PeruSec

Ricky Tosso sufre un infarto en plena grabación de "Teatro desde el Teatro" + Malware

Enviado por ReYDeS el Lun, 08/04/2008 - 17:22.

Saludos:

Recuerdo a este señor en las epocas de canal 4, los gusanosaurios. ¿Alguién recuerda esa serie? O su programa infantil, con los juguetes de lau chun. Qué tales epocas. En fín, lo interesante:

-> El correo electrónico:

Free Image Hosting at www.ImageShack.us

Utiliza las siguientes URLs:

http://img135.imageshack.us/img135/4236/logoao6.gif
http://img135.imageshack.us/img135/581/rikigu8.gif
http://allabouteden.net/phpformgenerator/use/phpforms/files/ricky_tosso.exe

La última URL es donde se hospeda el malware.

-> Las cabeceras del correo electrónico:

Free Image Hosting at www.ImageShack.us

La información relevante que se extrae de las cabeceras es la siguiente:

* Subject: Ricky Tosso sufre un infarto en plena grabación de "Teatro desde el Teatro".

Ya matarón al señor Ricky tosso y el seguro que ni enterado del tema.

* From: Diario Expreso Noticias@Expreso.com.pe

El dominio es verdadero obviamente, pero es obvio que NO proviene del servidor de correo para el dominio expreso.com.pe X)

* X-Mailer: Microsoft Outlook, Build 10.0.2616

El Programa y versión del cliente de correo utilizado.

X-Source: /no_busques_aqui/carajo/
X-Source-Args: /fuistes/no_busques_aca/mela/
X-Source-Dir: por_la_pita_quese_partio:/que_viva_mexico_cabrones

Los campos con "X" no pertenecen al estándar, pero permiten colocar información como la anteriormente mostrada. Además mucha agresión ¿Porqué agreden de esa manera? X)

* To: Diario Expreso *********@*********

Lo interesante del campo "To:" es que muestra información de mi correo electrónico obviamente pero con el nombre del Diario Expreso, lo cual resulta interesante.

* Received: from nobody by server1.gjwebs.com with local (Exim 4.69)
(envelope-from )

El Primer received revela el origen del correo electrónico:

* Return-path: nobody@server1.gjwebs.com

La ruta de retorno el verdadero usuario y dominio utilizado para enviar los correos electrónicos:

* From nobody@server1.gjwebs.com Mon Aug 04 05:55:52 2008

Idem que lo anterior.

* X-PHP-Script: www.orpdchaplains.org/monthlyreport/use//phpforms//files

Y tenemos el script utilizado par enviar dichos correos electrónicos.

Si se ingresa a la URL anteriormente detallada se obtiene el siguiente formulario:

Free Image Hosting at www.ImageShack.us

¿SPAM? X)

Escalando directorios:

Free Image Hosting at www.ImageShack.us

Repito: ¿Porqué la agresión?

-> El Malware:

Se envía la muestra a VirusTotal, y estos son los resultados:

Free Image Hosting at www.ImageShack.us

¿Qué es lo que hace el Malware?

¿Qué es lo que hace el Malware?

Enviado por Anónimo el Mié, 08/06/2008 - 21:31.

el malware al parecer es una especie de apache web server en miniatura que utliza el IP 127.0.0.1 como IP dedicada.

permite llegar a la pagina falsa utilizando el IP de la PC

Envíos recientes a blogs

más

Comentarios recientes