Enviando Spam desde mi pc...
Pues resulta que deje instalado el programa (img24.zip) del virus en mi maquina
virtual, y hoy que la reviso me topo con la sorpresa de que estoy
enviendo spam.. pro que lo digo, bueno basta ver las direcciones a las
que se esta conectando el archivo temporal que descargo el virusito
este que tanto hemod hablado. Desafortunadamente para cuando me dispuse
ha hacer esta entrada, el envio masivo de emails desde mi maquina ya
habia finalizado, sin embargo el tiempo que duro me permitio recolectar
alguna infomación importate.
Lo primero es que el virus se conecta a un servidor, desde el cual recive ordenes, el cual es este 147.202.32.83:2756 obiamente no se trata de ninguna página web normal, ya que estas suelen estar en el puerto 80 o 8080, ahora veamos que nos regresa esa dirección.
Lo primero es que el virus se conecta a un servidor, desde el cual recive ordenes, el cual es este 147.202.32.83:2756 obiamente no se trata de ninguna página web normal, ya que estas suelen estar en el puerto 80 o 8080, ahora veamos que nos regresa esa dirección.
:link6.bitch.net 451 GET :
:link6.bitch.net 451 Host: :
:link6.bitch.net 451 User-Agent: :
:link6.bitch.net 451 Accept: :
:link6.bitch.net 451 Accept-Language: :
:link6.bitch.net 451 Accept-Encoding: :
:link6.bitch.net 451 Accept-Charset: :
:link6.bitch.net 451 Keep-Alive: :
:link6.bitch.net 451 Connection: :
Bien, podemos observar que a todas las peticiones del navegador, esta
dirección nos responde link6.bitch.net 451, asi que seria bueno ver que
hay ahi no cren.. Bien si metemos la url link6.bitch.net nos
redirecciona http://epicentersearch.com/, que es una página de
busquedas por internet.. tiempo de ver que nos dice whois tanto de
bitch.net y de epicentersearch.com.
WHOIS information for: epicentersearch.com:
Así que ahora veamos que ocuria en la maquina.
Bueno pues el bot, se descargo aun amiguito, llamado E77E.tmp (pero aca entre compas le llamaremos mailer, o spamer, ya que esa es su función, bueno pues resulta que mailer, se comunico rapidamente con na direccion web, que es la que le dice que hacer, o por lo menos es la que le surte de mails (spam) que enviar. Bueno veamos la dirección y que es lo que nos devuelve.
http://66.235.180.179/
Como podemos observar se dirige a Amy Anthony de Helen Brian, sin embargo sabemos que esto no es cierto, que no lo envia Helen Brian, sino nuesto amiguito mailer, bueno eso no fue lo unico, tambien mando muchos más a los servidores de America Online, cuyo server es 64.12.137.168:25, si es el servidor de smtp, o como vulgarmente lo conocemos, servidor de correo. Una cosa que hay notar es que cada vez que le recargamos la pagina 66.235.180.179, nos manda un mensage completamente diferente, con lo cual creo que al pobre espammer le tumbe com 20 mails, ya que en vez de que fuera nuestro amiguito mailer el que lo tomar ay enviara fue mi navegador web ( Firefox por supuesto).
Y ya para terminar con está entrada, los dejo con un video de el mailer en acción, donde veremos, las conexiones nuevas en verde, las que estan terminando en rojo y las activas en blanco ( las amarilla no recuerdo que son), cada conexión es un email basura (spam) que se envia, y tambine se puede observar en el video la forma de eliminar los procesos, (pause los procesos en el process explorer solo para que ya no estubieran abriendo y cerrando conexiones y fuera más claro como se terminaban todas al momento de cerrar los procesos.
Ya solo ponganle audio o unas letrotas de aquí hago esto o aqui hago esto otro.
A por cierto esa es una de las mejores formas de acabar con un archivo que esta en uso ;)
Una cosa para destacar en esto, es el hecho de que la mayoría de las personas no se dan cuenta de que envian este tipo de correos desde su máquina, o que en otras ocaciones son utilizadas para atacar algun sitio en internet, así que volvere a decir lo que he dicho muchas veces, hay que tener mucho cuidado cuando uno esta conectado a internet, en una de esas hasta comenten un fraude desde tu maquina y tu seras el culpable o pude que no pero a mi no me gustaria averiguarlo.
Nota: En el video el amiguito mailer tiene otro nombre (8590.tmp y también estaba C029.tmp) debido a que por las actualizaciones de Windoze, mientras yo escribía esta entrada, la máquina virtual se reseteo y bot bajó a otro nuevo amiguito porque dijo que E77E.tmp ya le había caido gordo.
Huy que mal You Tube le baja mucho la resolusión, ni modo... la otra sera.
| Registrant: | Make this info private | |||
| Stuart Thomas | ||||
| 5440 Cherokee Ave | ||||
| Alexandria, VA 22312 | ||||
| US | ||||
| Domain Name: BITCH.NET | ||||
| Administrative Contact , Technical Contact : | ||||
| Waldack, David | ||||
| dmw@coffeecan.com | ||||
| 5218 Monroe Dr | ||||
| Springfield, VA 22151 | ||||
| US | ||||
| Phone: 7032201902 | ||||
| Record expires on 24-Apr-2009 |
|
|||
| Record created on 23-Apr-1997 | ||||
| Database last updated on 13-Jul-2007 | ||||
| Domain servers in listed order: | Manage DNS | |||
| NS1.EPICENTERDNS.COM |
|
|||
| NS2.EPICENTERDNS.COM |
|
|||
| Show underlying registry data for this record | ||||
| Current Registrar: | NETWORK SOLUTIONS, LLC. | ||
| IP Address: | 1.1.1.1 (ARIN & RIPE IP search) | ||
| IP Location: | -(-) | ||
| Record Type: | Domain Name | ||
| Server Type: | Apache 2 | ||
| Lock Status: | clientTransferProhibited | ||
| Web Site Status: | Active | ||
| DMOZ | no listings | ||
| Y! Directory: | see listings | ||
| Secure: | No | ||
| E-commerce: | No | ||
| Traffic Ranking: | Not available | ||
| Data as of: | 31-Oct-2006 |
WHOIS information for: epicentersearch.com:
[whois.melbourneit.com]Bien esto no nos conduce a mucho.
Domain Name.......... epicentersearch.com
Creation Date........ 2006-07-18
Registration Date.... 2006-07-18
Expiry Date.......... 2008-07-18
Organisation Name.... Epicenter Technologies
Organisation Address. P O Box 99800
Organisation Address.
Organisation Address. EmeryVille
Organisation Address. 94662
Organisation Address. CA
Organisation Address. US
Admin Name........... PrivateRegContact Admin
Admin Address........ P O Box 99800
Admin Address........
Admin Address........ EmeryVille
Admin Address........ 94662
Admin Address........ CA
Admin Address........ US
Admin Email.......... contact@myprivateregistration.com
Admin Phone.......... +1.5105952002
Admin Fax............
Tech Name............ PrivateRegContact TECH
Tech Address......... P O Box 99800
Tech Address.........
Tech Address......... EmeryVille
Tech Address......... 94662
Tech Address......... CA
Tech Address......... US
Tech Email........... contact@myprivateregistration.com
Tech Phone........... +1.5105952002
Tech Fax.............
Name Server.......... ns1.dnsexit.com
Name Server.......... ns2.dnsexit.com
Así que ahora veamos que ocuria en la maquina.
Bueno pues el bot, se descargo aun amiguito, llamado E77E.tmp (pero aca entre compas le llamaremos mailer, o spamer, ya que esa es su función, bueno pues resulta que mailer, se comunico rapidamente con na direccion web, que es la que le dice que hacer, o por lo menos es la que le surte de mails (spam) que enviar. Bueno veamos la dirección y que es lo que nos devuelve.
http://66.235.180.179/
###TO:Amy Anthony:OT### ###FROM:"Helen Brian" <ShirleyMartha@attbi.net>:MORF###
###SUBJ:Worldwide pharmectuicals sent discreetly to your doorstep:JBUS###
###MAIL:PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMCBUcmFuc2l0aW9uYWwv
L0VOIj4NCjxIVE1MPjxIRUFEPg0KPE1FVEEgaHR0cC1lcXVpdj1Db250ZW50LVR5cGUgY29udGVu
dD0idGV4dC9odG1sOyBjaGFyc2V0PWlzby04ODU5LTEiPg0KPE1FVEEgY29udGVudD0iTVNIVE1M
IDYuMDAuNjAwMC4xNjUyNSIgbmFtZT1HRU5FUkFUT1I+DQo8U1RZTEU+PC9TVFlMRT4NCjwvSEVB
RD4NCjxCT0RZPg0KPERJVj5JIG5lZWQgYSByZWZpbGwgb24gbXkgcHJlc2NyaXB0aW9uPC9ESVY+
DQo8RElWPiZuYnNwOzwvRElWPg0KPERJVj48QSBocmVmPSJodHRwOi8vd3d3LnNlZWsyb2J0YWlu
LmNvbSI+d3d3LnNlZWsyb2J0YWluLmNvbTwvQT48L0RJVj48L0JPRFk+PC9IVE1MPg==:LIAM###
Como podemos observar se dirige a Amy Anthony de Helen Brian, sin embargo sabemos que esto no es cierto, que no lo envia Helen Brian, sino nuesto amiguito mailer, bueno eso no fue lo unico, tambien mando muchos más a los servidores de America Online, cuyo server es 64.12.137.168:25, si es el servidor de smtp, o como vulgarmente lo conocemos, servidor de correo. Una cosa que hay notar es que cada vez que le recargamos la pagina 66.235.180.179, nos manda un mensage completamente diferente, con lo cual creo que al pobre espammer le tumbe com 20 mails, ya que en vez de que fuera nuestro amiguito mailer el que lo tomar ay enviara fue mi navegador web ( Firefox por supuesto).
Y ya para terminar con está entrada, los dejo con un video de el mailer en acción, donde veremos, las conexiones nuevas en verde, las que estan terminando en rojo y las activas en blanco ( las amarilla no recuerdo que son), cada conexión es un email basura (spam) que se envia, y tambine se puede observar en el video la forma de eliminar los procesos, (pause los procesos en el process explorer solo para que ya no estubieran abriendo y cerrando conexiones y fuera más claro como se terminaban todas al momento de cerrar los procesos.
Ya solo ponganle audio o unas letrotas de aquí hago esto o aqui hago esto otro.
A por cierto esa es una de las mejores formas de acabar con un archivo que esta en uso ;)
Una cosa para destacar en esto, es el hecho de que la mayoría de las personas no se dan cuenta de que envian este tipo de correos desde su máquina, o que en otras ocaciones son utilizadas para atacar algun sitio en internet, así que volvere a decir lo que he dicho muchas veces, hay que tener mucho cuidado cuando uno esta conectado a internet, en una de esas hasta comenten un fraude desde tu maquina y tu seras el culpable o pude que no pero a mi no me gustaria averiguarlo.
Nota: En el video el amiguito mailer tiene otro nombre (8590.tmp y también estaba C029.tmp) debido a que por las actualizaciones de Windoze, mientras yo escribía esta entrada, la máquina virtual se reseteo y bot bajó a otro nuevo amiguito porque dijo que E77E.tmp ya le había caido gordo.
Huy que mal You Tube le baja mucho la resolusión, ni modo... la otra sera.
Video Juegos
Categorías
MalwareBuscar
Los Mejores Juegos en yahoo!
Estadisticas
Escribir un comentario