foro.elhacker.net/hacking_basico/aviso_los_hackers_rusos_... por nachoher87 el 27-01-2010 18:55 UTC
Se trata de un gusano que se propaga por la red social española invitando al usuario a descargar un archivo PDF especialmente modificado. Parece que el objetivo final es el robo de credenciales bancarios.
#7#7 A mi el Avast ha salido de la pantalla y me ha dado una hostia diciendo: "¿'Tas tonto o que?. Tuenti+ElHacker... ¿Que esperabas?, ¿una foto de una cani mayorzota?"
El antivirus se queja ya que en la noticia está todo el código viral (en texto plano, eso si) del regalo que lleva el PDF. Por lo demás, quitando el código solo dice, de momento esto:
Acabo de entrar al tuenti y tenía 3 mensajes privados de la misma persona con el mismo contenido: Código:
Nada más verlo ya me entraron sospechas y decidí entrar a investigar un poco. Al entrar a esa página se te pide descargar un archivo .pdf. En ese momento ya casi se podía confirmar. El típico exploit pdf... Como estoy en linux abro el archivo y obviamente estaba en blanco. Al revisar el archivo por dentro, su contenido es éste:
Código: [Código incluido en el PDF]
Un extenso shell code que aún no he investigado que hace, pero seguro que nada bueno...
Revisando un poco la página veo que son un poco descuidados... Permiten el listado de archivos del servidor desde la raíz y ahí me encuentro un archivo .rar cuyo contenido es el siguiente .txt:
Кали-нка, кали-нка, калинка моя!
В саду ягода малинка, малинка моя!
www.youtube.com/watch?v=8WY0gIgzxvM
Por cierto, gran foro para segun que cosas.
En este elnace no me salta: foro.elhacker.net/seguridad/aviso_los_hackers_rusos_descubren_tuenti-t
El antivirus se queja ya que en la noticia está todo el código viral (en texto plano, eso si) del regalo que lleva el PDF. Por lo demás, quitando el código solo dice, de momento esto:
Acabo de entrar al tuenti y tenía 3 mensajes privados de la misma persona con el mismo contenido:
Código:
onlinegames25.net/5/in.php
Nada más verlo ya me entraron sospechas y decidí entrar a investigar un poco. Al entrar a esa página se te pide descargar un archivo .pdf. En ese momento ya casi se podía confirmar. El típico exploit pdf... Como estoy en linux abro el archivo y obviamente estaba en blanco. Al revisar el archivo por dentro, su contenido es éste:
Código:
[Código incluido en el PDF]
Un extenso shell code que aún no he investigado que hace, pero seguro que nada bueno...
Revisando un poco la página veo que son un poco descuidados... Permiten el listado de archivos del servidor desde la raíz y ahí me encuentro un archivo .rar cuyo contenido es el siguiente .txt:
Código:
[Dejo parte]
;###################################################
_set_url_ www.cajamar.es/BE/ServletOperation GP
_data_before_
Por lo que se puede ver su objetivo son datos de bancos españoles.
También han subido un par de exploits para Internet Explorer en:
Código:
onlinegames25.net/fs/its/
A ver si alguien con más conocimientos que yo le echa un vistazo a todo ésto y nos comenta algo de esos archivos :)
Un saludo!