----- Original Message -----
From: Mario Font Cordero <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Cc: <[EMAIL PROTECTED]>
Sent: Monday, August 16, 1999 11:35 PM
Subject: (OFF-TOPIC) AMISTADES PELIGROSAS
> Hola:
> Por la importancia que le confiero a esto es que me decido a hacerlo
> publico en esta lista.
>
> Hace unos dias ya, un amigo, con la mejor de las intensiones, me paso un
> URl donde segun
> le habian informado se encontraban una serie de programas que le debian
> servir para usar
> internet a full desde aca a aquellos que no estan en la lista de los
> elegidos a hacerlo. Contacte de
> inmediato con uno de mis amigos que si esta en la lista de los elegidos y
> le pedi que me bajara
> la pagina web y los programas que ahi se ofrecian. El sitio (
> http://cubanet.jumpcomputers.com/ )
> se anuncia como "La pagina de los cubanos" y a pesar de no tener un
disenno
> atractivo ni nada de eso
> los anuncios de los links le harian la boca agua a cualquiera de los que
no
> tenemos la posibilidad de
> usar la internet a nuestro antojo. Por suerte no me deje caer en la
> tentacion y me dedique a ver
> primero con cuidado que era eso que tan "dadivosamente" me caia en las
> manos y aqui les
> enumero lo que pude constatar.
>
> 1 - En el web site todos los files son lo mismo, un mismo zip que tiene
> varios nombres, y lo que trae adentro es un .exe nada mas.
>
> 2 - El .exe al correr no hace nada ....
>
> 3 - Los exe tienen todos 628k,
>
> 4 - El .exe altera el registro de windoze como es natural y crea ademas
un
> file llamado expl32.exe en \windows, lo cual hace pensar que se trata del
> explorer. No se puede borrar porque windows lo tiene todo el tiempo
> cargado, asi que hay que hacer reboot y cargar DOS, y borrarlo desde el
> prompt.
>
> 5 - En el registro se agrega en la lista de los programas que deben correr
> cuando arranca windoze, ese key
> esta en HKLM\software\microsoft\current version\run. Hay que quitarlo de
> ahi con el regedit.
>
> 6 - El file expl32.exe tiene tambien 628k, por lo que debe ser una copia
> identica del exe original, aunque en el espia que use para ver
> los files que escribia, se veia que escribia algo en el, deben ser algunos
> settings o algo similar.
>
> 7 - Busque todo el resto del registro para ver si habia algo mas y no
> encontre nada mas. Repeti el procedimiento de
> "infeccion" tres veces a ver si estas conclusiones eran seguras, y 100%,
se
> trata de un hacker o un virus enredando la pita.
> No he tenido tiempo de debugearlo y no creo que le dedique mas tiempo a el
> ( al menos se que esta hecho con Borland
> C++ Builder )..... a lo mejor alguien se embuya ....
> :-)
>
> Sirva esta experiencia para entender que no hay que confiar a priori en
> estas recetas que alguien tan dadivosamente oferta
> y mucho menos si vienen de websites free donde no hay direccion de email,
> ni documentacion, ni nada por el estilo. En este caso
> evidentemente nos encontramos ante la obra de algun aficionado ( el. exe
se
> copia y no se attachea, cambia un registry key bien trivial y al
ejecutarse
> el .exe no hace absolutamente nada en pantalla que distraiga la atencion
> del user) pero aun asi una cosilla de estas bien puede estar mandando
> logins y passwords sabe Dios a que direccion, por solo citar una de las
> posibilidades. Pueden haber otras "recetas" de mejor calibre mas dificles
> de detectar en la net.... ojo con esto.
>
> A mi amigo que con tan buena intesion me hizo participe de este URl que no
> se sienta mal por haber participado ingenuamente en esta charada...solo
que
> recuerde que "de buenas intensiones esta empedrado el camino al infierno".
> Si hay mas personas que
> han recibido este URL y se han bajado algo que sigan el procedimiento de
> desinfecion y por si acaso que cambien su password.... nunca se sabe.
>
> Espero que la intrusion en el tema de la lista no sea del todo valdia.
>
> Salu2
> Mayo
>
>
>
>
> _______________________________________________
> Linux-l maillist - [EMAIL PROTECTED]
> http://www.linux.cu/mailman/listinfo/linux-l
___________________________________________________________________________
To unsubscribe, send email to [EMAIL PROTECTED] and include in the body
of the message "signoff SERVLET-INTEREST".
Archives: http://archives.java.sun.com/archives/servlet-interest.html
Resources: http://java.sun.com/products/servlet/external-resources.html
LISTSERV Help: http://www.lsoft.com/manuals/user/user.html
