General, hack, software, Tecnologia en General

que alguien me explique!!!

Hace un tiempo me registre (por osioso) a una pagina que se llama meetyourmessenger es argentina y lo hice porque una amiga de ese pais me hizo la “invitacion” en primer lugar la pagina es muy limitada, solo piensa en personas que viven en ese pais, ok eso no es lo malo lo malo es que me eh dado cuenta de algunas cosas principalemnte de algo que podria ser un exploit, de un tiempo para aca mi messenger comenzo a fallar, se cerraba solo despues de unos segundos de haber iniciado sesion, lo cual se me hizo bastante raro comenze a indagar y me di cuenta que mi cliente de messenger generaba logs de errores, y en el log me encontre con varias cosas curiosas, una de ellas es que cuando se conecta empezaba a poner ciertas instruccines por medio de las cuales sacaba infromacion de mi Pc, aunque aparentemente no era informacion valiosa, el paso siguiente era donde se usaba esa informacion y combinados seguro serian un arma potencial…

el log contiene entre otras cosas esto

2094867673 : java.version : 1.6.0_13
2094867674 : java.vendor : Sun Microsystems Inc.
2094867674 : java.vendor.url : http://java.sun.com/
2094867674 : java.class.version : 50.0
2094867674 : os.name : Linux
2094867674 : os.arch : i386
2094867675 : os.version : 2.6.28-13-generic
2094867675 : file.separator : /
2094867675 : path.separator : :
2094867675 : user.name : enrique
2094867675 : user.dir : /home/enrique
2094867676 : user.home : /home/enrique

como podemos ver primero checa quien soy y como esta estructurada mi Pc, luego realiza un par de comandos java interesantes

0 : (java.net.SocketPermission runautosetup.meetyourmessenger.com connect,accept,resolve)
1 : (java.security.AllPermission <all permissions> <all actions>)

como vemos intenta establecer una conexion con cierta pagina… luego intenta lo siguiente (donde falla)

2094867678 : Check system compability
2094867678 : System not supported, os.name : linux
2094867678 : url source : http://runautosetup.meetyourmessenger.com/
2094867683 : init done

2094869300 : closing connection

como vemos su objetivo era comprobar que tuviera un SO compatible para algo, pero para que?

si abrimos la url que menciona a la que realizo la conexion encontraremos el meoyo del asunto ya que en codigo fuente se aprecia esto

<body>
    <form name="form1" method="post" action="Default.aspx" id="form1">
<div>
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/NumerosRarosAqui" />
</div>
    </form>
</body>

lo cual para los entendidos en html es un envia de datos a su
servidor… por consiguiente, lo que hace esto es primero saca datos
de nuestro sistema datos importantes cuando se trata de instalar algo,
como el path del usuario entre otras cosas luego establece la conexion
con la pagina esa y se los postea!! despues viene el codigo en donde verifica
nuestro SO e intenta instalar algo, que como podemos deducir sera un exe de
windows ya que nos dice que la version no es compatible y ademas falla en el intento

A los usuarios de esta dudosa red social les recomiendo que se den de baja que cambien
su contraseña de msn y procuren difundir el mensaje, naturalmente por mi SO no se que
efectos tendra el haber instalado eso pero naturalmente que no seria algo bueno, mi
conclusion es que esta pagina es una pagina falsa al estilo pishing con que fin?
no lo se pero no recomendaria esa pagina a nadie 😛

por cierto donde dice numerosRarosAqui eso lo puse yo, en realidad lleva un codigo aparentemente encriptado
el cual podria contener cualquier informacion, desde solo nuestro nombre, hasta todos los datos de nuestra
cuenta de msn…

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s