Se trata de un gusano que se propaga por la red social española invitando al usuario a descargar un archivo PDF especialmente modificado. Parece que el objetivo final es el robo de credenciales bancarios.
#7 A mi el Avast ha salido de la pantalla y me ha dado una hostia diciendo: "¿'Tas tonto o que?. Tuenti+ElHacker... ¿Que esperabas?, ¿una foto de una cani mayorzota?"
El antivirus se queja ya que en la noticia está todo el código viral (en texto plano, eso si) del regalo que lleva el PDF. Por lo demás, quitando el código solo dice, de momento esto:
Acabo de entrar al tuenti y tenía 3 mensajes privados de la misma persona con el mismo contenido:
Código:
Nada más verlo ya me entraron sospechas y decidí entrar a investigar un poco. Al entrar a esa página se te pide descargar un archivo .pdf. En ese momento ya casi se podía confirmar. El típico exploit pdf... Como estoy en linux abro el archivo y obviamente estaba en blanco. Al revisar el archivo por dentro, su contenido es éste:
Código:
[Código incluido en el PDF]
Un extenso shell code que aún no he investigado que hace, pero seguro que nada bueno...
Revisando un poco la página veo que son un poco descuidados... Permiten el listado de archivos del servidor desde la raíz y ahí me encuentro un archivo .rar cuyo contenido es el siguiente .txt:
Comentarios
Cani en cirílico.
#1 Кани
#3: Y la famosa canción de los canis rusos:
Кали-нка, кали-нка, калинка моя!
В саду ягода малинка, малинка моя!
#4 LOL
Normal, medio pais es una red social con menos seguridad que Habbo Hotel.
Y por cierto, el antivirus me ha saltado un par de veces al ir a la página que enlaza la noticia.
#7 A mi el Avast ha salido de la pantalla y me ha dado una hostia diciendo: "¿'Tas tonto o que?. Tuenti+ElHacker... ¿Que esperabas?, ¿una foto de una cani mayorzota?"
Por cierto, gran foro para segun que cosas.
Ampliación de #c-7" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/868644/order/7">#7:
En este elnace no me salta: https://foro.elhacker.net/seguridad/aviso_los_hackers_rusos_descubren_tuenti-t282566.0.html
El antivirus se queja ya que en la noticia está todo el código viral (en texto plano, eso si) del regalo que lleva el PDF. Por lo demás, quitando el código solo dice, de momento esto:
Acabo de entrar al tuenti y tenía 3 mensajes privados de la misma persona con el mismo contenido:
Código:
http://onlinegames25.net/5/in.php
Nada más verlo ya me entraron sospechas y decidí entrar a investigar un poco. Al entrar a esa página se te pide descargar un archivo .pdf. En ese momento ya casi se podía confirmar. El típico exploit pdf... Como estoy en linux abro el archivo y obviamente estaba en blanco. Al revisar el archivo por dentro, su contenido es éste:
Código:
[Código incluido en el PDF]
Un extenso shell code que aún no he investigado que hace, pero seguro que nada bueno...
Revisando un poco la página veo que son un poco descuidados... Permiten el listado de archivos del servidor desde la raíz y ahí me encuentro un archivo .rar cuyo contenido es el siguiente .txt:
Código:
[Dejo parte]
;###################################################
_set_url_ https://www.cajamar.es/BE/ServletOperation GP
_data_before_
Por lo que se puede ver su objetivo son datos de bancos españoles.
También han subido un par de exploits para Internet Explorer en:
Código:
http://onlinegames25.net/fs/its/
A ver si alguien con más conocimientos que yo le echa un vistazo a todo ésto y nos comenta algo de esos archivos :)
Un saludo!
A mí me sale aviso de AVAST al intentar entrar en la noticia.