Hola Dalton no es exactamente lo que recibi, no era ningun link, era un mail q al pinchar en �l, descargaba un archivo, supongo q ahi es donde esta la similitud, claro pero, la cuestion quiza mas importante es saber si sin querer he reenviado informacion a alguien,i si lo he hecho que informacion ha sido? uso mozilla, lo abri desde linux, i no llegu� a guardar ningun archivo, que opina doctor? Mi situacion es grave? ;)
un saludo laura ----- Mensaje Original ----- Remitente: Dalton <[EMAIL PROTECTED]> Fecha: S�bado, Junio 21, 2003 3:33 am Asunto: Re: [Internauta] mail d'extrany comportament > Laura, no se si has leido la noticia una al dia de hispasec de ayer: > > Burlar el antivirus de Hotmail por XSS > -------------------------------------- > > Cross site scripting (XSS) es una de las vulnerabilidades m�s comunes > hoy d�a de los sitios web, y tambi�n es una de las que menos atenci�n > se le presta, pese a que puede tener importantes implicaciones para > la seguridad del cliente. En esta ocasi�n se demuestra como a trav�s > de XSS es posible burlar la protecci�n antivirus que ofrece Hotmail. > > Cross site scripting (XSS) es una de las vulnerabilidades m�s comunes > hoy d�a de los sitios web, y tambi�n es una de las que menos atenci�n > se le presta, pese a que puede tener importantes implicaciones para > la seguridad del cliente. En esta ocasi�n se demuestra como a trav�s > de XSS es posible burlar la protecci�n antivirus que ofrece Hotmail. > > El ataque t�pico de Cross site scripting (XSS) suele llevarse a cabo > a trav�s de un enlace que apunta a un servidor web afectado. La URL > se construye de forma especial para que incluya un script del atacante > que ser� transmitido por el servidor afectado al cliente que utilice > el enlace para visitar el web. > > Dado por ejemplo un sitio web que permite realizar b�squedas: > > http://sitio/busqueda.asp?busca=texto > > El XSS podr�a darse a trav�s de una URL tipo: > > " target="l">http://sitio/busqueda.asp?busca=<script_del_atacante> > > Las posibilidades de ataque a trav�s de XSS son varias, las m�s > comunes suelen ser la captura de cookies e identificadores, que > permiten capturar sesiones y suplantar la identidad de los afectados, > o la modificaci�n de contenidos para enga�ar al visitante v�ctima > del XSS, con la posibilidad de construir formularios para robar > datos sensibles, como contrase�as, datos bancarios, etc. > > > Hotmail y archivos adjuntos > > El sistema de descarga de archivos adjuntos de Hotmail se lleva a > cabo a trav�s de una URL donde se pasan como par�metros, entre otros, > el identificador del usuario y del mensaje. En esa misma URL se > encuentra al final un par�metro (vscan) que de forma evidente es el > que da la orden para que en el momento de la descarga por parte del > usuario se realice el an�lisis del antivirus. > > La URL de descarga de adjuntos tiene un aspecto como el siguiente: > > http://by7fd.bay7.hotmail.msn.com/cgi-bin/getmsg?curmbox=F000000001&; > a=[id_del_usuario]&msg=[id_del_mensaje]&start=XXXXXX&len=XXXX& > mimepart=4&vscan=scan > > El exploit de infohacking est� basado en un XSS presente en Hotmail > a trav�s de los archivos adjuntos mediante el cual consigue tener > acceso al identificador del usuario y del mensaje. Gracias a estos > datos que puede conseguir a trav�s del XSS, construye una URL de > descarga donde omite el par�metro del antivirus. > > El resultado es que el atacante puede enviar adjunto un archivo .htm > que contiene el exploit XSS y un segundo archivo con un virus. La > v�ctima, al abrir el primer adjunto .htm, provoca la redirecci�n a > la nueva URL construida que descarga el segundo archivo adjunto > infectado (el virus) sin pasar por el an�lisis del antivirus de > Hotmail. > > El exploit de infohacking es una prueba de concepto que puede no > reproducirse en todas las circunstancias. Principalmente se debe > al uso de referencias absolutas (slice) para delimitar la cadena > principal desde donde extrae los par�metros e identificadores. Una > peque�a variaci�n para recoger esta cadena de forma m�s din�mica > seg�n separadores (split) puede hacer m�s portable el exploit, sin > depender de la longitud exacta de la URL seg�n var�e el servidor > o la longitud de los par�metros. > > Opina sobre esta noticia: > http://www.hispasec.com/unaaldia/1698/comentar > > M�s informaci�n: > > HOTMAIL XSS and AV bypass exploit > http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/Hotmail/index.htm > > > Bernardo Quintero > [EMAIL PROTECTED] > > ----- Original Message ----- > From: <[EMAIL PROTECTED]> > To: <[EMAIL PROTECTED]> > Sent: Friday, June 20, 2003 6:08 PM > Subject: [Internauta] mail d'extrany comportament > > > hola nomes informar del darrer mail viros q m'ha arribat, nomes > obrirlodes de un webmail em demana guardar un arxiu que no he > demanat,... Si > vos heu trobat amb ell em confirmareu si es un virus, mentres el > borre, ;) > fins aviat! > > laura > > l'arxiu txt que porta el mail diu a�o: > --------------------------------------------------------------- > UWAGA !!! Zmieniono nazwe zalacznika ! > --------------------------------------------------------------- > Skaner Antywirusowy poczty Wirtualnej Polski zmienil nazwe > zalacznika, ktory moze zawierac wirusa. Ostatnia kropka > w nazwie pliku zostala zamieniona na znak podkreslenia w celu > wyeliminowania automatycznego uruchomienia zawartego > wewnatrz wiadomosci zalacznika. > > --------------------------------------------------------------- > Warning !!! The attachment's filename has been changed! > --------------------------------------------------------------- > Anti-Virus Scanner of Wirtualna Polska mail system has changed > the name of attachment, which can contain a virus. The last dot > character in its filename has been changed to underscore, in order > to avoid automatic execution of the attachment included in the mail > message. > -------------------------------------------------------------------- > I EL MAIL ES AQUEST: > Remitente Internet Mail Storage <[EMAIL PROTECTED]> > Fecha Viernes, Junio 20, 2003 4:01 pm > Destinatario Network email-form user < > > Asunto Abort Notice > Ficheros incluidos > ylKxxSsVc_exe 124K antyvirinfo.txt 1K > > This is the qmailservice program. > > I'm sorry to have to inform you that the message returned > below could not be delivered to one or more destinations. > > > > Undeliverable to [EMAIL PROTECTED] > > > _______________________________________________ > llista de correu de l'Internauta > [EMAIL PROTECTED] > http://zeus.internauta.net/mailman/listinfo/internauta > > _______________________________________________ > llista de correu de l'Internauta > [EMAIL PROTECTED] > http://zeus.internauta.net/mailman/listinfo/internauta > > _______________________________________________ llista de correu de l'Internauta [EMAIL PROTECTED] http://zeus.internauta.net/mailman/listinfo/internauta
