El troyano de Live Messenger se expande como la espuma

bootexe · #1 (**permalink**) 21/11/2007, 12:28

Cita:

Según informes de Aladdin Knowledge Systems el troyano que anda por la red del MSN se está expandiendo muy rápido teniendo en cuenta que sólo lleva unos 3 días desde que comenzó, el número de equipos infectados ya asciende a 11.000. Estos equipos infectados se convierten en zombis y pueden ser controlador por el creador para hacer lo que se le plazca.

Cita:

A mi me ha tocado de cerca cuando anoche un contacto abrió la ventana de diálogo de autorización para enviarme un archivo, me pareció bastante raro ya que decía algo así como “este es mi nuevo álbum en facebook, acepta”, se trataba de un archivo .zip (más raro todavía), pero como estaba en Linux no me preocupe y lo acepte (sabiendo lo que iba pasar).

Al terminar a descarga fuí al archivo, lo descomprimí, y dentro me encontré con un archivo con doble extensión jpg.exe (en linux lo vi como bin). Ahí nomás lo borré y le avise al contacto para que pase un buen antivirus a ver si lo podía eliminar.

Yo no me quiero imaginar la cantidad de gente que está siendo afectada ya que el nombre y el mensaje del troyano es muy “marketinero” y hay muchos usurios de MSN que aceptan cualquier cosa. Por eso NO ACEPTEN recibir archivos por MSN, a no ser que se hayan puesto de acuerdo previamente con el otro contacto que se van a enviar algo, y si llegan a descargar algún fichero NO LO EJECUTEN!!. - Nota del editor de puntogeek

Quedan todos advertidos
asi que cuidado con ese bicho

Puntogeek.com

Vanchi · #2 (**permalink**) 21/11/2007, 13:42

Cita:

Iniciado por bootexe

Al terminar a descarga fuí al archivo, lo descomprimí, y dentro me encontré con un archivo con doble extensión jpg.exe (en linux lo vi como bin). Ahí nomás lo borré y le avise al contacto para que pase un buen antivirus a ver si lo podía eliminar.

Es por eso que me parece una real estupidez que windows tenga habilitada por defecto la opción "ocultar extensión para los formatos conocidos".

Por supuesto es lo primero que cambio en la PC que agarre.

Saludos

AlZuwaga · #3 (**permalink**) 21/11/2007, 13:57

Si, si. Yo hago lo mismo... pero por ejemplo, mi hermana, que no tiene idea de nada, seguro lo va a ejecutar. Por más que se llame esto_es_un_virus.jpg.pif.bat.exe.com

Koveart · #4 (**permalink**) 21/11/2007, 14:21

Mi hermana es igual... así son todas las hermanas jajaja...

saludos

elias77 · #5 (**permalink**) 21/11/2007, 14:29

Cita:

Según informes de Aladdin Knowledge Systems el troyano que anda por la red del MSN se está expandiendo muy rápido teniendo en cuenta que sólo lleva unos 3 días desde que comenzó, el número de equipos infectados ya asciende a 11.000. Estos equipos infectados se convierten en zombis y pueden ser controlador por el creador para hacer lo que se le plazca.

3 dias??? a mi me aparecio hace como 3 meses mas o menos ya, jaja, hace un largo tiempo que esta ese troyano, me llego muchas veces, muchas...y no hace solo 3 dias...

Pablus00 · #6 (**permalink**) 21/11/2007, 15:14

me ocurre igual, y con diversos mensajes, como "esta es mi ultima foto", "voy a subir esta tu foto a mi blog", etc. Yo trabajo con el msn y tengo la capacidad colmada, cerca de 1000 contactos, recibo por dia aprox 5 de esas ventanas. La unica solucion que le encuentro es bloquear al contacto, ya que me doy cuenta que los infectados saben poco y nada de lo que se llama "pc" y menos como eliminar el virus.
PD: es de los peores que vi, creo que el post inicial se queda muy corto, salu2

bootexe · #7 (**permalink**) 21/11/2007, 18:22

Quienes inician este tipo de ataques confian en la ingenuidad del usuario, aunque windows tiene parte responsable, colabora con ello al ocultar por defecto las extensiones de archivos conocidos, que mal! jaja

Saludos.

elias77 · #8 (**permalink**) 21/11/2007, 19:05

Quienes inician este tipo de ataques lo hacen tambien por diversion, a ver cuando puedo hcakear....es asi, ademas de poder controlar la computadora del infectado, etc.

Pistemas · #9 (**permalink**) 22/11/2007, 08:25

Esta lata tiene mas de 3 meses, me toco verla como en agosto, pero en este caso era una extencion JPG.SWF

arthpix · #10 (**permalink**) 22/11/2007, 16:54

Bueno, yo añadiría que además windows sólo utiliza las extensiones para determinar el tipo de archivos, de manera que si recibes un jpg que en realidad es un exe o bat el hecho de que veas la extensión da lo mismo. Con linux y la orden file, que lee los bits del encabezado del archivo puede éste tener extensión .loquesea y el sistema te dirá realmente de qué se trata. Tal como el autor comenta:

Cita:

...y dentro me encontré con un archivo con doble extensión jpg.exe (en linux lo vi como bin).

Supongamos que a ese archivo le eliminamos la extensión .exe y lo dejamos como .jpg solamente... windows nos dirá que se trata de una inofensiva "imagen jpeg"

Vanchi · #11 (**permalink**) 22/11/2007, 17:47

Cita:

Iniciado por arthpix

Bueno, yo añadiría que además windows sólo utiliza las extensiones para determinar el tipo de archivos, de manera que si recibes un jpg que en realidad es un exe o bat el hecho de que veas la extensión da lo mismo. Con linux y la orden file, que lee los bits del encabezado del archivo puede éste tener extensión .loquesea y el sistema te dirá realmente de qué se trata. Tal como el autor comenta:

En eso tenés parcialmente la razón.

En GNU/Linux es muy amplio lo que puede pasar.

Para hacer la prueba cambié de extensión un archivo ejecutable de Windows como .jpg y hubieron 2 respuestas encontradas.

1º Konqueror (3.5.5) lo muestra efectivamente como un archivo .jpg (sólo que no le logra hacer el preview). De hecho al hacerle click lo intenta abrir con Kuickshow.

2º Nautilus (2.14.3) Lo muestra como ejecutable y al intentar darle click muestra la siguiente advertencia:

Cita:

The filename "LinCity-NG_1_1_0.exe.jpg" indicates that this file is of type "imagen JPEG". The contents of the file indicate that the file is of type "ejecutable de DOS/Windows". If you open this file, the file might present a security risk to your system.

También, bajo la línea de comandos:

Cita:

ivan@Vanchi:/mnt/sda2$ file LinCity-NG_1_1_0.exe.jpg
LinCity-NG_1_1_0.exe.jpg: MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit, InnoSetup self-extracting archive

Detecta no solo que es un ejecutable de windows 32 (y además que es en realidad un comprimido generado por InnoSetuo)

(Alguien podría comentarnos lo que hace una Mac)

Cita:

Iniciado por arthpix

Supongamos que a ese archivo le eliminamos la extensión .exe y lo dejamos como .jpg solamente... windows nos dirá que se trata de una inofensiva "imagen jpeg"

En Windows si bien tenés razón que lo tomaría como una simple imagen jpg e intentaría abrirla con el visualizador predeterminado (tal cual KDE con mi amado Konqueror... veremos que hará Dolphin) el tema es que los visualizadores no están capacitados para correr ejecutables por lo que simplemente dará un error y listo con lo que no deja de ser inofensivo siempre y cuando MANTENGA su extensión final como jpg.

Saludos

Vanchi · #12 (**permalink**) 22/11/2007, 17:54

Ah Arthpix... me olvidé de comentar que no es una comparación muy justa, ya que estás comparando un usuario windousero novato e inexperto que desconoce de formatos de archivos con un usuario linuxero geek que maneja las líneas de comandos.

Para que sea justa la comparación entonces tenés que hablar de 2 usuarios inexpertos. Uno que use Windows y el otro que GNU/Linux con alguna distribución que tenga por defecto al entorno de escritorio GNOME (Como es Ubuntu)

¿Por que sólo funciona con GNOME?
Simple, porque en primer lugar KDE presentó el mismo error que Windows (¿Alguien está usando alguna versión beta de KDE4 para comentar lo que hace Dolphin?) y porque un usuario novato NO va a usar Fluxbox ni Enlightment, ni ningún otro)

Saludos

elias77 · #13 (**permalink**) 22/11/2007, 18:06

Ademas no creo que pase tanto por como lo tome el sistema operativo, sino como lo tome uno mismo, ya que te envien ese tipo de comentarios por msn con un archivo adjunto que pesa 26k no es nada comun, ademas aparece repetidamente en diferentes ventanas....se trata de un poco de atencion nada mas.

arthpix · #14 (**permalink**) 22/11/2007, 19:37

Tienes razón Vanchi. Creo que me expresé mal, no debí poner como ejemplo la linea de comandos. Me refería a que en windows no hay avisos en casos de inconsistencia de extensión vs. contenido como lo hace Nautilus. Pero desde el punto de vista de un usuario novato (o uno descuidado) creo que es mejor recibir ese tipo de alertas. Lo siento por tu amado Konqueror, ¡Es un excelente navegador web! Pero parece que tienen razón en mi pueblo cuando dicen "el que mucho abarca, poco aprieta"

Edito:::: ¿Estando en Konqueror, le diste click derecho en propiedades al archivo para ver que información proporciona? Si no me equivoco, ahi es donde Konqueror te daría un mensaje de advertencia o por lo menos te dirá "ejecutable de MSDOS" y que yo recuerde de mis épocas en que usaba Windows XP, eso no sucedía.

Pero mejor que alguien que use Windows confirme.... ¿Que sucede si a un archivo.exe lo renombro como archivo.jpg y reviso la información de sus propiedades desde el explorador de windows?

Vanchi · #15 (**permalink**) 23/11/2007, 06:08

Cita:

Iniciado por arthpix

Edito:::: ¿Estando en Konqueror, le diste click derecho en propiedades al archivo para ver que información proporciona? Si no me equivoco, ahi es donde Konqueror te daría un mensaje de advertencia o por lo menos te dirá "ejecutable de MSDOS" y que yo recuerde de mis épocas en que usaba Windows XP, eso no sucedía.

Tal cual. Konqueror al pedirle las propiedades dice que es un archivo tipo jpg pero el contenido dice que es un archivo de windows ejecutable

Cita:

Iniciado por arthpix

Pero mejor que alguien que use Windows confirme.... ¿Que sucede si a un archivo.exe lo renombro como archivo.jpg y reviso la información de sus propiedades desde el explorador de windows?

En el laburo probé con W/XP. En este caso dice que es un archivo tipo Jpg y no dice nada del contenido (lo que si, las propiedades que muestra son de un archivo exe y no de un jpg)

Saludos

Developer9 · #16 (**permalink**) 23/11/2007, 08:10

Oigan... cual es ese troyano que a mi no me ha llegado?

Myakire · #17 (**permalink**) 23/11/2007, 08:41

Cita:

Oigan... cual es ese troyano que a mi no me ha llegado?

Quizá nadie te tiene entre sus contactos del messenger

..... naa!!, es broma

nahue11 · #18 (**permalink**) 26/11/2007, 10:56

Verdad que es masivo eh!

MaBoRaK · #19 (**permalink**) 27/11/2007, 05:36

loading....................

Migren a Pidgin !!!! http://pidgin.im
:D:D:D:D:D:D:D:D y mas :D

connection close.

sagi · #20 (**permalink**) 27/11/2007, 10:19

Cita:

Iniciado por Vanchi

.

Para que sea justa la comparación entonces tenés que hablar de 2 usuarios inexpertos. Uno que use Windows y el otro que GNU/Linux con alguna distribución que tenga por defecto al entorno de escritorio GNOME (Como es Ubuntu)

¿Qué yo qué?

arthpix · #21 (**permalink**) 28/11/2007, 14:23

Cita:

Iniciado por Vanchi

Tal cual. Konqueror al pedirle las propiedades dice que es un archivo tipo jpg pero el contenido dice que es un archivo de windows ejecutable.

En el laburo probé con W/XP. En este caso dice que es un archivo tipo Jpg y no dice nada del contenido (lo que si, las propiedades que muestra son de un archivo exe y no de un jpg)

Saludos

Precisamente a eso me refiero. Linux (me parece que Mac también) ofrece toda clase de información entendible por usuarios inexpertos (hola sagi

) respecto a cuestiones de seguridad.

Otro ejemplo: Con Thunar (XFCE) está deshabilitada por defecto la ejecución automática de binarios al hacer dole click, aunque el archivo tenga permisos de ejecución.

Sería muy bueno que Windows implementara ese tipo de pequeñas funcionalidades. para bien de mas del 90% de sus usuarios.

sagi · #22 (**permalink**) 29/11/2007, 17:21

Cita:

Sería muy bueno que Windows implementara ese tipo de pequeñas funcionalidades. para bien de mas del 90% de sus usuarios.

Bien podrías aquí aclarar que la mayoría somos inexpertos... para no dejarme ver tan mal.

(Arthpix

)

Pablus00 · #23 (**permalink**) 29/11/2007, 18:39

Este troyano dentro de todo es relativamente facil de bloquear, solo bloqueando el contacto uno lo evita, y luego si es amigo (ya que mi msn lo uso tmb laboralmente) se le envia un email explicandole que no sea navo, lo borre, y deje de aceptar archivos que no sabe que es...

Por otro lado, lo que es imparable son las cadenas que siempre llegan, y jode mas por que no es un spamer desconocido, sino un tarado que tiene mi contacto, y se cree cualquier cosa como:

- Microsoft te va a donar su fortuna si vos envias este puto email a todos tus contactos

- Sony Ericcion regala celulares, si envias este email a 20 personas, adjuntado una direccion de una tal Anna, que la muy forra se arma de una base de datos gratis a consta de ilusos

- No aceptes un archivo de power point con el nombre de "la vida es bella" por que es una antorcha que te prende fuego la maquina, y te sale un mensaje de que tu vida ya no es bella

- Jamas aceptes tal y tal contacto por que es un virus mortal!! , y sigue..

QUE SE PUEDE HACER CONTRA ESTA GENTE!!.. son como un mono con navaja.. el peligro no son estos archivos, sino ellos mismos :S , que tienen acceso a una computadora con internet y no saben para que sirve

yo creo que cualquiera que lea esto, ya de por si tiene la voluntad de informarse, frecuentar un foro ya es parte de ello, pero esta gente no, prende una computadora, hace cagadas, y despues se pregunta que paso?

ah, y para sentirse segura/o desenchufa la computadora, arranca el cable de red, por las dudas se meta una vivora y sale rajando del cuarto... por si aparece algun virus mortal!!, patetico

arthpix · #24 (**permalink**) 30/11/2007, 22:55

DEFINITIVAMENTE ¡Esa gente que describes es el peor de los "virus"!

Y si, Sagi preciosa... No creo que tu seas inexperta