Tema: Perdon, pido perdon.

cual url? es que no estoy enterado hoy de nada

Hola! de nuevo, si en un momento pongo todo, necesito juntar información, decompilar, compilar y varias cosas para ver que hace.

El problema no esta en cuando estuviste, si tu navegador es de una versión vieja quizás estés infectado sin siquiera saber, de lo contrario a los que tengan navegadores más nuevos, se les alerta que si desea ejecutar una aplicación Java, al aceptar se acepta el Keylogger!...

Salu2!

Ya no te preocupes wey, no fue tu culpa, solo debes tener un poco más de cuidado =S. ¿Tú no te infectaste o usas Linux?

Iniciado por lalo_a_link

Hola! a todos, no hay problema quizás fue error tuyo, en estos momentos me encuentro analizando el Keylogger, ahorita en cuando concluya todo, abriré un tema con los archivos infectados o para los que quieran saber si su PC esta infectada por esta vulnerabilidad!...

Salu2!

La ventaja de tener programadores (que aportan) en el foro

PD: Hablé con Hostgator reportando al sitio... espero que lo suspendan en breve. Igual sería bueno que todos los que andamos en Linux guarden un track del código fuente del HTML infectado con virus.

Yo no entiendo nada, y ciudad warez ha sido suspendido.

Shit!, esta muy bien ofuscado el movimiento que hace el .exe, mierda se me complico, necesito solo un poco más de tiempo (la paciencia es una virtudad), perdonen acabo de llegar del cole y tengo un chingo de hambre, pero les voy a hechar la mano en lo que pueda!...

De momento les recomiendo los que piensen o saben que entraron y estan infectados, que cambien inmediatamente todas sus contraseñas, pero todas lo más rápido que pueda. (obligatorio que inicien su computadora en Modo Seguro con conexión por Red, si no será nulo esto!...)

Salu2!

Iniciado por KnxDT

Ya no te preocupes wey, no fue tu culpa, solo debes tener un poco más de cuidado =S. ¿Tú no te infectaste o usas Linux?
[...]on virus.

Uso windows, y ni idea si estoy infectado, pero igual a mi muhco no me afecta ya que son dos blogs novatos y no como a otros que tenian red de blogs eran domainers y esas cosas.

jajajajajaa. a mi tambien me jodieron la redireccion de varios dominios.. xDD

y no me percaté que fuera por ese tal ciudadwarez, yo hechandole la culpa mi hermano que baja virus con sus chucherias, xD

Iniciado por waro

Te equivocas, no es por versión de navegador, si no por versión de JAVA, es una vulnerabilidad que NO afecta a la última versión de JAVA la cual se puede descargar desde java.com, es indistinto el navegador, sea viejo o nuevo, si tiene el PLUGIN java con una versión vulnerable y NO tienen un buen antirootkit están infectados.

¿Como saber si estoy infectado?

1- Si no tienes JAVA instalado, NO IMPORTA si visitaste la página MIL veces, ESTAS LIMPIO
2- Si tienes JAVA y al visitar dichas páginas NO RECIBISTE NINGUNA ALERTA ni del navegador ni del ANTIVIRUS, entonces, ESTAS INFECTADO.

En el caso de CIUDADWAREZ el EXPLOIT se autoejecuta de inmediato, incluso el tipo es LAMMER, lo puso de forma evidente el en código fuente, el caso del sitio que dejó fabriciov ES DE MIEDO para quienes tienen poca experiencia en seguridad, el EXPLOIT está muy bien escondido, está al inicio del codigo fuente dentro de un JAVASCRIPT con Eval + String.FromCharcode() que escribe un IFRAME, cuyo iframe llama a otro JAVASCRIPT que escribe otro IFRAME invisible contiene 2 exploits:

1- Es un exploit para ADOBE ACROBAT READER descrito aquí:

Código:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927

2- El mismo exploit de JAVA que usa ciudadwarez, pero MUCHO mejor elaborado, ESCONDIDO pues no usa EXE si no una imagen llamada facebook.jpg como EXPLOIT y en TXT como ejecutable, el cual se convierte en KEYLOGGER y el formato varía según el SO (aplica en windows, linux, mac) y además pasa inadvertido para muchos AV (por ejemplo algunas versiones de NOD32).

Yo ya he conseguido hacer REVERSE ENGINEE a ambos exploits, tengo los códigos fuentes completos pero NO SE PUEDEN POSTEAR AQUI ya que son códigos que se usan para infectar equipos y sería un error que podría causar un baneo a FOROBETA del index de google.

No solo ciudadwarez infectó gente, tambien el de la página que dejó fabriciov y es probable que esa lo haya hecho de forma más efectiva, ciudadwarez es un simple lammer que copio el exploit de una de tantas páginas de hacking, pero el otro, está muy bien elaborado...

Saludos.

Edito: Y como ya dije antes, ambas páginas instalan un KEYLOGGER que tiene la capacidad de enviar los datos recogidos por FTP y por EMAIL, ambos recogen datos de: teclas pulsadas, páginas visitadas, inicios de sesión, chat, portapapeles (por lo que COPIAR y PEGAR no sirve de nada) y capturas de pantalla, aunque ignoro si estaban activas en esas configuraciones).

Y como sugerí, si van a cambiar las contraseñas, SE DEBE HACER DESDE OTRA PC para no correr ningun riesgo. Recomendé formatear porque si sus PC fueron TAN fácilmente vulneradas, les causará más lio intentar DESINFECTAR de forma manual que el tiempo que lleva un formateo (1 hr aprox).

Correcto, se trata de Java y no del navegador, (tengo hambre), bueno, el Keylogger actúa cuando se entra a un cliente FTP (basándonos en los recientes hackeos)

Para el cambio de las contraseñas como dices, es recomendable hacerlo desde otro sistema, pero no creo que es necesario formatear, aun queda algo por hacer, esos archivos se pueden eliminar de alguna manera no cabe duda!...

Salu2!