Hola a tod@s. Estoy recibiendo con el rémite suse-linux-s-unsubscribe@suse.com unos correos que tienen una pinta de víricos que asustan. Como es lógico (y por ahora) no me llegan a afectar (supongo) por lo que ya sabemos todos, pero en fin. ¿Conoce alguien casos similares?, ¿soy yo el objeto de deseo de algún/a hacker desquiciad@?. Buen fin de semana. Nota: si alguien tiene curiosidad les remito una copia...vale, mala idea.
El 2003-11-29 a las 10:38 -0000, Luis F. Delgado Bello escribió:
Hola a tod@s. Estoy recibiendo con el rémite
suse-linux-s-unsubscribe@suse.com
unos correos que tienen una pinta de víricos que asustan.
Esa dirección no emite correos, sólo recibe, que yo sepa. Pero si se responde a ella (automaticamente por algún antivirus o rebote) se activa la anulación de la subscripción - que no funcionaría, porque hay que responder a un correo de confirmación.
Como es lógico (y por ahora) no me llegan a afectar (supongo) por lo que ya sabemos todos, pero en fin. ¿Conoce alguien casos similares?, ¿soy yo el objeto de deseo de algún/a hacker desquiciad@?. Buen fin de semana.
De esa dirección en concreto, no.
Nota: si alguien tiene curiosidad les remito una copia...vale, mala idea.
Mejor los describes: ¿que tienen, un anexo que es un ejecutable para windows? Yo tengo una regla que rechaza todos los ejecutables, porque casi todos son virus. Cuando no lo es, ya me encargo yo a mano de decirselo al que me lo envió que no lo haga.
-- Saludos Carlos Robinson
Hola, bueno si voy a la fuente del mensaje me salen muchas cosas interesantes:
From - Wed Nov 26 18:17:52 2003 X-UIDL: 320236424 X-Mozilla-Status: 0001 X-Mozilla-Status2: 00000000 Received: from valhalla.edernet.net [62.22.87.211] by economistas.org with ESMTP (SMTPD32-7.14) id AF15E60132; Tue, 25 Nov 2003 18:19:17 +0100 Received: from Zqztmrsq (15.Red-80-36-108.pooles.rima-tde.net [80.36.108.15]) by valhalla.edernet.net (8.11.6/8.11.0) with SMTP id hAPI8Q917448 for
; Tue, 25 Nov 2003 19:08:27 +0100 Date: Tue, 25 Nov 2003 19:08:27 +0100 Message-Id: <200311251808.hAPI8Q917448@valhalla.edernet.net> From: suse-linux-s-unsubscribe To: lfdelgadob@economistas.org Subject: Accesible MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=E34A7jBMAox0d2sp9noMT2PtSA6Tjj X-Declude-Sender: aeslava@caae.es [62.22.87.211] X-Note: Este E-mail ha sido escaneado por el sistema anti-spam de GRUPALIA INTERNET. X-Spam-Tests-Failed: None [997] X-RCPT-TO: Status: U X-UIDL: 320236424
--E34A7jBMAox0d2sp9noMT2PtSA6Tjj Content-Type: text/html; Content-Transfer-Encoding: quoted-printable <HTML><HEAD></HEAD><BODY> <iframe src=3Dcid:P6Mz09ccAQ55 height=3D0 width=3D0> </iframe> <FONT></FONT></BODY></HTML> --E34A7jBMAox0d2sp9noMT2PtSA6Tjj Content-Type: audio/x-wav; name=color.bat Content-Transfer-Encoding: base64 Content-ID: <P6Mz09ccAQ55> Y en cuanto a los anexos me salen dos, uno parece ser bat, el otro jpg. Saludos. Carlos E. R. wrote:
El 2003-11-29 a las 10:38 -0000, Luis F. Delgado Bello escribió:
Hola a tod@s. Estoy recibiendo con el rémite
suse-linux-s-unsubscribe@suse.com
unos correos que tienen una pinta de víricos que asustan.
Esa dirección no emite correos, sólo recibe, que yo sepa. Pero si se responde a ella (automaticamente por algún antivirus o rebote) se activa la anulación de la subscripción - que no funcionaría, porque hay que responder a un correo de confirmación.
Como es lógico (y por ahora) no me llegan a afectar (supongo) por lo que ya sabemos todos, pero en fin. ¿Conoce alguien casos similares?, ¿soy yo el objeto de deseo de algún/a hacker desquiciad@?. Buen fin de semana.
De esa dirección en concreto, no.
Nota: si alguien tiene curiosidad les remito una copia...vale, mala idea.
Mejor los describes: ¿que tienen, un anexo que es un ejecutable para windows?
Yo tengo una regla que rechaza todos los ejecutables, porque casi todos son virus. Cuando no lo es, ya me encargo yo a mano de decirselo al que me lo envió que no lo haga.
El 2003-12-01 a las 19:10 -0000, Luis F. Delgado Bello escribió:
Hola, bueno si voy a la fuente del mensaje me salen muchas cosas interesantes:
Esas cabeceras son probablemente falsas, y si tuvieras activado el spamassassin es posible que te lo dijera. Yo ya te digo, es que en cuanto detecto una cabecera con un ejectuable de windows automaticamente rechazo la descarga de ese correo.
--E34A7jBMAox0d2sp9noMT2PtSA6Tjj Content-Type: audio/x-wav; name=color.bat Content-Transfer-Encoding: base64 Content-ID: <P6Mz09ccAQ55>
Y en cuanto a los anexos me salen dos, uno parece ser bat, el otro jpg.
Lo del bat, es tipico de algunos virus. Graba ambos ficheros en disco - en linux, ni se te ocurra en windows -, y ejecuta "file color.bat", y "file fichero.jpg" - es posible que te sorprenda diciendo que el jpg es en realidad un ejecutable de windows. -- Saludos Carlos Robinson
En realidad no logro que me deje descargar los anexos del mensaje, al mirar la fuente del mensaje vienen como texto (largas filas de texto sin sentido, como si vieras un binario a través de la visualización de un editor de texto como vi o algo así. Es como si fuese una paina web, es decir, diseño html, pero los elementos de la página como fotos, sonidos, etc, no vendrían como anexos del mensaje para ejecutarse luego todo junto, sino incrustado en la fuente misma del mensaje. ¿No será ese uno de esos famosos virus que aprovechan las vulnerabilidades de Outlock express y familia?. en todo caso seguro que tienes razón, pero, ¿no hay ninguna información en las cabeceras que me permita ir a por el/la xxxxxxxxxxx que me ha enviado el mail?, eso suponiendo que no sea un/a pobre infectado/a, pero ¿con ese rémite inventado?...me parece tan casual. Saludos. Carlos E. R. wrote:
El 2003-12-01 a las 19:10 -0000, Luis F. Delgado Bello escribió:
Hola, bueno si voy a la fuente del mensaje me salen muchas cosas interesantes:
Esas cabeceras son probablemente falsas, y si tuvieras activado el spamassassin es posible que te lo dijera. Yo ya te digo, es que en cuanto detecto una cabecera con un ejectuable de windows automaticamente rechazo la descarga de ese correo.
--E34A7jBMAox0d2sp9noMT2PtSA6Tjj Content-Type: audio/x-wav; name=color.bat Content-Transfer-Encoding: base64 Content-ID: <P6Mz09ccAQ55>
Y en cuanto a los anexos me salen dos, uno parece ser bat, el otro jpg.
Lo del bat, es tipico de algunos virus. Graba ambos ficheros en disco - en linux, ni se te ocurra en windows -, y ejecuta "file color.bat", y "file fichero.jpg" - es posible que te sorprenda diciendo que el jpg es en realidad un ejecutable de windows.
El 2003-12-02 a las 17:37 -0000, Luis F. Delgado Bello escribió:
En realidad no logro que me deje descargar los anexos del mensaje, al mirar la fuente del mensaje vienen como texto (largas filas de texto sin sentido, como si vieras un binario a través de la visualización de un editor de texto como vi o algo así.
Puede ser mime o uuencode. Los ficheros binarios por correo electrónico no viajan nunca como binarios, sino que se convierte a texto por un sistema predefinido. Uno de los más antiguos es uuencode, pero mime también tiene el suyo. El netscape 4.7 creo recordar que permite elegir cual de los dos sistemas se usa. Y ese es precisamente el motivo por lo que los ficheros anexados en realidad ocupan bastante más del original, y enviar ficheros grandes por correo es un desperdicio de recursos de red.
Es como si fuese una paina web, es decir, diseño html, pero los elementos de la página como fotos, sonidos, etc, no vendrían como anexos del mensaje para ejecutarse luego todo junto, sino incrustado en la fuente misma del mensaje.
Si, también puede ser. O simplemente el html sabe que hacer para cargar el virus camuflado. No se apenas nada de html, pero me lo sospecho.
¿No será ese uno de esos famosos virus que aprovechan las vulnerabilidades de Outlock express y familia?.
Si, por supuesto.
en todo caso seguro que tienes razón, pero, ¿no hay ninguna información en las cabeceras que me permita ir a por el/la xxxxxxxxxxx que me ha enviado el mail?, eso suponiendo que no sea un/a pobre infectado/a, pero ¿con ese rémite inventado?...me parece tan casual. Saludos.
Esos virus empiezan a mandar correos a toda la carpeta de direcciones del outlook, con remites inventados o cogidos de la misma carpeta; es decir, se envia con direcciones existentes en el from y en to, y en algún caso de gente que conoces; por ejemplo, uno yo no conocía me escribió cabreadísimo para que dejase de enviarle cosas, y yo no era (era un conocido común): y me costó convencerle de ello, que el linux no coje virus de esos X-) Hay otro que imita correos procedentes de M$, diciendo que es un aviso de seguridad y que instales el parche - seguro que alguien pica :-p Y hay otros que imitan un rechazo de correo, y que el correo rebotado está anexado, y que lo pinches... pero claro, el correo anexado no es un correo anexado de verdad, y al pinchar el outlook lo ejecuta. Con lo fácil que sería que el outlook se negase a ejecutar ejecutables, o que al menos avisase que lo que está a punto de abrir el incauto es un ejecutable, no una foto - y que no admitiese un simple "enter"... En fin, un coladero de seguridad. Por cierto, estos virus no usan el outlook para enviar, sino que implementan su propio servidor smtp. Si tienen conexión permanente, imaginate la que pueden liar... y que lian. Supongo que la máquina de donde sale se puede averiguar, estudiando con cuidado las IPs del servidor siguiente (el de la maquina en cuestion es camuflado o inventado). A veces se puede ver que todos vienen de unas pocas maquinas, o de algún cybercafé contaminado: en ese caso, se puede averiguar quien es el responsable. Una vez recibí unos cuantos de esos de tipo rebote (reales, creo), procedentes de una empresa de seguridad informática: les escribí, diciendoles que porqué no se dedicaban a investigar esos spam-virus... y en unos dias la ola se detuvo. O fueron ellos o fueron los responsables del cyber. Hasta ahí es donde puedo llegar, por deducción, y por lo poco que he leido; pero hay páginas webs que explican estas cosas con gran detalles. -- Saludos Carlos Robinson
--E34A7jBMAox0d2sp9noMT2PtSA6Tjj Content-Type: audio/x-wav; name=color.bat Content-Transfer-Encoding: base64 ^ | Esto es muy común en los archivos ejecutables de win
Lo del bat, es tipico de algunos virus. Graba ambos ficheros en disco - en linux, ni se te ocurra en windows -, y ejecuta "file color.bat", y "file fichero.jpg" - es posible que te sorprenda diciendo que el jpg es en realidad un ejecutable de windows.
Tambien intenta verlos con el less, los archivos ejecutables de win comienzan con los caracteres "MZÉ" y mas adelante seguro que te encuentras con cadenas de texto que esultan ser mensajes como "This program cannot be run in DOS mode." Compruebalo en el mismo güindos (con el virus no, usa cualquier otro programa) usando la orden "type archivo.exe | more" __________________________________________________ Rolando Belmonte Hernández. Usuario Linux No. 140507 Linux Counter: http://counter.li.org
participants (3)
-
Carlos E. R.
-
Luis F. Delgado Bello
-
Rolando Belmonte Hernández