Etiqueta: internet explorer

Fotos 05/06

Estos últimos días me ha llegado varias veces un correo con el asunto «Fotos 05/06» que contiene una foto.

fotos 05/06

El enlace de la foto no es a la propia foto, hace un enlace a esta dirección:

fotos 05/06

Y por lo que leo por ahí, es un virus

Qué hace el virus?

Abre un nuevo proceso oculto del Internet Explorer, que hace uso de tus credenciales de tu cliente webmail (hotmail o gmail) y reenvía a todos tus contactos el virus, varias veces.

Cómo lo limpio?

A día de hoy, 12 de junio de 2010, no hay un antivirus que lo limpie, así que debes borrarlo manualmente.

Los pasos son:
1. Cerrar sesión en hotmail para que el virus deje de reenviarse a todos tus contactos.
2. Eliminar toda la información privada de Internet Explorer, pulsando Ctrl+Mayúsculas+Del
3. Matar los procesos del virus desde el Administrador de tareas: Ctrl+Alt+Del / Iniciar el Administrador de Tareas / Procesos / Ver procesos de todos los usuarios / Ordenar por nombre (Pinchar en la columna «Nombre de Imagen») y buscar:
– xlr.exe
– xlr2.exe
(Con el botón derecho / Finalizar el árbol de tareas)
4. Borrar las claves de registro, para que al reiniciar el equipo no se vuelva a abrir el virus: TeclaDeWindows+R / regedit.exe / Edición / Buscar y escribimos xlr.exe. Cuando lo encuentre, borrar todo lo que empiece por xlr. Serán 2 o 4 claves, dependiendo de las veces que hayamos intentado abrir la foto.
5. Borrar la carpeta donde están copiados los ficheros del virus (C:\CMOS): Abrir el explorador de archivos. La carpeta está oculta, por lo que debes tener configurado el explorador de archivos para que permita ver archivos ocultos. Si no ves una carpeta que se llame CMOS dentro de C:\, haz lo siguiente: Pulsa tecla Alt / Herramientas / Opciones de Carpeta / Ver / Archivos y Carpetas Ocultos / Mostrar Archivos, carpetas y unidades ocultos.
Ahora que ves la carpeta intenta eliminarla. Si da error, cámbiale el nombre a CMOSKKKKKK.
6. Reinicia el ordenador.

Si todo ha ido bien, ya no aparecerá el proceso xlr.exe en la lista de procesos, ni habrá aparecido de nuevo la carpeta C:\CMOS, y lo más importante, tus amigos dejarán de recibir el virus.

Si alguno de tus amigos ya ha abierto el correo y está también infectado, mándale este artículo.

¿Dónde se guardan las contraseñas en internet explorer?

Me preguntaban el otro día que dónde se guardaban las contraseñas que almacena Internet Explorer. Como no lo uso hace tieeeempo, no tenía ni idea, asi que me he puesto a mirar y enseguida he encontrado este sitio donde lo explican.

Bueno casi todos sabemos que a la hora de iniciar una sesión en nuestro messenger, se nos pide un nombre de usuario y una contraseña. En la esquina inferior izquierda de esa ventana de identificación, encontramos una opción que podemos marcar: “recordar nuestro nombre de usuario y contraseña en este equipo”. ¿Alguna vez os habéis preguntado dónde guarda esta información? Pues la respuesta es en el registro. Y más concretamente, en la entrada de registro: «Hkey_Current_UserSoftwareMicrosoftMesse… ePasswordMSN Messenger Service».

Sin embargo, Mocosoft no nos lo iba a poner tan sencillo (aunque casi) y el password se encuentra encriptado, así que para conocerlo deberemos desencriptarlo (y eso os lo vais a tener que currar vosotros)… En nuestra sección accesorios tenéis a vuestra disposición un programa que hace esta función.

Pero esa no es la única clave en el registro interesante que hace nuestro querido Messenger… y sino fijaos en ‘HKEY_CURRENT_USERSoftwareMicrosoftMesse… eListCache.NET Messenger Service’, donde podremos ver no sólo toda nuestra lista de contactos, sino además si figuran como admitidos o no admitidos. En un primer vistazo parece que toda esta información se encuentra encriptada, sin embargo, no es así. Sólo tenemos que hacer doble clic en cualquiera de las entradas y en la nueva ventana que se abre (en la parte de la derecha) podremos ver la dirección de correo electrónico de ese contacto.

Pero eso no es todo. Si miramos en esa misma entrada de registro nuestra información, veremos que, si hemos rellenado todos los datos que nos pide el messenger, también se encuentran ahí almacenados nuestro teléfono de casa, el móvil y el del trabajo :O

Para ello debemos buscar las siguientes siglas: PHH (home telephone number) – contiene el teléfono de casa PHM (mobile telephone number) – contiene el teléfono del móvil PHW (work telephone number) – contiene el teléfono de nuestro trabajo

Además toda esta información se encuentra sin encriptar, así que haciendo un Netbios he introduciéndonos en la clave del registro de la víctima «Hkey_Current_UserSoftwareMicrosoftMesse… ePasswordMSN Messenger Service» podremos obtener sus números de teléfono rápidamente… eso sí, recordad que para ello el usuario de ese PC debe haberlos introducido antes, lo que es poco probable ya que por ejemplo en España, esos datos son opcionales, además de no disponer todavía de los servicios relacionados con llamadas telefónicas ni envíos de mensajes sms que en otros países sí están activados.

Internet Explorer 8, hackeado

Han bastado unas pocas horas desde su lanzamiento, para que la versión 8 del explorador de Microsoft, ya haya sido hackeada:

El investigador, un estudiante de ciencia de Alemania que solo dio su primer nombre, Nils, hackeo el navegador en minutos, explotando una vulnerabilidad hasta el momento desconocida de Internet Explorer 8 en la laptop Sony que utilizaba Windows 7.

TippingPoint, el patrocinador del concurso PWN2OWN, compra las vulnerabilidades y los derechos de los exploits cuando ofrece premios en efectivo en este concurso, y luego pasa la informacion al fabricante.

Segun Terri Forslof, gerente de seguridad de TippingPoint,

“Esta es la mejor parte del concurso PWN2OWN. Microsoft pudo presenciar lo sucedido, y a tan solo minutos del hackeo de IE8, TippingPoint proveyo de los detalles y codigo a Mike Reavey, gerente de operaciones de Microsoft Security Research Center (MSRC), quien se encontraba en la conferencia de seguridad CanSecWest, que organiza PWN2OWN.

La gente de Microsoft tuvo la oportunidad de hablar directamente con Nils sobre el bug, y en cinco horas ya lo habian reproducido en sus laboratorios.

Microsoft se nego a confirmar la vulnerabilidad, y utilizo su frase habitual cuando algun bug en sus productos toma estado publico

“Microsoft esta investigando reportes de una posible vulnerabilidad en Internet Explorer 8. Si esto se confirma, tomaremos acciones para proteger a nuestros usuarios.”

Pero IE8 no fue el unico navegador que Nils hackeo. Despues de penetrar en Internet Explorer 8, tambien lo hizo en Safari de Apple y Firefox de Mozilla, los cuales hackeo exitosamente con codigo de ataque que habia creado recientemente. Sus ganancias totales en el concurso fueron de 15.000 dolares en efectivo y la laptop Sony.

Antes de que Nils hiciera lo suyo en IE8, Charlie Miller tambien habia hackeado Safari en segundos, y gano un premio de 5.000 dolares y una notebook MacBook.

Segun las reglas de este concurso y las politicas de TippingPoint, los detalles de las vulnerabilidades se mantienen confidenciales hasta que el desarrollador lance un parche, para lo que se le brinda toda la informacin necesaria.

TippingPoint es una de las dos compañias de seguridad que ofrece recompensas en efectivo por descubri bugs en aplicaciones y si bien no da a conocer cuanto paga por una vulnerabilidad, en el pasado ha ofrecido recompensas de hasta 20.000 dolares.

El concurso PWN2OWN finaliza mañana, con navegadores de Microsoft, Mozilla, Apple y Google aun en juego. Una segunda parte del desafio pone a estos hackers contra cinco sistemas operativos de telefonos inteligentes o smatphones: Windows Mobile, Google Android, Symbian, y los sistemas operativos utilizados en iPhone y BlackBerry.