{"id":41,"date":"2006-05-09T13:06:49","date_gmt":"2006-05-09T18:06:49","guid":{"rendered":"http:\/\/www.lastdragon.net\/?p=41"},"modified":"2006-05-09T13:07:29","modified_gmt":"2006-05-09T18:07:29","slug":"41","status":"publish","type":"post","link":"https:\/\/www.lastdragon.net\/?p=41","title":{"rendered":"Support.Microsoft\u2026 una verg\u00fcenza ajena"},"content":{"rendered":"

El siguiente articulo me lo envio Edwin A Capdepomt<\/strong><\/p>\n

———————————————————————————————-<\/p>\n

Hace un mes en la empresa para la cual laboro como jefe de sistemas, se infectaron 6 equipos, la infecci\u00f3n fue por un mensaje recibido v\u00eda Messenger. El mensaje llegaba de la siguiente forma:<\/p>\n

http:\/\/ar.geocities.com\/tufoto_1234\/tufoto.zip<\/p>\n

El antivirus usado en nuestra empresa es el AntiVir http:\/\/www.free-av.com\/ el cual no detecto la infecci\u00f3n, posteriores actualizaciones ya lo detectaban como tal, y fue al ver que el Messenger abr\u00eda un sin fin de ventanas que me di cuenta que esto era obra de un virus.<\/p>\n

Envi\u00e9 el archivo para an\u00e1lisis en la la pagina de VirusTotal y este fue el resultado:<\/p>\n

Este es el resultado completo de analizar el archivo “TUFOTO.jpg.exe” que VirusTotal ha recibido el d\u00eda 09.05.2006 a las 18:33:51 (CET).
\nAntivirus\tVersion\tActualizaci\u00f3n\tResultado
\nAntiVir\t6.34.1.27\t09.05.2006\tTR\/Dldr.VB.aab
\nAvast\t4.6.695.0\t08.05.2006\tno ha encontrado virus
\nAVG\t386\t09.05.2006\tDownloader.Generic.WQJ
\nBitDefender\t7.2\t09.05.2006\tWin32.Worm.VB.Pagador.A
\nCAT-QuickHeal\t8.00\t09.05.2006\tno ha encontrado virus
\nClamAV\tdevel-20060426\t09.05.2006\tno ha encontrado virus
\nDrWeb\t4.33\t09.05.2006\tno ha encontrado virus
\neTrust-InoculateIT\t23.72.3\t09.05.2006\tWin32\/Pagador.A!Worm
\neTrust-Vet\t12.4.2201\t09.05.2006\tno ha encontrado virus
\nEwido\t3.5\t09.05.2006\tDownloader.VB.aab
\nFortinet\t2.76.0.0\t09.05.2006\tW32\/IRCFlood.1095!tr
\nF-Prot\t3.16c\t09.05.2006\tno ha encontrado virus
\nIkarus\t0.2.65.0\t09.05.2006\tTrojan-Downloader.Win32.VB.aab
\nKaspersky\t4.0.2.24\t09.05.2006\tTrojan-Downloader.Win32.VB.aab
\nMcAfee\t4758\t09.05.2006\tPWS-MSNFake.a
\nMicrosoft\t1.1372\t09.05.2006\tno ha encontrado virus
\nNOD32v2\t1.1527\t09.05.2006\tprobably unknown NewHeur_PE virus
\nNorman\t5.90.17\t09.05.2006\tW32\/DLoader.VZL
\nPanda\t9.0.0.4\t09.05.2006\tTrj\/Noglo.A
\nSophos\t4.05.0\t09.05.2006\tTroj\/Dloadr-TH
\nSymantec\t8.0\t09.05.2006\tInfostealer
\nTheHacker\t5.9.7.140\t08.05.2006\tTrojan\/Downloader.VB.aab
\nUNA\t1.83\t06.05.2006\tTrojanDownloader.Win32.VB
\nVBA32\t3.11.0\t08.05.2006\tTrojan-Downloader.Win32.VB.aab<\/p>\n

Informaci\u00f3n adicional
\nTama\u00f1o archivo: 33068 bytes
\nMD5: be8a4c4cbe425c113c9f3ae22c62b6d2
\nSHA1: bf6ac6ab3206639ec6844d4f9e93c7897f4c825f
\nVirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el \u00edndice de detecci\u00f3n ofrecido por el an\u00e1lisis simultaneo de m\u00faltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe soluci\u00f3n que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.<\/p>\n

La eliminaci\u00f3n fue manual, ya que al abrir el archivo en cuesti\u00f3n, con un editor hexadecimal de nombre WinHex http:\/\/www.winhex.com\/index-e.html, hab\u00eda una relaci\u00f3n de los archivos que efectuaban la infecci\u00f3n.<\/p>\n

Entre los archivos generados estan:<\/p>\n

MSN Messenger 7.5.exe instalado en C:\\ y,
\nBeto1 instalado en C:\\WinNT\\System32<\/p>\n

La instalaci\u00f3n de Beto1 puede variar dependiendo del S.O.<\/p>\n

Dentro de Tufoto.zip, viene empacado el siguiente archivo: TUFOTO.jpg.exe<\/p>\n

Este Archivo fue dise\u00f1ado usando Visual Basic 6<\/p>\n

Esto fue lo q encontramos dentro de el, usando el editor hexadecimal:<\/p>\n

C:\\WINDOWS\\system32\\beto1
\nC:\\WINDOWS\\system32\\logon.exe<\/p>\n

H K E Y _ L O C A L _ M A C H I N E \\ S O F T W A R E \\ M i c r o s o f t \\ W i n d o w s \\ C u r r e n t V e r s i o n \\ R u n \\ l o g o n R e g R e a d R e g W r i t e \u02c6 C : \\ D o c u m e n t s a n d S e t t i n g s \\ A l l U s e r s \\ E s c r i t o r i o \\ M S N M e s s e n g e r 7 . 5 . l n k<\/p>\n

C : \\ D o c u m e n t s a n d S e t t i n g s \\ A l l U s e r s \\ M e n \u00fa I n i c i o \\ P r o g r a m a s \\ M S N M e s s e n g e r 7 . 5 . l n k 0 c : \\ M S N M e s s e n g e r 7 . 5 . e x e<\/p>\n

ftp:\/\/beto123456789:beto?123456@ftp.webcindario.com\/1.exe fuente de donde proven\u00edan 3 archivos.<\/p>\n

El otro archivos es: MSN Messenger 7.5.exe, dentro de el encontramos lo siguiente:<\/p>\n

roblo53@hotmail.com<\/p>\n

Bien, como funcionaba esto, al descargar el archivo y afectuar la infecci\u00f3n, el programa creaba enlaces al archivo MSN Messenger 7.5.exe, por lo cual el usuario cre\u00eda estar activando el Messenger original, sin embargo si uno pon\u00eda atenci\u00f3n en la ventana q se abr\u00eda este tenia ciertas diferencias, no vamos a entrar en detalles pues hay cosas que nos interesan mas.<\/p>\n

Empezaremos por decir que el programador de este juguetito, se hace llamar Beto, es originario de Argentina. Su prop\u00f3sito ha sido no solo de fastidiar gente, sino tambi\u00e9n de tener acceso a las cuentas de los usuarios infectados, ya que el virus enviaba, debo suponer v\u00eda email las claves de los usuarios cuando estos por no darse cuenta ejecutaban la versi\u00f3n falsa del Messenger. Y hay pruebas de que esto funciono, sino vean la siguiente p\u00e1gina:<\/p>\n

http:\/\/beto123456789.webcindario.com\/ que se encuentra alojada en los servidores de Miarroba Networks, S.L., aqu\u00ed hay tres listas de los correos a los cuales este personaje ha tenido acceso, me puse en contacto con algunos de los usuarios afectados, y todos concordaron en haber sufrido una infecci\u00f3n v\u00eda Messenger, la cual corresponde con el mismo archivo:<\/p>\n

http:\/\/ar.geocities.com\/tufoto_1234\/tufoto.zip<\/p>\n

Todos hab\u00eda recibido el archivo de la misma direcci\u00f3n.<\/p>\n

Proced\u00ed a enviar un correo a Support Microsoft Usa, Support Microsoft Argentina y Support Microsoft Espa\u00f1a, exponi\u00e9ndoles el caso, la informaci\u00f3n enviada fue la misma que aqu\u00ed expongo y la respuesta en los tres casos fue la misma, Support Microsoft se hace al desentendido, Support Microsoft me solicita de nuevo explique el problema. No voy a exponer la respuesta de Support, aun conservo los correos, pero quiero evitar la perdida de tiempo. Mi inter\u00e9s es dejar bien claro que Support Microsoft solo atender\u00e1 los casos relacionados con paginas alojadas en http:\/\/spaces.msn.com\/.<\/p>\n

Entiendo perfectamente que la seguridad de cada cuenta es responsabilidad de cada usuario, el problema siempre residir\u00e1 entre la silla y el teclado. Solo quiero exponer, la falta de conocimiento, de seriedad y responsabilidad por parte de Support Microsoft y del personal que laboran ah\u00ed. Ya que si el problema no tiene ninguna relaci\u00f3n con MSN, Hotmail o MSN Messenger, ellos no pueden o no quieren hacer nada.<\/p>\n

No estoy en contra de Microsoft, ni de ninguno de sus servicios, pues los productos de Microsoft en sus diversas ramas me han facilitado la vida en mi trabajo.<\/p>\n

Estoy en contra de la falta de responsabilidad, la falta de seriedad y de las respuestas muy pobre por parte de Support Microsoft. Si ellos me hubieran dicho, \u201cesta situaci\u00f3n que usted nos expone esta fuera de nuestras responsabilidad, pero la haremos llegar al departamento o persona adecuada para que le de una respuesta satisfactoria?? una respuesta as\u00ed, claro que satisface a cualquiera.<\/p>\n

No espero una respuesta favorable, solo quiero exponer una situaci\u00f3n, que espero que en un futuro no muy lejano, alguien de Microsoft tenga la amabilidad de corregir.<\/p>\n

Saludos.<\/p>\n

Atte.<\/p>\n

EvilAngel (Edwin A Capdepomt)<\/p>\n","protected":false},"excerpt":{"rendered":"

El siguiente articulo me lo envio Edwin A Capdepomt ———————————————————————————————- Hace un mes en la empresa para la cual laboro como jefe de sistemas, se infectaron 6 equipos, la infecci\u00f3n fue por un mensaje recibido v\u00eda Messenger. El mensaje llegaba de la siguiente forma: http:\/\/ar.geocities.com\/tufoto_1234\/tufoto.zip El antivirus usado en nuestra empresa es el AntiVir http:\/\/www.free-av.com\/…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-41","post","type-post","status-publish","format-standard","hentry","category-consultoria-y-manuales"],"_links":{"self":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/41","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=41"}],"version-history":[{"count":0,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/41\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=41"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=41"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=41"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}