Hace 13 años | Por nachoher87 a foro.elhacker.net
Publicado hace 13 años por nachoher87 a foro.elhacker.net

Se trata de un gusano que se propaga por la red social española invitando al usuario a descargar un archivo PDF especialmente modificado. Parece que el objetivo final es el robo de credenciales bancarios.

Comentarios

V
editado

Y por cierto, el antivirus me ha saltado un par de veces al ir a la página que enlaza la noticia.

Magec
editado

Cani en cirílico.

pasaiatiger
editado

#1 Кани

D
editado

#3: Y la famosa canción de los canis rusos:

Кали-нка, кали-нка, калинка моя!
В саду ягода малинка, малинка моя!

Peppelin
editado

#4 LOL

Stash
editado

#7 A mi el Avast ha salido de la pantalla y me ha dado una hostia diciendo: "¿'Tas tonto o que?. Tuenti+ElHacker... ¿Que esperabas?, ¿una foto de una cani mayorzota?"

Por cierto, gran foro para segun que cosas.

Stash
editado

Ampliación de #7:
En este elnace no me salta: https://foro.elhacker.net/seguridad/aviso_los_hackers_rusos_descubren_tuenti-t282566.0.html

El antivirus se queja ya que en la noticia está todo el código viral (en texto plano, eso si) del regalo que lleva el PDF. Por lo demás, quitando el código solo dice, de momento esto:

Acabo de entrar al tuenti y tenía 3 mensajes privados de la misma persona con el mismo contenido:
Código:

http://onlinegames25.net/5/in.php

Nada más verlo ya me entraron sospechas y decidí entrar a investigar un poco. Al entrar a esa página se te pide descargar un archivo .pdf. En ese momento ya casi se podía confirmar. El típico exploit pdf... Como estoy en linux abro el archivo y obviamente estaba en blanco. Al revisar el archivo por dentro, su contenido es éste:

Código:
[Código incluido en el PDF]

Un extenso shell code que aún no he investigado que hace, pero seguro que nada bueno...

Revisando un poco la página veo que son un poco descuidados... Permiten el listado de archivos del servidor desde la raíz y ahí me encuentro un archivo .rar cuyo contenido es el siguiente .txt:

Código:

[Dejo parte]
;###################################################
_set_url_ https://www.cajamar.es/BE/ServletOperation GP
_data_before_

Por lo que se puede ver su objetivo son datos de bancos españoles.

También han subido un par de exploits para Internet Explorer en:

Código:

http://onlinegames25.net/fs/its/

A ver si alguien con más conocimientos que yo le echa un vistazo a todo ésto y nos comenta algo de esos archivos :)

Un saludo!

D
editado

Normal, medio pais es una red social con menos seguridad que Habbo Hotel.

enwillyado
editado

A mí me sale aviso de AVAST al intentar entrar en la noticia.