martes, 9 de febrero de 2010

Comunicación con el mas allá...

Hoy en un raaaaaaaaaaaaaaaato libre que me hice me conecté al msn para molestar algunos conocidos, cuando de repente me encontré con la siguiente conversación frente a mi :D.


NewRemake


No es mas que otro de los bichos analizados anteriormente, de hecho es el mismo al parecer, salvo los cambios de dominios que realizaron los chicos, para darle un poco de oxígeno a la situación.


Ahora el archivo de infección se llama facebook.exe y los dominios son los siguientes: facebo0ok.net y fbchek.com (está claro que esta gente quiere abusarse del buen nombre de la red social Facebook para obtener víctimas).


Una vez ejecutado y finalizada la infección se conecta a la dirección homework.knaqu.eu (similar a las anteriores) a un servidor Irc de donde recibe las órdenes, al igual que lo explicado en los posts anteriores.


La diferencia es que esta vez, agregué la dirección de email de uno de los dominios a una cuenta de msn que tengo para tales ocasiones. Y bueno… les dejo la conversación aqui pegada, está claro que esa dirección podría ser falsa y ser de un pobre individuo que no tenía idea de lo que le hablé o claro… ser de uno de ellos, del mas allá :D. POR FAVOR NO HAGAN CLIC EN EL LINK (fueron reemplazados los “.” por “_”)!!!!


­Juan dice:
    [22:30:23] ­hi...
­... dice:
    [22:30:29] ­hi
­Juan dice:
    [22:30:55] ­fbchek.com... you own this domain, don't you?
­... dice:
    [22:31:06] ­no
    [22:31:08] ­for what?
    [22:31:17] ­i'm
    [22:31:17] ­
­Juan dice:
    [22:31:52] ­what do u know about fbchek_com/facebook_exe?MiEmail@hotmail.com
­... dice:
    [22:32:03] ­nothing
    [22:32:06] ­i dont know
    [22:32:11] ­who are you
­Juan dice:
    [22:32:50] ­homework.knaqu.eu ??
­... dice:
    [22:33:08] ­?
­Juan dice:
    [22:33:09] ­look... i received some kind of malware, by msn,


Luego del “Who are you”, nuestro amigo del mas allá se desconectó y me quitó de su lista inmediatamente. Culpa o desconocimiento??? quien sabe xD. No dejo el email por si me estoy equivocando, de todas formas se puede encontrar viendo el registro del dominio.


Eso es todo, el funcionamiento sigue siendo básicamente el mismo que los anteriores.

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)