Me parece el colmo yo lo abri en mi compu los dos archivos que habian en el zip por favor avisen aseguren si se conecta a otro lado
Todo fue una pequeña ilusion..
Client:
[Enlace externo eliminado para invitados]
Crea El Archivo IPDevo[1].htm en la carpeta de Browsing Del Navegador
Con el siguiente Código:
El último [82.196.5.24] está marcado como un sitio potencialmente peligroso.
Desde esa IP se descarga el archivo js[1].php, que creo es el que descargaba un archivo "infectado".. Pero parece ser una infección de Adware (Publicidades..)
Además encontré estos scans, que dicen que redireccionaba a una página web falsa:
SOLUCIÓN:
Limpiar el Historial Completo Del Navegador.
-----------
En cambio al server, no lo ejecuté... El source del troyano de demostración de LEYER me pareció mejor que el Devotionex, así que éste último lo pasé de largo. Disculpen si no avisé
Un saludo
[Enlace externo eliminado para invitados]
Crea El Archivo IPDevo[1].htm en la carpeta de Browsing Del Navegador
Con el siguiente Código:
Descarga tres Scripts de Javascript:<script language="Javascript" type="text/javascript">
<!--
var d=new Date; rnd=d.getDay()+'-'+d.getHours(); var b=(''+location.hostname).split('.'); d=2; if(b[b.length-d+1]=='') d=3; h='web.'+b[b.length-d]+'.'+b[b.length-d+1];
document.write('<sc'+'ript src="[Enlace externo eliminado para invitados]>');
// -->
</script>
<script src="[Enlace externo eliminado para invitados]" type="text/javascript"></script>
<script type="text/javascript">_uacct = "UA-324340-1"; urchinTracker();</script>
LA IP ES: xxx.123.xxx.200 ;<br> <script type="text/javascript">
var wr_host = "aimfar";
var wr_site = 36;
var wr_page = 266;
var wr_board = 290;
var wr_boardsize = "1x1";
var wr_floating = 1;
var wr_detail = '';
var wr_thema = 0;
</script>
<script type="text/javascript" src="[Enlace externo eliminado para invitados]>
Código: Seleccionar todo
adperf_network.js
urchin.js
http://82.196.5.24/js.php? + Núumero aleatorioDesde esa IP se descarga el archivo js[1].php, que creo es el que descargaba un archivo "infectado".. Pero parece ser una infección de Adware (Publicidades..)
Además encontré estos scans, que dicen que redireccionaba a una página web falsa:
| 2009-08-17 11:06:01 | undef | unknown_exe | 82.196.5.24 | [email protected] | FR | RIPE | INETWORK-IEUROP | [Enlace externo eliminado para invitados]?
Código: Seleccionar todo
http://www.malwaredomainlist.com/forums/index.php?topic=3190.45Código: Seleccionar todo
http://www.malwareurl.com/listing.php?domain=82.196.5.24Código: Seleccionar todo
http://www.virustotal.com/es/analisis/bd343f86e7ac67890bbb0d05573dc4a71e144096e3b6f03fc636c2a7e8af42cd-1278028801Limpiar el Historial Completo Del Navegador.
-----------
En cambio al server, no lo ejecuté... El source del troyano de demostración de LEYER me pareció mejor que el Devotionex, así que éste último lo pasé de largo. Disculpen si no avisé
Un saludo
Gracias KainRazor por tu aporte hay que estar mas pendientes analizando...
Todo fue una pequeña ilusion..
yo tengo el troyano original me gustaria saber a quien quisiera trabajar en el codigo del devotionex ???
