Resultados 1 al 4 de 4

Tema: Hago Lo Que Kiero Contu Pc?? Urgente!!

  1. #1 Hago Lo Que Kiero Contu Pc?? Urgente!! 
    Medio
    Fecha de ingreso
    Aug 2002
    Mensajes
    100
    Descargas
    0
    Uploads
    0
    Este post lo sace de cyruxnet.com.ar, es muy muy interesante, necesito opiniones o alguna informacion referente a el, xq puede ser la una grave grave vulnerabiliad.....
    Aki va:
    Wenas, a ver si alguien me puede ayudar con esto. Se trata de una cosa que me pasó el otro día... ¿una nueva vulnerabilidad??

    Hace unos días estaba buscando en la red acerca de foros cuando, cuál fue mi sorpresa, me encontré con una web porno, que ni yo había pedido, ni con la cuál interactué de ninguna de las maneras. Es más, creo que para cerrarla lo que usé fue el ALT-F4. Pues bien, sin haber hecho ABSOLUTAMENTE NADA, sólo por el simple hecho de entrar en ella, os voy a decir cómo hizo lo que le salió de los cojones conmigo. Vamos, que si hubiera querido, me redecora las paredes del baño...

    Para empezar, me crea una clave como ésta:

    [HKEY_CURRENT_USER\Software\egroup]
    "CurrentProd"="Internet Sex Provider"
    "Style"="Internet Sex Provider"
    "HTMLExecArg"="F:\\WINNT\\Egroup\\L03_FGIDZKEAYwCx BIaMHQEQIg\\dialframe.htm "

    [HKEY_CURRENT_USER\Software\egroup\Internet Sex Provider]
    "ForgetFirst"="0"
    "DialSecond"="0"
    "DataA"="9405662798497a8b5a"
    "DataB"="L03_FGIDZKEAYwCxBIaMHQEQIg"
    "DataC"=";104868;;;"
    "DataF"="http://live.sex-explorer.com/private/?login=L03_FGIDZKEAYwCxBIaMHQ EQIg"
    "HTMLButtonLabel"="¡Entra ahora por favor!"
    "blacklist"="000000000"

    Pero no sólo me modifica el registro. En el "Winnt" me crea una carpeta con el nombre de "Egroup" con 2 html´s ("dialframe.html" y "frame_dial.html" y 2 php3... ¿¿?? ("pinv_popup_test.php3" y "pinvisibol_onload.txt". Me entra hasta el "system32" y me crea un nuevo fichero más ("IEAccess2.dll". No sé qué coño hacen exactamente estos ficheros, pero por lo que he podido averiguarar, CREO que hacen uso de algún cgi mandando mi SO, versión del Explorer, si tengo java o no, palabras mal sonantes como "password" y un larguísimo etc...

    Me crea un icono en el directorio, con dibujito incorporado. Que, por cierto, he de decir que si no es por éste, NI ME ENTERO. Viendo a donde apuntaba pude llegar a los ficheros del "Egroup" y, renombrando estos a .txt y viendo lo que tenían dentro (además de hartarme de buscar por el registro las "claves" que iba encontrando por medio de "pistas", pude localizar las demás modificaciones. Además de viendo los ficheros creados y modificados en ese día. Lo digo por si a alguien le sirve como "desinfección". Pero si no es por el icono, ni me cosco. Pos bien, el icono me lo mete en el escritorio, en el inicio del administrador y en del AllUser con el nombre de "Internet Sex Provider".

    Dentro del "Egroup" me crea otra carpeta más que puede cambiar de nombre, pero poco más o menos tiene uno como "L03_FGhIJqEAYwCxR3Z8HQIQIG" ó "L03_FGhJBaEAYwCxR3Z8HQIQIG" y, dentro, otro nuevo "dialframe".

    El registro me lo infecta TOTALMENTE de llamadas al "IEAcces2.dll". Y, aparte, consigue arrancarme el IE con una dirección que no llegué a comprobar porque cerré lo antes posible.

    Pero ahora viene lo más fuerte... tengo Windows 2000 Advanced Server e IE versión 6 con ServicePack 1 y ServicePack 3 instalados... me puede explicar alguien ¿Cómo CARAJO me puede hacer esto????!!!!!!!!. Pero si esta versión no es vulnerable!!!. ¿Sí es vulnerable y no se sabía?? ¿o es que soy yo el único capullo que no lo sabía???, es que es un nuevo bug del que no se ha dicho nada, o del que no me he informado???? Qué coño pasa porque ya no es sólo que esté completamente en pelotas, es que... CÓMO COÑO ME HIZO ESTO!!!

    Entré una vez en la web y lo "limpié" todo. Pero qué quieres, la curiosidad es la curiosidad, así es que me volví a meter, esta vez un poco más precabido. A todo esto, tuve que buscarla de nuevo porque no sabía cómo se llamaba. Vacíe toda la caché, el temp, el temp del IE, etc... y entré!. Y me lo volvió a hacer, claro. He estado analizando detalle por detalle cada página, cada html, cada frame y cada script y NO PUE-DO, NE-CE-SI-TO A-YUDAAAAAAA. No consigo sacar una mierda. La página, a quien le interese...

    http://network.nocreditcard.com (PERO NO PINCHESSSS al tun tun... piénsatelo bien, que no es coña)

    A ver si alguien tiene cojones de averiguar cómo coño se las arregla o sacar el código. Joder, es que, incluso, para poder "moverme" a mis anchas lo que hice fue usar una página que tenía un JavaScript que te facilitaba el código de las páginas sin necesidad de entrar en ellas. Es decir, me metía en cada link y en cada dirección, pero siempre "sin entrar". O sea con JScript por medio que me permitía extraerle el código porque si no me hubiera sido imposible. Pero es que, para poder llegar a algo tienes que saber un huevo de JavaScript, entre otras cosas. No he conseguido nada y me llevé toda la puta noche.

    ME PARECE que lo hace por medio de un <OBJECT> pero no pongo la mano en el fuego. Es que, luego, (en la segunda vez que entré lo hice tan rápidamente, que no permití que se ejecutara completamente el código y pude ver los temporales "a medio acabar". Y los hijo de puta me bajaron un .cab!!!! Por la jeta vamo!!. Pero esto qué coño es???. Cómo demonios se pueden bajar a mi ordenador ficheros, modificarme el registro, crearme y modificarme, a diestro y siniestro, el archivo que le da la gana y como le viene en gana. Joder, es que una cosa es un bug y otra cosa es un agujero negro. Me creaban, en el temporal, un "TempFolder.aaa" y un "TempFolder.aab" con librerías como "dirapi.dll", "iml32.dll", "msvcrt.dll", etc...

    Me he ido a http://cyruxnet.com.ar/reg.htm para ver si es que IE 6, efectivamente, fuese también vulnerable, pero es que no es así. Ese código no hace el menor efecto en el mío. Tampoco lo que se referencia en http://cyruxnet.com.ar/ie_mime.htm y, tampoco, en http://cyruxnet.com.ar/webinfectada.htm ; ahí no pone nada de que sea vulnerable la versión 6. Me he estado mirando todos los bug´s que aparecen en cyruxnet y buscando en buscadores y no encuentro un bug, con el SO que tengo y sus parches, y con la versión del IE que tengo que te permita hacer todo lo que me han hecho: modificarme ficheros, creármelos, manipularme el registro... pero pero necesito ALGO. No puedo estar tan "a huevo".

    Además es que la web está plagada de frames que apuntan a direcciones que redireccionan a otras direcciones que, a su vez, llaman a otras y, claro, ponte a buscar donde coño está el código entre tanto pasa la bola. En la primera tiene 2 frames: uno que apunta a un html, que, en su código, tiene una llamada a un html que llama a un .php3 que está "indescifrable" (vamos que no se le ve el código plano, parece otra cosa). Y el otro frame es el que ya se ramifica en otros 2, que a su vez abren 200 direcciones. En fin, un lío del carajo, yo que sé.

    Por favor, quien sea, CYRUUUUUUUX ayudaaaaa. Está esto en tu web???. Es que no lo he visto por ningún lado. Tengo la impresión de que esto tiene que ver mucho con el ActiveX. Pero no lo sé. No sé, a ver si alguien puede aportar algo, lo que sea, pero creo que ésto nos concierne a todos. Si es del ActiveX TODOS estamos igual, tengamos lo que tengamos da igual. Y que, sí, que habrá que desactivarlo y to lo que se quiera, vale. Pero CÓMO ME HAN HECHO ÉSTO???

    Otra cosa, creo que también metió el "ieaccess.inf" en la subcarpeta "inf" del "system32", pero no estoy seguro. Por favor, agradecería a quien fuera que tuviera W2000 me dijera si posee este archivo, ya que si no es así tendría que borrar claves en el registro. ¿Es un archivo de sistema o no debería estar ahí?

    Nota: para quien esté interesado e intente investigar un poco, puede copiar y pegar lo siguiente en un html (es para poder extraer el código fuente sin entrar en la página en cuestión):

    ------ AQUÍ EMPIEZA -------
    <html>
    <head><title</title></head>
    <form name=getSource onSubmit="return viewSource();">
    <input type=text name=url value="" size=100>
    <input type=submit name=view value="Ver código" >
    </form>
    <script language="JavaScript">
    function viewSource()
    {
    document.getSource.view.value="Buscando...";
    setTimeout("document.getSource.view.value='Ver código'",6000);
    window.location.href= "view-source:" + document.getSource.url.value;
    return false;
    }
    </script>
    </html>
    ------ AQUÍ ACABA -------

    De todas formas, quedan muchas páginas (demasiadas) sin ver usando este método, ya que creo que, de hecho, la página "clave" que provoca todo esto es como consecuencia de enviar unos datos determinados (los tuyos) por medio de un formulario oculto (creo que con iframes) desde una página "lanzadora". Y otra cosa, la última vez que me metí ya no me hacía nada. No me modificó nada de nada, no sé por qué.

    Bueno, pues eso es todo, espero que alguien me puede ayudar explicándome tanto cómo se hace, como cómo protegerse. Muchiiiiiiiísimas GRAACIAASS a quien pueda ayudarme o aclararme algo porque todavía lo estoy flipando. Por favor, es muy urgente. Hasta luegoooo y gracias de antemano.

    PD: he metido el post aquí porque no sé debido a qué vulnerabilidad es posible hacer ésto. Sólo sé que el único requisito del que precisaron fue que yo entrara en un web. Pero, APARENTEMENTE, no se trata ni de virus ni de troyanos. Si eso, cuando se resuelva el enigma, se meta el post en "Técnicas comentadas en CyruxNet", en su sección específica, si es que la tiene. Hasta lueegooooooo
    -------------------------------------------------------------------

    Como demonios lo hicieron??
    Saludos
    "Quien se mete con el mejor muere como todos los demas" Zero Cool
    Citar  
     

  2. #2 Hola 
    Avanzado
    Fecha de ingreso
    Jan 2002
    Ubicación
    Mexico D.F. en el pais de los tacos :D
    Mensajes
    356
    Descargas
    0
    Uploads
    0
    Sabes que es curioso... que lo abri, y no me hizo nada de lo que tu mencionas, y sabes porque, porque, al momento de entrar a la pagina, te pide autorizacion de ejecutar un programa llamado...
    ELECTRONIC GROUP
    entonces, al momento de decirle que no, pues no me hizo nada, pero cuando le digo que si, pues hace todas y cada una de las cosas que acabas de describir.

    A lo mejor es porque tengo el internet explorer 5.5 por lo que no me hace eso por entrar nadamas, tal vez solo pase eso con el explorer 6 y es un bug como tu lo estas mencionando, pero en lo que son peras o son manzanas...

    Hay que aprender a dercir que no a algunas cosas
    <<<ReVo>>>
    Citar  
     

  3. #3 Hola 
    Avanzado
    Fecha de ingreso
    Jan 2002
    Ubicación
    Mexico D.F. en el pais de los tacos :D
    Mensajes
    356
    Descargas
    0
    Uploads
    0
    Sabes que es curioso... que lo abri y no paso nada de lo que estas mencionando, y sabes porque... porque al momento de entrar a la pagina, me pide autorización para instalar o ejecutar un programa llamado ELECTRONIC GROUP, y pues le dije que no.

    Vuelvo a entrar, pero ver si entrando de nuevo me hacia lo que expones, y nada, fue hasta que le dije que si dejaba que se instalara el programa ELECTRONIC GROUP donde ahora si me hizo todo lo que describes en el post, por que lo que deduzco, que es al momento de dejar instalar el programa, te hace todas esas putadas...

    No sé si sea porque tengo yo la version 5.5 del internet explorer y no la 6, como tú, pero a lo mejor si es un bug como tu lo comentas del internet explorer 6 lo que causo ese desastre, pero en lo que son peras o son manzanas...

    Debemos de aprender a decir que no a algunas cosas



    Es todo lo que pienso al respecto
    <<<ReVo>>>
    Citar  
     

  4. #4  
    Moderador HH
    Fecha de ingreso
    Sep 2002
    Ubicación
    Entre C# y PHP
    Mensajes
    1.813
    Descargas
    3
    Uploads
    0
    de estas hay muchas webs que sin tu quererlo te cambian la configuracion incluso del numero al que llamas cuando te conectas(si tienes modem)
    no se como lo harán, supongo que sera un script de esos q llaman "malignos" pero no se
    eso que dices que tienes windows 2000 con el Sp3 y tal y que no es vulnerable no se donde lo habrás oido.
    ahora mismo no creo que exista un SO 100 % seguro sin ninguna vulnerabilidad, y desde luego el que mas se acerca a esta seguridad no es el win2k ni mucho menos. Incluso en linux hay diversas vulnerabilidades a pesar de ser el SO mas seguro del grupillo de SO's q digamos son mas frecuentes para el uso de particulares
    Quien no sabe lo que busca no entiende lo que encuentra.
    Usa Firefox, Redescubre la web
    Citar  
     

Temas similares

  1. kiero saver cmo desblokear un mvl
    Por hakercico en el foro TELEFONIA
    Respuestas: 0
    Último mensaje: 22-09-2007, 15:05
  2. No kiero abusar
    Por sante en el foro DIGITAL+
    Respuestas: 2
    Último mensaje: 09-02-2007, 15:57
  3. kiero vender mi viejo pc
    Por domotika en el foro HARDWARE
    Respuestas: 12
    Último mensaje: 14-09-2006, 15:45
  4. YO kiero el programmmmm
    Por ShiVaK en el foro HACK HiSPANO
    Respuestas: 5
    Último mensaje: 02-06-2002, 19:28
  5. kiero el sms bomb
    Por dani69 en el foro APLICACIONES
    Respuestas: 6
    Último mensaje: 19-11-2001, 20:20

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •