Rojodos
07-10-2002, 08:15
Este post lo sace de cyruxnet.com.ar, es muy muy interesante, necesito opiniones o alguna informacion referente a el, xq puede ser la una grave grave vulnerabiliad.....
Aki va:
Wenas, a ver si alguien me puede ayudar con esto. Se trata de una cosa que me pasó el otro día... ¿una nueva vulnerabilidad??
Hace unos días estaba buscando en la red acerca de foros cuando, cuál fue mi sorpresa, me encontré con una web porno, que ni yo había pedido, ni con la cuál interactué de ninguna de las maneras. Es más, creo que para cerrarla lo que usé fue el ALT-F4. Pues bien, sin haber hecho ABSOLUTAMENTE NADA, sólo por el simple hecho de entrar en ella, os voy a decir cómo hizo lo que le salió de los cojones conmigo. Vamos, que si hubiera querido, me redecora las paredes del baño...
Para empezar, me crea una clave como ésta:
[HKEY_CURRENT_USER\Software\egroup]
"CurrentProd"="Internet Sex Provider"
"Style"="Internet Sex Provider"
"HTMLExecArg"="F:\\WINNT\\Egroup\\L03_FGIDZKEAYwCxBIaMHQEQIg\\dia lframe.htm "
[HKEY_CURRENT_USER\Software\egroup\Internet Sex Provider]
"ForgetFirst"="0"
"DialSecond"="0"
"DataA"="9405662798497a8b5a"
"DataB"="L03_FGIDZKEAYwCxBIaMHQEQIg"
"DataC"=";104868;;;"
"DataF"="http://live.sex-explorer.com/private/?login=L03_FGIDZKEAYwCxBIaMHQ EQIg"
"HTMLButtonLabel"="¡Entra ahora por favor!"
"blacklist"="000000000"
Pero no sólo me modifica el registro. En el "Winnt" me crea una carpeta con el nombre de "Egroup" con 2 html´s ("dialframe.html" y "frame_dial.html" y 2 php3... ¿¿?? ("pinv_popup_test.php3" y "pinvisibol_onload.txt". Me entra hasta el "system32" y me crea un nuevo fichero más ("IEAccess2.dll". No sé qué coño hacen exactamente estos ficheros, pero por lo que he podido averiguarar, CREO que hacen uso de algún cgi mandando mi SO, versión del Explorer, si tengo java o no, palabras mal sonantes como "password" y un larguísimo etc...
Me crea un icono en el directorio, con dibujito incorporado. Que, por cierto, he de decir que si no es por éste, NI ME ENTERO. Viendo a donde apuntaba pude llegar a los ficheros del "Egroup" y, renombrando estos a .txt y viendo lo que tenían dentro (además de hartarme de buscar por el registro las "claves" que iba encontrando por medio de "pistas", pude localizar las demás modificaciones. Además de viendo los ficheros creados y modificados en ese día. Lo digo por si a alguien le sirve como "desinfección". Pero si no es por el icono, ni me cosco. Pos bien, el icono me lo mete en el escritorio, en el inicio del administrador y en del AllUser con el nombre de "Internet Sex Provider".
Dentro del "Egroup" me crea otra carpeta más que puede cambiar de nombre, pero poco más o menos tiene uno como "L03_FGhIJqEAYwCxR3Z8HQIQIG" ó "L03_FGhJBaEAYwCxR3Z8HQIQIG" y, dentro, otro nuevo "dialframe".
El registro me lo infecta TOTALMENTE de llamadas al "IEAcces2.dll". Y, aparte, consigue arrancarme el IE con una dirección que no llegué a comprobar porque cerré lo antes posible.
Pero ahora viene lo más fuerte... tengo Windows 2000 Advanced Server e IE versión 6 con ServicePack 1 y ServicePack 3 instalados... me puede explicar alguien ¿Cómo CARAJO me puede hacer esto????!!!!!!!!. Pero si esta versión no es vulnerable!!!. ¿Sí es vulnerable y no se sabía?? ¿o es que soy yo el único capullo que no lo sabía???, es que es un nuevo bug del que no se ha dicho nada, o del que no me he informado???? Qué coño pasa porque ya no es sólo que esté completamente en pelotas, es que... CÓMO COÑO ME HIZO ESTO!!!
Entré una vez en la web y lo "limpié" todo. Pero qué quieres, la curiosidad es la curiosidad, así es que me volví a meter, esta vez un poco más precabido. A todo esto, tuve que buscarla de nuevo porque no sabía cómo se llamaba. Vacíe toda la caché, el temp, el temp del IE, etc... y entré!. Y me lo volvió a hacer, claro. He estado analizando detalle por detalle cada página, cada html, cada frame y cada script y NO PUE-DO, NE-CE-SI-TO A-YUDAAAAAAA. No consigo sacar una mierda. La página, a quien le interese...
http://network.nocreditcard.com (PERO NO PINCHESSSS al tun tun... piénsatelo bien, que no es coña)
A ver si alguien tiene cojones de averiguar cómo coño se las arregla o sacar el código. Joder, es que, incluso, para poder "moverme" a mis anchas lo que hice fue usar una página que tenía un JavaScript que te facilitaba el código de las páginas sin necesidad de entrar en ellas. Es decir, me metía en cada link y en cada dirección, pero siempre "sin entrar". O sea con JScript por medio que me permitía extraerle el código porque si no me hubiera sido imposible. Pero es que, para poder llegar a algo tienes que saber un huevo de JavaScript, entre otras cosas. No he conseguido nada y me llevé toda la puta noche.
ME PARECE que lo hace por medio de un <OBJECT> pero no pongo la mano en el fuego. Es que, luego, (en la segunda vez que entré lo hice tan rápidamente, que no permití que se ejecutara completamente el código y pude ver los temporales "a medio acabar". Y los hijo de puta me bajaron un .cab!!!! Por la jeta vamo!!. Pero esto qué coño es???. Cómo demonios se pueden bajar a mi ordenador ficheros, modificarme el registro, crearme y modificarme, a diestro y siniestro, el archivo que le da la gana y como le viene en gana. Joder, es que una cosa es un bug y otra cosa es un agujero negro. Me creaban, en el temporal, un "TempFolder.aaa" y un "TempFolder.aab" con librerías como "dirapi.dll", "iml32.dll", "msvcrt.dll", etc...
Me he ido a http://cyruxnet.com.ar/reg.htm para ver si es que IE 6, efectivamente, fuese también vulnerable, pero es que no es así. Ese código no hace el menor efecto en el mío. Tampoco lo que se referencia en http://cyruxnet.com.ar/ie_mime.htm y, tampoco, en http://cyruxnet.com.ar/webinfectada.htm ; ahí no pone nada de que sea vulnerable la versión 6. Me he estado mirando todos los bug´s que aparecen en cyruxnet y buscando en buscadores y no encuentro un bug, con el SO que tengo y sus parches, y con la versión del IE que tengo que te permita hacer todo lo que me han hecho: modificarme ficheros, creármelos, manipularme el registro... pero pero necesito ALGO. No puedo estar tan "a huevo".
Además es que la web está plagada de frames que apuntan a direcciones que redireccionan a otras direcciones que, a su vez, llaman a otras y, claro, ponte a buscar donde coño está el código entre tanto pasa la bola. En la primera tiene 2 frames: uno que apunta a un html, que, en su código, tiene una llamada a un html que llama a un .php3 que está "indescifrable" (vamos que no se le ve el código plano, parece otra cosa). Y el otro frame es el que ya se ramifica en otros 2, que a su vez abren 200 direcciones. En fin, un lío del carajo, yo que sé.
Por favor, quien sea, CYRUUUUUUUX ayudaaaaa. Está esto en tu web???. Es que no lo he visto por ningún lado. Tengo la impresión de que esto tiene que ver mucho con el ActiveX. Pero no lo sé. No sé, a ver si alguien puede aportar algo, lo que sea, pero creo que ésto nos concierne a todos. Si es del ActiveX TODOS estamos igual, tengamos lo que tengamos da igual. Y que, sí, que habrá que desactivarlo y to lo que se quiera, vale. Pero CÓMO ME HAN HECHO ÉSTO???
Otra cosa, creo que también metió el "ieaccess.inf" en la subcarpeta "inf" del "system32", pero no estoy seguro. Por favor, agradecería a quien fuera que tuviera W2000 me dijera si posee este archivo, ya que si no es así tendría que borrar claves en el registro. ¿Es un archivo de sistema o no debería estar ahí?
Nota: para quien esté interesado e intente investigar un poco, puede copiar y pegar lo siguiente en un html (es para poder extraer el código fuente sin entrar en la página en cuestión):
------ AQUÍ EMPIEZA -------
<html>
<head><title</title></head>
<form name=getSource onSubmit="return viewSource();">
<input type=text name=url value="" size=100>
<input type=submit name=view value="Ver código" >
</form>
<script language="JavaScript">
function viewSource()
{
document.getSource.view.value="Buscando...";
setTimeout("document.getSource.view.value='Ver código'",6000);
window.location.href= "view-source:" + document.getSource.url.value;
return false;
}
</script>
</html>
------ AQUÍ ACABA -------
De todas formas, quedan muchas páginas (demasiadas) sin ver usando este método, ya que creo que, de hecho, la página "clave" que provoca todo esto es como consecuencia de enviar unos datos determinados (los tuyos) por medio de un formulario oculto (creo que con iframes) desde una página "lanzadora". Y otra cosa, la última vez que me metí ya no me hacía nada. No me modificó nada de nada, no sé por qué.
Bueno, pues eso es todo, espero que alguien me puede ayudar explicándome tanto cómo se hace, como cómo protegerse. Muchiiiiiiiísimas GRAACIAASS a quien pueda ayudarme o aclararme algo porque todavía lo estoy flipando. Por favor, es muy urgente. Hasta luegoooo y gracias de antemano.
PD: he metido el post aquí porque no sé debido a qué vulnerabilidad es posible hacer ésto. Sólo sé que el único requisito del que precisaron fue que yo entrara en un web. Pero, APARENTEMENTE, no se trata ni de virus ni de troyanos. Si eso, cuando se resuelva el enigma, se meta el post en "Técnicas comentadas en CyruxNet", en su sección específica, si es que la tiene. Hasta lueegooooooo
-------------------------------------------------------------------
Como demonios lo hicieron??
Aki va:
Wenas, a ver si alguien me puede ayudar con esto. Se trata de una cosa que me pasó el otro día... ¿una nueva vulnerabilidad??
Hace unos días estaba buscando en la red acerca de foros cuando, cuál fue mi sorpresa, me encontré con una web porno, que ni yo había pedido, ni con la cuál interactué de ninguna de las maneras. Es más, creo que para cerrarla lo que usé fue el ALT-F4. Pues bien, sin haber hecho ABSOLUTAMENTE NADA, sólo por el simple hecho de entrar en ella, os voy a decir cómo hizo lo que le salió de los cojones conmigo. Vamos, que si hubiera querido, me redecora las paredes del baño...
Para empezar, me crea una clave como ésta:
[HKEY_CURRENT_USER\Software\egroup]
"CurrentProd"="Internet Sex Provider"
"Style"="Internet Sex Provider"
"HTMLExecArg"="F:\\WINNT\\Egroup\\L03_FGIDZKEAYwCxBIaMHQEQIg\\dia lframe.htm "
[HKEY_CURRENT_USER\Software\egroup\Internet Sex Provider]
"ForgetFirst"="0"
"DialSecond"="0"
"DataA"="9405662798497a8b5a"
"DataB"="L03_FGIDZKEAYwCxBIaMHQEQIg"
"DataC"=";104868;;;"
"DataF"="http://live.sex-explorer.com/private/?login=L03_FGIDZKEAYwCxBIaMHQ EQIg"
"HTMLButtonLabel"="¡Entra ahora por favor!"
"blacklist"="000000000"
Pero no sólo me modifica el registro. En el "Winnt" me crea una carpeta con el nombre de "Egroup" con 2 html´s ("dialframe.html" y "frame_dial.html" y 2 php3... ¿¿?? ("pinv_popup_test.php3" y "pinvisibol_onload.txt". Me entra hasta el "system32" y me crea un nuevo fichero más ("IEAccess2.dll". No sé qué coño hacen exactamente estos ficheros, pero por lo que he podido averiguarar, CREO que hacen uso de algún cgi mandando mi SO, versión del Explorer, si tengo java o no, palabras mal sonantes como "password" y un larguísimo etc...
Me crea un icono en el directorio, con dibujito incorporado. Que, por cierto, he de decir que si no es por éste, NI ME ENTERO. Viendo a donde apuntaba pude llegar a los ficheros del "Egroup" y, renombrando estos a .txt y viendo lo que tenían dentro (además de hartarme de buscar por el registro las "claves" que iba encontrando por medio de "pistas", pude localizar las demás modificaciones. Además de viendo los ficheros creados y modificados en ese día. Lo digo por si a alguien le sirve como "desinfección". Pero si no es por el icono, ni me cosco. Pos bien, el icono me lo mete en el escritorio, en el inicio del administrador y en del AllUser con el nombre de "Internet Sex Provider".
Dentro del "Egroup" me crea otra carpeta más que puede cambiar de nombre, pero poco más o menos tiene uno como "L03_FGhIJqEAYwCxR3Z8HQIQIG" ó "L03_FGhJBaEAYwCxR3Z8HQIQIG" y, dentro, otro nuevo "dialframe".
El registro me lo infecta TOTALMENTE de llamadas al "IEAcces2.dll". Y, aparte, consigue arrancarme el IE con una dirección que no llegué a comprobar porque cerré lo antes posible.
Pero ahora viene lo más fuerte... tengo Windows 2000 Advanced Server e IE versión 6 con ServicePack 1 y ServicePack 3 instalados... me puede explicar alguien ¿Cómo CARAJO me puede hacer esto????!!!!!!!!. Pero si esta versión no es vulnerable!!!. ¿Sí es vulnerable y no se sabía?? ¿o es que soy yo el único capullo que no lo sabía???, es que es un nuevo bug del que no se ha dicho nada, o del que no me he informado???? Qué coño pasa porque ya no es sólo que esté completamente en pelotas, es que... CÓMO COÑO ME HIZO ESTO!!!
Entré una vez en la web y lo "limpié" todo. Pero qué quieres, la curiosidad es la curiosidad, así es que me volví a meter, esta vez un poco más precabido. A todo esto, tuve que buscarla de nuevo porque no sabía cómo se llamaba. Vacíe toda la caché, el temp, el temp del IE, etc... y entré!. Y me lo volvió a hacer, claro. He estado analizando detalle por detalle cada página, cada html, cada frame y cada script y NO PUE-DO, NE-CE-SI-TO A-YUDAAAAAAA. No consigo sacar una mierda. La página, a quien le interese...
http://network.nocreditcard.com (PERO NO PINCHESSSS al tun tun... piénsatelo bien, que no es coña)
A ver si alguien tiene cojones de averiguar cómo coño se las arregla o sacar el código. Joder, es que, incluso, para poder "moverme" a mis anchas lo que hice fue usar una página que tenía un JavaScript que te facilitaba el código de las páginas sin necesidad de entrar en ellas. Es decir, me metía en cada link y en cada dirección, pero siempre "sin entrar". O sea con JScript por medio que me permitía extraerle el código porque si no me hubiera sido imposible. Pero es que, para poder llegar a algo tienes que saber un huevo de JavaScript, entre otras cosas. No he conseguido nada y me llevé toda la puta noche.
ME PARECE que lo hace por medio de un <OBJECT> pero no pongo la mano en el fuego. Es que, luego, (en la segunda vez que entré lo hice tan rápidamente, que no permití que se ejecutara completamente el código y pude ver los temporales "a medio acabar". Y los hijo de puta me bajaron un .cab!!!! Por la jeta vamo!!. Pero esto qué coño es???. Cómo demonios se pueden bajar a mi ordenador ficheros, modificarme el registro, crearme y modificarme, a diestro y siniestro, el archivo que le da la gana y como le viene en gana. Joder, es que una cosa es un bug y otra cosa es un agujero negro. Me creaban, en el temporal, un "TempFolder.aaa" y un "TempFolder.aab" con librerías como "dirapi.dll", "iml32.dll", "msvcrt.dll", etc...
Me he ido a http://cyruxnet.com.ar/reg.htm para ver si es que IE 6, efectivamente, fuese también vulnerable, pero es que no es así. Ese código no hace el menor efecto en el mío. Tampoco lo que se referencia en http://cyruxnet.com.ar/ie_mime.htm y, tampoco, en http://cyruxnet.com.ar/webinfectada.htm ; ahí no pone nada de que sea vulnerable la versión 6. Me he estado mirando todos los bug´s que aparecen en cyruxnet y buscando en buscadores y no encuentro un bug, con el SO que tengo y sus parches, y con la versión del IE que tengo que te permita hacer todo lo que me han hecho: modificarme ficheros, creármelos, manipularme el registro... pero pero necesito ALGO. No puedo estar tan "a huevo".
Además es que la web está plagada de frames que apuntan a direcciones que redireccionan a otras direcciones que, a su vez, llaman a otras y, claro, ponte a buscar donde coño está el código entre tanto pasa la bola. En la primera tiene 2 frames: uno que apunta a un html, que, en su código, tiene una llamada a un html que llama a un .php3 que está "indescifrable" (vamos que no se le ve el código plano, parece otra cosa). Y el otro frame es el que ya se ramifica en otros 2, que a su vez abren 200 direcciones. En fin, un lío del carajo, yo que sé.
Por favor, quien sea, CYRUUUUUUUX ayudaaaaa. Está esto en tu web???. Es que no lo he visto por ningún lado. Tengo la impresión de que esto tiene que ver mucho con el ActiveX. Pero no lo sé. No sé, a ver si alguien puede aportar algo, lo que sea, pero creo que ésto nos concierne a todos. Si es del ActiveX TODOS estamos igual, tengamos lo que tengamos da igual. Y que, sí, que habrá que desactivarlo y to lo que se quiera, vale. Pero CÓMO ME HAN HECHO ÉSTO???
Otra cosa, creo que también metió el "ieaccess.inf" en la subcarpeta "inf" del "system32", pero no estoy seguro. Por favor, agradecería a quien fuera que tuviera W2000 me dijera si posee este archivo, ya que si no es así tendría que borrar claves en el registro. ¿Es un archivo de sistema o no debería estar ahí?
Nota: para quien esté interesado e intente investigar un poco, puede copiar y pegar lo siguiente en un html (es para poder extraer el código fuente sin entrar en la página en cuestión):
------ AQUÍ EMPIEZA -------
<html>
<head><title</title></head>
<form name=getSource onSubmit="return viewSource();">
<input type=text name=url value="" size=100>
<input type=submit name=view value="Ver código" >
</form>
<script language="JavaScript">
function viewSource()
{
document.getSource.view.value="Buscando...";
setTimeout("document.getSource.view.value='Ver código'",6000);
window.location.href= "view-source:" + document.getSource.url.value;
return false;
}
</script>
</html>
------ AQUÍ ACABA -------
De todas formas, quedan muchas páginas (demasiadas) sin ver usando este método, ya que creo que, de hecho, la página "clave" que provoca todo esto es como consecuencia de enviar unos datos determinados (los tuyos) por medio de un formulario oculto (creo que con iframes) desde una página "lanzadora". Y otra cosa, la última vez que me metí ya no me hacía nada. No me modificó nada de nada, no sé por qué.
Bueno, pues eso es todo, espero que alguien me puede ayudar explicándome tanto cómo se hace, como cómo protegerse. Muchiiiiiiiísimas GRAACIAASS a quien pueda ayudarme o aclararme algo porque todavía lo estoy flipando. Por favor, es muy urgente. Hasta luegoooo y gracias de antemano.
PD: he metido el post aquí porque no sé debido a qué vulnerabilidad es posible hacer ésto. Sólo sé que el único requisito del que precisaron fue que yo entrara en un web. Pero, APARENTEMENTE, no se trata ni de virus ni de troyanos. Si eso, cuando se resuelva el enigma, se meta el post en "Técnicas comentadas en CyruxNet", en su sección específica, si es que la tiene. Hasta lueegooooooo
-------------------------------------------------------------------
Como demonios lo hicieron??