El antivirus se queja ya que en la noticia está todo el código viral (en texto plano, eso si) del regalo que lleva el PDF. Por lo demás, quitando el código solo dice, de momento esto:
Acabo de entrar al tuenti y tenía 3 mensajes privados de la misma persona con el mismo contenido: Código:
Nada más verlo ya me entraron sospechas y decidí entrar a investigar un poco. Al entrar a esa página se te pide descargar un archivo .pdf. En ese momento ya casi se podía confirmar. El típico exploit pdf... Como estoy en linux abro el archivo y obviamente estaba en blanco. Al revisar el archivo por dentro, su contenido es éste:
Código: [Código incluido en el PDF]
Un extenso shell code que aún no he investigado que hace, pero seguro que nada bueno...
Revisando un poco la página veo que son un poco descuidados... Permiten el listado de archivos del servidor desde la raíz y ahí me encuentro un archivo .rar cuyo contenido es el siguiente .txt:
En este elnace no me salta: foro.elhacker.net/seguridad/aviso_los_hackers_rusos_descubren_tuenti-t
El antivirus se queja ya que en la noticia está todo el código viral (en texto plano, eso si) del regalo que lleva el PDF. Por lo demás, quitando el código solo dice, de momento esto:
Acabo de entrar al tuenti y tenía 3 mensajes privados de la misma persona con el mismo contenido:
Código:
onlinegames25.net/5/in.php
Nada más verlo ya me entraron sospechas y decidí entrar a investigar un poco. Al entrar a esa página se te pide descargar un archivo .pdf. En ese momento ya casi se podía confirmar. El típico exploit pdf... Como estoy en linux abro el archivo y obviamente estaba en blanco. Al revisar el archivo por dentro, su contenido es éste:
Código:
[Código incluido en el PDF]
Un extenso shell code que aún no he investigado que hace, pero seguro que nada bueno...
Revisando un poco la página veo que son un poco descuidados... Permiten el listado de archivos del servidor desde la raíz y ahí me encuentro un archivo .rar cuyo contenido es el siguiente .txt:
Código:
[Dejo parte]
;###################################################
_set_url_ www.cajamar.es/BE/ServletOperation GP
_data_before_
Por lo que se puede ver su objetivo son datos de bancos españoles.
También han subido un par de exploits para Internet Explorer en:
Código:
onlinegames25.net/fs/its/
A ver si alguien con más conocimientos que yo le echa un vistazo a todo ésto y nos comenta algo de esos archivos :)
Un saludo!