14 mayo 2014

Que enjaulen a ese mono


NOTA 2: a solicitud del dueño del dominio de origen, que me ha asegurado no tener nada que ver con el asunto, he eliminado su nombre y datos, pues es posible que alguien máa haya usado su servidor para hacerlo. Espero que los otros sitios que han reproducido este post hagan lo mismo, considerando que se podría estar dañando la reputación de alguien inocente.
 
*** NOTA: ver en los comentarios el post del dueño del dominio, quien asegura no haber sido ni saber quien colocó el código malicioso en su servidor ***

Me llegó en la mañana el mail del "Servicio de Impuestos Internos" que decía así

Estimado contribuyente (no salía mi nombre) 

Se informa que con fecha 12/05/2014 el Servicio de Impuestos Internos ha detectado anomalías en su situación fiscal y su devolución de impuestos será retenida.

Para más información se adjunta un documento con la información detallada

Saluda atentamente a Ud.
Servicio de Impuestos Internos (sin nombre de funcionario)

Bueno, lo anotado entre paréntesis, más la mala redacción´más el contener un adjunto me hizo sospechar inmediatamente de un fraude. Busqué entonces en "Mostrar original" y revisando los encabezados "Received" pude confirmar fácilmente que se trataba de un mail falso, por lo que procedí a denunciarlo por suplantación de identidad.

Pero como hoy hacía clases se me ocurrió revisar el adjunto para mostrarle a los alumnos como es un macro de virus en VBA, incrustado dentro de un documento del Word y aprovechar de hablarles algo sobre virus y seguridad informática.

Entonces tuve la pésima idea de instalar el antivirus AVG, algo pasó en medio y lo empecé a desinstalar, el equipo se congeló´lo apagué en medio de la desinstalación´en fin, la tormenta perfecta y mi laptop hecho pebre, justo cuando lo iba a usar para hacer clases.

29 comentarios:

  1. Ojo que puede ser que el "mono" no tenga la culpa, sino que le hayan hackeado el servidor y aun no se de cuenta.

    en fin... cosas del futbol no? xD

    ResponderBorrar
  2. si miras el codigo veras como el que hizo el documento del Word fue lo suficientemente imbecil como para colocar linksuur.cl un #hackeo# me parece inverosimil

    ResponderBorrar
  3. Simios como ese abundan en las redes tanto LAN como WLAN.

    Correos como ese me llegan al correo siempre, algunos más sofisticados que otros, pero gracias a los filtros antispam ni siquiera los pesco.

    Los que mas me dan risa son los scam mail (basados en el modelo del timo nigeriano o 419 que es el artículo que los condena dentro del sistema penal nigeriano) en el que te pintan una de colores, con tentadoras ofertas de dinero rápido y en dólares (muchos millones)... hasta que te piden un "fee" para gastos operacionales... varios han caido redonditos, pero yo, que soy un torrante que no tiene donde caerse muerto les he seguido el juego hasta que los desenmascaro. ahora ya no practico eso por aburrimiento.

    En fin, en cuanto a lo del hackeo del server, no me lo trago. el tipo quiso darselas de hacker y terminó cayendo "en su propia trampa"

    ResponderBorrar
  4. En este caso le ganaron al filtro antispam, mira del encabezado

    X-SpamExperts-Outgoing-Evidence: Combined (0.63)
    X-Recommended-Action: accept

    Tampoco creo que haya sido "hackeado", fue un asunto demasiado burdo para eso, dejó huella en todas partes, un jaker al cuete

    ResponderBorrar
  5. claro... algún "hoyo" tienen que haberle encontrado al filtro. pero la mayoría de los filtros anti-spam funcionan con una base de datos hechas en base a denuncias y reportes de los mismos usuarios, a tal punto de que ya tienen "establecido un patrón" en cada correo basura. por lo general leen el contenido del mail y buscan palabras claves propias de los spams y scam mails.

    En el tema de los antivirus recomiendo el Eset Smart Security (las claves las puedes bajar de la red) al menos es mucho más eficiente que AVG.

    ResponderBorrar
  6. lal gente ogual los cree. un amigo de la pega juraba de guara que le iban a prestar milloens de pesos ya que segun lolleyo en un spam de un frances. le mand´p los documentos que le pedia y yo le dije que eso era un fraude pero no hubo caso. no se en que habrá quedado..

    ResponderBorrar
  7. la gente igual los cree. un amigo de la pega juraba de guata que le iban a prestar millones de pesos de un spam frances. le mandó los documentos que le pedía y yo le dije que eso era un fraude pero no hubo caso. no se en que habrá quedado..

    ResponderBorrar
  8. Que se pudra el estupido. Por otro lado, AVG para mi fue un desastre. Desde que lo baje hace un par de anios atras, todo tipo de cosas raras han pasado en mi notebook. Lo 'desintale' desde que supe del escandalo (virus creados a proposito para ofrecer soluciones) pero todavia sigo con problemas.
    Saludos desde Baltimore~
    LILIAN

    ResponderBorrar
  9. Estimada Lilian, eso que mencionas surgió con la migración de Win95 a Win98 en la que el mismo Gates reconoció la creación de virus para que las pocas empresas de antivirus, pudieran tener su nicho de mercado en esos años.

    Virus habrán mientras hayan "intereses" y tipos que se presten para eso.

    ResponderBorrar
  10. https://support.google.com/mail/answer/1366858?hl=es-419&ctx=mail&expand=5

    ResponderBorrar
  11. re, Lusho los scam andan por todas partes, a mi me escribió personalmente un inglés en erepresentación de una empresa fabricante de perfiles de acero para ayudarles en la cobrnza de una empresa chilena que había quebrado, todo bien, las empresas inglesa y chilena existían, también la quiebra pero el tipo que me contactó no era de la empresa inglesa, hice las averiguaciones y lo pillé chanchito´

    Lilian, acabo de averiguar el problema, al interrumpir la desinstalación de cualquier antivirus muchos servicios del Windows se corrompen, no hay otra quereinstalar de cero.

    José, buenos datos Grax!

    ResponderBorrar
  12. Este comentario ha sido eliminado por el autor.

    ResponderBorrar
  13. Yo una vez tuve un contacto directo del director de Dunhill, y efectivamente quería hacer negocios conmigo. Pero como igual incluía plata, y yo no tenía ni como para hacer cantar a un ciego (o contratar a Tomás de barman), no seguí con eso.

    Con respecto de linksur, uf, suena a que o el dueño o el tipo que le hace la pega al dueño está metido. ¿Estás haciendo una denuncia real, Tomás?

    ResponderBorrar
  14. De nada Tomás.
    en cuanto a lo otro, para solucionar problemas de desinstalacion, tengo una herramienta llamada CCleaner, que es una de las mejores herramientas de mantención ya que repara bien el tema del registro de windows, origen de la mayoría de los problemas de windows y sus programas.

    la puedes descargar desde su website (http://www.piriform.com)

    La recomiendo siempre.

    saludos.

    El Link que posteé hace referencia a la seccion ayuda de gmail.

    ResponderBorrar
  15. Pfffff....pense que tambien habias sufrido la retencion de impuestos parece que te salvaste...a mi en cambio me retuvieron la devolucion y parece que de esta no me salvo...

    ResponderBorrar
  16. Guau, eso de poder ubicar quien mandó el virus y todo al menos para mí es increíble, aunque honestamente igual me gustaría saber más sobre malwares y qué antivirus son los mejores.

    ResponderBorrar
  17. Leus yo tambiién he tenido varias propuestas y unas pocas serias de proyectos grandes que no prosperaron por imprevistos, también me ofrecieron un negocio de vender container de cigarrilos y licores a bolivanos y llegué hasta a hacer la propaganda http://bglcigarrillos.blogspot.com/ pero las condiciones del negocio no eran buenas y por consejo de mi amigo McDonnell que me reordó que trabajar duro es signo inequívoco de mala cuna, dejé el asunto abandonado.

    Lo demás han sido intentos de scam.. muchos.

    ResponderBorrar
  18. José si, el Ccleaner lo uso siempre, es muy bueno. Al final hice un refresh completo del Windows desde el CD y aproveché de instalar la última versión del Office, el notebook quedó limpio como un bebe y rapidísimo. Le hacía falta una limpieza a fondo.

    ResponderBorrar
  19. Edo no creas, la devolución se fue toda para adentro por gentileza de doña tesorería general de la república, pero no me importa porque repacté mi deuda de la universidad en buenas condiciones y eso ayuda a amortizar las cuotas, de a poco voy pagando y sin dolor.

    FRX, es bastante sencillo averiguar a que IP pertenece un dominio o viceversa, y también los datos del dueño.

    YO no uso ningún antivirus excepto cuando se que estoy infectado, los adwares y troyanos los saco a mano cuando me doy cuenta o con un refresh total del sistema como el que hice ahora.

    ResponderBorrar
  20. Ya veo ¿Y en verdad con el CCleaner se puede limpiar así el PC? Había escuchado que era bueno después de todo.

    ResponderBorrar
  21. Frx. Ccleaner es el mejor de todos. la limpieza y la reparacion del registro es tan eficiente que el pc te lo deja filete.

    Recomendado. lo uso regularmente.

    ResponderBorrar
  22. UUH Guru! un superheroe en Arica? Neo de Matrix?

    ResponderBorrar
  23. Ah, pero si es bien fácil, especialmente cuando el "jaker" es tan re gil :)

    ResponderBorrar
  24. Entonces voy a pedirle a mi hermano que me lo pase :D.

    ResponderBorrar
  25. Este comentario ha sido eliminado por el autor.

    ResponderBorrar
  26. Hola, me presento, soy dueño del dominio linksur.cl, de verdad no entiendo nada. Este problema comienza para mí el 13 de mayo. Voy en mi auto y me llama a las 7 un tipo sin ni siquiera presentarse advirtiéndome de que estaba siendo parte de un malware, macros de Word y algo del sii, le dije...yaa, dime más, me explico con más detalles, algo difuso, pero estaba dudoso si era una llamada de una cárcel para pedirme plata, le pregunté con quien hablaba y me dice que era Andres Gonzáles de la pdi de Santiago y llamaba de impuestos internos. Mas extrañado aún, pensando que sii ahora era un oficina de advertencias lo seguí escuchando y pidiendo más detalles, dijo que no era experto pero creia que estaba hecho en visual basic. Expliqué que mi página es solo una plantilla de prestashop alojada en el servidor de solucionhost.cl, el cual si está en Curico, le expliqué que el problema debería estar ahí, que los llame a ellos. Antes de cortar pregunté si estaba en el marco de una investigación o algo así?, me dijo que era solo advertencia. Con un signo de interrogación gigante, sigo conduciendo, me estacioné y revisé la web de sii, efectivamente había un aviso. Pero no me cuadraba que la pdi llame de esa manera sin ni siquiera presentándose y llamando gente que no es experta. Lo extraño es que si era una estafa, en ningún momento me pidieron plata ni datos, nada, solo que revisara el mail que el enviaría. El que posteriormente enviaron, en un momento creí que el tipo me llamaba con la intención de convencerme para bajar el archivo y robar algún dato.
    Para salir de dudas, me acerqué a la PDI, y le mostré la llamada, tengo el software ACR que graba las conversaciones, escucharon, vieron el correo que el tipo me envió, y me dijeron que no eran ellos, ni que existía el tal Andres Gonzales, que era algún tipo de fraude o estafa. Me dijeron que no le diera importancia, de todas maneras, anotaron el hecho en el libro. Hoy, un amigo me comenta lo que escriben en esta página, y me sorprendo más aún de quien podría haber hecho esto, ni con que fin. Creo que es algún problema con el host. Aunque tengo la sospecha de un tipo al que tengo demandado por apropiación indebida que se podría estar detrás de esto. Y como expliqué anteriormente, no tengo tiempo para estupideces como esas. Al dueño del blog, Tomás, en todo caso, su investigación no es muy acuisiosa para ser concluyente. No soy de curicó,soy de Temuco y menos un mono, solo un estudiante con una pyme para pagar sus estudios. Te solicito que elimines esa frase de mono y mi nombre porfavor. De todas maneras, me acercaré nuevamente a la PDI esta vez denunciar el hecho, quizás sin saber en que me hayan metido y estar al tanto de quién usó el dominio de mi empresa

    Sin mas que decir...

    atte

    Cristian López Gajardo
    c.lopez02@ufromail.cl

    slds

    ResponderBorrar
  27. Hola Cristian, copio el mail que te envié recién

    Está bien que la situación se trasparente porque debe haber causado daños a muchas otras personas tal como me causó a mi.

    Te explico, el virus fue alojado en tu servidor y tiene que haber sido alguien que tenía la contraseña para accesarlo, se supone que esas contraseñas las tiene solo el dueño del dominio, su responsable técnico y cualquiera a quienes ellos se le hayan dado.

    ¿Es posible que tu no hallas sido el que colocó el virus? claro, pero igual eres responsable por lo que pasa en tu dominio porque eres el poseedor de las contraseñas para colocar código allí. Creo que tienes que revisar a quienes les entregaste la contraseña y quien pudo haber tenido aceso al servidor, necesariamente son muy pocas personas.

    Como te digo lo mejor es que la situación se trasparente y que se sepa quien fe el estúpido a quien se le ocurrió esa "gracia", creo que no sería muy difícil dar con el responsable ya que basta con saber quien tenía la contraseña del servidor

    ResponderBorrar
  28. Lo mas probable es que a esta persona le hackearon su sitio, es recomendable que verifique con su hosting todos los archivos de su Cpanel, ademas de analizar su computador en busqueda de virus.

    Con un simple virus se pueden captar las pulsaciones del teclado y obtener los datos de acceso a su cuenta de hosting, así que es imprudente acusar tan a la ligera a esta persona.

    ResponderBorrar
  29. Discrepo totalmente, aqui no se le puede echar la culpa a un "hacker" desconocido, creo que es claro que el que colocó el virsu tenía pleno acceso al servidor y si no fue Cristian entonces fue alguien de
    SolucionHost SpA
    responsible: Cesar Malley
    address: Arturo Prat, 527,
    address: 3341656 - Curico - MA

    Y si fue el revendedor de servicio de hosting sería una situación grave, porque además del delito informático hay un perjuicio directo al cliente

    ResponderBorrar

"Send me a postcard, drop me a line
Stating point of view
Indicate precisely what you mean to say
Yours sincerely, wasting away
Give me your answer, fill in a form
Mine for evermore
Will you still need me, will you still feed me
When I'm sixty-four"