaded="true">



Descarga del plugin para chrome y firefox (extraido del código fuente):

Firefox: hxtps://storage.googleapis.com/visualizaoronlines/VisualizadorDocumentos.xpi
Chrome: hxtps://chrome.google.com/webstore/detail/visualizador-online/ncmmgnoahjmpdboogfafhhaipgejaebl
Datos:
[Versión: 0.0.13
Última actualización: 22 de septiembre de 2014
Tamaño: 68.01KB
Idioma: português (Brasil)]



Upssss cuanta gente: Accesibilidad  [1.000 usuarios] "Good Botnet...."

Para abrir los archivos con extensión .xpi para Firefox pueden usar cualquier extractor, sea UniExtract, IZArc, winrar....



Otros datos:

http://whois.domaintools.com/lucasdasilvaregere.biz
[Proxied by AnonymousBitcoinDomains.com]

Información sobre los archivos con extensión .webp qie interpreta Chrome:

https://developers.google.com/speed/webp/
http://es.wikipedia.org/wiki/WebP
http://www.fileinfo.com/extension/webp

Quien quiera echarle un ojo lo he subido a dos servidores:

Descarga: http://www.mediafire.com/download/ua1tyyjby03y8h2/VisualizadorDocumentos.zip
               https://mega.co.nz/#!54ZhXRIT!zdvp1ssnsf-ad8QFAZCIHjc27H_F6X6grVlX0MXUgCo
Pass: infected

Contenido del archivo comprimido:



Espero no haber olvidado nada, cualquier cosa lo añado.

Saludos.

Aquí sale algo también tanto interesante...

https://thehackernews.com/2014/09/Shellshock-Bash-Vulnerability-exploit.html

http://blog.erratasec.com/2014/09/bash-shellshock-bug-is-wormable.html#.VCcTrRZc9hG

Saludos.

Gracias por el trabajo, he visto algunos de tus proyectos, estan interesantes.
Lo que veo que si lo dejas sin código completo, pues lo pasariamos a la sección de análisis y diseño de malware, lo comentaré con el moderador.
Vi que añadiste el código más tarde, se que será largo, parece venir todo el code incluido en la descarga, actualizaste hace pocas horas el proyecto, le echaremos un ojo.

No soy de instalar botnets, es solo curiosidad sobre funcionamiento y código.
Como dice el compañero espero no lo subas para infectar y que este todo correcto.

Saludos.

Eliminaré el tema, yo revise y no llegó nada raro, es una web de terceros, pueda ser, si fue así lo siento.

Lo comprobaré.

Saludos

Si usas Kaspersky antivirus, usarás el Firewall de Windows para el tema de conexiones, si usas K.Internet Security no te hace falta el de Win.
No juntes dos antivirus, puede o lo más seguro casi se peleen entre ellos en consumo de recursos.
actualiza el sistema y navegadores, añade plugins como no-script, adblockplus, instalate Sandboxie y navegas y ejecutas desde ahí. Elimina los contenidos esporadicamente.
Limpeza de archivos temporales , revisar servicios que no sean necesarios. para tu uso común.

Obvio olvidé comentarte revises, actualices firmware de tu router, claves de acceso, etc.
Si tienes dudas de tráfico ajeno en tu red, observa con Wireshark las conexiones, verificas que no se conecte con ningun dominio extraño, esto ya es algo más personal, pero siempre aconsejo revisar tu tráfico de red, tampoco a modo obsesivo.

Saludos.