tag:blogger.com,1999:blog-67662637467957181442024-03-13T12:21:19.260+13:00EvilFingersThe official blog of <a href="http://www.EvilFingers.com">EvilFingers</a> website.Unknownnoreply@blogger.comBlogger422125tag:blogger.com,1999:blog-6766263746795718144.post-13469739896370341662010-01-07T03:11:00.003-11:002010-01-07T03:15:06.688-11:00EFBlog Moved PermanentlyHello Readers,<br /><br />Thank you for your uninterrupted support. We hope that you had a great time during your long weekends and holidays. We are getting back into action with the first step of moving EFBLOG permanently to <b><a href="http://ef.kaffenews.com">http://EF.KAFFENEWS.COM</a></b>. Sorry for any inconvenience. Kindly, follow us there. Thank you once again for all your support.<br /><br />Kind Regards,<br />EFUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-30387441460446171222010-01-05T01:00:00.000-11:002010-01-05T04:03:26.474-11:00Crimeware in 2009"<span style="font-weight: bold;">Crimeware in 2009</span>" presented in one document all that was channeled through this blog during the year in question on <span style="font-weight: bold;">crimeware </span>and associated hazards.<br /><br />There are a total of 262 pages and is divided by the most relevant topics that describe the criminal activities that were a source of news on this blog. Has two indices for getting the news in a simple (content) and another on the images (image index).<br /><br />Then let some of the themes they found in the document in question:<br /><ul><li>Current business outlook caused by crimeware</li><li>Framework Exploit Pack for botnets general purpose</li><li>Framework Exploit Pack for botnets particular purpose</li><li>Services associated with crimeware</li><li>Intelligence in the fight against crimeware</li><li>Campaigns of spread and infection</li><li>Other Exploits packs that were investigated<br /></li></ul><span style="font-weight: bold;">Short information</span><br /><a style="color: rgb(51, 51, 255);" href="http://www.malwareint.com/">Malware Intelligence</a><br />Annual compendium of information. Crimeware in 2009<br />262 pages<br />Spanish language<br /><a style="color: rgb(51, 51, 255);" href="http://www.malwareint.com/docs/MalwareInt-anual-2009.pdf"><br />Download</a><br /><br />Jorge Mieres<br />Malware Intelligence BlogUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-86326017107847922662009-12-25T15:43:00.000-11:002009-12-25T15:44:17.064-11:00Anti-Virus Live 2010. Talking with the enemy<div style="text-align: justify;">Generally one has the false belief that malicious code is trivial that any technical problems solved by just formatting the system or acquire any of the known anti-malware market offers today.<br /><br />However, on the one hand, the reality is that behind the development of malware hides a very large business in which every day must be added more "associates". Moreover, what happens when we plan to buy this antivirus is just the opposite.<br /><br />This is the case of the <span style="font-weight: bold;">Anti-Virus Live 2010</span> or what is the same, <span style="font-weight: bold;">Anti-Virus Elite 2010</span> malware <a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/12/recent-tour-of-scareware-xix.html">scareware</a> type (or <span style="font-weight: bold;">rogue</span>), which makes it quite evident that the processes and mechanisms by which deceives order to steal your money are well oiled and well thought out.<br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhVRYDVa5Rsu0Fy7jDszhcNboQHS2K7ezaUqBSP3w8qQKbS0Cxbdf9C_3yrYzsdej68660LqrNvep6xABCBU8xPnBA_PD18-SkMN7RxPH9pHgtV4L34VWb3LT5MVgw2l4OcpJ8QVYxJYRlW/s1600-h/mipistus-av-live2010.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 271px; height: 400px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhVRYDVa5Rsu0Fy7jDszhcNboQHS2K7ezaUqBSP3w8qQKbS0Cxbdf9C_3yrYzsdej68660LqrNvep6xABCBU8xPnBA_PD18-SkMN7RxPH9pHgtV4L34VWb3LT5MVgw2l4OcpJ8QVYxJYRlW/s400/mipistus-av-live2010.png" alt="" id="BLOGGER_PHOTO_ID_5418671326278943074" border="0" /></a>At first instance, as is usual in this type of threat, the strategy is supported by a website that is used to "bait" to lure potential victims, saying all sorts of justifications to "prove" some credibility on the false antivirus, which complements a typical <a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/12/campana-de-desinformacion-para-propagar.html">disinformation campaign</a>.<br /><br />So far, nothing interesting. Except for the possibility of requesting assistance via chat. Interesting. Then check if this condiment is legitimate ... Yes it's.<br /><br />Consequently, communication was established through this option with the surprise that immediately got response from the other side. You can then take the short conversation via chat.<br /><br /></div><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg1qnfJRhNHe0-4orUo_VZvmNZldxr8y4NG79ow9aY8xcI2wouc-3nt8JzXfTXvt_CnCdGwqo5SLX007OaFQRbQNBxbykIkrDd3rByAlOyEbRDOHPcaR_8-6dWQj6QsXAoxWAk9loaiezHu/s1600-h/mipistus-chat.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 385px; height: 400px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg1qnfJRhNHe0-4orUo_VZvmNZldxr8y4NG79ow9aY8xcI2wouc-3nt8JzXfTXvt_CnCdGwqo5SLX007OaFQRbQNBxbykIkrDd3rByAlOyEbRDOHPcaR_8-6dWQj6QsXAoxWAk9loaiezHu/s400/mipistus-chat.png" alt="" id="BLOGGER_PHOTO_ID_5418671655169958946" border="0" /></a>We basically said Dennis, the merchant, which among other things the course antivirus is compatible with all versions of Windows, its value is <span style="font-weight: bold;">USD 27</span>, which only supports English and no enterprise version and no problems eliminating <a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/04/conficker-iv-dominios-relacionados-y.html">conficker</a>.<br /><br />Let us briefly discuss these points. Obviously, the scareware must be compatible with all versions of Windows as it's this time the audience that the threat is directed. Why? Simply because more than 80% of people use Windows as the main operating system in home environments where the potential for finding a particular victim increases. This way is much more likely "to close business."<br /><br />For the same reason there isn't version for GNU/Linux, even, not even version oriented businesses; because usually, the companies have a higher level of security where probably the scareware not find results.<br /><br /></div><div style="text-align: justify;">Why English and not Russian? Because English is the third most popular language. Its cost, <span style="font-weight: bold;">USD 27</span>, represents a competitive value that's commensurate with the average cost of legitimate antivirus programs. And regarding conficker, whether by <a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/06/symbiosis-malware-present-koobface.html">koobface</a> wondering, the answer would have been the same.<br /><br />A very interesting fact that helps to understand its true magnitude of the illegal business of malware, is the error committed by the "affiliate" Dennis when requesting the URL to buy a false solution. It gives us the url <span style="font-style: italic;">registryfix.com/purchase</span> and time of comment that is not in question the supposed solution, offering the proviso <span style="font-style: italic;">antivirus-elite.com/purchase</span> the corresponding url.<br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzCRDcOi2VfOs53HtrKY37aHnlA3O1GFIoCiRdwrU1ogwCwhoCHgxxqlA6UZUYDur7m6g-LKqoL-6GnMTxmwnh_nVcHdJaxZAHy5iCmSJG1nNAcxLzyj1JRDl0GPRZhZQFTqRT-161Gclo/s1600-h/mipistus-purchase.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 149px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzCRDcOi2VfOs53HtrKY37aHnlA3O1GFIoCiRdwrU1ogwCwhoCHgxxqlA6UZUYDur7m6g-LKqoL-6GnMTxmwnh_nVcHdJaxZAHy5iCmSJG1nNAcxLzyj1JRDl0GPRZhZQFTqRT-161Gclo/s400/mipistus-purchase.png" alt="" id="BLOGGER_PHOTO_ID_5418674784050459058" border="0" /></a>However, we were trying to close "business" by <span style="font-weight: bold;">Anti-Virus Live 2010</span> and not <span style="font-weight: bold;">Anti-Virus Elite 2010</span>, making it clear that this is the same threat under different names. Even the same "partner" manages and markets various alternatives under similar mode. In this case, also offering the fraudulent sale of <span style="font-weight: bold;">Registry Fix</span>, another associated with <span style="font-weight: bold;">NoAdware</span> and scareware <span style="font-weight: bold;">ErrorClean</span>.<br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEizuWy9JImjUolmXBQlRl7y_PesOpMdFeOk2cUJf9eI5IcH75oqxHF02I9xoj7vXh-yGB6hu4g4FSd89KGBC_HJQahrI9lzty4Qjv_nBRugHzcKwLZ4d_Q0p7V-Vy2-A51MKZGe6_xyjaO3/s1600-h/mipistus-malware-server.png"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 200px; height: 152px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEizuWy9JImjUolmXBQlRl7y_PesOpMdFeOk2cUJf9eI5IcH75oqxHF02I9xoj7vXh-yGB6hu4g4FSd89KGBC_HJQahrI9lzty4Qjv_nBRugHzcKwLZ4d_Q0p7V-Vy2-A51MKZGe6_xyjaO3/s200/mipistus-malware-server.png" alt="" id="BLOGGER_PHOTO_ID_5418675569496044482" border="0" /></a>From a technical point of view, the domain of this threat is in the IP address <span style="font-weight: bold;">204.232.131.12</span>, hosted by the <a style="color: rgb(51, 51, 255);" href="http://www.rackspace.com/index.php">ISP Rackspace</a>, located in the city of Hoboken in the United States under <span style="font-weight: bold;">AS27357</span>.<br /><br />According to the history of this AS, the activities generated by malicious code are important<br /><br />From the website you download an executable named <span style="font-style: italic;">setup.exe </span><span style="font-size:85%;">(MD5: C50DC619E13345DEC2444B0DE371DFD4)</span> which corresponds to scareware installer with a <a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/039083f8eaa6a02b7239bb76dae708dbeb41f944a4fdeff6f09d0cfdd023c8c2-1261593825">low rate of detection</a>.<br /><br /></div><div style="text-align: justify;">As we see, the cybercriminals don't get tired of spreading increasingly aggressive threats that accompany the infection process through marketing campaigns, even very similar to those used by many antivirus companies.<br /></div><br /><span style="font-weight: bold;">Related information</span><br /><a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/12/recent-tour-of-scareware-xix.html">A recent tour of scareware XIX</a><br /><a href="http://mipistus.blogspot.com/2009/09/green-it-utilizado-para-la-propagacion_17.html">Green IT utilizado para la propagación de scarewar...</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/06/scareware-repositorio-de-malware-in.html">Scareware. Repositorio de malware In-the-Wild</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/05/scareware-estrategia-de-engano.html">Scareware. Estrategia de engaño propuesta por Personal Antivirus</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/05/campana-de-propagacion-del-scareware.html">Campaña de propagación del scareware MalwareRemovalBot</a><br /><br />Jorge Mieres<br />Malware Intelligence BlogUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-61234347054477203172009-12-17T04:12:00.002-11:002009-12-17T14:03:56.253-11:00RussKill. Application to perform denial of service attacks<div style="text-align: justify;">Conceptually speaking, a <span style="font-weight: bold;">DoS attack</span> (<span style="font-weight: bold;">Denial of Service attack</span>) is basically bombarded with requests for a service or computer resource to saturate and the system can not process more data, so those resources and services are inaccessible, "denying" the access to anyone who wants them.<br /><br />From the standpoint of computer security, <span style="font-weight: bold;">Denial of Service attacks</span> are a major problem because many <span style="font-weight: bold;">botnets</span> are designed to automate these attacks, <a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/11/ddos-botnet-new-crimeware-particular.html">especially those of particular purpose</a>, taking advantage of computational power offered by the network of zombies. In this case, the attack is called <span style="font-weight: bold;">Distributed Denial of Service</span> (<span style="font-weight: bold;">DDoS</span>).<br /><br />Moreover, under the framework of the concept of <a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/09/inteligencia-informatica-seguridad-de.html">cyberwarfare</a>, this type of attack is part of the armament "war" through which virtual scenarios presented conflicts between their requirements as to neutralize a state vital services.<br /><br /><span style="font-weight: bold;">RussKill</span> is a web application that is classified within these activities and that despite being extremely simple, both in functionality and in the way of use, is an attack that could be very effective and difficult to detect.<br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQx-TChA0Sn8a4JCQAOTh_ZEvcNSPPTyw5W9RN4VNM0QfOgIw3izVLxx8BEw3nFmCnF8srGXVGk6AbXF-9oJc6L-RcGMDUkwrQD4nxn52zi2TrzoHV5ybxAjEDOS87SmpRxXVdxSBqBsqu/s1600-h/mipistus-russkill-log-mark.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 169px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQx-TChA0Sn8a4JCQAOTh_ZEvcNSPPTyw5W9RN4VNM0QfOgIw3izVLxx8BEw3nFmCnF8srGXVGk6AbXF-9oJc6L-RcGMDUkwrQD4nxn52zi2TrzoHV5ybxAjEDOS87SmpRxXVdxSBqBsqu/s400/mipistus-russkill-log-mark.png" alt="" id="BLOGGER_PHOTO_ID_5416375374780717202" border="0" /></a>As is customary in the current <span style="font-weight: bold;">crimeware</span>, the web application is of Russian origin and has a number of fields with information about how and against whom to carry out the attack, letting you configure the packet sequence, ie the flow in amount. The option "<span style="font-style: italic;">Hide url</span>" is a self-defensive measure designed to ensure that the server is detected.<br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAu5zXn9pMixo2ueybk_SoopjUswT0-XupNqr5hHjod9ZXIpF4cHa2FeEQX_vYXXh_nJ8BAcJbjF3YHA1BVVDZJKSWPiGV5HO4WVBXAqyTu8OA702DX8rYf43wD1lPZVafs1SEbc_-va0y/s1600-h/mipistus-russkill-flow-mark.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 142px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAu5zXn9pMixo2ueybk_SoopjUswT0-XupNqr5hHjod9ZXIpF4cHa2FeEQX_vYXXh_nJ8BAcJbjF3YHA1BVVDZJKSWPiGV5HO4WVBXAqyTu8OA702DX8rYf43wD1lPZVafs1SEbc_-va0y/s400/mipistus-russkill-flow-mark.png" alt="" id="BLOGGER_PHOTO_ID_5416375283374504290" border="0" /></a>Although several methods of <span style="font-weight: bold;">DoS attacks</span>, <span style="font-weight: bold;">RussKill</span> makes use of the attacks <span style="font-weight: bold;">HTTP-flood</span> and <span style="font-weight: bold;">SYN-flood</span>. In both cases the servers for flood victims through http requests and packets with fake source IP addresses respectively.<br /><br />As I said at first, the denial of service attacks are a danger for any information system, regardless of the platform that supports services and applications such, in this case site, demonstrates the ease with which an attack of this type can run.<br /></div><br /><span style="font-weight: bold;">Related information</span><br /><a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/11/ddos-botnet-new-crimeware-particular.html">DDoS Botnet. New crimeware particular purpose</a><br /><br />Jorge Mieres<br />Pistus Malware IntelligenceUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-12195542508052359872009-12-11T00:19:00.002-11:002009-12-11T00:23:10.859-11:00Using Nmap Remotely Through F5 FirePass VPNWell, we all use the common hacking tools of the trade like Nmap. Some of us use it on Windows and some on Linux. This post is for the people using it on Windows.<div>I was connected to a network remotely through the company's F5 VPN appliance and I wanted to scan the internal network.</div><div><br /></div><div>It looked like:</div><div><div><span class="Apple-tab-span" style="white-space: pre; "> </span>Microsoft Windows XP [Version 5.1.2600]</div><div><span class="Apple-tab-span" style="white-space: pre; "> </span>(C) Copyright 1985-2001 Microsoft Corp.</div><div><span class="Apple-tab-span" style="white-space: pre; "> </span></div><div><span class="Apple-tab-span" style="white-space: pre; "> </span>C:\Documents and Settings\Rafel>nmap -PN -sS -p 445 192.168.1.*</div><div><br /></div><div>Once I pressed "Enter" I got:</div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">Starting Nmap 4.85BETA10 ( http://nmap.org ) at 2009-11-10 00:34 Jerusalem Standard<span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; ">Time</span></span></span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">WARNING: Using raw sockets because ppp0 is not an ethernet device. This probably won't </span><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;"></span><span class="Apple-style-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span><span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">work on Windows.</span></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><span class="Apple-tab-span" style="white-space: pre; "></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><span class="Apple-tab-span" style="white-space: pre; "></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><span class="Apple-tab-span" style="white-space: pre; "></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><br /></span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">pcap_open_live(ppp0, 100, 0, 2) FAILED. Reported error: Error opening adapter: The <span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">system cannot </span><span class="Apple-style-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span><span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">find the device specified. (20). Will wait 5 seconds then retry.</span></span></span></span></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><br /></span></div><div><span class="Apple-style-span" style="font-size:small;"><span class="Apple-style-span" style="white-space: pre; "> </span>pcap_open_live(ppp0, 100, 0, 2) FAILED. Reported error: Error opening adapter: The <span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">system cannot </span><span class="Apple-style-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span><span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">find the device specified. (20). Will wait 25 seconds then retry.</span></span></span></span></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><br /></span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">Call to pcap_open_live(ppp0, 100, 0, 2) failed three times. Reported error: Error opening<span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">adapter: The </span><span class="Apple-style-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span><span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">system cannot find the device specified. (20)</span></span></span></span></span></span></div><div><span class="Apple-style-span" style="font-size:small;"></span></div><div><span class="Apple-style-span" style="font-size:small;"><br /></span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">There are several possible reasons for this, depending on your operating system:</span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">LINUX: If you are getting Socket type not supported, try modprobe af_packet or <span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; ">recompile<span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">your </span><span class="Apple-style-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span><span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">kernel with SOCK_PACKET enabled.</span></span></span></span></span></span></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><br /></span></div><div><span class="Apple-style-span" style="font-size:small;"><span class="Apple-tab-span" style="white-space: pre; "></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><span class="Apple-tab-span" style="white-space: pre; "></span></span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">*BSD: If you are getting device not configured, you need to recompile your kernel with<span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">Berkeley Packet </span><span class="Apple-style-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span><span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">Filter support. If you are getting No such file or directory, try creating <span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; ">the<span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">device (eg cd /dev; MAKEDEV </span><span class="Apple-style-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span><span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;"><device>; or use mknod).</device></span></span></span></span></span></span></span></span></span></span></span></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><br /></span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">*WINDOWS: Nmap only supports ethernet interfaces on Windows for most operations <span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">because Microsoft </span><span class="Apple-style-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span><span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">disabled raw sockets as of Windows XP SP2. Depending on the <span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; ">reason <span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">for this error, it is possible that the --</span><span class="Apple-style-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span><span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">unprivileged command-line argument will <span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; ">help.</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><br /></span></div><div><span class="Apple-style-span" style="font-size:small;"><span class="Apple-tab-span" style="white-space: pre; "></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><span class="Apple-tab-span" style="white-space: pre; "></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><span class="Apple-tab-span" style="white-space: pre; "></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><span class="Apple-tab-span" style="white-space: pre; "></span></span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">SOLARIS: If you are trying to scan localhost or the address of an interface and are getting<span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">'/dev/lo0: No </span><span class="Apple-style-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span><span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">such file or directory' or 'lo0: No DLPI device found', complain to Sun. I <span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">don't think Solar</span><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">is can support </span><span class="Apple-style-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span><span class="Apple-style-span" style="white-space: normal; "><span class="Apple-style-span" style="font-size:small;">advanced localhost scans. You can probably use<span class="Apple-style-span" style="white-space: pre; "> <span class="Apple-style-span" style="white-space: normal; ">"-PN -sT localhost" though.</span></span></span></span></span></span></span></span></span></span></span></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><span class="Apple-tab-span" style="white-space: pre; "></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><span class="Apple-tab-span" style="white-space: pre; "></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><span class="Apple-tab-span" style="white-space: pre; "></span></span></div><div><span class="Apple-style-span" style="font-size:small;"><br /></span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">QUITTING!</span></div><div><br /></div><div>Then I realized that the VPN connection was a PPP device which is probably at the top of the device type interfaces order list and Nmap is trying to use it in order to scan, which is the point of failure because Nmap on Windows without RAW sockets (means Windows XP SP2+) can only use Ethernet devices. So I try played "Imaginary Linux on Windows" and added the option "-e eth0" which specifies using the Ethernet device indexed at 0 and it worked like a charm.</div><div><br /></div><div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">C:\Documents and Settings\Rafel>nmap -PN -sS -p 445 -e eth0 192.168.1.*</span></div><div><span class="Apple-style-span" style="font-size:small;"><br /></span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-10 00:49 Jerusalem Standard Time</span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">Interesting ports on XXXXX (192.168.0.1):</span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">PORT STATE SERVICE</span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">445/tcp filtered microsoft-ds</span></div><div><span class="Apple-style-span" style="font-size:small;"><br /></span></div><div><span class="Apple-tab-span" style="white-space: pre; "><span class="Apple-style-span" style="font-size:small;"> </span></span><span class="Apple-style-span" style="font-size:small;">Nmap done: 1 IP address (1 host up) scanned in 6.03 seconds</span></div></div></div>Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-6766263746795718144.post-55985305671415116022009-12-10T23:27:00.002-11:002009-12-10T23:29:01.472-11:00Bypassing Windows Unknown Publisher Verification For Web Downloaded ExecutablesI was in another day of jumping from a client to a client, securing another bank in Israel when my girlfriend called and said "Honey, I am at the office, I have absolutely nothing to do and I can't connect from here to our computer at home to continue my project". I said, O.K, let's see what we can do on a 5 minute phone call. Now just want to make it clear, my girlfriend is an Information System Instructor, she is no developer or hacker.<div><br /></div><div>Me: "Honey, go to http://www.teamviewer.com, can you download it?"</div><div>Her: "yes, but when I run the setup.exe it says something weired like 'windows has blocked this software because it can't verify the publisher' and it won't let me install"</div><div><br /></div><div><img src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNXFny0wg9NJVIdYru5b89rQqBnVhK04e8iRRmyJeUodkZlf4JHGmxH_VFw_NQREYZdezJPnkY9pqz0i_K1oRC3RiJjBHCJwP4uycoAyGhtaObpybmm1t56_rxXP9wg07GEWTWtlDYqA5X/s400/cant+verify+publisher.JPG" style="float:left; margin:0 10px 10px 0;cursor:pointer; cursor:hand;width: 400px; height: 187px;" border="0" alt="" id="BLOGGER_PHOTO_ID_5413922804430488034" /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div>Me: "O.K, Open Start-Run, type notepad and space, now click on setup.exe and drag it to the text box at Start->Run. Now add ':Zone.Identifier' just before the last quotes. What do you see?"</div><div>Her: "I see something like ZoneId=3, now what?"<br />Me: "I can't talk, going into a meeting, try to change it to 1 or delete everything, bye bye bye"</div><div><br /></div><div>After 10 minutes I get an SMS "thanks honey it worked!!!".</div><div>Well we found a bug, I wouldn't really call it a "Privilege Escalation" but I guess you don't have to be a hacker to bypass windows security restrictions :)</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-5787036715562032832009-12-10T03:53:00.000-11:002009-12-10T03:54:34.428-11:00Fusion. A concept adopted by the current crimeware II<div style="text-align: justify;"><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Cada vez es más habitual que en los procesos de investigación nos encontremos con que en un mismo servidor se alojan, "operando" de forma activa, varios crimeware del tipo Exploit Pack desde los cuales controlan y administran las zombis que forman parte de su negocio fraudulento">It's increasingly common for research processes we find that on the same server are housed, "operating" actively, several <a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/08/prices-of-russian-crimeware-part-2.html">crimeware Exploit Pack</a> type from which control and manage the zombies that are part of his fraudulent business </span><span title=".">.</span></span><br /></div><span id="result_box" class="long_text"><span title="."><br /></span><span style="background-color: rgb(255, 255, 255);" title="Hace un tiempo comentábamos sobre ZeuS y ElFiesta conviviendo en un mismo entorno, y cumpliendo los mismos objetivos.">A while ago we commented on <a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/06/elfiesta-recruitment-zombie-across.html">ElFiesta</a> and </span></span><a style="color: rgb(51, 51, 255);" href="http://www.offensivecomputing.net/?q=node/1421"><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Hace un tiempo comentábamos sobre ZeuS y ElFiesta conviviendo en un mismo entorno, y cumpliendo los mismos objetivos.">ZeuS</span></span></a><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Hace un tiempo comentábamos sobre ZeuS y ElFiesta conviviendo en un mismo entorno, y cumpliendo los mismos objetivos."> coexisting in the same environment, and meet the same objectives.<br /><br /></span></span><div style="text-align: justify;"><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHl321yS1sf4PA-l5GYDlRNVFsv4DjGAXuKQ2_b_RgIIsvZyHL0YOqlcOUmBJaX08M0-kP4XwKM0O0pWqtpt1OGWKV6uWYnk_QH_VXbC1rTqlQf4H5en9F7A2Rx4VjgZtDNtlJ87iGDYNk/s1600-h/mipistus-fragus-elfiesta.png"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 320px; height: 198px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHl321yS1sf4PA-l5GYDlRNVFsv4DjGAXuKQ2_b_RgIIsvZyHL0YOqlcOUmBJaX08M0-kP4XwKM0O0pWqtpt1OGWKV6uWYnk_QH_VXbC1rTqlQf4H5en9F7A2Rx4VjgZtDNtlJ87iGDYNk/s320/mipistus-fragus-elfiesta.png" alt="" id="BLOGGER_PHOTO_ID_5411804501398112290" border="0" /></a><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="En esta oportunidad, la fusión se encuentra entre Fragus (un crimeware cada vez más conocido) y ElFiesta.">This time, the merger is between <a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/08/fragus-new-botnet-framework-in-wild.html">Fragus</a> (an increasingly popular <span style="font-weight: bold;">crimeware</span>) and <span style="font-weight: bold;">ElFiesta</span>. </span><span style="background-color: rgb(255, 255, 255);" title="Ambos paquetes se encuentran alojados en el mismo servidor.">Both packages are hosted on the same server. </span><span style="background-color: rgb(255, 255, 255);" title="Sin embargo, aunque cabe la posibilidad, esto no significa que estén siendo operados por el mismo botmaster.">However, although the potential doesn't mean they are being operated by the same botmaster.</span></span><br /></div><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Sin embargo, aunque cabe la posibilidad, esto no significa que estén siendo operados por el mismo botmaster."><br /></span></span><div style="text-align: justify;"><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="El dominio en el cual se encuentran alojados es el siguiente:">The domain in which they are staying is as follows:</span></span><br /></div><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="El dominio en el cual se encuentran alojados es el siguiente:"><br /></span></span></div><div style="text-align: justify;"><span id="result_box" class="long_text"><span title="En el caso de Fragus se encuentra en http://hotgirldream.net/far/ y en el caso de ElFiesta, se aloja en otra carpeta, la ruta es http://hotgirldream.net/content/.">Where is in <span style="font-weight: bold;">Fragus</span> <span style="font-size:85%;"><span style="font-style: italic;">http://hotgirldream.net/far/</span></span> and <span style="font-weight: bold;">ElFiesta</span> for, is hosted on another folder, the path is <span style="font-size:85%;"><span style="font-style: italic;">http://hotgirldream.net/content/</span></span>. </span><span style="background-color: rgb(255, 255, 255);" title="Como podemos apreciar, comparten el servidor, cuya dirección IP es 210.51.166.233, localizado en Yizhuang Idc Of China Netcom, Beijing.">As we can see, share the server with IP address <span style="font-weight: bold;">210.51.166.233</span>, located in <span style="font-style: italic;">Yizhuang Idc Of China Netcom, Beijing</span>.</span></span><br /></div><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Como podemos apreciar, comparten el servidor, cuya dirección IP es 210.51.166.233, localizado en Yizhuang Idc Of China Netcom, Beijing."><br /></span></span><div style="text-align: justify;"><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Esto demuestra que las oportunidades de "negocio" no pasan solamente por la venta de crimeware, malware, exploit pack y demás actividades fraudulentas, sino que otra de las alternativas es ofrecer la infraestructura que permita, en función de su capacidad computacional, optimizar los procesos">This demonstrates that opportunities for "business" don't go only by the sale of crimeware, malware, exploit pack and other fraudulent activities, but another alternative is to provide the infrastructure for, in terms of its computing capacity, streamline processes </span><span title="delictivos.">criminal.</span></span><br /></div><span id="result_box" class="long_text"><span title="delictivos."><br /></span><span style="background-color: rgb(255, 255, 255); font-weight: bold;" title="Información relacionada">Related information</span></span><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/06/fusion-un-concepto-adoptado-por-el.html">Fusión. Un concepto adoptado por el crimeware actual</a><br /><a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/08/fragus-new-botnet-framework-in-wild.html">Fragus. New botnet framework In-the-Wild</a><br /><a style="color: rgb(51, 51, 255);" href="http://www.offensivecomputing.net/?q=node/1421">ZeuS and power Botnet zombie recruitment</a><br /><a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/06/elfiesta-recruitment-zombie-across.html">ElFiesta. Recruitment zombie across multiple threa...</a><br /><br />Jorge Mieres<br />Pistus Malware IntelligenceUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-28439035995361619212009-12-06T05:10:00.001-11:002009-12-06T05:10:00.509-11:00Disinformation campaign to spread malware<div style="text-align: justify;"><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="La desinformación consiste básicamente en falsear o manipular la información de manera tal que quien la recibe termine creyendo en algo completamente falso, y de lo cual el originador obtiene alguna ventaja.">Disinformation is basically distort or manipulate the information so that the recipient end believing something completely untrue, and which the originator obtains an advantage. </span><span style="background-color: rgb(255, 255, 255);" title="Por ejemplo, el rumor es una herramienta empleada en las campañas de desinformación.">For example, the rumor is a tool used in the campaigns of disinformation. </span><span style="background-color: rgb(255, 255, 255);" title="A su vez, la desinformación es una herramienta que permite obtener información útil en tiempo y forma (Inteligencia).">In turn, misinformation is a tool that provides useful information in a timely manner (<a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/09/inteligencia-informatica-seguridad-de.html">Intelligence</a>).</span></span><br /></div><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="A su vez, la desinformación es una herramienta que permite obtener información útil en tiempo y forma (Inteligencia)."><br /></span></span><div style="text-align: justify;"><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Trasladado este concepto al ámbito informático, no es ni más ni menos que una metodología de Ingeniería Social que cada vez más utilizan los desarrolladores de códigos maliciosos para intentar atraer la confianza de los usuarios y aprovecharse así de esa condición para ejecutar el proceso de infección.">Transferred this concept to the computer field, is neither more nor less than a <a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/01/deception-techniques-that-do-not-go-out.html">social engineering</a> methodology that increasingly used by developers of malicious code to try to attract the confidence of users and thus take advantage of this condition to execute the process of infection.</span></span><br /></div><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Trasladado este concepto al ámbito informático, no es ni más ni menos que una metodología de Ingeniería Social que cada vez más utilizan los desarrolladores de códigos maliciosos para intentar atraer la confianza de los usuarios y aprovecharse así de esa condición para ejecutar el proceso de infección."><br /></span></span><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitgrKt7fxhqMG_H1MexAGEY0VGW2HDSsYSnI97ZOjYn8ZX9-OjZi_8tCBXMbr3jyAdEpYDtI101u7KgGxM2bsDIxqpVRuEdLd4S1UW2-5-qfQDE0X7_bZTQjMQvnW-3o5PmCxfAUMWSHzc/s1600-h/mipistus-malware-catcher.png"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 200px; height: 173px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitgrKt7fxhqMG_H1MexAGEY0VGW2HDSsYSnI97ZOjYn8ZX9-OjZi_8tCBXMbr3jyAdEpYDtI101u7KgGxM2bsDIxqpVRuEdLd4S1UW2-5-qfQDE0X7_bZTQjMQvnW-3o5PmCxfAUMWSHzc/s200/mipistus-malware-catcher.png" alt="" id="BLOGGER_PHOTO_ID_5411776053757099458" border="0" /></a><span style="color: rgb(0, 0, 0);" id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Habitualmente lo vemos en las páginas que diseminan malware del tipo scareware (también conocido como rogue), donde encontramos imágenes de certificaciones como Virus Bulletin o AV-Comparatives, o algunas otras como PC Magazine o PC World que si bien no cumplen la misma función que">Usually we see on the pages <a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/11/recent-tour-of-scareware-xviii.html">scareware</a> rate spread malware (also known as <span style="font-weight: bold;">rogue</span>), where we find pictures of certifications such as <a style="color: rgb(51, 51, 255);" href="http://www.virusbtn.com/index">Virus Bulletin</a> and <a style="color: rgb(51, 51, 255);" href="http://www.av-comparatives.org/">AV-Comparatives</a>, or some other like <a style="color: rgb(51, 51, 255);" href="http://www.pcmag.com/">PC Magazine</a> or <a style="color: rgb(51, 51, 255);" href="http://www.pcworld.com/">PC World</a> that don't fulfill the same function as </span><span style="background-color: rgb(255, 255, 255);" title="las anteriormente ya que son revistas conocidas que gozan de "confianza" entre el público.">the magazine formerly known as they are enjoying "trust" among the public.<br /><br /></span><span style="background-color: rgb(255, 255, 255);" title="Otra alternativa centra sus esfuerzos en tratar de demostrar que esa "solución" (scareware) es la mejor.">Another alternative is focusing its efforts on trying to prove that this "solution" (scareware) is the best. </span><span style="background-color: rgb(255, 255, 255);" title="Esto se hace a través de falsas comparativas donde se pone en tela de juicio los niveles de detección de compañías antivirus ampliamente conocidas en el mercado.">This is done through f<span style="font-weight: bold;">alse compare</span> where it gets questioned the detection levels of antivirus companies widely known in the market.</span></span><br /><br /></div><div style="text-align: justify;"><span id="result_box" class="long_text"><span title="Ambas estrategias de engaño apelan a lo que se conoce bajo el concepto de autoridad que representan estas certificaciones y publicaciones en el campo "real" de la seguridad antivirus y de la tecnología informática respectivamente.">Both strategies of deception appeal to what is known under the concept of <span style="font-weight: bold;">authority</span> represented by these certificates and publications in the "real" antivirus and information technology respectively.</span></span><br /></div><span id="result_box" class="long_text"><span title="Ambas estrategias de engaño apelan a lo que se conoce bajo el concepto de autoridad que representan estas certificaciones y publicaciones en el campo "real" de la seguridad antivirus y de la tecnología informática respectivamente."><br /></span></span><div style="text-align: justify;"><span id="result_box" class="long_text"><span title="En este sentido, recientemente he detectado otra metodología de engaño que también se encuentra orientada a emitir desinformación con el objetivo de incentivar a los usuarios a creer en la información y actuar en consecuencia.">In this regard, I recently discovered another method of deception is also directed to issue disinformation with the aim of encouraging users to believe the information and act accordingly.</span></span><br /></div><span id="result_box" class="long_text"><span title="En este sentido, recientemente he detectado otra metodología de engaño que también se encuentra orientada a emitir desinformación con el objetivo de incentivar a los usuarios a creer en la información y actuar en consecuencia."><br /></span></span><div style="text-align: justify;"><span id="result_box" class="long_text"><span title="Se trata de simular que el archivo ofrecido se encuentra libre de códigos maliciosos, apelando también a la autoridad, pero en este caso, de organizaciones que permiten verificar la integridad de los archivos a través de un proceso online que somete los archivos a las soluciones antivirus">It's pretending that the file is provided free of malicious code, also appealing to authority, but in this case, enabling organizations to verify the integrity of files through an online process to submit the files to antivirus solutions </span><span title="con mayor confianza en el mercado.">with greater confidence in the market. </span><span title="Por ejemplo, servicios como VirusTotal o VirScan.">For example, services such as <a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/">VirusTotal</a> or <a style="color: rgb(51, 51, 255);" href="http://virscan.org/">VirScan</a>. </span><span title="A continuación vemos una de las capturas.">We then see a catch.</span></span></div><div style="text-align: justify;"><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh4OxUl6JeALiQj-PK4bLIx96jx8tTuK5n_Qn8gaqDUJi_RnU7qxpFHCj3ms71QO6f4Bhb1ManjrUJpNNFJnxOTCjxNRguKOc-HLEbitryXO9l70-eA19SNi7SoDpbGTEsMXxRXZoprsLK_/s1600-h/mipistus-fake-malware.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 321px; height: 400px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh4OxUl6JeALiQj-PK4bLIx96jx8tTuK5n_Qn8gaqDUJi_RnU7qxpFHCj3ms71QO6f4Bhb1ManjrUJpNNFJnxOTCjxNRguKOc-HLEbitryXO9l70-eA19SNi7SoDpbGTEsMXxRXZoprsLK_/s400/mipistus-fake-malware.png" alt="" id="BLOGGER_PHOTO_ID_5411777200030120946" border="0" /></a><span id="result_box" class="medium_text"><span style="background-color: rgb(255, 255, 255);" title="Los dominios involucrados se encuentran alojados en la IP 213.5.64.20, ubicada en los Países Bajos (Netherlands Altushost Inc) en pero no todos diseminan la amenaza.">The domains involved are housed in the IP <span style="font-weight: bold;">213.5.64.20</span>, located in the Netherlands (<span style="font-style: italic;">Netherlands Altushost Inc</span>) but not all spread the threat. </span><span style="background-color: rgb(255, 255, 255);" title="Entre ellos:">Among them:</span></span></div> </div><br /><span style="font-style: italic;">safehostingsolutions.com/download.html</span><br /><span style="font-style: italic;">fileaddiction.com/download.html</span><br /><span style="font-style: italic;">freedatatransfer.com/download.html</span><br /><span style="font-style: italic;">freedownloadthanks.com/download.html</span><br /><span style="font-style: italic;">megasecuredownload.com/download.html</span><br /><span style="font-style: italic;">qualityupload.com/download.html</span><br /><br /><span id="result_box" class="short_text"><span style="background-color: rgb(255, 255, 255);" title="Los archivos que se descargan tienen los siguientes nombres:">The files that are downloaded are the following names:</span></span><br /><ul><li><span style="font-weight: bold;">Hpack Generator.exe </span><span style="font-size:85%;">(91b31ea8c551397cd5b1d38ec1aa98dd)</span> - Result: <a style="color: rgb(51, 51, 255); font-weight: bold;" href="http://www.virustotal.com/analisis/7a1ac8b5352f70f06b011f07723828e73e958c7deb5590e7ae22796e9dfb285d-1259982983"><span style="color: rgb(255, 0, 0);">8</span>/40 (20.00%)</a></li><li><span style="font-weight: bold;">UAV Generator.exe</span> – Idem</li><li><span style="font-weight: bold;">Knight Generator.exe</span><span style="font-style: italic;"> </span>– Idem</li><li><span style="font-weight: bold;">LG Generator.exe</span> – Idem</li><li><span style="font-weight: bold;">Kings Generator.exe</span> – Idem</li><li><span style="font-weight: bold;">DBlocks Generator.exe</span> –<span style="font-size:85%;"> (53e3256bef0352caf794b641f93a32d5)</span> - Result: <a style="font-weight: bold; color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/7728aab19997bb2aab25393d7a1d0dd89caa2d767511d56a6a79d19fb5862282-1259988751"><span style="color: rgb(255, 0, 0);">6</span>/40 (15%)</a></li></ul><div style="text-align: justify;"><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Como podemos notar, que además de la nueva propuesta de engaño que a pesar de ser bastante trivial cuenta con un alto impacto de efectividad, el nivel de detección en los dos códigos maliciosos es muy bajo; representando sólo entre el 15% y 25% de">As can be seen that besides the new proposal for cheating despite being quite trivial has a high impact on effectiveness, the level of detection in the two malicious codes is very low, representing only 15% and 25% of </span><span title="41 motores antivirus.">41 antivirus engines.</span></span><br /></div><span id="result_box" class="long_text"><span title="41 motores antivirus."><br /></span><span style="background-color: rgb(255, 255, 255);" title="No es para alarmarse pero sí para estar atentos.">It isn't to panic but to be vigilant.<br /><br /></span><span style="background-color: rgb(255, 255, 255); font-weight: bold;" title="Información relacionada">Related information</span></span><br /><a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/11/recent-tour-of-scareware-xviii.html">A recent tour of scareware XVIII</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/09/inteligencia-informatica-seguridad-de.html">Inteligencia informática, Seguridad de la Información y Ciber-Guerra</a><br /><a style="color: rgb(51, 51, 255);" href="http://malwareint.blogspot.com/2009/01/deception-techniques-that-do-not-go-out.html">Deception techniques that do not go out of style</a><br /><br />Jorge Mieres<br />Pistus Malware IntelligenceUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-82733376235102312042009-12-04T15:20:00.001-11:002009-12-04T15:20:58.677-11:00A brief glance inside Fragus<div style="text-align: justify;"><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Fragus es una de las aplicaciones web desarrolladas para la gestión de zombis, de origen ruso, que con poco tiempo de vida se ha insertado al mercado clandestino de crimeware con un precio accesible (USD 800) si tenemos en cuenta las capacidades delictivas que ofrece."><span style="font-weight: bold;">Fragus</span> is a web application developed for the management of zombies, of Russian origin, who long to live has been inserted <a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/los-precios-del-crimeware-ruso-parte-2.html"><span style="font-weight: bold;">crimeware </span>clandestine market</a> with an affordable price (<span style="font-weight: bold;">USD 800</span>) if we consider criminal capabilities it offers.<br /><br /></span><span style="background-color: rgb(255, 255, 255);" title="Este crimeware se compone básicamente de cinco secciones: Statistics, Files, Sellers, Traffic links y Preferences.">The crimeware is basically composed of five sections: <span style="font-style: italic;">Statistics, Files, Sellers, Traffic links and Preferences</span>. </span><span style="background-color: rgb(255, 255, 255);" title="Cada una de ellas se encarga de una tarea específica y todas se complementan entre ellas.">Each handles a specific task and they all complement one another.<br /><br /></span><span style="background-color: rgb(255, 255, 255);" title="En el panel Files se encuentra la manipulación del archivo ejecutable que será diseminado.">In the <span style="font-style: italic;">Files</span> panel is handling the executable file that will spread.</span></span></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgor1xvXHqCMrb06xv3p4ES0gx1uwj8Q2qgdaazP-WGEIsUyrpkv6Zs2pK_RBjZgJlpFSsqcFmj0y-JZDBek6w3AuVofga4ABoATreVWdMca4okQQJrqUZRR63I-A-Ct6y0JIcmSNPdM54D/s1600-h/mipistus-fragus-files.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 301px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgor1xvXHqCMrb06xv3p4ES0gx1uwj8Q2qgdaazP-WGEIsUyrpkv6Zs2pK_RBjZgJlpFSsqcFmj0y-JZDBek6w3AuVofga4ABoATreVWdMca4okQQJrqUZRR63I-A-Ct6y0JIcmSNPdM54D/s400/mipistus-fragus-files.png" alt="" id="BLOGGER_PHOTO_ID_5410840195845964850" border="0" /></a><span id="result_box" class="short_text"><span style="background-color: rgb(255, 255, 255);" title="En Sellers encontramos la gestión de exploits."><span style="font-weight: bold;">Sellers</span> are in management exploits. </span><span style="background-color: rgb(255, 255, 255);" title="En este caso, correspondiente a la primera versión de Fragus.">In this case, corresponding to the first version of <span style="font-weight: bold;">Fragus</span>.</span></span></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJLJDMbmUHlRDXLk7dBzV5mED9NQM7FodAf7cXox7XCgmnnsqLeQaI8ChHzgGDEZA6-F8n9gM3be2Hf1tj7W9VIXG8m6E2YuqxjWQIOTKNUou5cGkhuY94Rp9aSSZ42Bpe9Rhu5LB9zWkN/s1600-h/mipistus-sellers.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 301px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJLJDMbmUHlRDXLk7dBzV5mED9NQM7FodAf7cXox7XCgmnnsqLeQaI8ChHzgGDEZA6-F8n9gM3be2Hf1tj7W9VIXG8m6E2YuqxjWQIOTKNUou5cGkhuY94Rp9aSSZ42Bpe9Rhu5LB9zWkN/s400/mipistus-sellers.png" alt="" id="BLOGGER_PHOTO_ID_5410840334698505074" border="0" /></a><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="En cuanto al módulo Traffic links, permite realizar la "previa" configurando el iframeado y el script que será inyectado en la página que oficiará de "conductor" para la ejecución de los exploits configurador en el panel previo, que buscaran vulnerabilidades en el equipo víctima">Regarding the <span style="font-weight: bold;">Traffic links</span> module, allows the "previous" and setting the<span style="font-weight: bold;"> iframe script</span> that will be injected into the page that shall act as "driver" for the implementation of the configurator exploits the previous panel, that look for vulnerabilities on the victim machine </span><span title=".">.</span></span></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgchw-anpKsFMC46CS6FLZRySRZt2Dg3dqnamMFcIwqR4AaoQiKHqI3Mn3R9N2gZURpFMpeJhLwzYmSjCXPCXmXcF1BCOJ-2z6B2U40eTk8jqU2MnixsR26UYcenYG9Ots8VU2mVvTodw4s/s1600-h/mipistus-fragus-traffic.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 301px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgchw-anpKsFMC46CS6FLZRySRZt2Dg3dqnamMFcIwqR4AaoQiKHqI3Mn3R9N2gZURpFMpeJhLwzYmSjCXPCXmXcF1BCOJ-2z6B2U40eTk8jqU2MnixsR26UYcenYG9Ots8VU2mVvTodw4s/s400/mipistus-fragus-traffic.png" alt="" id="BLOGGER_PHOTO_ID_5410840496390448722" border="0" /></a><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Sin embargo, uno de los patrones que se identifican en cada uno de los paquetes de este estilo, es el módulo estadístico.">However, one of the patterns identified in each of the packages of this style is the <span style="font-weight: bold;">Statistical</span> module. </span><span style="background-color: rgb(255, 255, 255);" title="Este módulo proporciona la información de inteligencia necesaria para que el botmaster obtenga un reporte detallado no solo de los equipos zombis sino también de ciertos aspectos necesarios para conocer en detalle qué exploit deberá ejecutar.">This module provides the <a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/09/inteligencia-informatica-seguridad-de.html">intelligence</a> necessary for the botmaster get a detailed report of the teams not only zombies but also on certain aspects needed to know in detail what should exploit to run.</span></span></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9u7nXbqnyQvcYkPHKHmQStqXHGFYeSw-Ty_M9lIUEDnW7QDl5pHRbmBzKUGxnoi6oDnwKVK2XcYdvzMEUs9wQ_5yQTSMn353Y6slCwP_z4v_4E-r1amIgR3faFI-AQu8bLDAeu2HjenxE/s1600-h/mipistus-fragus-static.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 319px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9u7nXbqnyQvcYkPHKHmQStqXHGFYeSw-Ty_M9lIUEDnW7QDl5pHRbmBzKUGxnoi6oDnwKVK2XcYdvzMEUs9wQ_5yQTSMn353Y6slCwP_z4v_4E-r1amIgR3faFI-AQu8bLDAeu2HjenxE/s400/mipistus-fragus-static.png" alt="" id="BLOGGER_PHOTO_ID_5410840716305379554" border="0" /></a><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Otro de los patrones interesantes que podemos deducir en función de esta información es que el sistema operativo más explotado es Windows XP con Internet Explorer, que el exploit con mayor eficacia, a pesar de ser muy antiguo (MS06-014) es el que aprovecha la">Another interesting patterns we can deduce on the basis of this information is that the operating system is exploited Windows XP with Internet Explorer, the exploit more effectively, despite being very old (<a style="color: rgb(51, 51, 255);" href="http://www.microsoft.com/technet/security/Bulletin/ms06-014.mspx">MS06-014</a>) is the one that takes the </span><span style="background-color: rgb(255, 255, 255);" title="vulnerabilidad en MDAC y que entre los países con mayor tasa de infección son EEUU y Korea.">vulnerability in <span style="font-weight: bold;">MDAC</span> and that among the countries with the highest rates of infection are the USA and Korea.<br /><br /></span><span style="background-color: rgb(255, 255, 255);" title="Este representa un escenario común donde quizás, el factor de relevancia, es la deducción de que tal vez lo común de la situación se debe al importante volumen de usuario que utiliza el sistema operativo de Microsoft de forma no licenciada, lo cual conlleva a no actualizarlo">This represents a common scenario where perhaps the relevance factor is the inference that perhaps common situation due to the large volume of user who uses the Microsoft operating system on a non-licensed, which leads to not update </span><span title=".">.<br /><br /></span><span style="background-color: rgb(255, 255, 255);" title="Por último, otro importante factor que no debe pasar desapercibido es que a los ciber-delincuentes no les interesa la controversia que existe en torno a los niveles de seguridad que ofrece uno u otro sistema operativo (Windows, GNU/Linux y Mac OS) sino">Finally, another important factor that must not be overlooked is that cyber-criminals are not interested in the controversy surrounding the safety levels offered by one or another operating system (Windows, GNU/Linux and Mac OS) but </span><span style="background-color: rgb(255, 255, 255);" title="que todos entran en la mismo categoría de "potenciales víctimas" porque la vulnerabilidad explota en capa 7.">all fall into the same category of "potential victims" because the vulnerability exploited in layer 7.<br /><br /></span><span style="background-color: rgb(255, 255, 255); font-weight: bold;" title="Información relacionada">Related information</span></span></div><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/fragus-nueva-botnet-framework-in-wild.html">Fragus. Nueva botnet framework In-the-Wild</a><br /><span style="font-size:85%;"><span style="font-size:100%;"><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/11/justexploit-nuevo-exploit-kit-que.html"><span>JustExploit. Nuevo Exploit Kit que explota Java</span></a><span><br /></span></span></span><span style="font-size:100%;"><span style="font-size:85%;"><span><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/11/ddos-botnet-nuevo-crimeware-de.html">DDoS Botnet. Nuevo crimeware de propósito particular</a><br /></span></span><span style="font-size:85%;"><span><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/11/t-iframer-kit-para-la-inyeccion-de.html">T-IFRAMER. Kit para la inyección de malware In-the-Wild</a></span></span><span style="font-size:85%;"><span><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/11/zopack-nueva-alternativa-para-la.html">ZoPAck. Nueva alternativa para la explotación de vulnerabilidades</a></span></span></span><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/10/zeus-botnet-y-su-poder-de-reclutamiento.html">ZeuS Botnet y su poder de reclutamiento zombi</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/eleonore-exploits-pack-nueva-crimeware.html">Eleonore Exploits Pack. Nuevo crimeware In-the-Wild</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/liberty-exploit-system-otra-alternativa.html">Liberty Exploit System. Otra alternativa (...) para el control de botnets</a><br /><br />Jorge Mieres<br />Pistus Malware IntelligenceUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-56879835824897226702009-12-03T20:51:00.002-11:002009-12-04T11:08:51.138-11:00Exploiting WebView through Internet Explorer to remotely discover windows directoryAs for any large product, Microsoft Windows operating system is built on its previous versions code. Some of this code even goes back until Microsoft Windows 98.<br /><br />In Windows 98 a new look was introduced called "WebView" which included the way folders are displayed and the way the desktop is displayed are all HTML templates which were also editable to the default administrative user.You can read more about it here:http://msdn.microsoft.com/en-s/library/bb776835(VS.85).aspx<br /><br />Those HTML Templates had the extension "htt". In order for the folder templates to function properly and being able to display the current folder, a few automatically expended variables were added to the module filtering the "htt" files. These are:<br />%TEMPLATEDIR% (hardcoded)<br />%THISDIRPATH% (hardcoded)<br />%THISDIRNAME% (hardcoded)<br />%BACKGROUNDIMAGE% (registry)<br />%LOGOLINE% (registry)<br /><br />This mechanism lives until today deeply inside Windows XP's code in two modules inside the system32 folder:<br />1) Webvw.dll<br />2) Mshtml.dll<br /><br />Webvw.dll is the module which is responsible for all the Webview installation and normal activity and mshtml.dll is the main module for HTML Filtering & Rendering used Windows Explorer and Internet Explorer.<br /><br />When Microsoft Windows is installed and webvw.dll is registered, it adds it CLSID and a few registry keys. The interesting ones are these:<br />HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WebView\TemplateMacros<br />HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WebView\TemplateMacros\BACKGROUNDIMAGE<br />Default = "%SystemRoot%\Web\wvleft.bmp"<br />HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WebView\TemplateMacros\LOGOLINE<br />Default = "%SystemRoot%\Web\wvline.gif"<br /><br />Every time an htt file is rendered, without any local-remote or any zone consideration, those variables are replaced with the current system's path.<br />This is the code inside mimeflt.cpp which contains the bug:Lines 360 to 433:<br /><pre><br />#define REG_WEBVIEW_TEMPLATE_MACROS<br />TEXT("Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\WebView\\TemplateMacros")<br /><br />void ConvertBytesToTChar(LPCBYTE pBuf, UINT nCharSize, LPTSTR psz, int cch) {<br /> if (SIZEOF(char) == nCharSize) {<br /> SHAnsiToTChar((LPCSTR)pBuf, psz, cch);<br /> } else {<br /> ASSERT(nCharSize == SIZEOF(WCHAR));<br /> SHUnicodeToTChar((LPCWSTR)pBuf, psz, cch);<br /> }<br />}<br /><br />void ExpandMacro(LPBYTE pszMacro, LPBYTE pszExpansion, int nBytes, UINT nCharSize) {<br /> TCHAR szExpansion[MAX_PATH];<br /> szExpansion[0] = TEXT('\0');<br /> TCHAR szTCharMacro[MAX_PATH];<br /><br /> ConvertBytesToTChar(pszMacro, nCharSize, szTCharMacro, ARRAYSIZE(szTCharMacro));<br /> TCHAR szKey[MAX_PATH];<br /> lstrcpyn(szKey, REG_WEBVIEW_TEMPLATE_MACROS, ARRAYSIZE(szKey));<br /> StrCatBuff(szKey, TEXT("\\"), ARRAYSIZE(szKey));<br /> StrCatBuff(szKey, szTCharMacro, ARRAYSIZE(szKey));<br /> HKEY hkMacros;<br /> if (RegOpenKey(HKEY_CURRENT_USER, szKey, &hkMacros) == ERROR_SUCCESS && RegOpenKey(HKEY_LOCAL_MACHINE, szKey, &hkMacros) == ERROR_SUCCESS) {<br /> DWORD dwType;<br /> DWORD cbData = SIZEOF(szExpansion);<br /> SHQueryValueEx(hkMacros, NULL, NULL, &dwType, (LPBYTE)szExpansion, &cbData);<br /> RegCloseKey(hkMacros);<br /> }<br /><br /> ConvertTCharToBytes(szExpansion, nCharSize, pszExpansion, nBytes);<br />}<br /><br />int CWebViewMimeFilter::_Expand(LPBYTE pszVar, LPBYTE * ppszExp) {<br /> if (!_StrCmp(pszVar, "TEMPLATEDIR", L"TEMPLATEDIR")) {<br /> if (!_szTemplateDirPath[0]) {<br /> GetMachineTemplateDir(_szTemplateDirPath, SIZEOF(_szTemplateDirPath), _nCharSize);<br /> }<br /><br /> *ppszExp = _szTemplateDirPath;<br /><br /> } else if (!_StrCmp(pszVar, "THISDIRPATH", L"THISDIRPATH")) {<br /> if (!_szThisDirPath[0]) {<br /> _QueryForDVCMDID(DVCMDID_GETTHISDIRPATH, _szThisDirPath, SIZEOF(_szThisDirPath));<br /> }<br /> *ppszExp = _szThisDirPath;<br /><br /> } else if (!_StrCmp(pszVar, "THISDIRNAME", L"THISDIRNAME")) {<br /> if (!_szThisDirName[0]) {<br /> _QueryForDVCMDID(DVCMDID_GETTHISDIRNAME, _szThisDirName, SIZEOF(_szThisDirName));<br /> }<br /> *ppszExp = _szThisDirName;<br /><br /> } else {<br /> ExpandMacro(pszVar, _szExpansion, SIZEOF(_szExpansion), _nCharSize);<br /> *ppszExp = _szExpansion;<br /> }<br /><br /> return _StrLen(*ppszExp);<br />}<br /></pre><br />In Windows XP the variables "%THISDIRPATH%" and "%THISDIRNAME%" were removed from the Mime Filter which means %TEMPLATEDIR%, %BACKGROUNDIMAGE% and %LOGOLINE% would still be translated into the current windows directory.<br /><br />The Proof Of Concept code (Remote WebView Macro Translation):<br />Save on a remote host with an htt extension and replace "http:///filter_trap.htt<br />--------------------------- filter_trap.htt start --------------------------------<br />[div id="BACKGROUNDIMAGE"]%BACKGROUNDIMAGE%[/div]<br />[div id="LOGOLINE"]%LOGOLINE%[/div]<br />[div id="TEMPLATEDIR"]%TEMPLATEDIR%[/div]<br />[script]<br />alert(document.getElementById("BACKGROUNDIMAGE").innerHTML);<br />alert(document.getElementById("LOGOLINE").innerHTML);<br />alert(document.getElementById("TEMPLATEDIR").innerHTML);<br />[/script]<br />--------------------------- filter_trap.htt end --------------------------------Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-32397028953176427792009-12-01T16:12:00.000-11:002009-12-01T16:13:25.186-11:00Koobface campaign spread through Blogspot<div style="text-align: justify;"><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Una masiva campaña de propagación del gusano koobface se encuentra In-the-Wild utilizando como estrategia blogs generados desde el servicio Blogspot.">A massive campaign to spread the worm is <span style="font-weight: bold;">Koobface</span> In-the-Wild using blogs as a strategy generated from the <span style="font-weight: bold;">Blogspot</span> service.</span></span><br /><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Una masiva campaña de propagación del gusano koobface se encuentra In-the-Wild utilizando como estrategia blogs generados desde el servicio Blogspot."></span></span><br /><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Una masiva campaña de propagación del gusano koobface se encuentra In-the-Wild utilizando como estrategia blogs generados desde el servicio Blogspot."></span><span style="background-color: rgb(255, 255, 255);" title="Koobface se ha transformado en una pesadilla para las redes sociales y si bien sus estrategias de propagación no cambian, este malware lleva casi dos años de actividad con una importante tasa de infección, constituyendo una de las botnets más importantes de la actualidad.">Koobface has become a nightmare for social networks and even though its propagation strategies do not change, this malware is almost two years of activity with a significant rate of infection, making it one of the largest<span style="font-weight: bold;"> botnets</span> today.</span></span><br /><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Koobface se ha transformado en una pesadilla para las redes sociales y si bien sus estrategias de propagación no cambian, este malware lleva casi dos años de actividad con una importante tasa de infección, constituyendo una de las botnets más importantes de la actualidad."></span></span></div> <span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Koobface se ha transformado en una pesadilla para las redes sociales y si bien sus estrategias de propagación no cambian, este malware lleva casi dos años de actividad con una importante tasa de infección, constituyendo una de las botnets más importantes de la actualidad."><br /></span><span style="background-color: rgb(255, 255, 255);" title="Los dominios de blogspot empleados como cobertura para la propagación son:">Blogspot domains used as cover for the spread are:<br /><br /></span></span><span style="font-style: italic;">pannullonumair.blogspot.com</span><span style="font-style: italic;"><br />haladynalatosha.blogspot.com</span><span style="font-style: italic;"><br />macdougalmuskan.blogspot.com</span><span style="font-style: italic;"><br />mailletjamaica.blogspot.com</span><span style="font-style: italic;"><br />ledrewrooney.blogspot.com</span><span style="font-style: italic;"><br />brasenoktayoktay.blogspot.com</span><span style="font-style: italic;"><br />toludestany.blogspot.com</span><span style="font-style: italic;"><br />edgarbillison.blogspot.com</span><span style="font-style: italic;"><br />piotrowiczlyanne.blogspot.com</span><span style="font-style: italic;"><br />brochoiredeedee.blogspot.com</span><span style="font-style: italic;"><br />decuyperantohny.blogspot.com</span><span style="font-style: italic;"><br />derrenpassini.blogspot.com</span><span style="font-style: italic;"><br />elsenelsenumthun.blogspot.com</span><span style="font-style: italic;"><br />elsyelsysalah.blogspot.com</span><span style="font-style: italic;"><br />fanjonappuappu.blogspot.com</span><span style="font-style: italic;"><br />fredrikadantos.blogspot.com</span><span style="font-style: italic;"><br />genelleabril.blogspot.com</span><span style="font-style: italic;"><br />gilkerharjyot.blogspot.com</span><span style="font-style: italic;"><br />hadzilashawn.blogspot.com</span><span style="font-style: italic;"><br />insalacotecwyn.blogspot.com</span><span style="font-style: italic;"><br />janitasaels.blogspot.com</span><span style="font-style: italic;"><br />jodelinscheufler.blogspot.com</span><span style="font-style: italic;"><br />jones-allentammey.blogspot.com</span><span style="font-style: italic;"><br />jurgisbooty.blogspot.com</span><span style="font-style: italic;"><br />karanjeetisoardi.blogspot.com</span><span style="font-style: italic;"><br />dralleboyeboye.blogspot.com</span><span style="font-style: italic;"><br />maidenhermann.blogspot.com</span><span style="font-style: italic;"><br />messer-bustamantetimpriss.blogspot.com</span><span style="font-style: italic;"><br />murachaniananoushka.blogspot.com</span><span style="font-style: italic;"><br />nevnevsculthorpe.blogspot.com</span><span style="font-style: italic;"><br />parrisvistisen.blogspot.com</span><span style="font-style: italic;"><br />porierkunlekunle.blogspot.com</span><span style="font-style: italic;"><br />rotermundraimon.blogspot.com</span><span style="font-style: italic;"><br />sharonyacorvil.blogspot.com</span><span style="font-style: italic;"><br />sodorabardan.blogspot.com</span><span style="font-style: italic;"><br />tendaiblunk.blogspot.com</span><span style="font-style: italic;"><br />turskeybrianna.blogspot.com</span><span style="font-style: italic;"><br />zhuochengbate-pelletier.blogspot.com</span><span style="font-style: italic;"><br />ziziziziboyter.blogspot.com<br /><br /></span> <div style="text-align: justify;"><span id="result_box" class="medium_text"><span style="background-color: rgb(255, 255, 255);" title="Quien accede a alguno de estos dominios es redireccionado a una página que simula la típica pantalla de YouTube.">Who accesses one of these domains redirected to a page that simulates the typical YouTube screen. </span><span style="background-color: rgb(255, 255, 255);" title="A continuación vemos una captura.">We then see a catch.</span></span><br /><span id="result_box" class="medium_text"><span style="background-color: rgb(255, 255, 255);" title="A continuación vemos una captura."></span></span></div> <span id="result_box" class="medium_text"><span style="background-color: rgb(255, 255, 255);" title="A continuación vemos una captura."><br /></span></span> <div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGfYiPGTrCVc3YaeD8PBhdrVAbVykKIARg8XVsBhbBNWXTb1_jUjOTgpD0Tt0y7LCp3I1m9sE9LhaBptVvPuqIJJbSbmvtF6vuT2f6tm856YKyj3o0E9hpV886iEbU1p49wrbMrB9ehh5w/s1600-h/mipistus-koobface.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 255px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGfYiPGTrCVc3YaeD8PBhdrVAbVykKIARg8XVsBhbBNWXTb1_jUjOTgpD0Tt0y7LCp3I1m9sE9LhaBptVvPuqIJJbSbmvtF6vuT2f6tm856YKyj3o0E9hpV886iEbU1p49wrbMrB9ehh5w/s400/mipistus-koobface.png" alt="" id="BLOGGER_PHOTO_ID_5410467924602214210" border="0" /></a><span id="result_box" class="medium_text"><span style="background-color: rgb(255, 255, 255);" title="A continuación vemos una captura."></span></span><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Inmediatamente después, se intenta descargar un binario llamado "setup.exe" (md5 6d8ac41c64137c91939cced16cb5f2fe) que posee una tasa de detección media baja.">Immediately after, try to download a binary called "setup.exe" (md5 6d8ac41c64137c91939cced16cb5f2fe) which has <a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/e78a19eb0b4cb6397115e42bb1f0ae15c7954349c56b8b1f0d34009b9bdf68b2-1259719233">a low average detection rate</a>. </span><span style="background-color: rgb(255, 255, 255);" title="Este binario, a su vez se encarga de descargar y ejecutar otros códigos maliciosos.">This binary, in turn takes care of downloading and executing other malicious code.</span></span><br /></div> <span id="result_box" class="medium_text"><span style="background-color: rgb(255, 255, 255);" title="A continuación vemos una captura."></span></span> <ul><li><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhVG8JTdpCffikzEUN6ZIG2GpPPSWJXNixb_7rCNsIjlx88osjJG9z3ktbiX9yRlDDSa8V7Hmh3WJfgzUT_VkVrgvlc-kPzdcvGEr0Hd9zjIU4Lf6LQ0HN76FcHPUoA9pUts4SGi5f4fC3j/s1600-h/pcap.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 213px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhVG8JTdpCffikzEUN6ZIG2GpPPSWJXNixb_7rCNsIjlx88osjJG9z3ktbiX9yRlDDSa8V7Hmh3WJfgzUT_VkVrgvlc-kPzdcvGEr0Hd9zjIU4Lf6LQ0HN76FcHPUoA9pUts4SGi5f4fC3j/s400/pcap.png" alt="" id="BLOGGER_PHOTO_ID_5410468057696699474" border="0" /></a><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/ba64acc4cf822561f3fe125a5ff013ea3039b0527b3528aa7f611dd5da1f9dc5-1259670205">v2prx.exe</a> (<span style="font-weight: bold;"><span style="color: rgb(255, 0, 0);">36</span>/41 - 87.80%</span>)</li><li><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/487bc5ebc08e80f9f4cda7c2766c873494cf3d6e1c8ae255b7faf8ae3676fc7b-1259678303">go.exe</a> (<span style="font-weight: bold;"><span style="color: rgb(255, 0, 0);">7</span>/41 - 17.07%</span>)</li><li><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/67f0f171b2b24f0c4aa3e4ddd0c0deb0f7545a12dc41129ea3224ad6ff883264-1259700232">fb.75.exe</a> (<span style="font-weight: bold;"><span style="color: rgb(255, 0, 0);">22</span>/41 - 53.66%</span>)</li><li><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/a558f206de11bdf1384e84ddb4f81f70b698bc2ea6552254d34c41b8b1f16972-1259588965">v2newblogger.exe</a> (<span style="font-weight: bold;"><span style="color: rgb(255, 0, 0);">36</span>/41 - 87.80%</span>)</li><li><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/182b39100706212fad3a7a4399c3a6156595965ad4eb95e3c06e34fbc442cd83-1259447422">v2captcha.exe</a> (<span style="font-weight: bold;"><span style="color: rgb(255, 0, 0);">39</span>/41 - 95.12%</span>)</li><li><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/04fa663ae64c87a2fd27c798ebe418a562a5f25f16b21a517310b4aaaa499e6c-1259670384">v2googlecheck.exe</a> (<span style="font-weight: bold;"><span style="color: rgb(255, 0, 0);">40</span>/41 - 97.56%</span>)</li></ul> <span id="result_box" class="short_text"><span style="background-color: rgb(255, 255, 255);" title="Cada uno de estos archivos son descargados desde dominios del estilo">Each of these files are downloaded from domains Style </span></span>"<span style="font-style: italic;">homemadesandwiches.com/.sys/?getexe=ff2ie.exe</span>".<br /><br /><div style="text-align: justify;"><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="El binario v2captcha.exe se encarga de romper el captcha que solicita blogspot para el registro de blogs, creando de manera aleatoria y masiva los mismos, y redireccionando luego a la descarga de koobface a través de, como lo mencioné en un principio, una falsa">The binary v2captcha.exe handles breaking the captcha that asks for registration blogspot blogs, creating massive randomly and the same, and then redirected to the download of Koobface through, as I mentioned at the beginning, a false </span><span style="background-color: rgb(255, 255, 255);" title="página de YouTube que utiliza la misma estrategia de ingeniería social visual utilizada en otras campañas de propagación similares.">YouTube page that uses the same visual social engineering approach used in other campaigns similar spread.</span></span><br /><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="página de YouTube que utiliza la misma estrategia de ingeniería social visual utilizada en otras campañas de propagación similares."></span></span><br /><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="página de YouTube que utiliza la misma estrategia de ingeniería social visual utilizada en otras campañas de propagación similares."></span><span style="background-color: rgb(255, 255, 255);" title="Sin lugar a dudas koobface es otro de los códigos maliciosos que se vale de la persistencia a pesar de que muchas de sus variantes son detectadas por la mayoría de las compañías antivirus.">Undoubtedly Koobface is another malicious code that uses persistence despite many of its variants are detected by most antivirus companies.</span></span><br /><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Sin lugar a dudas koobface es otro de los códigos maliciosos que se vale de la persistencia a pesar de que muchas de sus variantes son detectadas por la mayoría de las compañías antivirus."></span></span></div> <span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="Sin lugar a dudas koobface es otro de los códigos maliciosos que se vale de la persistencia a pesar de que muchas de sus variantes son detectadas por la mayoría de las compañías antivirus."><br /></span><span style="background-color: rgb(255, 255, 255);" title="Información relacionada"><span style="font-weight: bold;">Related information</span><br /></span></span><a href="http://malwareint.blogspot.com/2009/06/symbiosis-malware-present-koobface.html">Symbiosis malware present. Koobface</a><br /><br />Jorge Mieres<br />Pistus Malware IntelligenceUnknownnoreply@blogger.com1tag:blogger.com,1999:blog-6766263746795718144.post-48989302817753013452009-12-01T07:15:00.003-11:002009-12-01T07:20:40.487-11:00Avatar - The Movie - HD Trailer 1080p<object width="420" height="340"><param name="movie" value="http://www.youtube.com/v/cRdxXPV9GNQ&hl=en_US&fs=1&"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube.com/v/cRdxXPV9GNQ&hl=en_US&fs=1&" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="420" height="340"></embed></object><br /><br />This seems to be like a very nice and well made movie. Looking at the trailer, I thought that I should share it with our blog viewers.<br /><br />Enjoy the Trailer! Copyrights Reserved to the Movie Makers!<br /><br />EFUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-74291205869456187572009-11-29T13:51:00.000-11:002009-11-29T13:52:37.091-11:00JustExploit. New Exploit kit that uses vulnerabilities in Java<div style="text-align: justify;"><div style="text-align: justify;"><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="En esta oportunidad, la propuesta se llama JustExploit."><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/los-precios-del-crimeware-ruso-parte-2.html">Crimeware industry</a> still rising, and just as <a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/06/comercio-ruso-de-versiones-privadas-de.html">illegal marketing</a> of web applications that seek to <a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/07/automatizacion-de-procesos-anti.html">automate the process of infection</a> through the <a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/07/automatizacion-de-procesos-anti.html">exploitation of vulnerabilities</a>.</span></span><br /><br /><span id="result_box" class="long_text"><span style="background-color: rgb(255, 255, 255);" title="En esta oportunidad, la propuesta se llama JustExploit.">This time, the proposal called <span style="font-weight: bold;">JustExploit</span>. </span><span style="background-color: rgb(255, 255, 255);" title="Se trata de un nuevo Exploit Pack de origen ruso que posee un condimento que cada vez está siendo tenido en cuenta con mayor fuerza entre los desarrolladores de crimeware: la explotación de vulnerabilidades en Java.">This is a new <span style="font-weight: bold;">Exploit Pack</span> of Russian origin who has a seasoning that is increasingly being taken into account most heavily <span style="font-weight: bold;">crimeware</span> developers: the <span style="font-style: italic;">exploitation of vulnerabilities in Java</span>. </span><span style="background-color: rgb(255, 255, 255);" title="Es decir, además de explotar las vulnerabilidades conocidas para MDAC y archivos PDF, explota Java en todos aquellos equipos que tengan instalado su runtime.">That is, in addition to exploit known vulnerabilities for <span style="font-weight: bold;">MDAC</span> and <span style="font-weight: bold;">PDF</span> files, exploits <span style="font-weight: bold;">Java</span> in all those computers that have installed the runtime.</span></span></div> </div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_sT_f47tatk3YRjWSXLHx2MOz5nnMyPhm6gu78XXK0Fqfxg1dVso3nWEvhapFNTB_w-l-Bk4EGDKzAw5zCCAuinNehDq5YE3Ef2aBFG0sNwfhcgKN0gftnAXAhk4aikSg4vzG3jsl4m4V/s1600/mipistus-justexploit.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 283px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_sT_f47tatk3YRjWSXLHx2MOz5nnMyPhm6gu78XXK0Fqfxg1dVso3nWEvhapFNTB_w-l-Bk4EGDKzAw5zCCAuinNehDq5YE3Ef2aBFG0sNwfhcgKN0gftnAXAhk4aikSg4vzG3jsl4m4V/s400/mipistus-justexploit.png" alt="" id="BLOGGER_PHOTO_ID_5409684058463011490" border="0" /></a>The catch statistics for the module (<span style="font-weight: bold;">Intelligence</span>) which clearly shows that from this application you are controlling a large number of computers using different browsers and different operating systems, among which is the famous <span style="font-style: italic;">Windows Seven</span>.<br /><br />Another interesting fact which emerges from this module is the high rate of effectiveness which has the exploitation of the vulnerability in Java, with even a greater success rate with respect to two other vulnerabilities (MDAC and PDF).<br /><br />Through a file "<span style="font-weight: bold;">index.php</span>" script that has a dull, <span style="font-weight: bold;">JustExploit</span> try to run three exploits for vulnerabilities <a style="color: rgb(51, 51, 255);" href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=2008-2992">CVE-2008-2992</a>, <a style="color: rgb(51, 51, 255);" href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927">CVE-2009-0927</a> and <a style="color: rgb(51, 51, 255);" href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353">CVE-2008-5353</a>. Here we see part of the script.<br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiVXB8fMS8u69v-VgzlVNMq16u1F15RP5YGJ6axUw98CyqRewAY0I7dQvMMt2W73NrU8KnauGyqwMV8b72Rh5nzhTsp-vDB1zwJbBhFan8pcd4_vgmtssbA-l4oFpguDqhJUlE6MBQE9hla/s1600/mipistus-justexploit-script.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 145px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiVXB8fMS8u69v-VgzlVNMq16u1F15RP5YGJ6axUw98CyqRewAY0I7dQvMMt2W73NrU8KnauGyqwMV8b72Rh5nzhTsp-vDB1zwJbBhFan8pcd4_vgmtssbA-l4oFpguDqhJUlE6MBQE9hla/s400/mipistus-justexploit-script.png" alt="" id="BLOGGER_PHOTO_ID_5409684134189869746" border="0" /></a>Among the files that are downloaded, is the operator of Java, called "<span style="font-weight: bold;">sdfg.jar</span>", with a low detection rate. According to VirusTotal, only <a href="http://www.virustotal.com/analisis/eb4f3bd460824c701f3a99463a16e4307f5a4c111f1dc610d26db82d6436f842-1259429151">15 of 41 antivirus engines</a>.<br /><br />In addition, the kit includes the following downloading malicious files (which for the moment, also have a very poor detection rate):<br /></div> <ul><li><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/db16ba4b3029244b4d900648e443a3f0c71bef835987c44476d1f3817a1c629d-1259397689">example.pdf</a> <span style="font-weight: bold;"><span style="color: rgb(255, 0, 0);">8</span>/41 (19.51%)</span></li><li><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/8ffbedb2625593624b890ed5f27026bcdc8dae793a57bf0e6f724fb52d55934a-1259300302">annonce.pdf</a> <span style="font-weight: bold;"><span style="color: rgb(255, 0, 0);">7</span>/41 (17.07%)</span></li><li><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/e44008b3b463339e28238a3362712a0c224d2505502d504c753ecd05c33ff09e-1259429191">load.exe</a> <span style="font-weight: bold;"><span style="color: rgb(255, 0, 0);">25</span>/41 (60.98%)</span><br /> </li></ul><div style="text-align: justify;">This activity is In-the-Wild relatively short time ago and is a dangerous attack vector that is actively being used by botmasters, as we have seen, with striking effectiveness.<br /></div><br /><span style="font-weight: bold;">Related information</span><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/11/ddos-botnet-nuevo-crimeware-de.html">DDoS Botnet. Nuevo crimeware de propósito particul...</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/11/t-iframer-kit-para-la-inyeccion-de.html">T-IFRAMER. Kit para la inyección de malware In-the...</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/11/zopack-nueva-alternativa-para-la.html">ZoPAck. Nueva alternativa para la explotación de v...</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/10/zeus-botnet-y-su-poder-de-reclutamiento.html">ZeuS Botnet y su poder de reclutamiento zombi</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/eleonore-exploits-pack-nueva-crimeware.html">Eleonore Exploits Pack. Nuevo crimeware In-the-Wild</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/06/mirando-de-cerca-la-estructura-de.html">Mirando de cerca la estructura de Unique Sploits Pack</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/04/adrenalin-botnet-zona-de-comando-el.html">Adrenaline botnet: zona de comando. El crimeware ruso...</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/04/yes-exploit-system-otro-crimeware-made.html">YES Exploit System. Otro crimeware made in Rusia</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/03/barracuda-bot-botnet-activamente.html">Barracuda Bot. Botnet activamente explotada</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/06/elfiesta-reclutamiento-zombi-traves-de.html">ElFiesta. Reclutamiento zombi a través de múltiples amenazas</a><br /><br />Jorge Mieres<br />Pistus Malware IntelligenceUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-18937624145460261992009-11-24T01:06:00.001-11:002009-11-24T13:37:59.778-11:00Espionage by malware<div style="text-align: justify;"><span style="display: inline;" title="Durante este mes recuerdo haber desayunado con una noticia que para muchos medios de información parecería ser novedoso o exclusivamente ligado con algunas películas de Hollywood, dándole una connotación de "sorprendente". Me refiero al espionaje a través de medios informáticos .">During this month remember having breakfast with a piece of news for many media seem to be new or exclusively connected with some Hollywood films, giving it a connotation of "amazing." I refer to </span><a style="color: rgb(51, 51, 255);" href="http://www.haaretz.com/hasen/spages/1125312.html#googtrans/es/en"><span style="display: inline;" title="Durante este mes recuerdo haber desayunado con una noticia que para muchos medios de información parecería ser novedoso o exclusivamente ligado con algunas películas de Hollywood, dándole una connotación de "sorprendente". Me refiero al espionaje a través de medios informáticos .">espionage through computerized</span></a><span style="display: inline;" title="Durante este mes recuerdo haber desayunado con una noticia que para muchos medios de información parecería ser novedoso o exclusivamente ligado con algunas películas de Hollywood, dándole una connotación de "sorprendente". Me refiero al espionaje a través de medios informáticos ."> means.</span><br /></div><div style="text-align: justify;"><br /><span style="display: inline;" title="A continuación dejo una captura de esa noticia, en la cual se deja en evidencia que los códigos maliciosos también forman parte de las operaciones de Inteligencia en diferentes contextos, tanto desde un punto de vista netamente fraudulento (en el caso de los delincuentes informáticos) como en el que se escuda bajo la "bandera" de proteger y resguardar los intereses de un Estado (el caso de muchos servicios de Inteligencia), que buscan sacar ventajas y/o neutralizar las potenciales acciones encuadradas dentro de su marco de hostilidad.">Then leave a screenshot of the news, in which it's evident that the malicious code are also part of the operations of </span><span style="font-weight: bold;"><span style="display: inline;" title="A continuación dejo una captura de esa noticia, en la cual se deja en evidencia que los códigos maliciosos también forman parte de las operaciones de Inteligencia en diferentes contextos, tanto desde un punto de vista netamente fraudulento (en el caso de los delincuentes informáticos) como en el que se escuda bajo la "bandera" de proteger y resguardar los intereses de un Estado (el caso de muchos servicios de Inteligencia), que buscan sacar ventajas y/o neutralizar las potenciales acciones encuadradas dentro de su marco de hostilidad.">intelligence</span></span><span style="display: inline;" title="A continuación dejo una captura de esa noticia, en la cual se deja en evidencia que los códigos maliciosos también forman parte de las operaciones de Inteligencia en diferentes contextos, tanto desde un punto de vista netamente fraudulento (en el caso de los delincuentes informáticos) como en el que se escuda bajo la "bandera" de proteger y resguardar los intereses de un Estado (el caso de muchos servicios de Inteligencia), que buscan sacar ventajas y/o neutralizar las potenciales acciones encuadradas dentro de su marco de hostilidad."> in different contexts, </span><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhBcg8I3VZc77Z-Qw3sgPJZhfaiWKMZgtg4QqD8aB4vUvPcQ4fbTcwGr1w0u1q-pF3Wskku5gBekOSMrStRtlfSvDARxYfMs8YqPYk4F0AT1HmxjNQVyuRSa4yUci0JxKEr3Q457MJr1hqX/s1600/report-esp-mal.png"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 228px; height: 320px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiZoCWHOnT5ukB_hcmHhYispi_OpzTWq-ZJ932ZbGQ2IAj7Z5tlN2dAhL7_njqLxhsS6fVOvqX-_xaJensXJ6qTI0pEXlENJHMUh9jM4-1MMObjXujOIY88mKI6ufgyNKR6oHd1SdowXNlz/s320/report-esp-mal.png" alt="" id="BLOGGER_PHOTO_ID_5407018430330667426" border="0" /></a><span style="display: inline;" title="A continuación dejo una captura de esa noticia, en la cual se deja en evidencia que los códigos maliciosos también forman parte de las operaciones de Inteligencia en diferentes contextos, tanto desde un punto de vista netamente fraudulento (en el caso de los delincuentes informáticos) como en el que se escuda bajo la "bandera" de proteger y resguardar los intereses de un Estado (el caso de muchos servicios de Inteligencia), que buscan sacar ventajas y/o neutralizar las potenciales acciones encuadradas dentro de su marco de hostilidad.">both from a viewpoint clearly fraudulent (in the case of computer criminals) as which shields under the "flag" to protect and safeguard the interests of a State (for many intelligence services), which seek to take advantage and/or neutralize the potential actions framed within the context of hostility.</span><br /></div><br /><span style="display: inline;" title="Incluso, en muchos casos, rozando la legalidad de las acciones.">Indeed, in many cases, touching the legality of actions.</span><br /><br /><span style="display: inline;" title="Según la información que se manifiesta en el artículo, el servicio de Inteligencia más importante de Israel ( Mossad ) ha utilizado un código malicioso del tipo troyano para obtener información confidencial y critica sobre instalaciones nucleares en Siria.">According to the information that appears in the article, the most important intelligence service of Israel</span><span style="font-weight: bold;"><span style="display: inline;" title="Según la información que se manifiesta en el artículo, el servicio de Inteligencia más importante de Israel ( Mossad ) ha utilizado un código malicioso del tipo troyano para obtener información confidencial y critica sobre instalaciones nucleares en Siria."> (Mossad)</span></span><span style="display: inline;" title="Según la información que se manifiesta en el artículo, el servicio de Inteligencia más importante de Israel ( Mossad ) ha utilizado un código malicioso del tipo troyano para obtener información confidencial y critica sobre instalaciones nucleares en Siria."> has used a type of malicious code trojan to obtain confidential information and critiques on nuclear facilities in Syria.</span><br /><br /><span style="display: inline;" title="El hecho de que el Mossad utilizara un programa para hacer espionaje tampoco es una novedad ya que, al igual que su equivalente estadounidense ( CIA) y muchos otros, antiguamente ha utilizado Promis como recurso de espionaje .">The fact that Mossad used a program to spy isn't a novelty because, like its American counterpart </span><span style="font-weight: bold;"><span style="display: inline;" title="El hecho de que el Mossad utilizara un programa para hacer espionaje tampoco es una novedad ya que, al igual que su equivalente estadounidense ( CIA) y muchos otros, antiguamente ha utilizado Promis como recurso de espionaje .">(CIA)</span></span><span style="display: inline;" title="El hecho de que el Mossad utilizara un programa para hacer espionaje tampoco es una novedad ya que, al igual que su equivalente estadounidense ( CIA) y muchos otros, antiguamente ha utilizado Promis como recurso de espionaje ."> and many other formerly used </span><a style="color: rgb(51, 51, 255);" href="http://www.harrymagazine.com/200510/promis.htm#googtrans/es/en"><span style="display: inline;" title="El hecho de que el Mossad utilizara un programa para hacer espionaje tampoco es una novedad ya que, al igual que su equivalente estadounidense ( CIA) y muchos otros, antiguamente ha utilizado Promis como recurso de espionaje .">Promis</span></a><span style="display: inline;" title="El hecho de que el Mossad utilizara un programa para hacer espionaje tampoco es una novedad ya que, al igual que su equivalente estadounidense ( CIA) y muchos otros, antiguamente ha utilizado Promis como recurso de espionaje ."> as a resource for </span><span style="font-weight: bold;"><span style="display: inline;" title="El hecho de que el Mossad utilizara un programa para hacer espionaje tampoco es una novedad ya que, al igual que su equivalente estadounidense ( CIA) y muchos otros, antiguamente ha utilizado Promis como recurso de espionaje .">spying.</span></span><span style="display: inline;" title="El hecho de que el Mossad utilizara un programa para hacer espionaje tampoco es una novedad ya que, al igual que su equivalente estadounidense ( CIA) y muchos otros, antiguamente ha utilizado Promis como recurso de espionaje ."></span><br /><br /><span style="display: inline;" title="(Algún día quizás me anime a escribir algo sobre los programas utilizados por los servicios de Inteligencia de todo el mundo ;P)">(Someday maybe encourage me to write something about the programs used by intelligence services around the world ;P)</span><br /><br /><span style="display: inline;" title="La cuestión es que independientemente de la repercusión de la noticia, los códigos maliciosos son sin lugar a dudas uno de los programas más empleados para la obtención de información, también a nivel gubernamental y militar; incluso, entre compañías que buscan obtener datos confidenciales que permitan revelar las actividades de su competencia y ganar ventajas.">The point is that regardless of the impact of the news, malicious code are without doubt one of the most used for obtaining information, including at government and military, even among companies seeking to obtain confidential data that enable disclose their activities and win competition advantages.</span><br /><br /><span style="display: inline;" title="Ahora, cualquier organización o ente gubernamental puede ser víctima del espionaje informático, y estas actividades también deben ser atendidas por Seguridad de la Información . Entonces, qué se puede hacer para contrarrestar o neutralizar estas actividades, que en la mayoría de los casos se manejan al borde de lo ilegal, la verdad es que no es nada fácil. Sin embargo, aplicar una estrategia de desinformación puede ser una buena práctica de contraespionaje .">Now, any organization or government entity may be a victim of espionage, and these activities must also be addressed by </span><span style="font-weight: bold;"><span style="display: inline;" title="Ahora, cualquier organización o ente gubernamental puede ser víctima del espionaje informático, y estas actividades también deben ser atendidas por Seguridad de la Información . Entonces, qué se puede hacer para contrarrestar o neutralizar estas actividades, que en la mayoría de los casos se manejan al borde de lo ilegal, la verdad es que no es nada fácil. Sin embargo, aplicar una estrategia de desinformación puede ser una buena práctica de contraespionaje .">Information</span></span><span style="display: inline;" title="Ahora, cualquier organización o ente gubernamental puede ser víctima del espionaje informático, y estas actividades también deben ser atendidas por Seguridad de la Información . Entonces, qué se puede hacer para contrarrestar o neutralizar estas actividades, que en la mayoría de los casos se manejan al borde de lo ilegal, la verdad es que no es nada fácil. Sin embargo, aplicar una estrategia de desinformación puede ser una buena práctica de contraespionaje ."> <span style="font-weight: bold;">Security</span>. So what can be done to counteract or neutralize these activities, which in most cases are handled on the edge of illegality, the truth isn't easy. However, implementing a strategy of </span><span style="font-weight: bold;"><span style="display: inline;" title="Ahora, cualquier organización o ente gubernamental puede ser víctima del espionaje informático, y estas actividades también deben ser atendidas por Seguridad de la Información . Entonces, qué se puede hacer para contrarrestar o neutralizar estas actividades, que en la mayoría de los casos se manejan al borde de lo ilegal, la verdad es que no es nada fácil. Sin embargo, aplicar una estrategia de desinformación puede ser una buena práctica de contraespionaje .">misinformation</span></span><span style="display: inline;" title="Ahora, cualquier organización o ente gubernamental puede ser víctima del espionaje informático, y estas actividades también deben ser atendidas por Seguridad de la Información . Entonces, qué se puede hacer para contrarrestar o neutralizar estas actividades, que en la mayoría de los casos se manejan al borde de lo ilegal, la verdad es que no es nada fácil. Sin embargo, aplicar una estrategia de desinformación puede ser una buena práctica de contraespionaje ."> can be a good practice of </span><span style="font-weight: bold;"><span style="display: inline;" title="Ahora, cualquier organización o ente gubernamental puede ser víctima del espionaje informático, y estas actividades también deben ser atendidas por Seguridad de la Información . Entonces, qué se puede hacer para contrarrestar o neutralizar estas actividades, que en la mayoría de los casos se manejan al borde de lo ilegal, la verdad es que no es nada fácil. Sin embargo, aplicar una estrategia de desinformación puede ser una buena práctica de contraespionaje .">counterintelligence.</span></span><span style="display: inline;" title="Ahora, cualquier organización o ente gubernamental puede ser víctima del espionaje informático, y estas actividades también deben ser atendidas por Seguridad de la Información . Entonces, qué se puede hacer para contrarrestar o neutralizar estas actividades, que en la mayoría de los casos se manejan al borde de lo ilegal, la verdad es que no es nada fácil. Sin embargo, aplicar una estrategia de desinformación puede ser una buena práctica de contraespionaje ."></span><br /><br /><span style="display: inline;" title="En definitiva es fácil deducir que este tipo de maniobras no son sólo acciones catalogadas como "fantasmas" o dentro del género "ciencia ficción" propias de las películas, sino que cotidianamente somos potenciales víctimas de los intentos persistentes de los desarrolladores de malware que buscan romper nuestros esquemas de seguridad para obtener información secreta.">Ultimately it's easy to deduce that such maneuvers aren't only stock listed as "ghosts" or within the genre "science fiction" films themselves, but every day we are potential victims of the persistent attempts of malware writers seeking to break our security frameworks to obtain secret information.</span><br /><br /><span style="font-weight: bold;"><span style="display: inline;" title="Información relacionada">Related information</span></span><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/09/inteligencia-informatica-seguridad-de.html#googtrans/es/en"><span style="display: inline;" title="Inteligencia informática, Seguridad de la Información y Ciber-Guerra">Computer Intelligence, Information Security and Cyber-War</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/09/cybint-en-el-negocio-de-los-ciber.html#googtrans/es/en"><span style="display: inline;" title="CYBINT en el negocio de los ciber-delincuentes rusos">CYBINT in the business of Russian cyber-crooks</span></a><br /><br /><span style="display: inline;" title="Jorge Mieres">Jorge Mieres<br />Pistus Malware Intelligence<br /></span>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-49486180348351990382009-11-23T05:19:00.003-11:002009-11-23T05:19:00.431-11:00DDoS Botnet. New crimeware particular purpose<div style="text-align: justify;"><span style="display: inline;" title="Un ataque de Denegación de Servicio ( DoS ) consiste, básicamente, en abusar de un servicio o recurso haciendo peticiones sucesivas, ya sea de forma dolosa o culposa, que terminan por quebrar la disponibilidad de ese servicio o recurso de forma temporal o total.">An attack by </span><span style="font-weight: bold;"><span style="display: inline;" title="Un ataque de Denegación de Servicio ( DoS ) consiste, básicamente, en abusar de un servicio o recurso haciendo peticiones sucesivas, ya sea de forma dolosa o culposa, que terminan por quebrar la disponibilidad de ese servicio o recurso de forma temporal o total.">Denial of Service</span></span><span style="display: inline;" title="Un ataque de Denegación de Servicio ( DoS ) consiste, básicamente, en abusar de un servicio o recurso haciendo peticiones sucesivas, ya sea de forma dolosa o culposa, que terminan por quebrar la disponibilidad de ese servicio o recurso de forma temporal o total."> (<span style="font-weight: bold;">DoS</span>) consists basically of abuse of a service or resource by successive requests, either intentional or negligent, which eventually break the availability of such service or resource temporarily or completely.</span><span style="font-weight: bold;"><span style="display: inline;" title="Un ataque de Denegación de Servicio ( DoS ) consiste, básicamente, en abusar de un servicio o recurso haciendo peticiones sucesivas, ya sea de forma dolosa o culposa, que terminan por quebrar la disponibilidad de ese servicio o recurso de forma temporal o total."></span></span><span style="display: inline;" title="Un ataque de Denegación de Servicio ( DoS ) consiste, básicamente, en abusar de un servicio o recurso haciendo peticiones sucesivas, ya sea de forma dolosa o culposa, que terminan por quebrar la disponibilidad de ese servicio o recurso de forma temporal o total."></span><br /><br /><span style="display: inline;" title="Cuando este tipo de ataques se realiza empleando el poder de procesamiento de un conjunto importante de computadoras realizando el abuso de peticiones de forma sincronizada, estamos en presencia de un ataque de Denegación de Servicio Distribuida ( DDoS ).">When this type of attack is performed using the processing power of an important set of computers carrying out the abuse of requests synchronously, we are witnessing an attack </span><span style="font-weight: bold;"><span style="display: inline;" title="Cuando este tipo de ataques se realiza empleando el poder de procesamiento de un conjunto importante de computadoras realizando el abuso de peticiones de forma sincronizada, estamos en presencia de un ataque de Denegación de Servicio Distribuida ( DDoS ).">Distributed Denial of Service</span></span><span style="display: inline;" title="Cuando este tipo de ataques se realiza empleando el poder de procesamiento de un conjunto importante de computadoras realizando el abuso de peticiones de forma sincronizada, estamos en presencia de un ataque de Denegación de Servicio Distribuida ( DDoS )."> (<span style="font-weight: bold;">DDoS</span>).</span><span style="font-weight: bold;"><span style="display: inline;" title="Cuando este tipo de ataques se realiza empleando el poder de procesamiento de un conjunto importante de computadoras realizando el abuso de peticiones de forma sincronizada, estamos en presencia de un ataque de Denegación de Servicio Distribuida ( DDoS )."></span></span><span style="display: inline;" title="Cuando este tipo de ataques se realiza empleando el poder de procesamiento de un conjunto importante de computadoras realizando el abuso de peticiones de forma sincronizada, estamos en presencia de un ataque de Denegación de Servicio Distribuida ( DDoS )."></span><br /><br /><span style="display: inline;" title="Los ataques de DDoS no constituyen una novedad en la actualidad ( códigos maliciosos como Blaster, diseñado para realizar este tipo de ataques contra Microsoft en el 2003, es un ejemplo clásico ) y su empleo es un recurso de cualquier actividad con connotación maliciosa, incluso, mafiosa.">DDoS attacks aren't new at present </span><span style="font-style: italic;"><span style="display: inline;" title="Los ataques de DDoS no constituyen una novedad en la actualidad ( códigos maliciosos como Blaster, diseñado para realizar este tipo de ataques contra Microsoft en el 2003, es un ejemplo clásico ) y su empleo es un recurso de cualquier actividad con connotación maliciosa, incluso, mafiosa.">(such as Blaster malicious code designed for this kind of attacks against Microsoft in 2003, is a classic </span></span><span style="display: inline;" title="Los ataques de DDoS no constituyen una novedad en la actualidad ( códigos maliciosos como Blaster, diseñado para realizar este tipo de ataques contra Microsoft en el 2003, es un ejemplo clásico ) y su empleo es un recurso de cualquier actividad con connotación maliciosa, incluso, mafiosa."><span style="font-style: italic;">example</span>) and their use is a resource of any malicious activity connotation, even mafia.</span><br /><br /><span style="display: inline;" title="En este sentido, la mayoría de las botnets de propósito general contemplan como parte de su oferta delictiva, ataques de Denegación de Servicio Distribuida aprovechando las bondades que ofrecen las zombis que forman parte de la red, y las de propósito particular destinadas a realizar un tipo de ataque específico contra un objetivo también específico, son el ejemplo de la actualidad.">In this sense, most </span><span style="font-weight: bold;"><span style="display: inline;" title="En este sentido, la mayoría de las botnets de propósito general contemplan como parte de su oferta delictiva, ataques de Denegación de Servicio Distribuida aprovechando las bondades que ofrecen las zombis que forman parte de la red, y las de propósito particular destinadas a realizar un tipo de ataque específico contra un objetivo también específico, son el ejemplo de la actualidad.">botnets</span></span><span style="display: inline;" title="En este sentido, la mayoría de las botnets de propósito general contemplan como parte de su oferta delictiva, ataques de Denegación de Servicio Distribuida aprovechando las bondades que ofrecen las zombis que forman parte de la red, y las de propósito particular destinadas a realizar un tipo de ataque específico contra un objetivo también específico, son el ejemplo de la actualidad."> general purpose contemplated as part of its bid criminal attacks distributed denial of service by taking advantage of benefits offered by the </span><span style="font-weight: bold;"><span style="display: inline;" title="En este sentido, la mayoría de las botnets de propósito general contemplan como parte de su oferta delictiva, ataques de Denegación de Servicio Distribuida aprovechando las bondades que ofrecen las zombis que forman parte de la red, y las de propósito particular destinadas a realizar un tipo de ataque específico contra un objetivo también específico, son el ejemplo de la actualidad.">zombies</span></span><span style="display: inline;" title="En este sentido, la mayoría de las botnets de propósito general contemplan como parte de su oferta delictiva, ataques de Denegación de Servicio Distribuida aprovechando las bondades que ofrecen las zombis que forman parte de la red, y las de propósito particular destinadas a realizar un tipo de ataque específico contra un objetivo también específico, son el ejemplo de la actualidad."> that are part of the network, and the particular purpose to perform a type specific attack against a specific target also, is typical of today.</span><br /></div><br /><div style="text-align: justify;"><span style="display: inline;" title="Desde una perspectiva relacionada con la ciber-guerra, la DDoS también cumple un rol fundamental cuando se la utiliza de modo ofensivo en esa guerra digital también conocida como Cyber-Warfare , y constituye un recurso que forma parte de una estrategia de ataque involucrada dentro del análisis CYBINT ( Cyber Intelligence ).">From a perspective on cyber war, the DDoS also plays a fundamental role in the offensive mode used in this digital war also known as </span><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/09/inteligencia-informatica-seguridad-de.html#googtrans/es/en"><span style="display: inline;" title="Desde una perspectiva relacionada con la ciber-guerra, la DDoS también cumple un rol fundamental cuando se la utiliza de modo ofensivo en esa guerra digital también conocida como Cyber-Warfare , y constituye un recurso que forma parte de una estrategia de ataque involucrada dentro del análisis CYBINT ( Cyber Intelligence ).">Cyber-Warfare</span></a><span style="color: rgb(0, 0, 0);"><span style="display: inline;" title="Desde una perspectiva relacionada con la ciber-guerra, la DDoS también cumple un rol fundamental cuando se la utiliza de modo ofensivo en esa guerra digital también conocida como Cyber-Warfare , y constituye un recurso que forma parte de una estrategia de ataque involucrada dentro del análisis CYBINT ( Cyber Intelligence ).">, and is a resource that is part of a strategy involved in the attack analysis</span></span><span style="display: inline;" title="Desde una perspectiva relacionada con la ciber-guerra, la DDoS también cumple un rol fundamental cuando se la utiliza de modo ofensivo en esa guerra digital también conocida como Cyber-Warfare , y constituye un recurso que forma parte de una estrategia de ataque involucrada dentro del análisis CYBINT ( Cyber Intelligence )."> </span><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/09/cybint-en-el-negocio-de-los-ciber.html#googtrans/es/en"><span style="display: inline;" title="Desde una perspectiva relacionada con la ciber-guerra, la DDoS también cumple un rol fundamental cuando se la utiliza de modo ofensivo en esa guerra digital también conocida como Cyber-Warfare , y constituye un recurso que forma parte de una estrategia de ataque involucrada dentro del análisis CYBINT ( Cyber Intelligence ).">CYBINT</span></a><span style="display: inline;" title="Desde una perspectiva relacionada con la ciber-guerra, la DDoS también cumple un rol fundamental cuando se la utiliza de modo ofensivo en esa guerra digital también conocida como Cyber-Warfare , y constituye un recurso que forma parte de una estrategia de ataque involucrada dentro del análisis CYBINT ( Cyber Intelligence )."> (<span style="font-weight: bold;">Cyber</span></span><span style="font-weight: bold;"><span style="display: inline;" title="Desde una perspectiva relacionada con la ciber-guerra, la DDoS también cumple un rol fundamental cuando se la utiliza de modo ofensivo en esa guerra digital también conocida como Cyber-Warfare , y constituye un recurso que forma parte de una estrategia de ataque involucrada dentro del análisis CYBINT ( Cyber Intelligence )."></span></span><span style="display: inline;" title="Desde una perspectiva relacionada con la ciber-guerra, la DDoS también cumple un rol fundamental cuando se la utiliza de modo ofensivo en esa guerra digital también conocida como Cyber-Warfare , y constituye un recurso que forma parte de una estrategia de ataque involucrada dentro del análisis CYBINT ( Cyber Intelligence )."><span style="font-weight: bold;">Intelligence</span>).</span><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7ADHqg2XQtX183DhPfR8I6Ycu3MdgeN6IJsJUp4q-hA6vgSDjvfS1BbchKkxza7CnMNxyBuB0iRoluWGBD1Toq0zgBNYLgtqwpdoD2-jVAEnS5D-oDzUECXV9hT8eEy3PBzEGf-TMuig7/s1600/malwareint-ddod-serv.png"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 267px; height: 161px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi39VMOt1qLqJU_ge5RZRNy9VgU0wk5RGkM04E9t5kuDWd6mFHNg-PV_4r3dCpGdMcf9dkPZ-AX39aC6m6PEMHYwBiFysT3K01Figsqp-cWlpqXRU55MePAcY11zYXbNaaZbx7JW6KCFMol/s320/malwareint-ddod-serv.png" alt="" id="BLOGGER_PHOTO_ID_5406775143197765362" border="0" /></a><span style="display: inline;" title="Sin embargo, bajo este escenario el ataque también puede ser empleado de forma defensiva dentro de una estrategia de análisis que permita evaluar las limitaciones a las que se exponen servicios criticos de un Estado.">However, under this scenario the attack may also be used defensively in an analytical strategy to assess the constraints outlined critical services of a State.</span><br /><br /><span style="display: inline;" title="Pero independientemente de los propósitos que se escondan detrás del ataque, los ciber-delincuentes (sobre todo los de origen ruso) constantemente buscan facilitar el asunto ofreciendo crimeware desarrollado para ser utilizado exclusivamente con ánimos delictivos.">But whatever purposes they hide behind the attack, cyber-criminals (especially those of Russian origin) constantly seek to facilitate the issue </span><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/los-precios-del-crimeware-ruso-parte-2.html#googtrans/es/en"><span style="display: inline;" title="Pero independientemente de los propósitos que se escondan detrás del ataque, los ciber-delincuentes (sobre todo los de origen ruso) constantemente buscan facilitar el asunto ofreciendo crimeware desarrollado para ser utilizado exclusivamente con ánimos delictivos.">by offering crimeware</span></a><span style="display: inline;" title="Pero independientemente de los propósitos que se escondan detrás del ataque, los ciber-delincuentes (sobre todo los de origen ruso) constantemente buscan facilitar el asunto ofreciendo crimeware desarrollado para ser utilizado exclusivamente con ánimos delictivos."> developed for use exclusively with criminal minds.</span><br /><br /><span style="display: inline;" title="La cuestión es que una nueva aplicación web para el control de botnets, se encuentra In-the-Wild, comercializándose en el mercado clandestino de Rusia a un precio "competitivo". USD 350 .">The point is that a new web application for controlling botnets, is In-the-Wild, marketed in the Russian black market at a "competitive", <span style="font-weight: bold;">USD</span> </span><span style="font-weight: bold;"><span style="display: inline;" title="La cuestión es que una nueva aplicación web para el control de botnets, se encuentra In-the-Wild, comercializándose en el mercado clandestino de Rusia a un precio "competitivo". USD 350 .">350.</span></span><span style="display: inline;" title="La cuestión es que una nueva aplicación web para el control de botnets, se encuentra In-the-Wild, comercializándose en el mercado clandestino de Rusia a un precio "competitivo". USD 350 ."></span><br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPuzW7AGvsCtMkkq7AVzXKBv4OybYDxXgUP3wXYzLSa_olrUH_ha9hZnOi0-SIZ8-baLNaa0dyLulaoJpWwqHl3wABkakS2jJK131g4zvgGMhiwCY0n29HAD8SVHIMVr5cGv3JZczWOaRi/s1600/mipistus-ddos1.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 279px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhmOys9U_zBdgDbDAO29GhJfgwjh5Jj0xJ0ng42xqPVoBj7Y_Ii2Gwq9mVA-vtCqiqmVFgcbpv5vXRAf7KdJChq1ZihevrLMvy5jPoEYpeVvfnY682toGtSu3BAKC4EiI7crmc2drin6yar/s400/mipistus-ddos1.png" alt="" id="BLOGGER_PHOTO_ID_5406774840452150434" border="0" /></a><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP.">The </span><span style="font-weight: bold;"><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP.">crimeware</span></span><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP."> is designed to recruit and train a botnet zombies (particular purpose) intended exclusively for attacks of the type of DDoS </span><span style="font-weight: bold;"><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP.">SYN</span></span><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP."> <span style="font-weight: bold;">Flood</span>, </span><span style="font-weight: bold;"><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP.">ICMP</span></span><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP."> <span style="font-weight: bold;">Flood</span>, </span><span style="font-weight: bold;"><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP.">UDP,</span></span><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP."> </span><span style="font-weight: bold;"><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP.">HTTP</span></span><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP."> and </span><span style="font-weight: bold;"><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP.">HTTPS. </span></span><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP.">In the following screenshot shows part of the configuration of the application written in PHP.</span><span style="display: inline;" title="Este crimeware está diseñado para reclutar zombis y formar una botnet (de propósito particular) destinada exclusivamente para cometer ataques de DDoS del tipo SYN Flood , ICMP Flood , UDP , HTTP y HTTPS . En la siguiente captura se observa parte de la configuración de esta aplicación escrita en PHP."></span><br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDkWtVcqOMHkDkqKGOXuMvCEPHTbZ91P114DB6LOMU4Co8wYaaS256K-xS56_o8N2DoONFfRc_HjYBMyf32EDqyoYQyCki08KeUPF7Lm6218jeTWKxFs0WgxHDRZ1V7ib53AEvblzj_FJL/s1600/mipistus-ddos2.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 158px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhe-lkBSVhNXt9D9gx758wHtEPyUPvkIHfFGnOGCjWSEmtNMyUe0xW8d9ds3ASDxqAcNAp6UHE57nHus1IUwgv71jl_8ILa5XPAW05Nl9JwfyGov9U8ZKZJDlTJMI6JGXFd4Zz02ylB9RTF/s400/mipistus-ddos2.png" alt="" id="BLOGGER_PHOTO_ID_5406774934270396306" border="0" /></a><span style="display: inline;" title="Entre sus funcionalidades se destacan la posibilidad de ejecutarse como un servicio (lo que forma parte de su estrategia de defensa), el control y administración (C&C) se realiza a través del protocolo HTTP, integración con otros crimeware de su estilo, registro de las actividades (logs) con información procesada sobre cada ataque ( Inteligencia ), entre muchas otras.">Among its outstanding features are the ability to run as a service (which is part of its defense strategy), control and administration (<span style="font-weight: bold;">C&C</span>) is done through HTTP, integration with other crimeware of his style, recording of activities (logs) with information processed on each attack<span style="font-weight: bold;"> </span></span><span style="font-weight: bold;"><span style="display: inline;" title="Entre sus funcionalidades se destacan la posibilidad de ejecutarse como un servicio (lo que forma parte de su estrategia de defensa), el control y administración (C&C) se realiza a través del protocolo HTTP, integración con otros crimeware de su estilo, registro de las actividades (logs) con información procesada sobre cada ataque ( Inteligencia ), entre muchas otras.">(Intelligence), </span></span><span style="display: inline;" title="Entre sus funcionalidades se destacan la posibilidad de ejecutarse como un servicio (lo que forma parte de su estrategia de defensa), el control y administración (C&C) se realiza a través del protocolo HTTP, integración con otros crimeware de su estilo, registro de las actividades (logs) con información procesada sobre cada ataque ( Inteligencia ), entre muchas otras.">among many others.</span><br /><br /><span style="display: inline;" title="Yo creo que la investigación de este tipo de acciones delictivas debe poseer ese toque metódico que ofrecen las actividades de Inteligencia, ya que si bien para un usuario hogareño este tipo de ataques puede importar poco, no sucede lo mismo cuando lo que esta en juego son los activos de las compañías. Por lo que los profesionales de seguridad deben estar al corriente del estado del arte del crimeware, e incorporar acciones de Inteligencia en sus actividades profesionales.">I believe that research of this type of criminal activity must have the touch method that offers the activities of intelligence, as though for a home user this type of attack may matter little, not true when what is at stake are assets of the companies. As security professionals should be aware of the state of the art of crimeware, and incorporate measures of intelligence in their work.</span><br /><br /><span style="font-weight: bold;"><span style="display: inline;" title="Información relacionada con crimeware">Information related </span></span><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/los-precios-del-crimeware-ruso-parte-2.html#googtrans/es/en"><span style="display: inline;" title="Los precios del crimeware ruso. Parte 2">Russian crimeware prices. Part 2</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/06/comercio-ruso-de-versiones-privadas-de.html#googtrans/es/en"><span style="display: inline;" title="Comercio Ruso de versiones privadas de crimeware...">Russian Trade crimeware private versions ...</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/10/zeus-botnet-y-su-poder-de-reclutamiento.html#googtrans/es/en"><span style="display: inline;" title="ZeuS Botnet y su poder de reclutamiento zombi">ZeuS and power Botnet zombie recruitment</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/07/automatizacion-de-procesos-anti.html#googtrans/es/en"><span style="display: inline;" title="Automatización de procesos anti-análisis II">Process Automation anti-analysis II</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/eleonore-exploits-pack-nueva-crimeware.html#googtrans/es/en"><span style="display: inline;" title="Eleonore Exploits Pack. Nuevo crimeware In-the-Wild">Eleonore Exploits Pack. New Crimeware In-the-Wild</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/06/mirando-de-cerca-la-estructura-de.html#googtrans/es/en"><span style="display: inline;" title="Mirando de cerca la estructura de Unique Sploits Pack">Looking closely at the structure of Unique Sploits Pack</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/04/adrenalin-botnet-zona-de-comando-el.html#googtrans/es/en"><span style="display: inline;" title="Adrenaline botnet: zona de comando. El crimeware ruso...">Adrenaline botnet: command area. The Russian crimeware ...</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/04/yes-exploit-system-otro-crimeware-made.html#googtrans/es/en"><span style="display: inline;" title="YES Exploit System. Otro crimeware made in Rusia">YES Exploit System. Another crimeware Made in Russia</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/03/barracuda-bot-botnet-activamente.html#googtrans/es/en"><span style="display: inline;" title="Barracuda Bot. Botnet activamente explotada">Barracuda Bot. Botnet actively exploited</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/06/elfiesta-reclutamiento-zombi-traves-de.html#googtrans/es/en"><span style="display: inline;" title="ElFiesta. Reclutamiento zombi a través de múltiples amenazas">ElFiesta. Recruitment zombie across multiple threats</span></a><br /><br /><span style="display: inline;" title="Jorge Mieres">Jorge Mieres<br />Pistus Malware Intelligence Blog<br /></span></div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-16041093218789083432009-11-20T09:20:00.016-11:002009-11-20T10:33:26.655-11:00Is this a Rogueware?When looking through the MySharewareSite.com, I found the following tool and thought of finding more info about the tool.<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSJyK-NXSCsPUUP9uTLtSUpeZs7bfB6AB9e-Tmv38P-HABgzMT0uDImKQRNINTb6F8wLcBOOhARIZ9C_5H5koukSvrgmgt48KmPTj2XUR2UFB8hJ2s4GmVrhUvjzTq0qAuisCl7NSljFQ/s1600/Avanquest_system_suite2"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 400px; height: 187px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSJyK-NXSCsPUUP9uTLtSUpeZs7bfB6AB9e-Tmv38P-HABgzMT0uDImKQRNINTb6F8wLcBOOhARIZ9C_5H5koukSvrgmgt48KmPTj2XUR2UFB8hJ2s4GmVrhUvjzTq0qAuisCl7NSljFQ/s400/Avanquest_system_suite2" border="0" alt=""id="BLOGGER_PHOTO_ID_5406280022356150994" /></a><br /><br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br />When trying to click on the following site links:<br />hxxp://w w w.internetsecurity2.com/?id=avanquest_system_suite<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br />hxxp://w w w.internetsecurity2.com/shots/avanquest_system_suite.gif<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br />hxxp://w w w.internetsecurity2.com/suites/avanquest_system_suite_webinstaller.exe<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br /><br />When throwing it into <a href="http://jsunpack.jeek.org">JSunpack</a> we received the following response:<br /><br />Sections ( CODE .rsrc )<br />File: MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit, PECompact2 compressed<br />Packer: PECompact V2.X-> Bitsum Technologies,PECompact 2.xx --> BitSum Technologies,ExeShield Protector V3.6 -> www.exeshield.com,<br />Size: 193536 bytes, <br />MD5: 161f2a3e3c41dbd451021a3cc1fd2577<br /><br />Based on the MD5, VirusTotal gave the following results: <br /><br />LINK: <a href="http://www.virustotal.com/analisis/6bba141f45e25ea9c5cbdf910310114de7be4f97ce7572976a1b1c4c5f1ec6dc-1251400950">http://www.virustotal.com/analisis/6bba141f45e25ea9c5cbdf910310114de7be4f97ce7572976a1b1c4c5f1ec6dc-1251400950</a><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZ_cPTdWVe-Nb5iDooq1fB73aOoOeEMsXQY86lvNBdwouvx60XgTYmVbeiiIM-PJpv_detehV83Z7sbT9676Sqx9fjfXYSmFbjK3aGNp1tTWqZ8ZPhz-aEbJ_bD2m8uq1ZbQImsUCKXPw/s1600/Virustotal.+MD5:+161f2a3e3c41dbd451021a3cc1fd2577+Suspicious.MH690.A+Trojan.Dldr.Delphi.Gen+Packed.Win32.PePatch!IK_1258748165174.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 224px; height: 400px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZ_cPTdWVe-Nb5iDooq1fB73aOoOeEMsXQY86lvNBdwouvx60XgTYmVbeiiIM-PJpv_detehV83Z7sbT9676Sqx9fjfXYSmFbjK3aGNp1tTWqZ8ZPhz-aEbJ_bD2m8uq1ZbQImsUCKXPw/s400/Virustotal.+MD5:+161f2a3e3c41dbd451021a3cc1fd2577+Suspicious.MH690.A+Trojan.Dldr.Delphi.Gen+Packed.Win32.PePatch!IK_1258748165174.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5406283711237978722" /></a><br /><br />PrevX had a report for the same MD5:<br /><a href="http://info.prevx.com/aboutprogramtext.asp?PX5=48A52DBD003CF3E7F47D02C51A2AB30007864133<br />">http://info.prevx.com/aboutprogramtext.asp?PX5=48A52DBD003CF3E7F47D02C51A2AB30007864133</a><br /><br />File size: 193536 bytes<br />MD5 : 161f2a3e3c41dbd451021a3cc1fd2577<br />SHA1 : 7fb29202fab964bcd48f1b5309021876e5175784<br />SHA256: 6bba141f45e25ea9c5cbdf910310114de7be4f97ce7572976a1b1c4c5f1ec6dc<br />PEInfo: PE Structure information<br /><br />( base data )<br />entrypointaddress.: 0x1000<br />timedatestamp.....: 0x2A425E19 (Sat Jun 20 00:22:17 1992)<br />machinetype.......: 0x14C (Intel I386)<br /><br />( 2 sections )<br />name viradd virsiz rawdsiz ntrpy md5<br />CODE 0x1000 0x80000 0x2A200 8.00 414b946f666a25e9a9ead73ea1dd1403<br />.rsrc 0x81000 0x5000 0x4E00 5.21 6d690ad7615832e8c76b28a3f017c377<br /><br />( 11 imports )<br /><br />> advapi32.dll: RegQueryValueExA<br />> comctl32.dll: ImageList_SetIconSize<br />> gdi32.dll: UnrealizeObject<br />> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree<br />> ole32.dll: CreateStreamOnHGlobal<br />> oleaut32.dll: SysFreeString<br />> shell32.dll: ShellExecuteA<br />> urlmon.dll: URLDownloadToFileA<br />> user32.dll: GetKeyboardType<br />> version.dll: VerQueryValueA<br />> wininet.dll: DeleteUrlCacheGroup<br /><br />When opening in Firefox v3.0.15, I got the following response. It is good that Firefox caught this:<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9eRuGf1eeJJ3ykLIm5i4dnntUAMjgr5KDxCYyARvUyXJxYutOzZ5s3hgQ25LT9CucugKzS8buhC2Q_aWz3gyP7vXGag5uJVQOW2KpFHTEg1HluGJsqjS0w48_uwiLu-CIzUbLSDICATI/s1600/Avanquest_system_suite"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 400px; height: 185px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9eRuGf1eeJJ3ykLIm5i4dnntUAMjgr5KDxCYyARvUyXJxYutOzZ5s3hgQ25LT9CucugKzS8buhC2Q_aWz3gyP7vXGag5uJVQOW2KpFHTEg1HluGJsqjS0w48_uwiLu-CIzUbLSDICATI/s400/Avanquest_system_suite" border="0" alt=""id="BLOGGER_PHOTO_ID_5406285420171783746" /></a><br /><br />Norton <a href="http://safeweb.norton.com">Safeweb</a> gives the following results:<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikaqyz_LT3pv65t8Xv2sAbrwAl5kuRWyCy5kX-ITQE-hKVmPm6wAyFJRUNkRK7kRPHpp4wKvpjFDzCi-OqDInXDpkyWzZK67rI1168fi8QkY9pVO7ab4ObW2e_783tzRWJ8uhrG62JmEc/s1600/Norton+Safe+Web,+from+Symantec+-+report+for+internetsecurity2.com_1258749228191.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 379px; height: 400px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikaqyz_LT3pv65t8Xv2sAbrwAl5kuRWyCy5kX-ITQE-hKVmPm6wAyFJRUNkRK7kRPHpp4wKvpjFDzCi-OqDInXDpkyWzZK67rI1168fi8QkY9pVO7ab4ObW2e_783tzRWJ8uhrG62JmEc/s400/Norton+Safe+Web,+from+Symantec+-+report+for+internetsecurity2.com_1258749228191.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5406286841614986002" /></a><br /><br />DIRECT LINK: <a href="http://safeweb.norton.com/report/show?url=http%3A%2F%2Fwww.internetsecurity2.com%2F%3Fid%3Davanquest_system_suite&x=15&y=12">http://safeweb.norton.com/report/show?url=http%3A%2F%2Fwww.internetsecurity2.com%2F%3Fid%3Davanquest_system_suite&x=15&y=12</a><br /><br />[COPIED AND PASTED FROM ABOVE REPORT, JUST IN CASE THE ABOVE LINK FAILED]<br />Threat Report<br /><br />Total threats found: 11<br /><br />Small-whitebg-red Viruses (what's this?)<br /><br />Threats found: 10<br />Here is a complete list:<br />Threat Name: Downloader<br />Location: hxxp://www.internetsecurity2.com/suites/avanquest_system_suite_webinstaller.exe<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br /> <br />Threat Name: Downloader<br />Location: hxxp://www.internetsecurity2.com/suites/trendmicro_internet_security_webinstaller.exe<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br /> <br />Threat Name: Downloader<br />Location: hxxp://www.internetsecurity2.com/suites/registry_sweep_webinstaller.exe<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br /> <br />Threat Name: Downloader<br />Location: hxxp://www.internetsecurity2.com/suites/kaspersky_internet_security_webinstaller.exe<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br /> <br />Threat Name: Trojan Horse<br />Location: hxxp://www.internetsecurity2.com/suites/zonealarm_internet_security_webinstaller.exe<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br /> <br />Threat Name: Downloader<br />Location: hxxp://www.internetsecurity2.com/suites/norton_internet_security_webinstaller.exe<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br /> <br />Threat Name: Suspicious.MH690<br />Location: hxxp://www.internetsecurity2.com/suites/registry_easy_webinstaller.exe<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br /> <br />Threat Name: Downloader<br />Location: hxxp://www.internetsecurity2.com/suites/panda_internet_security_webinstaller.exe<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br /> <br />Threat Name: Suspicious.MH690<br />Location: hxxp://www.internetsecurity2.com/suites/ca_internet_security_webinstaller.exe<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br /> <br />Threat Name: Suspicious.MH690<br />Location: hxxp://www.internetsecurity2.com/suites/registry_cure_webinstaller.exe<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br /> <br />Small-whitebg-red Security Risks (what's this?)<br /><br />Threats found: 1<br />Here is a complete list:<br />Threat Name: HTTP Malicious Toolkit Variant Activity<br />Location: hxxp://www.internetsecurity2.com/<br />[DO NOT CLICK, IT IS POTENTIALLY MALICIOUS]<br />[COPIED AND PASTED FROM ABOVE REPORT, JUST IN CASE THE ABOVE LINK FAILED]<br /><br />DNS Graph:<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiX0w9n20G53o-Jh30xoZoJrag6Te_0YtlvyRmQ40fqWWpm0-zG00bBtn6Plo51i0jISFDgnxI-h9QuxSjlIykI_UxUVad4w7oN-oFm4DmC9rFZL81qLgO06lKBvjb7rdnupOIPJc8iK5s/s1600/20,AS11798,69.89.31.127,box327.bluehost.com,internetsecurity2.com!1AS2,3NET1,3PTR4,5A3,0CNAME5,0UP5!2.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 400px; height: 35px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiX0w9n20G53o-Jh30xoZoJrag6Te_0YtlvyRmQ40fqWWpm0-zG00bBtn6Plo51i0jISFDgnxI-h9QuxSjlIykI_UxUVad4w7oN-oFm4DmC9rFZL81qLgO06lKBvjb7rdnupOIPJc8iK5s/s400/20,AS11798,69.89.31.127,box327.bluehost.com,internetsecurity2.com!1AS2,3NET1,3PTR4,5A3,0CNAME5,0UP5!2.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5406292019163647858" /></a><br /><br />DNS Records:<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhI6E5MgLHnsIfv3ixD0BOzUpXYrf0e6whCb2UfEhdFueLzb94tbGIw7Vbr30xhzLHCai4a0l-FS3eK4G79yrlUssTnHQ7Mx8I_Sf9olKwrKSemcMhSfSvYDhNo7sVg0SUmxcGcPdkD7ac/s1600/www.internetsecurity2.com_1258749620999.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 400px; height: 81px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhI6E5MgLHnsIfv3ixD0BOzUpXYrf0e6whCb2UfEhdFueLzb94tbGIw7Vbr30xhzLHCai4a0l-FS3eK4G79yrlUssTnHQ7Mx8I_Sf9olKwrKSemcMhSfSvYDhNo7sVg0SUmxcGcPdkD7ac/s400/www.internetsecurity2.com_1258749620999.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5406288535257883682" /></a><br /><br />DNS Analysis Report:<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgxb-l7BWFCBeouobFmN6_XSg8DZTPPOuNLirJTLAGeiAXMyHSojqB2hoCiMnrW7iDg2W5P6cl6ufJVW_khGv4ahhO_tt-tDQ9fzsUWMTKCd6Ov7l-Cni5cZqXmTiLuQbLDv4kXelPz8J0/s1600/2www.internetsecurity2.com_1258749712932.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 400px; height: 225px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgxb-l7BWFCBeouobFmN6_XSg8DZTPPOuNLirJTLAGeiAXMyHSojqB2hoCiMnrW7iDg2W5P6cl6ufJVW_khGv4ahhO_tt-tDQ9fzsUWMTKCd6Ov7l-Cni5cZqXmTiLuQbLDv4kXelPz8J0/s400/2www.internetsecurity2.com_1258749712932.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5406288995001750610" /></a><br /><br />Conclusion:<br />In conclusion, the site it is being hosted on "internetsecurity2", hosts many malicious malwares as listed above. Watch out for what you download, and never think that the HASH listing is only for the geeks. All the above data, were solely derived from the MD5 generated from the EXE.<br /><br />Couldn't load the EXE into <a href="http://anubis.iseclab.org/">Anubis</a>, as Anubis is having heavy delay for some reason. But yeah, if you have any further analysis that you wish to share with us, that would be awesome. Contact us at contact.fingers @ gmail. com if you have any queries or concerns.<br /><br /><br />- EFUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-22240896310521701642009-11-18T14:06:00.001-11:002009-11-18T14:08:39.343-11:00A recent tour of scareware XVIII<span style="font-weight: bold; color: rgb(0, 0, 153);">Virus Protector</span> <span style="font-weight: bold; color: rgb(0, 0, 153);">= AntiAID, SystemVeteran, BlockProtector</span>, <span style="font-weight: bold; color: rgb(0, 0, 153);">SystemWarrior</span><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi_pDRVigRM93XZsCTzCW_nsW0DMnpi-pRlTO4lILnyBHRmb3-e_pizuogjw4iYl3YperKnMf1CpZOzWe_AMZ5wrEHRIyNi9medsTxPsUXHzGx0UKRklrC2vPpoH0VaeDJi3_OiYn5gEbSF/s1600-h/vp.png"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 200px; height: 134px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi_pDRVigRM93XZsCTzCW_nsW0DMnpi-pRlTO4lILnyBHRmb3-e_pizuogjw4iYl3YperKnMf1CpZOzWe_AMZ5wrEHRIyNi9medsTxPsUXHzGx0UKRklrC2vPpoH0VaeDJi3_OiYn5gEbSF/s200/vp.png" alt="" id="BLOGGER_PHOTO_ID_5403766421924522050" border="0" /></a>IP: 85.12.25.111, 83.233.30.66<br /><img src="http://img.domaintools.com/flags/nl.gif" alt="Netherlands" width="18" height="12" /> Netherlands Eindhoven Web10 Ict Services <br /><img src="http://img.domaintools.com/flags/se.gif" alt="Sweden" width="18" height="12" /> Sweden Stockholm Serverconnect I Norrland<br />Dominios asociados<br />antiaid.com<br />blockkeeper.com<br />blockprotector.com<br />systemveteran.com<br /><span style="font-weight: bold; color: rgb(0, 0, 153);">Pope Green Defender</span><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjj6QfHfe6z872W9KCYPn5HLOR36IAbOAa-_74znQW7Jj5KRHVwgknBiMB58FuAjoVqtXmpm6UICwnwOjRPqeKmimxtrxMdrHro_J6vjsmuzDCS3eNYSeQeY_9HgW3dUPs5fJnOlefl4xqi/s1600-h/pgd.png"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 200px; height: 150px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjj6QfHfe6z872W9KCYPn5HLOR36IAbOAa-_74znQW7Jj5KRHVwgknBiMB58FuAjoVqtXmpm6UICwnwOjRPqeKmimxtrxMdrHro_J6vjsmuzDCS3eNYSeQeY_9HgW3dUPs5fJnOlefl4xqi/s200/pgd.png" alt="" id="BLOGGER_PHOTO_ID_5403783551668734322" border="0" /></a>IP: 99.198.98.217<br /><img src="http://img.domaintools.com/flags/us.gif" alt="United States" width="18" height="12" /> United States Chicago Singlehop Inc<br />Dominios asociados<br />popegreen.com<br /><br /><br /><br /><br /><span style="font-weight: bold; color: rgb(0, 0, 153);">Spyware Defender 2009</span><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiFPeW-qjVAB05RPRBxlSnfPGD2tgDchlffoyxRhfA5Lgekw9-LYM-nue6IwTcnt1TpO0AIcBhLs9M2sv1AZqigfnh0fa4laE2d9SJc7KR6G6o7AtDHVb_0GNwMXMz5ImaBryrdbfSoTn6Q/s1600-h/sd2009.png"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 200px; height: 146px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiFPeW-qjVAB05RPRBxlSnfPGD2tgDchlffoyxRhfA5Lgekw9-LYM-nue6IwTcnt1TpO0AIcBhLs9M2sv1AZqigfnh0fa4laE2d9SJc7KR6G6o7AtDHVb_0GNwMXMz5ImaBryrdbfSoTn6Q/s200/sd2009.png" alt="" id="BLOGGER_PHOTO_ID_5403784267788560882" border="0" /></a>IP: 99.198.98.218<br /><img src="http://img.domaintools.com/flags/us.gif" alt="United States" width="18" height="12" /> United States Chicago Singlehop Inc<br />Dominios asociados<br />cheelumtech.com<br /><br /><br /><br /><br /><span style="font-weight: bold; color: rgb(0, 0, 153);">Pro Defender 2008</span><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEilM2pzMdbANTPhEWaQEIzc8J7VeN751aHUFzsoToikStyFyJiUJQEovRqxbiRHiwPXInIV8GnZEGhuwLAif0984amGpLyzd1e05zaM-bGdzaTdTi5vJL6CRQHMBrU_nBRz6T6LF6fDA9ot/s1600-h/pd.png"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 194px; height: 200px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEilM2pzMdbANTPhEWaQEIzc8J7VeN751aHUFzsoToikStyFyJiUJQEovRqxbiRHiwPXInIV8GnZEGhuwLAif0984amGpLyzd1e05zaM-bGdzaTdTi5vJL6CRQHMBrU_nBRz6T6LF6fDA9ot/s200/pd.png" alt="" id="BLOGGER_PHOTO_ID_5403784829528485170" border="0" /></a>IP: 99.198.98.202<br /><img src="http://img.domaintools.com/flags/us.gif" alt="United States" width="18" height="12" /> United States Chicago Singlehop Inc<br />Dominios asociados<br />vlachosoft.com<br /><br /><br /><br /><br /><br /><span style="font-weight: bold; color: rgb(0, 0, 153);"><br /><br />Proof Defender</span><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuTdYjGK9G_T7HSCyHGmIOGFQAFfx-TaCeoelcex2PIaSkNLVSVMTlPCyJcHwEoGqanDypwm9ACcksKjASlIihKct9o3VjHoazt9MHkLQ9tTGE3qH4CVQ7PvCyIKpSD1KcpE2FoncxEwfa/s1600-h/proofdefender.png"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 200px; height: 154px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuTdYjGK9G_T7HSCyHGmIOGFQAFfx-TaCeoelcex2PIaSkNLVSVMTlPCyJcHwEoGqanDypwm9ACcksKjASlIihKct9o3VjHoazt9MHkLQ9tTGE3qH4CVQ7PvCyIKpSD1KcpE2FoncxEwfa/s200/proofdefender.png" alt="" id="BLOGGER_PHOTO_ID_5403786382920939634" border="0" /></a>IP: 76.76.101.85<br /><img src="http://img.domaintools.com/flags/us.gif" alt="United States" width="18" height="12" /> United States Portland Donald Wildes<br />Dominios asociados<br />proofdefender.com<br />proofdefender2009.com<br />www.pdefender2009.com<br />www.proofdefender.com<br /><br /><br /><br />techno-rescue.com (209.8.45.117) <img src="http://img.domaintools.com/flags/us.gif" alt="United States" width="18" height="12" /> Herndon Beyond The Network America<br />besttoolsdirect.com (193.169.234.3) <img src="http://img.domaintools.com/flags/jm.gif" alt="Jamaica" width="18" height="12" /> Jamaica Titan-net Ltd<br />rfastnet.com/online (213.155.22.193) <img src="http://img.domaintools.com/flags/ua.gif" alt="Ukraine" width="18" height="12" /> Ukraine Kiev Singhajeet3 - Singh Ajeet<br />advanced-<a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/7f3cad134c3cfc1130f4dfe6b0e074fb68bd0b6a3eaf8c9d588c685550bc2fc2-1258167195">virus-remover2010.com</a> (91.207.116.55) <img src="http://img.domaintools.com/flags/ua.gif" alt="Ukraine" width="18" height="12" /> Ukraine Czech Republic Of Rays<br />10-open-davinci.com<br />advanced-virus-remover2010.com<br />advanced-virusremover-2009.com<br />advanced-virusremover2009.com<br />advancedvirus-remover-2010.com<br />advancedvirusremover-2009.com<br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbQf8qdowHkH0ouWtpsHmVsZmA9IEICu3_V7bgWqL8h-HpD8HUCDEyR197Ifc_Cl7oJ9RidLyrKknfgpcbqkGj8e7AF10qzDGmZHM1RcOIq8G-YCOzV5mQ5xfaipPYT7xNnmQ41lLUbF7s/s1600-h/virusremover.png"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 98px; height: 320px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbQf8qdowHkH0ouWtpsHmVsZmA9IEICu3_V7bgWqL8h-HpD8HUCDEyR197Ifc_Cl7oJ9RidLyrKknfgpcbqkGj8e7AF10qzDGmZHM1RcOIq8G-YCOzV5mQ5xfaipPYT7xNnmQ41lLUbF7s/s320/virusremover.png" alt="" id="BLOGGER_PHOTO_ID_5403787562068130178" border="0" /></a>best-scan-pc.com<br />best-scan-pc.net<br />best-scan.com<br />best-scanpc.com<br />best-scanpc.net<br />best-scanpc.org<br />cathrynzfunz.com<br />coolcount1.com<br />downloadavr6.com<br />downloadavr7.com<br />downloadavr8.com<br />hard-xxx-tube.com<br />testavrdown.com<br />testavrdownnew.com<br />vsproject.net<br />www.advanced-virus-remover-2009.com<br />www.advancedvirus-remover2009.com<br />www.advancedvirusremover-2009.com<br />www.best-scan-pc.com<br />www.best-scanpc.net<br />www.best-scanpc.org<br />www.hard-xxx-tube.com<br />www.onlinescanxppro.com<br />xxx-white-tube.net<br />xxx-white-tube.org<br /><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/0d33d11bf2b1beb690b2e88628403ef0faa2ba9d678bca75ac2b970f12e0974f-1258221983">argentmarketingtools.com</a> (194.60.205.20) <img src="http://img.domaintools.com/flags/ru.gif" alt="Russian Federation" width="18" height="12" /> Russian Federation Baltic Center Of Innovations Techprominvest Ltd <br />thetoolsbargain.com, bestalltools.com (62.90.136.210) <img src="http://img.domaintools.com/flags/il.gif" alt="Israel" width="18" height="12" /> Israel Haifa Loads <br /><br /><span style="font-weight: bold; color: rgb(0, 0, 0);">Información relacionada</span><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/10/una-recorrida-por-los-ultimos-scareware_27.html">Una recorrida por los últimos scareware XVII</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/10/una-recorrida-por-los-ultimos-scareware.html">Una recorrida por los últimos scareware XV</a><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/10/una-recorrida-por-los-ultimos-scareware.html">I</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/09/una-recorrida-por-los-ultimos-scareware_26.html">Una recorrida por los últimos scareware XV</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/09/una-recorrida-por-los-ultimos-scareware.html">Una recorrida por los últimos scareware XIV</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/una-recorrida-por-los-ultimos-scareware_24.html">Una recorrida por los últimos scareware XIII</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/una-recorrida-por-los-ultimos-scareware.html">Una recorrida por los últimos scareware XII</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/07/una-recorrida-por-los-ultimos-scareware.html">Una recorrida por los últimos scareware XI</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/06/una-recorrida-por-los-ultimos-scareware_29.html">Una recorrida por los últimos scareware X</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/06/una-recorrida-por-los-ultimos-scareware.html">Una recorrida por los últimos scareware IX</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/05/una-recorrida-por-los-ultimos-scareware_29.html">Una recorrida por los últimos scareware VIII</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/05/una-recorrida-por-los-ultimos-scareware_10.html">Una recorrida por los últimos scareware VII</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/05/una-recorrida-por-los-ultimos-scareware.html">Una recorrida por los últimos scareware VI</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/03/una-recorrida-por-lo-ultimos-scareware.html">Una recorrida por los últimos scareware V</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/02/una-recorrida-por-los-ultimos-scareware_24.html">Una recorrida por los últimos scareware IV</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/02/una-recorrida-por-los-ultimos-scareware.html">Una recorrida por los últimos scareware III</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/01/una-recorrida-por-los-ltimos-scareware_17.html">Una recorrida por los últimos scareware II</a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/01/una-recorrida-por-los-ltimos-scareware.html">Una recorrida por los últimos scareware I</a><br /><br />Jorge Mieres<br />Pistus Malware Intelligence BlogUnknownnoreply@blogger.com2tag:blogger.com,1999:blog-6766263746795718144.post-50087227366258091942009-11-15T23:00:00.000-11:002009-11-15T23:00:03.203-11:00T-IFRAMER. Kit for the injection of malware In-the-Wild<div style="text-align: justify;"><span style="font-weight: bold;"><span style="display: inline;" title="T-IFRAMER es un paquete que permite automatizar, centralizar y gestionar vía http la propagación de códigos maliciosos a través de inyección de código viral en sitios web vulnerados empleando técnicas iframe , y alimentar su botnet . A continuación vemos una captura de la pantalla de autenticación.">T-IFRAMER </span></span><span style="display: inline;" title="T-IFRAMER es un paquete que permite automatizar, centralizar y gestionar vía http la propagación de códigos maliciosos a través de inyección de código viral en sitios web vulnerados empleando técnicas iframe , y alimentar su botnet . A continuación vemos una captura de la pantalla de autenticación.">is a package that allows you to automate, centralize and manage via http the spread of malicious code via code injection sites violated viral techniques using </span><span style="font-style: italic;"><span style="display: inline;" title="T-IFRAMER es un paquete que permite automatizar, centralizar y gestionar vía http la propagación de códigos maliciosos a través de inyección de código viral en sitios web vulnerados empleando técnicas iframe , y alimentar su botnet . A continuación vemos una captura de la pantalla de autenticación.">iframe, and feed a</span></span><span style="display: inline;" title="T-IFRAMER es un paquete que permite automatizar, centralizar y gestionar vía http la propagación de códigos maliciosos a través de inyección de código viral en sitios web vulnerados empleando técnicas iframe , y alimentar su botnet . A continuación vemos una captura de la pantalla de autenticación."> </span><span style="font-weight: bold;"><span style="display: inline;" title="T-IFRAMER es un paquete que permite automatizar, centralizar y gestionar vía http la propagación de códigos maliciosos a través de inyección de código viral en sitios web vulnerados empleando técnicas iframe , y alimentar su botnet . A continuación vemos una captura de la pantalla de autenticación.">botnet</span></span><span style="display: inline;" title="T-IFRAMER es un paquete que permite automatizar, centralizar y gestionar vía http la propagación de códigos maliciosos a través de inyección de código viral en sitios web vulnerados empleando técnicas iframe , y alimentar su botnet . A continuación vemos una captura de la pantalla de autenticación.">. We then see a screen capture of authentication.</span><span style="display: inline;" title="T-IFRAMER es un paquete que permite automatizar, centralizar y gestionar vía http la propagación de códigos maliciosos a través de inyección de código viral en sitios web vulnerados empleando técnicas iframe , y alimentar su botnet . A continuación vemos una captura de la pantalla de autenticación."></span><br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjY7RIITAf8jJ9_vddDHynPSFLSpuKcbSAomy3oVnOUDPzi-ew0fiEgyUoVrHfdli5_jLFo0kKG350dRJX_SNG2s_TG10V3Jj1ANPXukjEcg_8ZqCd80VcNCqG61XPkRSXeb8V_t8LZWofH/s1600-h/mipistus-tiframer-auth.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 301px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjb11kGt14NC8x_MVVEJf4Beq6A7golNBy9Znnco-6x9eKx-OBdrF7vQ8_CzSivcHeYYmiknR5YiELg45idlmez9DozDQ7q2LYbP16j8kbBz8Plnl-azdHk6m9n_g9xkWfO-VMWmuTp0S-N/s400/mipistus-tiframer-auth.png" alt="" id="BLOGGER_PHOTO_ID_5404438263955877058" border="0" /></a><span style="display: inline;" title="Si bien no se trata de un kit complejo, permite a los delincuentes informáticos gestionar la propagación de malware a través del protocolo http utilizando ataques del tipo Drive-by-Download y Drive-by-Injection mediante la inserción de etiquetas iframe en las páginas web vulneradas.">While there is a complex kit allows computer criminals manage the spread of </span><span style="font-weight: bold;"><span style="display: inline;" title="Si bien no se trata de un kit complejo, permite a los delincuentes informáticos gestionar la propagación de malware a través del protocolo http utilizando ataques del tipo Drive-by-Download y Drive-by-Injection mediante la inserción de etiquetas iframe en las páginas web vulneradas.">malware</span></span><span style="display: inline;" title="Si bien no se trata de un kit complejo, permite a los delincuentes informáticos gestionar la propagación de malware a través del protocolo http utilizando ataques del tipo Drive-by-Download y Drive-by-Injection mediante la inserción de etiquetas iframe en las páginas web vulneradas."> via the http protocol type attacks using </span><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/01/ataque-de-malware-va-drive-by-download.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="Si bien no se trata de un kit complejo, permite a los delincuentes informáticos gestionar la propagación de malware a través del protocolo http utilizando ataques del tipo Drive-by-Download y Drive-by-Injection mediante la inserción de etiquetas iframe en las páginas web vulneradas.">Drive-by-Download</span></a><span style="display: inline;" title="Si bien no se trata de un kit complejo, permite a los delincuentes informáticos gestionar la propagación de malware a través del protocolo http utilizando ataques del tipo Drive-by-Download y Drive-by-Injection mediante la inserción de etiquetas iframe en las páginas web vulneradas."> and </span><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/02/drive-by-update-para-propagacion-de.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="Si bien no se trata de un kit complejo, permite a los delincuentes informáticos gestionar la propagación de malware a través del protocolo http utilizando ataques del tipo Drive-by-Download y Drive-by-Injection mediante la inserción de etiquetas iframe en las páginas web vulneradas.">Drive-by-Injection</span></a><span style="display: inline;" title="Si bien no se trata de un kit complejo, permite a los delincuentes informáticos gestionar la propagación de malware a través del protocolo http utilizando ataques del tipo Drive-by-Download y Drive-by-Injection mediante la inserción de etiquetas iframe en las páginas web vulneradas."> by inserting iframe tags in web pages violated.</span><br /><br /><span style="display: inline;" title="Los módulos principales son cuatro: Stats , Manager , Iframes e Injector ; y cada uno de ellos posee la función principal de optimizar la diseminación de malware.">The four key modules: </span><span style="font-weight: bold;"><span style="display: inline;" title="Los módulos principales son cuatro: Stats , Manager , Iframes e Injector ; y cada uno de ellos posee la función principal de optimizar la diseminación de malware.">Stats</span></span><span style="display: inline;" title="Los módulos principales son cuatro: Stats , Manager , Iframes e Injector ; y cada uno de ellos posee la función principal de optimizar la diseminación de malware.">,</span><span style="display: inline;" title="Los módulos principales son cuatro: Stats , Manager , Iframes e Injector ; y cada uno de ellos posee la función principal de optimizar la diseminación de malware."> </span><span style="font-weight: bold;"><span style="display: inline;" title="Los módulos principales son cuatro: Stats , Manager , Iframes e Injector ; y cada uno de ellos posee la función principal de optimizar la diseminación de malware.">Manager</span></span><span style="display: inline;" title="Los módulos principales son cuatro: Stats , Manager , Iframes e Injector ; y cada uno de ellos posee la función principal de optimizar la diseminación de malware.">,</span><span style="display: inline;" title="Los módulos principales son cuatro: Stats , Manager , Iframes e Injector ; y cada uno de ellos posee la función principal de optimizar la diseminación de malware."> </span><span style="font-weight: bold;"><span style="display: inline;" title="Los módulos principales son cuatro: Stats , Manager , Iframes e Injector ; y cada uno de ellos posee la función principal de optimizar la diseminación de malware.">Iframes</span></span><span style="display: inline;" title="Los módulos principales son cuatro: Stats , Manager , Iframes e Injector ; y cada uno de ellos posee la función principal de optimizar la diseminación de malware."> and </span><span style="font-weight: bold;"><span style="display: inline;" title="Los módulos principales son cuatro: Stats , Manager , Iframes e Injector ; y cada uno de ellos posee la función principal de optimizar la diseminación de malware.">Injector</span></span><span style="display: inline;" title="Los módulos principales son cuatro: Stats , Manager , Iframes e Injector ; y cada uno de ellos posee la función principal de optimizar la diseminación de malware.">, and each has the main function to optimize the spread of malware.</span><span style="display: inline;" title="Los módulos principales son cuatro: Stats , Manager , Iframes e Injector ; y cada uno de ellos posee la función principal de optimizar la diseminación de malware."></span><br /></div><br /><div style="text-align: justify;"><span style="display: inline;" title="El primero de ellos ( Stats ) permite administrar cuentas ftp vulneradas teniendo control sobre ellas con la posibilidad de subir archivos. De esta manera, comienza uno de los ciclos de propagación de códigos maliciosos.">The first one </span><span style="font-weight: bold;"><span style="display: inline;" title="El primero de ellos ( Stats ) permite administrar cuentas ftp vulneradas teniendo control sobre ellas con la posibilidad de subir archivos. De esta manera, comienza uno de los ciclos de propagación de códigos maliciosos.">(Stats) </span></span><span style="display: inline;" title="El primero de ellos ( Stats ) permite administrar cuentas ftp vulneradas teniendo control sobre ellas con la posibilidad de subir archivos. De esta manera, comienza uno de los ciclos de propagación de códigos maliciosos.">to manage FTP accounts violated having control over them with the ability to upload files. Thus begins one of the cycles of propagation of malicious code.</span><br /></div><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhy53JscIrdZ6gjs9OV6y-N1-isOprmVt-lO4w2Q5hYOSXEWTAmtvxEDPAjrK-9f1Bbf-83CQLzcTdOHYlG0LXaonS2E9C3hSk9VcXV-0aO4Oe3wDL23t4unQ52m_aZWVJCfNZhdAn-X7fO/s1600-h/mipistus-tiframer-accounts.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 301px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwZt2LGHemitF5ui0iv6fL3URKFedv7zr9sjx0SOL_6TEGRfx6v8JsUXVbn5hniACDPuJZWN7hrqYs_8HbEQBT9Y9Uj_qth3sQ6G-vSbbyPxtBcoAIXgQWveDeNoEgp37f-3GddSzSdQuQ/s400/mipistus-tiframer-accounts.png" alt="" id="BLOGGER_PHOTO_ID_5404438797113536658" border="0" /></a><span style="display: inline;" title="Este módulo de gestión posee varias categorías, entre las que se encuentran:">The management module has several categories, among which are:</span><br /><ul style="text-align: justify;"><li><span style="font-weight: bold;"><span style="display: inline;" title="Iframed accounts ( cuentas iframeadas ). Son las páginas a las que se le ha inyectado scripts dañinos a través de la etiqueta iframe.">Iframe accounts</span></span><span style="display: inline;" title="Iframed accounts ( cuentas iframeadas ). Son las páginas a las que se le ha inyectado scripts dañinos a través de la etiqueta iframe."></span><span style="display: inline;" title="Iframed accounts ( cuentas iframeadas ). Son las páginas a las que se le ha inyectado scripts dañinos a través de la etiqueta iframe.">. These are pages that have been injected </span><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/04/scripting-attack-ii-conjuncion-de.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="Iframed accounts ( cuentas iframeadas ). Son las páginas a las que se le ha inyectado scripts dañinos a través de la etiqueta iframe.">malicious scripts</span></a><span style="display: inline;" title="Iframed accounts ( cuentas iframeadas ). Son las páginas a las que se le ha inyectado scripts dañinos a través de la etiqueta iframe."> through the iframe tag.</span></li><li><span style="font-weight: bold;"><span style="display: inline;" title="Not Iframed ( no iframedas ). Básicamente son las cuentas ftp vulneradas. En este caso se almacenan hasta el momento varias cuentas ftp:">Not Iframe</span></span><span style="display: inline;" title="Not Iframed ( no iframedas ). Básicamente son las cuentas ftp vulneradas. En este caso se almacenan hasta el momento varias cuentas ftp:">. FTP accounts are basically violated. In this case, stored until several ftp accounts:</span><br /></li></ul> <span style="font-style: italic;"><span style="display: inline;" title="ftp://distribs:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179">ftp://distribs:softXP @ 193.xxx.xxx.66</span></span> <span style="font-style: italic;"><span style="display: inline;" title="ftp://distribs:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179"><br />ftp://distribs:softXP @ 193.xxx.xxx.66</span></span><br /><span style="font-style: italic;"><span style="display: inline;" title="ftp://distribs:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179">ftp://tools:softXP @ 193.xxx.xxx.66</span></span> <span style="font-style: italic;"><span style="display: inline;" title="ftp://distribs:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179"><br />ftp://tools : softXP@193.xxx.xxx.66</span></span> <span style="font-style: italic;"><span style="display: inline;" title="ftp://distribs:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179"><br />ftp://tools:softXP @ 193.xxx.xxx.66</span></span> <span style="font-style: italic;"><span style="display: inline;" title="ftp://distribs:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179"><br />ftp://distribs:softXP @ 193.xxx.xxx.66</span></span><br /><span style="font-style: italic;"><span style="display: inline;" title="ftp://distribs:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179">ftp://NST:124 @ 80. xxx.xxx.179</span></span> <span style="font-style: italic;"><span style="display: inline;" title="ftp://distribs:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179"><br />ftp://NST:124 @ 80.xxx.xxx.179</span></span> <span style="font-style: italic;"><span style="display: inline;" title="ftp://distribs:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179"><br />ftp://NST:124 @ 80.xxx.xxx.179</span></span> <span style="font-style: italic;"><span style="display: inline;" title="ftp://distribs:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://tools:softXP@193.xxx.xxx.66 ftp://distribs:softXP@193.xxx.xxx.66 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179 ftp://NST:124@80.xxx.xxx.179"><br />ftp://NST:124 @ 80.xxx.xxx.179</span></span><br /><ul style="text-align: justify;"><li><span style="font-weight: bold;"><span style="display: inline;" title="Good accounts ( cuentas buenas ). Permite establecer cuáles de las cuentas ftp vulneradas son útiles o continúan activas.">Good accounts</span></span><span style="display: inline;" title="Good accounts ( cuentas buenas ). Permite establecer cuáles de las cuentas ftp vulneradas son útiles o continúan activas."></span><span style="display: inline;" title="Good accounts ( cuentas buenas ). Permite establecer cuáles de las cuentas ftp vulneradas son útiles o continúan activas.">. Allows you to set which violated ftp accounts are useful or are still active.</span></li><li><span style="font-weight: bold;"><span style="display: inline;" title="Freehosts accounts ( páginas alojadas en hosting gratuito ). Se listan todos los ftp vulnerados de los sitios web que se encuentran alojados en hosting gratuitos.">Freehosts accounts</span></span><span style="display: inline;" title="Freehosts accounts ( páginas alojadas en hosting gratuito ). Se listan todos los ftp vulnerados de los sitios web que se encuentran alojados en hosting gratuitos."></span><span style="display: inline;" title="Freehosts accounts ( páginas alojadas en hosting gratuito ). Se listan todos los ftp vulnerados de los sitios web que se encuentran alojados en hosting gratuitos.">. It lists all the ftp violated websites that are hosted on free hosting.</span></li><li><span style="font-weight: bold;"><span style="display: inline;" title="Unchecked accounts ( cuentas no chequedas ). Cuentas que aún no se han revisado.">Unchecked accounts</span></span><span style="display: inline;" title="Unchecked accounts ( cuentas no chequedas ). Cuentas que aún no se han revisado.">. Accounts that haven't yet been reviewed.</span><br /></li></ul> <div style="text-align: justify;"><span style="display: inline;" title="Las siguientes capturas muestras dos de los ftp vulnerados. En cada uno de ellos se puede almacenar cualquier tipo de información (warez, cracks, material pornográfico, phishing, material de pedofilia, cualquier tipo de malware, etc.). La primera de ellas aloja software y la segunda es un mirror para descarga de distribuciones basadas en *NIX.">The following screenshots show two of the ftp violated. In each of these can store any kind of information (warez, cracks, pornography, phishing, pedophile material, any type of malware). The first software houses and the second is a mirror to download * NIX based distributions.</span><br /></div><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhwC8GvktLSWGQs-b0d4dJG0DHEHHJDlyVN-FQWoUs5IOYepQlAqPfF23qOqk_VLeNaSy70CGNtIEfp0yHC9P-rW7St_1VVqhgZl6uptK6NAOz0vVwG83PrWjA-Xpz-xA8k63wMh3D0e_S4/s1600-h/mipistus-tiframer-ftp1.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 163px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJJroO0DKluc9IBYyBaOu2maon0Hum8Pr1XObzgrcvVmC8z9twwEvlKKkwGZuyw56ypiVuibzZtGuku4RVgZuJD7_CbyCtW7eUzbKbusZcNwJBTsrMrA7l4gn3UieOLwlNrbvb-4zsrztY/s400/mipistus-tiframer-ftp1.png" alt="" id="BLOGGER_PHOTO_ID_5404439948970019346" border="0" /></a><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjR5hWMqoPgrjdLBvhoCuo8o8FKaPkHpnqUkvMRRZR1N2AC5ZjyY8Veqd_0fDLEUgCgKau2AwfI0LhSnJX8yfTAYLl3snH1TVEfIFgc6tjUdda-6EepqRqkXmajZD-tJ4vM5sApokPNvAd6/s1600-h/mipistus-tiframer-ftp2.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 184px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhee1J-LBPRpAmluZ6r-DuaW5FxjiH1r4_rwhU4PMsCpyz72LexGaq8J2Yr5o0rtueS081guYBsZmhamJRSnvAqhhIzQzd5V01iKB8Fw7eory3icZHX56ZXs2IAbphff4e6bEAYmZlJO-ai/s400/mipistus-tiframer-ftp2.png" alt="" id="BLOGGER_PHOTO_ID_5404440032984251874" border="0" /></a><br /><div style="text-align: justify;"><span style="display: inline;" title="El módulo Manager es en sí mismo el panel que permite la administración de cada una de las categorías antes mencionadas, incluyendo la posibilidad de eliminar directamente el ftp del historial.">Module</span><span style="font-weight: bold;"><span style="display: inline;" title="El módulo Manager es en sí mismo el panel que permite la administración de cada una de las categorías antes mencionadas, incluyendo la posibilidad de eliminar directamente el ftp del historial."> Manager</span></span><span style="display: inline;" title="El módulo Manager es en sí mismo el panel que permite la administración de cada una de las categorías antes mencionadas, incluyendo la posibilidad de eliminar directamente el ftp del historial."> is itself a panel that allows the administration of each of the above categories, including the ability to directly remove the FTP record.</span><br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqAKMCXlU5FZxoV6IndqKqwAmmqJ5ktl2V1yl3LmNRqWMamrAx49lpRkvNmqINxR8ez1JuSp7Hoj8ZuP1yH7KB8v1bSeDvBRmJboTPiHdM69x4JKNqolRzYtPEvUYbwVq21ZPMtgt4VFdJ/s1600-h/mipistus-tiframer-manager.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 301px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0JAo7d685Cu3ALWXpg__IBMCygUxD2sD4k5uYxaSr_5ZqKyBdhkpSQTETyunjsLaKPB5tYtA5gxUCcZTPsPLhtUO9cYJjg3z-BXtiaMnuAPDT7dDcDUyxAx4t9pUVPcg8qoqaAIHiCzbj/s400/mipistus-tiframer-manager.png" alt="" id="BLOGGER_PHOTO_ID_5404440717862985666" border="0" /></a><span style="display: inline;" title="Hasta esta instancia, estos primeros módulos tienen que ver con todo lo relacionado a la gestión de las cuentas. Sin embargo, no termina con estos y los siguientes módulos son más agresivos.">To this end, these first modules are concerned with everything related to the management of accounts. However, it doesn't end with these and the following modules are more aggressive.</span><br /><br /><span style="display: inline;" title="Uno de ellos es el módulo Iframes . Este permite configurar la estrategia de ataque a través de etiquetas iframe, ocultándola (como es habitual) en un script. En este caso, el script utilizado posee como información la url http://flo4.cn/1.txt .">One is the form </span><span style="font-weight: bold;"><span style="display: inline;" title="Uno de ellos es el módulo Iframes . Este permite configurar la estrategia de ataque a través de etiquetas iframe, ocultándola (como es habitual) en un script. En este caso, el script utilizado posee como información la url http://flo4.cn/1.txt .">Iframes</span></span><span style="display: inline;" title="Uno de ellos es el módulo Iframes . Este permite configurar la estrategia de ataque a través de etiquetas iframe, ocultándola (como es habitual) en un script. En este caso, el script utilizado posee como información la url http://flo4.cn/1.txt .">. This allows you to set the strategy of attack through iframe tags, hiding it (as usual) in a script. In this case, the script has used as the url information</span><span style="display: inline;" title="Uno de ellos es el módulo Iframes . Este permite configurar la estrategia de ataque a través de etiquetas iframe, ocultándola (como es habitual) en un script. En este caso, el script utilizado posee como información la url http://flo4.cn/1.txt ."> </span><span style="font-style: italic; font-weight: bold;"><span style="display: inline;" title="Uno de ellos es el módulo Iframes . Este permite configurar la estrategia de ataque a través de etiquetas iframe, ocultándola (como es habitual) en un script. En este caso, el script utilizado posee como información la url http://flo4.cn/1.txt .">http://flo4.cn/1.txt.</span></span><span style="display: inline;" title="Uno de ellos es el módulo Iframes . Este permite configurar la estrategia de ataque a través de etiquetas iframe, ocultándola (como es habitual) en un script. En este caso, el script utilizado posee como información la url http://flo4.cn/1.txt ."></span><br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgCCxDPjVji8gIa8cN0MA4WPEl2tqLitUxDTD95nkRDmTh5yMzaO0_3Ol7Cra9SKxIE73bYxAsaXwCNR9_7tUqGwIRGnd5Z4535v2eQYFCJ2aIf-c9SWAgU5PawvyjOYvSZqyQWakzfUz1V/s1600-h/mipistus-tiframer-accounts.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 301px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhq_I-_I-e4XtK7wVUVe0lVBHVDVlz1tLQcrOsWa3O9ym2CAM4h6FR1AnqwJ5reku3Jrvr4DSnC1dBxGBnpwXKOqojxkJvWvqptDAtEjspAzPcoDbwcS0hykynII3d_cof2ajdKuxkohqq0/s400/mipistus-tiframer-accounts.png" alt="" id="BLOGGER_PHOTO_ID_5404441222755353010" border="0" /></a><span style="display: inline;" title="A su vez, esta url contiene como referencia otra url, pero en este caso, contiene un bruto script que contiene varios exploits y descarga automática de malware.">In turn, this url contains reference to another url, but in this case, contains a rough script that contains multiple </span><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/10/automatizacion-en-la-creacion-de.html#googtrans%28es%7Cen%29"><span><span style="display: inline;" title="A su vez, esta url contiene como referencia otra url, pero en este caso, contiene un bruto script que contiene varios exploits y descarga automática de malware.">exploits</span></span></a><span style="display: inline;" title="A su vez, esta url contiene como referencia otra url, pero en este caso, contiene un bruto script que contiene varios exploits y descarga automática de malware."> and malware automatically downloaded.</span><br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhAMsqTTy7ykGIG9F0BVknx8I4d2vYge_aibj3BXQxLYCVCdaFtPE5WCqYOYPB5MtVCDAOWo8OLr559DiUHEyBbYobjhrf5q1iEJXjUfQr52H73CVUstJwoIrHDdI9WsNna-OVL1dMsYppW/s1600-h/mipistus-iframe.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 33px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgqWj-GOI2zjKrudyOWmP7mSH1JgJBYREm4Uofe_6mjkYqraijFmu7K0yeTI2pwfk-urJ9NOScS446fl5ep1XsMOhZ1KJHHbNWrgQbbgncJou45n8s1y7_C-lKxgGE_jgVbeaP8WLXQ94Vy/s400/mipistus-iframe.png" alt="" id="BLOGGER_PHOTO_ID_5404441499289079042" border="0" /></a><span style="display: inline;" title="En esta instancia, luego de intentar correr el exploit, se redirecciona al dominio http://www.google.ru , que parecería manipula la devolución de las búsquedas.">In this instance, after trying to run the exploit, it redirects the domain </span><span style="font-style: italic;"><span style="display: inline;" title="En esta instancia, luego de intentar correr el exploit, se redirecciona al dominio http://www.google.ru , que parecería manipula la devolución de las búsquedas.">http://www.google.ru</span></span><span style="display: inline;" title="En esta instancia, luego de intentar correr el exploit, se redirecciona al dominio http://www.google.ru , que parecería manipula la devolución de las búsquedas.">, </span><span style="display: inline;" title="En esta instancia, luego de intentar correr el exploit, se redirecciona al dominio http://www.google.ru , que parecería manipula la devolución de las búsquedas.">which seems manipulates the return of the searches.</span><span style="display: inline;" title="En esta instancia, luego de intentar correr el exploit, se redirecciona al dominio http://www.google.ru , que parecería manipula la devolución de las búsquedas."></span><br /></div><br /><span style="display: inline;" title="Los exploits que posee son los siguientes:">Exploits that have are the following:</span><br /><ul><li><a style="color: rgb(51, 51, 255);" href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927#googtrans%28es%7Cen%29"><span style="display: inline;" title="CVE-2009-0927 (Adobe getIcon)">CVE-2009-0927</span></a><span style="display: inline;" title="CVE-2009-0927 (Adobe getIcon)"> (Adobe getIcon)</span></li><li><a style="color: rgb(51, 51, 255);" href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2463#googtrans%28es%7Cen%29"><span style="display: inline;" title="CVE-2008-2463 (Office Snapshot Viewer)">CVE-2008-2463</span></a><span style="display: inline;" title="CVE-2008-2463 (Office Snapshot Viewer)"> (Office Snapshot Viewer)</span></li><li><a style="color: rgb(51, 51, 255);" href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=2008-2992#googtrans%28es%7Cen%29"><span style="display: inline;" title="CVE-2008-2992 (Adobe util.printf overflow)">CVE-2008-2992</span></a><span style="display: inline;" title="CVE-2008-2992 (Adobe util.printf overflow)"> (Adobe util.printf overflow)</span></li><li><a style="color: rgb(51, 51, 255);" href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=2008-0015#googtrans%28es%7Cen%29"><span style="display: inline;" title="CVE-2008-0015 (MsVidCtl Overflow)">CVE-2008-0015</span></a><span style="display: inline;" title="CVE-2008-0015 (MsVidCtl Overflow)"> (MsVidCtl Overflow)</span></li><li><a style="color: rgb(51, 51, 255);" href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5659#googtrans%28es%7Cen%29"><span style="display: inline;" title="CVE-2007-5659 (Adobe Collab overflow)">CVE-2007-5659</span></a><span style="display: inline;" title="CVE-2007-5659 (Adobe Collab overflow)"> (Adobe Collab overflow)</span><br /></li></ul> <span style="display: inline;" title="Los códigos maliciosos que se descargan son:">Malicious code that are downloaded are:</span><br /><ul><li><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/1afa5c94d66c7f6ee8e19617e9be9e5a3ef22840df61a613a75e4dba7c50af49-1258302523#googtrans%28es%7Cen%29"><span style="display: inline;" title="ehkruz1.exe . Se trata de un troyano diseñado para capturar la información relacionada al servicio WebMoney y hasta la fecha posee un bajo índice de detección, detectándolo sólo 6 motores antivirus de 41. El nombre del archivo es aleatorio.">ehkruz1.exe</span></a><span style="color: rgb(0, 0, 0);"><span style="display: inline;" title="ehkruz1.exe . Se trata de un troyano diseñado para capturar la información relacionada al servicio WebMoney y hasta la fecha posee un bajo índice de detección, detectándolo sólo 6 motores antivirus de 41. El nombre del archivo es aleatorio.">. This is a Trojan designed to capture information related to the service WebMoney and to date has a low rate of detection, antivirus detected only 6 engines of 41. The filename is random.</span></span><span style="display: inline;" title="ehkruz1.exe . Se trata de un troyano diseñado para capturar la información relacionada al servicio WebMoney y hasta la fecha posee un bajo índice de detección, detectándolo sólo 6 motores antivirus de 41. El nombre del archivo es aleatorio."></span></li><li><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/f193746a7a0179b425bf1895546ed56597211b5048c091ba5d18e0a5319107e5-1258312237#googtrans%28es%7Cen%29"><span style="display: inline;" title="egiz.pdf . Contiene exploit (CVE-2007-5659, CVE-2008-2992 y CVE-2009-0927) con una tasa de detección baja, 7/41 (17.08%). Descarga el binario.">egiz.pdf</span></a><span style="color: rgb(0, 0, 0);"><span style="display: inline;" title="egiz.pdf . Contiene exploit (CVE-2007-5659, CVE-2008-2992 y CVE-2009-0927) con una tasa de detección baja, 7/41 (17.08%). Descarga el binario.">. Contains exploit (CVE-2007-5659, CVE-2008-2992 and CVE-2009-0927) with a low detection rate, 7 / 41 (17.08%). Download the binary.</span></span><span style="display: inline;" title="egiz.pdf . Contiene exploit (CVE-2007-5659, CVE-2008-2992 y CVE-2009-0927) con una tasa de detección baja, 7/41 (17.08%). Descarga el binario."></span></li><li><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/7ac4dc0c107be71108aed279a8733c337907f5d95b02ee20cedaa1f2f735e16c-1258311524#googtrans%28es%7Cen%29"><span style="display: inline;" title="manual.swf . Contiene exploit. Su tasa de detección es media-baja, 15/41 (36.59%).">manual.swf</span></a><span style="color: rgb(0, 0, 0);"><span style="display: inline;" title="manual.swf . Contiene exploit. Su tasa de detección es media-baja, 15/41 (36.59%).">. Contains exploit. Its detection rate is medium-low, 15/41 (36.59%).</span></span><span style="display: inline;" title="manual.swf . Contiene exploit. Su tasa de detección es media-baja, 15/41 (36.59%)."></span></li><li><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/eb4f3bd460824c701f3a99463a16e4307f5a4c111f1dc610d26db82d6436f842-1258258779#googtrans%28es%7Cen%29"><span style="display: inline;" title="sdfg.jar . Es un troyan downloader con exploit. Su tasa de detección es meda-baja, 14/41 (34.15%).">sdfg.jar</span></a><span style="color: rgb(0, 0, 0);"><span style="display: inline;" title="sdfg.jar . Es un troyan downloader con exploit. Su tasa de detección es meda-baja, 14/41 (34.15%).">. Troyan is a downloader with exploit. Its detection rate is meda-low, 14/41 (34.15%).</span></span><span style="display: inline;" title="sdfg.jar . Es un troyan downloader con exploit. Su tasa de detección es meda-baja, 14/41 (34.15%)."></span></li><li><a style="color: rgb(51, 51, 255);" href="http://www.virustotal.com/analisis/f8ccc2d4f0ec6be6ff370f8fcbf81ab217a2fcbe4673c8c21fd49d187d17042a-1258303885#googtrans%28es%7Cen%29"><span style="display: inline;" title="ghknpxds.jpg . Contiene un exploit. Su tasa de detección es muy baja, 4/41 (9.76%).">ghknpxds.jpg</span></a><span style="color: rgb(0, 0, 0);"><span style="display: inline;" title="ghknpxds.jpg . Contiene un exploit. Su tasa de detección es muy baja, 4/41 (9.76%).">. It contains an exploit. Its detection rate is very low, 4 / 41 (9.76%).</span></span><span style="display: inline; color: rgb(0, 0, 0);" title="ghknpxds.jpg . Contiene un exploit. Su tasa de detección es muy baja, 4/41 (9.76%)."></span><br /></li></ul> <div style="text-align: justify;"><span style="display: inline;" title="El módulo Injector se encarga de las acciones de inyección del código iframe creado a través del módulo anterior, permitiendo configurar una serie de parámetros para optimizar el ataque; por ejemplo, permite controlar el PageRank, inyectar el código, limpiarlo en caso de ser necesario, chequear el país del hosting y las cuentas ftp, establecer qué dominios atacar (1º y 2º nivel, ambos configurables), configurar expresiones regulares con los nombres de carpetas y archivos más comunes de encontrar en un servidor web, entre otras.">The module</span><span style="font-weight: bold;"><span style="display: inline;" title="El módulo Injector se encarga de las acciones de inyección del código iframe creado a través del módulo anterior, permitiendo configurar una serie de parámetros para optimizar el ataque; por ejemplo, permite controlar el PageRank, inyectar el código, limpiarlo en caso de ser necesario, chequear el país del hosting y las cuentas ftp, establecer qué dominios atacar (1º y 2º nivel, ambos configurables), configurar expresiones regulares con los nombres de carpetas y archivos más comunes de encontrar en un servidor web, entre otras."> Injector</span></span><span style="display: inline;" title="El módulo Injector se encarga de las acciones de inyección del código iframe creado a través del módulo anterior, permitiendo configurar una serie de parámetros para optimizar el ataque; por ejemplo, permite controlar el PageRank, inyectar el código, limpiarlo en caso de ser necesario, chequear el país del hosting y las cuentas ftp, establecer qué dominios atacar (1º y 2º nivel, ambos configurables), configurar expresiones regulares con los nombres de carpetas y archivos más comunes de encontrar en un servidor web, entre otras."> is responsible for the actions iframe code injection through the module created earlier, letting you configure a number of parameters to optimize attack, for example, allows you to control PageRank, inject code, clean it if necessary, check the country's hosting and ftp accounts, establish which domains attack (1st and 2nd level, both configurable), configure regular expressions with the names of folders and files common to find in a web server, among others.</span><br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjGGqhhimPWTffOo0fsB1JTRgUGX-taQaZjzH-X4NrDe73dntMip7rjk46x1BMiM699IPwFxSb5Dbc5dHCYELk7QqSN9gDMdMpyhnJE4XuRZL3Xo9iCb9QWbtUPWIAyBJ6NgKPvLPDHcuWz/s1600-h/mipistus-tiframer-injector.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 301px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjeC25916qYJFf4u9a8HonqBJMHPohLG5QsrVlKzpzH-bANi3NLc7JONH0Fa_lKN_hp5ERubr9OfxtXBIZcqdSxEGfNLwNuvXS6DB-xCP5jxvCCswb4w7XHpMQs2fIrUDCdT4_zFF3krB1r/s400/mipistus-tiframer-injector.png" alt="" id="BLOGGER_PHOTO_ID_5404442202950471394" border="0" /></a><span style="display: inline;" title="Investigando un poco más los dominios involucrados, salta a la vista que esta aplicación esta siendo utilizada como herramienta de "apoyo" por un conocido crimeware , y del cual ya hemos hablado en este blog, se trata de la última versión de Fragus .">Investigating a little more domains involved, obvious that this application is being used as a tool of "support" for a known </span><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/los-precios-del-crimeware-ruso-parte-2.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="Investigando un poco más los dominios involucrados, salta a la vista que esta aplicación esta siendo utilizada como herramienta de "apoyo" por un conocido crimeware , y del cual ya hemos hablado en este blog, se trata de la última versión de Fragus .">crimeware</span></a><span style="display: inline;" title="Investigando un poco más los dominios involucrados, salta a la vista que esta aplicación esta siendo utilizada como herramienta de "apoyo" por un conocido crimeware , y del cual ya hemos hablado en este blog, se trata de la última versión de Fragus ."> and of which we have spoken on this blog, this is the latest </span><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/fragus-nueva-botnet-framework-in-wild.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="Investigando un poco más los dominios involucrados, salta a la vista que esta aplicación esta siendo utilizada como herramienta de "apoyo" por un conocido crimeware , y del cual ya hemos hablado en este blog, se trata de la última versión de Fragus .">Fragus.</span></a><span style="display: inline;" title="Investigando un poco más los dominios involucrados, salta a la vista que esta aplicación esta siendo utilizada como herramienta de "apoyo" por un conocido crimeware , y del cual ya hemos hablado en este blog, se trata de la última versión de Fragus ."></span><br /><br /><span style="display: inline;" title="Es decir, el dominio "escondido" entre las etiquetas iframe redirige a una nueva url desde la cual una batería de exploit intentan alcanzar con su artillería a los equipos potencialmente vulnerables, y descargar el malware encargado de reclutar la zombi.">That is, the domain "hidden" between the labels iframe redirects to a new URL from which to exploit a battery of artillery trying to achieve with its potentially vulnerable computers, and download the malware responsible for recruiting the zombie.</span><br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgcQs8eyAF-MDZW1g_1m3_d96TNKwQIcjut0kZhlVmj6GzMtU0FuiwQ0XmhF-ufgTVkx4gJf-L1ZNObvSwYef_U3ikTQjxd-v6u3f2Uj_2mzFxOAtxcY2UESpOPiGJmnHOLPn2SvOMxRmrS/s1600-h/mipistus-tiframer-fragus.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 301px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGygynqCIRF5yDhqEJ9HBrIzDVNfP8AXDZKXYDWFy9vlj5Ze3JiXCwIeZwBGLQygY2sti8VClnOa3D_etwOEwX_TUl6O258qT9SeLfEFSX_oC6LWHAFfecad1RxD2C4epF4A7nwy1ekV3j/s400/mipistus-tiframer-fragus.png" alt="" id="BLOGGER_PHOTO_ID_5404442936664349074" border="0" /></a><span style="font-weight: bold;"><span style="display: inline;" title="T-IFRAMER posee dos grupos bien diferenciados. Por un lado el de administración y por el otro el de ataque; además de, evidentemente seguir alimentando la botnet; con lo cual está bien claro que quienes se encuentran detrás de este tipo de crimeware saben realmente lo que buscan y, aunque el desarrollo de la aplicación sea muy sencillo, es lo suficientemente efectivo como para ser utilizada por una des botnets más efectivas de la actualidad como lo es fragus.">T-IFRAMER</span></span><span style="display: inline;" title="T-IFRAMER posee dos grupos bien diferenciados. Por un lado el de administración y por el otro el de ataque; además de, evidentemente seguir alimentando la botnet; con lo cual está bien claro que quienes se encuentran detrás de este tipo de crimeware saben realmente lo que buscan y, aunque el desarrollo de la aplicación sea muy sencillo, es lo suficientemente efectivo como para ser utilizada por una des botnets más efectivas de la actualidad como lo es fragus."> has two distinct groups. On one hand the administration and on the other the attack in addition to obviously continue to fuel the <span style="font-weight: bold;">botnet</span>, with which it's clear that those behind this type of <span style="font-weight: bold;">crimeware</span> really know what they want and, although the development of the application is very simple, is effective enough to be used by a des botnets more effective today as it's fragus.</span><br /><br /><span style="display: inline;" title="Por último, estas acciones son muy similares a las realizadas por Gumblar (que según algunas fuentes sería de origen chino, aunque lo dudo); y si bien no puedo asegurar que en este caso se trate de los mecanismos que permiten diseminar Gumblar, sobre todo porque en primera instancia este Kit es de origen ruso (al igual que fragus), no cabe dudas que la estrategia (en su conjunto) es muy similar ¿será lo que hoy muchos llaman Gumblar?">Finally, these actions are very similar to those performed by </span><span style="font-weight: bold;"><span style="display: inline;" title="Por último, estas acciones son muy similares a las realizadas por Gumblar (que según algunas fuentes sería de origen chino, aunque lo dudo); y si bien no puedo asegurar que en este caso se trate de los mecanismos que permiten diseminar Gumblar, sobre todo porque en primera instancia este Kit es de origen ruso (al igual que fragus), no cabe dudas que la estrategia (en su conjunto) es muy similar ¿será lo que hoy muchos llaman Gumblar?">Gumblar</span></span><span style="display: inline;" title="Por último, estas acciones son muy similares a las realizadas por Gumblar (que según algunas fuentes sería de origen chino, aunque lo dudo); y si bien no puedo asegurar que en este caso se trate de los mecanismos que permiten diseminar Gumblar, sobre todo porque en primera instancia este Kit es de origen ruso (al igual que fragus), no cabe dudas que la estrategia (en su conjunto) es muy similar ¿será lo que hoy muchos llaman Gumblar?"> (who according to some sources would be of Chinese origin, though I doubt it), and although I can not say that in this case concerned the mechanisms for disseminating Gumblar, especially because in the first instance this kit is of Russian origin (as fragus), there is no doubt that the strategy (together) is very similar. <span style="font-style: italic;"><br /><br />I</span></span><span style="font-style: italic;"><span style="display: inline;" title="Por último, estas acciones son muy similares a las realizadas por Gumblar (que según algunas fuentes sería de origen chino, aunque lo dudo); y si bien no puedo asegurar que en este caso se trate de los mecanismos que permiten diseminar Gumblar, sobre todo porque en primera instancia este Kit es de origen ruso (al igual que fragus), no cabe dudas que la estrategia (en su conjunto) es muy similar ¿será lo que hoy muchos llaman Gumblar?">s it what many call today Gumble?</span></span><br /></div><br /><span style="font-weight: bold;"><span style="display: inline;" title="Información relacionada">Related information</span></span><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/fragus-nueva-botnet-framework-in-wild.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="Fragus. Nueva botnet framework In-the-Wild">Fragus. New botnet framework In-the-Wild</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/11/zopack-nueva-alternativa-para-la.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="ZoPAck. Nueva alternativa para la explotación de v...">ZoPAck. New alternative for the exploitation of v. ..</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/10/zeus-botnet-y-su-poder-de-reclutamiento.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="ZeuS Botnet y su poder de reclutamiento zombi">ZeuS and power Botnet zombie recruitment</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/10/ddbot-mas-gestion-de-botnets-via-web.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="DDBot. Más gestión de botnets vía web">DDBot. More Botnets management via web</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/09/phoenix-exploits-kit-otra-alternativa.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="Phoenix Exploit’s Kit. Otra alternativa para el control de botnets">Phoenix Exploit's Kit Another alternative for controlling botnets</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/09/infloader-control-de-botnets-marihuana.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="iNF`[LOADER]. Control de botnets, (...) y propagación de malware">INF `[LOADER]. Control of botnets, malware and spread (...)</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/liberty-exploit-system-otra-alternativa.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="Liberty Exploit System. Otra alternativa (...) para el control de botnets">Liberty Exploit System. (...) Another alternative for controlling botnets</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/eleonore-exploits-pack-nueva-crimeware.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="Eleonore Exploits Pack. Nuevo crimeware In-the-Wild">Eleonore Exploits Pack. New Crimeware In-the-Wild</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/los-precios-del-crimeware-ruso-parte-2.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="Los precios del crimeware ruso. Parte 2">Russian crimeware prices. Part 2</span></a><br /><br /><span style="display: inline;" title="Jorge Mieres Ver más">Jorge Mieres<br />Pistus Malware Intelligence Blog<br /></span>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-19974306628931614962009-11-15T16:09:00.003-11:002009-11-15T16:16:39.585-11:00CCCure Group of Sites and EvilFingers Group of Sites - Technology PartnersWe are glad to announce that CCCURE group of websites and EvilFingers group of websites are official technology partners.<br /><br />Snapshot of CCCure.org:<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEji_woFXxr8r37vYHGWjVEPeKZ32WHx5F9G9_t6z5Y2r79LgLjo9qUh3j-r-9vjZavaUezODzrCd6EBi2DDyzVONcXltm3whn-7_Yo1MYMW5IlZXo6gjWkrJKOhYAJQ4iEENCNPe4izOjk/s1600/cissp+CISSP+training+Certified+Information+Systems+Security+Professional_1258341159087.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 400px; height: 188px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEji_woFXxr8r37vYHGWjVEPeKZ32WHx5F9G9_t6z5Y2r79LgLjo9qUh3j-r-9vjZavaUezODzrCd6EBi2DDyzVONcXltm3whn-7_Yo1MYMW5IlZXo6gjWkrJKOhYAJQ4iEENCNPe4izOjk/s400/cissp+CISSP+training+Certified+Information+Systems+Security+Professional_1258341159087.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5404534230396416354" /></a><br /><br />CCCure[pronounced as "Sea Secure"] is one of the largest training providers for various certifications. They do training & services. They are also one of the largest free testing website for CISSP and certain other certs.<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwCnymuxa8f2v_dF2J_tBY2QuzGiWm2TeE2v7aSADokspVYkfDmf96LHv9KbZM6eRQon3CX5qx9kzUttXZljafN5uCYEbxHnvi757XtWyJeBca4bDFosZ72vyj5eryCoOwD7ViWsqBQbg/s1600/CCCURE_1.jpg"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 400px; height: 151px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwCnymuxa8f2v_dF2J_tBY2QuzGiWm2TeE2v7aSADokspVYkfDmf96LHv9KbZM6eRQon3CX5qx9kzUttXZljafN5uCYEbxHnvi757XtWyJeBca4bDFosZ72vyj5eryCoOwD7ViWsqBQbg/s400/CCCURE_1.jpg" border="0" alt=""id="BLOGGER_PHOTO_ID_5404534234195506290" /></a><br /><br /><br />Check it out at your convenience. Thanks to CCCure for extending their technology relations with EvilFingers group of sites.<br /><br />Thank you for choosing our blog.<br />EFUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-72457852294137547202009-11-15T15:49:00.004-11:002009-11-15T15:58:12.526-11:00ZeusTracker Project & EvilFingers Group of Sites - Technology PartnersWe are glad to announce the official technology partnership of ZeusTracker Project & EvilFingers Group of Sites. We have been researching in the same domain for a while and have shared data in the past through Malware Domains List. Since this was not officially declared until now, we thought that this is the right time to declare a Technology partnership. <br /><br />Check this out: <a href="https://zeustracker.abuse.ch/">[ZeusTracker Project Site]</a><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgjikR1WyLHpBowpM6nParX8eyzf-1cLerw5ixqeMpVITRaYxj43RctdZ_ae4tMkOhhaxz55mNmZjvsqEEnDOhcC_3rMW3azYW8AmO5QTzHM-tsmWvkDTde6r2FZmyb57h_q9FT5wRxKyI/s1600/abuse.ch+ZeuS+Tracker+::+Home_1258339602347.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 400px; height: 252px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgjikR1WyLHpBowpM6nParX8eyzf-1cLerw5ixqeMpVITRaYxj43RctdZ_ae4tMkOhhaxz55mNmZjvsqEEnDOhcC_3rMW3azYW8AmO5QTzHM-tsmWvkDTde6r2FZmyb57h_q9FT5wRxKyI/s400/abuse.ch+ZeuS+Tracker+::+Home_1258339602347.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5404530307853540690" /></a><br /><br />ZeusTracker project does the job of collecting and researching Zeus Botnet data, one of the largest Botnets in the history of mankind. ZeusTracker has done a great job in keeping their data up to date. It is quite hard to maintain records for fast-flux botnets, as they keep changing very frequently[highly volatile].<br /><br />Thank you for choosing our blog.<br />EFUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-90708136991549874352009-11-15T14:58:00.007-11:002009-11-15T15:12:59.648-11:00Do movie producers make their cut?There are many English and Foreign language sites that link to videos loaded into Google Videos, You Tube, Yahoo Videos and other places for accessing copy protected videos ripped from DVD or video print from movie theaters. Some of them include:<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQDEFJ-_OETLy2BltSuXTk-GFADAf7WDLbZdgCYW56ZGZF0K2Y8PaYqdtge4h2qdqMttYLhyphenhyphen6pj0o3mqAxjcy1kUQnOn7P5WyZOLTWSu2g80ZLtuUZBWTQo5oVrd2asXnduGT3UhRlef8/s1600/TamilTubeVid.Com:+Watch+Online+Tamil+Movies_1258336628147.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 320px; height: 150px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQDEFJ-_OETLy2BltSuXTk-GFADAf7WDLbZdgCYW56ZGZF0K2Y8PaYqdtge4h2qdqMttYLhyphenhyphen6pj0o3mqAxjcy1kUQnOn7P5WyZOLTWSu2g80ZLtuUZBWTQo5oVrd2asXnduGT3UhRlef8/s320/TamilTubeVid.Com:+Watch+Online+Tamil+Movies_1258336628147.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5404516472460324642" /></a><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhIx8QBGqsrtJo0-4kf-o-tvhcALZIB8lAi-0z2GnSWf13gvstht2cqVEn0YOf-GBwp-iIo0V35FZmjUMlEwm1Vqk33itsmSl4FDS9hFHW9M4BmRJmBFTIOvkXlWDjbsj5bipqXDjRBOk0/s1600/Project+Free+TV+-+Watch+all+your+favorite+tv+shows+and+movies+online+free_1258336820961.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 320px; height: 194px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhIx8QBGqsrtJo0-4kf-o-tvhcALZIB8lAi-0z2GnSWf13gvstht2cqVEn0YOf-GBwp-iIo0V35FZmjUMlEwm1Vqk33itsmSl4FDS9hFHW9M4BmRJmBFTIOvkXlWDjbsj5bipqXDjRBOk0/s320/Project+Free+TV+-+Watch+all+your+favorite+tv+shows+and+movies+online+free_1258336820961.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5404516480180314610" /></a><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhy7z-L3fa1LSrGalbs0wywJfPKcYns0ZPJS83pGigx_LB5aTRtguThh99_U1KHswW2wpfpY82bibHQrq-5yCnevq83S9fPROeyrQIwJaTwjX_EUl7eBkHJBRSCZHecnaoeTtUWIcfcw_s/s1600/Movie+Khoj.Com+%7C+Watch+Movies+Legally+-+For+Free+!!+-+Online+Indian+Movies+-+Bollywood,+Hindi,+English,+Telugu,+Tamil+-+Download_1258335942403.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 320px; height: 150px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhy7z-L3fa1LSrGalbs0wywJfPKcYns0ZPJS83pGigx_LB5aTRtguThh99_U1KHswW2wpfpY82bibHQrq-5yCnevq83S9fPROeyrQIwJaTwjX_EUl7eBkHJBRSCZHecnaoeTtUWIcfcw_s/s320/Movie+Khoj.Com+%7C+Watch+Movies+Legally+-+For+Free+!!+-+Online+Indian+Movies+-+Bollywood,+Hindi,+English,+Telugu,+Tamil+-+Download_1258335942403.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5404516474551059058" /></a><br /><br />Do DVD protection software's really protect the movies from being ripped? Does RIAA really do its job in protecting such music and movies from being downloaded? Despite all such measures why do this still happen and how much loss do the movie makers face because of such illegal activities?<br /><br />Well, the answer is too long & this blog was intended to put you to think. If you want to really watch a movie, buy the DVD or go to a theater. Don't support such illegal acts by even viewing these videos online. This would not stop the bad guys, but it would at the least discourage them from uploading illegal copies of the movies.<br /><br />DRM Analytics coming soon[not too soon], with Digital Rights Management solutions to entertainment & gaming industry. Stay put!<br /><br />Thank you for choosing our blog.<br />EFUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-3473696053725866152009-11-15T13:02:00.003-11:002009-11-15T14:24:19.461-11:00Eve Online: How do big MMO's secure themselves?Eve Online is a cluster based MMO created primarily with Python.<br /><br />The following <a href="http://www.python.org/about/quotes">statement</a> is by <a href="http://www.linkedin.com/in/hilmarveigar">Hilmar Veigar Petursson</a> Chief Executive Officer of CCP games, on <a href="http://www.python.org">Python.org</a>:<br /><br />"Python enabled us to create EVE Online, a massive multiplayer game, in record time. The EVE Online server cluster runs over 50,000 simultaneous players in a shared space simulation, most of which is created in Python. The flexibilities of Python have enabled us to quickly improve the game experience based on player feedback" said Hilmar Veigar Petursson of CCP Games.<br /><br />The following is a snapshot of the game:<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPElwQD67kpcANCDMUm3yicK_y1YS0Z3ye4opGZ4Qc7vGxh30Ae0leVyKWucUi_O5OMDoYqIDcbunzWnY9yPU1vAOVQy2LjdKHQ0pUpgTgJ4g9-IBPaMxmEtyEqMd-mSEVbayv9Bk9pWE/s1600-h/EVE+Online+-+a+massive+multiplayer+online+roleplaying+space+game+-+MMORPG_1258329646688.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 400px; height: 188px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPElwQD67kpcANCDMUm3yicK_y1YS0Z3ye4opGZ4Qc7vGxh30Ae0leVyKWucUi_O5OMDoYqIDcbunzWnY9yPU1vAOVQy2LjdKHQ0pUpgTgJ4g9-IBPaMxmEtyEqMd-mSEVbayv9Bk9pWE/s400/EVE+Online+-+a+massive+multiplayer+online+roleplaying+space+game+-+MMORPG_1258329646688.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5404500537925352946" /></a><br /><br />We just added another snapshot because we thought that it looked nice :)<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhREYcpFtFRCwgv6-0oQlOrTyOvD_D5fBAZZPw2411nvDqunEoqFTWZ35450Grma_IBdfU7xCj_T2AKI0iHXhI6UeFbA435WsYFRjOeK9luB784hlV-Gy99hlcesieN9c13gsxEvh0AbEE/s1600-h/EVE+Online+-+a+massive+multiplayer+online+roleplaying+space+game+-+MMORPG_1258329584712.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 400px; height: 188px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhREYcpFtFRCwgv6-0oQlOrTyOvD_D5fBAZZPw2411nvDqunEoqFTWZ35450Grma_IBdfU7xCj_T2AKI0iHXhI6UeFbA435WsYFRjOeK9luB784hlV-Gy99hlcesieN9c13gsxEvh0AbEE/s400/EVE+Online+-+a+massive+multiplayer+online+roleplaying+space+game+-+MMORPG_1258329584712.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5404500524068880818" /></a><br /><br />Python is known for its stability. Google utilizes Python for almost everything. That being the reason, the creator of Python is an employee @ Google.<br /><br />What does it take to secure such MMO apps?<br /><br />The main answer lies in the engines on which they are running. Python is known for its stability and highly structured with support to easy access/usage. Using Python does not mean that the software is secure, but that is just the first step towards "avoiding unstable development environment". The next thing is to ensure authenticity & authorization using access control techniques, integrity by using critificates, etc. But most of all MMO's main concern is to:<br /><br />* Ensure that their model keeps changing, to avoid from someone cracking the software by applying Digital Rights Management solutions.<br />* Ensure that only authorized users get to access their tools.<br />* Prevent misuse by authorized users.<br />* Web application security - Prevent web based attacks.<br />* Load balance requests and have DoS/DDoS avoidances.<br /><br />There are other things that MMO's do, to secure their apps. But these are the primary things I could think of. Beyond all this, Eve has done an awesome job and is the most popular MMO. Bravo Eve!<br /><br />EFUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-92153632643210653512009-11-13T20:29:00.006-11:002009-11-14T04:24:34.049-11:00Avast aswRdr.sys Kernel Pool Corruption and Local Privilege Escalation<blockquote>---------------------------------------------------<br />Advisory: Avast aswRdr.sys Kernel Pool Corruption and Local Privilege Escalation.<br /><br />Version Affected: Product: Avast antivirus 4.8.1356.0 (other versions could be affected)<br />Vulnerable Compoonent: aswRdr.sys 4.8.1356.0 (avast! TDI RDR Driver)<br />Category: Local Denial of Service due to kernel memory corruption (BSOD)<br /> (untested) Local Privilege Escalation<br /><br />PoC Code: porting C++ 26/09/2009 Vendor Notify: 26/09/2009<br />Vendor Reply: 15/09/2009 Vendor Fix: 15/10/2009<br /><br />Vulnerability Details:<br />Avast's aswRdr.sys Driver does not sanitize user supplied input IOCTL and this lead to Kernel Heap Overflow that propagates on the system with a BSOD and potential risk of Privilege Escalation.<br /><br />Credit:<br />Giuseppe 'Evilcry' Bonfa' (Project Manager, www.EvilFingers.com)<br />E-Mail: evilcry {AT} GMAIL {DOT} COM<br />Additional credit: AbdulAziz Hariri from http://www.insight-tech.org<br />Website: http://evilcry.netsons.org, http://evilcodecave.blogspot.com<br />http://evilcodecave.wordpress.com<br /><br />Disclaimer:<br />The information in the advisory is believed to be accurate at the time of publishing based on currently available information. Use of the information constitutes acceptance for use in an AS IS condition. There is no representation or warranties, either express or implied by or with respect to anything in this document, and shall not be liable for a ny implied warranties of merchantability or fitness for a particular purpose or for any indirect special or consequential damages.<br />---------------------------------------------------</blockquote><br /><br />FOR MORE INFO <a href="https://www.evilfingers.com/advisory/Advisory/Avast_aswRdr_sys_Kernel_Pool_Corruption_and_Local_Privilege_Escalation.php">CLICK HERE</a>.<br /><br />- EFUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-45312637998569191222009-11-13T16:27:00.002-11:002009-11-13T17:04:02.045-11:00Compendio mensual de información. Octubre 2009<span style="font-weight:bold;">Pistus Malware Intelligence Blog</span><br />27.10.09 <a href="http://mipistus.blogspot.com/2009/10/una-recorrida-por-los-ultimos-scareware_27.html">Una recorrida por los últimos scareware XVII</a><br />24.10.09 <a href="http://mipistus.blogspot.com/2009/10/zeus-botnet-y-su-poder-de-reclutamiento.html">ZeuS Botnet y su poder de reclutamiento zombi</a><br />19.10.09 <a href="http://mipistus.blogspot.com/2009/10/pornografia-excusa-perfecta-para-la.html">Pornografía. Excusa perfecta para la propagación de malware II</a><br />19.10.09 <a href="http://mipistus.blogspot.com/2009/10/malware-intelligence-linkedin-group.html">Malware Intelligence Linkedin Group</a><br />18.10.09 <a href="http://mipistus.blogspot.com/2009/10/panorama-actual-del-negocio-originado.html">Panorama actual del negocio originado por crimeware</a><br />17.10.09 <a href="http://mipistus.blogspot.com/2009/10/zeus-spam-y-certificados-ssl.html">ZeuS, spam y certificados SSL</a><br />14.10.09 <a href="http://mipistus.blogspot.com/2009/10/ddbot-mas-gestion-de-botnets-via-web.html">DDBot. Más gestión de botnets vía web</a><br />13.10.09 <a href="http://mipistus.blogspot.com/2009/10/una-recorrida-por-los-ultimos-scareware.html">Una recorrida por los últimos scareware XVI</a><br />08.10.09 <a href="http://mipistus.blogspot.com/2009/10/nivel-de-inmadurez-en-materia-de.html">Nivel de (in)madurez en materia de prevención</a><br />04.10.09 <a href="http://mipistus.blogspot.com/2009/10/automatizacion-en-la-creacion-de.html">Automatización en la creación de exploits</a><br />01.10.09 <a href="http://mipistus.blogspot.com/2009/10/rompiendo-el-esquema-convencional-de.html">Rompiendo el esquema convencional de infección</a><br /><br /><span style="font-weight:bold;">Evil Fingers Blog</span><br />27.10.09 <a href="http://evilfingers.blogspot.com/2009/10/zeus-and-power-botnet-zombie.html">ZeuS and power Botnet zombie recruitment</a><br />18.10.09 <a href="http://evilfingers.blogspot.com/2009/10/current-business-outlook-caused-by.html">Current business outlook caused by crimeware</a><br />17.10.09 <a href="http://evilfingers.blogspot.com/2009/10/recent-tour-of-scareware-xvi.html">A recent tour of scareware XVI</a><br />10.10.09 <a href="http://evilfingers.blogspot.com/2009/10/level-of-immaturity-in-prevention.html">Level of (im)maturity in prevention</a><br />09.10.09 <a href="http://evilfingers.blogspot.com/2009/10/automation-in-creating-exploits.html">Automation in creating exploits</a><br />05.10.09 <a href="http://evilfingers.blogspot.com/2009/10/breaking-conventional-scheme-of.html">Breaking the conventional scheme of infection</a><br /><br /><span style="font-weight:bold;">ESET Latinoamérica Blog</span><br />31.10.09 <a href="http://blogs.eset-la.com/laboratorio/2009/10/31/reporte-amenazas-octubre-2009/">Reporte de amenazas de octubre</a><br />28.10.09 <a href="http://blogs.eset-la.com/laboratorio/2009/10/28/propagacion-zeus-falsa-actualizacion-microsoft/">Propagación de ZeuS a través de falsa actualización de Microsoft</a><br />26.10.09 <a href="http://blogs.eset-la.com/laboratorio/2009/10/26/gira-seguridad-antivirus-ahora-venezuela/">Gira Seguridad Antivirus. Ahora, en Venezuela</a><br />21.10.09 <a href="http://blogs.eset-la.com/laboratorio/2009/10/21/constructores-exploits-actividades-dummies/">Constructores de exploits. Más actividades for dummies</a><br />15.10.09 <a href="http://blogs.eset-la.com/laboratorio/2009/10/15/nueva-edicion-de-nuestro-curso-de-seguridad-antivirus/">Nueva edición de nuestro Curso de Seguridad Antivirus</a><br />13.10.09 <a href="http://blogs.eset-la.com/laboratorio/2009/10/13/variante-adware-recompensa/">Nueva variante de Adware pide recompensa</a>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6766263746795718144.post-83399418087073148352009-11-13T16:19:00.001-11:002009-11-13T16:20:55.651-11:00Open Source Development Botnets. "My last words?<div style="text-align: justify;"><span style="display: inline;" title="Quienes leyeron el post sobre el proyecto crimeware denominado Quad System, recordarán que entre sus párrafos comentaba no conocer el costo de la versión privada de esta aplicación destinada al control de botnets , tanto para plataformas Windows como para plataformas GNU/Linux.">Those who read the post about the project called crimeware </span><span style="font-weight: bold;"><span style="display: inline;" title="Quienes leyeron el post sobre el proyecto crimeware denominado Quad System, recordarán que entre sus párrafos comentaba no conocer el costo de la versión privada de esta aplicación destinada al control de botnets , tanto para plataformas Windows como para plataformas GNU/Linux.">Quad System,</span></span><span style="display: inline;" title="Quienes leyeron el post sobre el proyecto crimeware denominado Quad System, recordarán que entre sus párrafos comentaba no conocer el costo de la versión privada de esta aplicación destinada al control de botnets , tanto para plataformas Windows como para plataformas GNU/Linux."> recall that between paragraphs said not knowing the cost of private version of this application for the control of </span><span style="font-weight: bold;"><span style="display: inline;" title="Quienes leyeron el post sobre el proyecto crimeware denominado Quad System, recordarán que entre sus párrafos comentaba no conocer el costo de la versión privada de esta aplicación destinada al control de botnets , tanto para plataformas Windows como para plataformas GNU/Linux.">botnets, for Windows platforms to GNU/Linux platforms.</span></span><span style="display: inline;" title="Quienes leyeron el post sobre el proyecto crimeware denominado Quad System, recordarán que entre sus párrafos comentaba no conocer el costo de la versión privada de esta aplicación destinada al control de botnets , tanto para plataformas Windows como para plataformas GNU/Linux."></span><br /><br /><span style="display: inline;" title="El tema es que… por cosas de la vida misma… el desarrollador de estos particulares proyectos diseñados en Perl, llamado cross , había terminado con sus hazañas censurándose a sí mismo con el cierre de su sitio web; manifestando, a través del mismo, las motivaciones que llevaron a su "violenta" decisión, y las cuales muestro en la siguiente captura:">The thing is ... for things of life itself ... the developer of these particular projects designed in Perl, called </span><span style="font-style: italic;"><span style="display: inline;" title="El tema es que… por cosas de la vida misma… el desarrollador de estos particulares proyectos diseñados en Perl, llamado cross , había terminado con sus hazañas censurándose a sí mismo con el cierre de su sitio web; manifestando, a través del mismo, las motivaciones que llevaron a su "violenta" decisión, y las cuales muestro en la siguiente captura:">cross, </span></span><span style="display: inline;" title="El tema es que… por cosas de la vida misma… el desarrollador de estos particulares proyectos diseñados en Perl, llamado cross , había terminado con sus hazañas censurándose a sí mismo con el cierre de su sitio web; manifestando, a través del mismo, las motivaciones que llevaron a su "violenta" decisión, y las cuales muestro en la siguiente captura:">was finished with his exploits reproaching himself with the closure of its website; expressing, through it, the motivations that led to his "violent" decision, and which show in the following screen:</span><span style="display: inline;" title="El tema es que… por cosas de la vida misma… el desarrollador de estos particulares proyectos diseñados en Perl, llamado cross , había terminado con sus hazañas censurándose a sí mismo con el cierre de su sitio web; manifestando, a través del mismo, las motivaciones que llevaron a su "violenta" decisión, y las cuales muestro en la siguiente captura:"></span><br /></div><br /><div style="text-align: justify;"><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj92ZAR8VcaFxmMugm0pT-94_wYejNg6C_2Qa0Ww47nr_f-HSFTDESo_cB2xVcYS2IouBRr-zvpfncomeN4taBKKOOPQF5d_S_hEYu1hieu2yYHoFWQ6wcpzjpkv_EdDlbwZ-laMiCYadbK/s1600-h/mipistus-os-closed.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 56px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4Y41XuAsmhmZBe7GqjI-MSEPzzdprkKtZ2ji65eNvULSDWJb337jOAsWPs4VGmyKBPlId-kF3fhCrWlkeWMVokg7Lzf3dMZdg3P4YZMJD079K3j8wK7u3GkgG79dfTqhhmRiIOGWHw9Ss/s400/mipistus-os-closed.png" alt="" id="BLOGGER_PHOTO_ID_5399309400765561058" border="0" /></a><span style="display: inline;" title="Sin embargo, luego de varios días (de meditación quizás) , se decidió por volver a las andadas poniendo nuevamente a disposición con fines educativos un arsenal de aplicativos destinados al control de botnets, o lo que es sinónimo en la actualidad, crimeware.">However, after several days </span><strike><span style="display: inline;" title="Sin embargo, luego de varios días (de meditación quizás) , se decidió por volver a las andadas poniendo nuevamente a disposición con fines educativos un arsenal de aplicativos destinados al control de botnets, o lo que es sinónimo en la actualidad, crimeware.">(perhaps</span></strike><span style="display: inline;" title="Sin embargo, luego de varios días (de meditación quizás) , se decidió por volver a las andadas poniendo nuevamente a disposición con fines educativos un arsenal de aplicativos destinados al control de botnets, o lo que es sinónimo en la actualidad, crimeware.">meditation), it was decided to return to your old tricks again making provision </span><strike><span style="display: inline;" title="Sin embargo, luego de varios días (de meditación quizás) , se decidió por volver a las andadas poniendo nuevamente a disposición con fines educativos un arsenal de aplicativos destinados al control de botnets, o lo que es sinónimo en la actualidad, crimeware.">for teaching</span></strike><span style="display: inline;" title="Sin embargo, luego de varios días (de meditación quizás) , se decidió por volver a las andadas poniendo nuevamente a disposición con fines educativos un arsenal de aplicativos destinados al control de botnets, o lo que es sinónimo en la actualidad, crimeware."> an array of applications for the control of botnets, or what is now synonymous, crimeware.</span><br /></div><br /><span style="display: inline;" title="La nueva interfaz de su web es la siguiente:">The new interface in their web is:</span><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiD_tLE8rEYEv5TagoJ9zdRbtJQJ_KKRBsr-CjGDJq1m29-2FByWsRtDks1vm_LRRy16o9nnfgG-2VbwsMFM-3fDuz8zFGxRNMT_CWqnHVa0WNLV2uI8-CZemZ51DfoafVv3Tc30ArOTeKx/s1600-h/mipistus-cross-new-interfaz.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 158px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJluLF2vsJ0yCZFBbNkg2QiUoE_IzZI_c1XSfYyW7OE0lN8c9p7O5ueoRmHtJB3K-GbKg4B99n0uGG9NXc49mZt1bc3om6H7IiE449oMA-YDl_HHawxm08TTS-mXN2AMvz3oRfKVkUfxsO/s400/mipistus-cross-new-interfaz.png" alt="" id="BLOGGER_PHOTO_ID_5399309285586574802" border="0" /></a><span style="display: inline;" title="Un dato curioso, que como el resto del post no guarda ninguna relación técnica con los aspectos de seguridad de la información, es la introducción al concepto de "Ironía" que plantea en el index ¿será que se siente irónico con sus propuestas colaborativas en el ámbito delictivo?">A curious fact, that like the rest of the post is unrelated technical aspects of information security is the introduction to the concept of "irony" that arises in the index </span><span style="font-style: italic;"><span style="display: inline;" title="Un dato curioso, que como el resto del post no guarda ninguna relación técnica con los aspectos de seguridad de la información, es la introducción al concepto de "Ironía" que plantea en el index ¿será que se siente irónico con sus propuestas colaborativas en el ámbito delictivo?">is it ironic that feels its proposals in collaborative crime area?</span></span><br /><br /><span style="display: inline;" title="De todos modos, el chico aún parece enojado… ¿con los profesionales de seguridad? ... ya que con interfaz nueva sigue escribe lo siguiente:">Anyway, the guy still seems angry ... </span><span style="font-style: italic;"><span style="display: inline;" title="De todos modos, el chico aún parece enojado… ¿con los profesionales de seguridad? ... ya que con interfaz nueva sigue escribe lo siguiente:">"with security professionals?</span></span><span style="display: inline;" title="De todos modos, el chico aún parece enojado… ¿con los profesionales de seguridad? ... ya que con interfaz nueva sigue escribe lo siguiente:">... new interface as follows writes:</span><br /><br /><span style="font-style: italic;"><span style="display: inline;" title=""…This site is dedicated to my projects and only my projects. Long time ago here you could find some more information, but currently, I don’t give a shit about providing any kind of information.">"... This site is dedicated to my projects and only my projects. Long time ago here you could find some more information, but currently, I do not give a shit about Providing any kind of information.</span><br /><br /><span style="display: inline;" title="Besides, well, WTF? xD Something about me: I am the only one who is keeping this site somehow online and alive, taking care of it well, not much to take care of. What you can find here: some useless shit - my small projects. Well, I know no one gives a fuck, me neither - I placed them here and here they are to stay, you like it or not. So, no fun in here :D">Besides, well, WTF? xD Something about me: I am the only one who is somehow keeping this site online and alive, taking care of it well, not much to take care of.</span></span> <span style="font-style: italic;"><span style="display: inline;" title="Besides, well, WTF? xD Something about me: I am the only one who is keeping this site somehow online and alive, taking care of it well, not much to take care of. What you can find here: some useless shit - my small projects. Well, I know no one gives a fuck, me neither - I placed them here and here they are to stay, you like it or not. So, no fun in here :D">What you can find here: some useless shit - my small projects. Well, I know no one gives a fuck, me neither - I place them here and here they are to stay, you like it or not. So, no fun in here: D</span></span> <span style="font-style: italic;"><br /><br /><span style="display: inline;" title="Fuck… and who is that idiot founded this fucked up god forsaken piece of shit? xD LULZ and LOL xD As you can see I keep my head up and travel through life with a smile on my damn bitching face and ain't giving a fuck, man.">Fuck ... and who is that idiot found this fucked up god forsaken piece of shit? LULZ xD and LOL xD As you can see I keep my head up and travel through life with a smile on my face and damn bitching is not giving a fuck, man.</span><br /><br /><span style="display: inline;" title="So you'll ask what a damn morron should be of me, starting with such introduction? Well, I'm the man, say, cross is in the house babe xD Anyways, just fuck it. You got here my projects; I will put some new here too. Like once in a year. Blah...Some new papers maybe if I will have some good mood for writing or i will be drunk as hell to believe in it. Hah...Whatevah..."">So you'll ask what a damn pepper should be of me, starting with such introduction? Well, I'm the man, say, cross is in the house babe xD</span></span> <span style="font-style: italic;"><span style="display: inline;" title="So you'll ask what a damn morron should be of me, starting with such introduction? Well, I'm the man, say, cross is in the house babe xD Anyways, just fuck it. You got here my projects; I will put some new here too. Like once in a year. Blah...Some new papers maybe if I will have some good mood for writing or i will be drunk as hell to believe in it. Hah...Whatevah..."">Anyways, just fuck it. You got here my projects, I will put some new here too. Like once in a year. Some new papers Blah ... maybe if I will have some good mood for writing or I will be drunk as hell to believe in it. Hah ... Whatevah ... "</span></span><br /><br /><span style="display: inline;" title="A pesar de todo esto, este "sutil" personaje, aparentemente empedernido programador en Perl, posee algunas cosas interesantes como una GUI para Nikto :-)">Despite that, this "subtle" character, apparently hardened Perl programmer, has some interesting things like a GUI for Nikto :-)<br /><br /></span><span style="font-weight: bold;"><span style="display: inline;" title="Información relacionada">Related information</span></span><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/11/quadnt-system-sistema-de-administracion.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="QuadNT System. Sistema de administración de zombis I (Windows)">QuadNT System. Zombies Management System I (Windows)</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/hybrid-botnet-control-system-desarrollo.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="Hybrid Botnet Control System. Desarrollo de http bot en perl">Botnet Hybrid Control System. Http Development bot in perl</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/desarrollo-de-crimeware-open-source.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="Desarrollo de crimeware Open Source para (...) administrar botnets">Open Source Development crimeware to manage botnets (...)</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/triad-botnet-iii-administracion-remota.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="TRiAD Botnet III. Administración remota de zombis multi...">TRIAD Botnet III. Remote administration of multi zombies ...</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/08/triad-botnet-ii-administracion-remota.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="TRiAD Botnet II. Administración remota de zombis multi...">TRIAD Botnet II. Remote administration of multi zombies ...</span></a><br /><a style="color: rgb(51, 51, 255);" href="http://mipistus.blogspot.com/2009/07/triad-botnet-administracion-remota-de.html#googtrans%28es%7Cen%29"><span style="display: inline;" title="TRiAD Botnet. Administración remota de zombis en Linux">TRIAD Botnet. Remote administration of Linux zombies</span></a><br /><br />Jorge Mieres<br />Pistus Malware IntelligenceUnknownnoreply@blogger.com0