messenger espia?

[TORBE]

pillado de otro foro:

El amigable programa de mensajería de Microsoft, conocido por sus siglas MSN y altamente difundido en la actualidad por sus prestaciones de mensajes instantáneos, es uno más de los tantos programas que instalan troyanos (1) en nuestra PC.

Esto lo descubrí días atrás cuando luego de repetidos cortes en una conexión directa por módem con un amigo, me decidí a averiguar que era lo que pasaba. Entonces me fijé en todos los programas cargados en memoria a través de ctr - alt - del, pero estaba todo normal (únicamente los programas básicos). Arranqué el Programa The Cleaner Software (Disponible en Babunet , seccion Seguridad ), que rastrea todos los programas en ejecución. Y figuraba allí para mi sorpresa un loadqm.exe. Que no está entre los controladores ni librerías básicos que carga Windows. Busco el path del archivo y para mayor sorpresa consistía en un directorio oculto dentro de Archivos de Programas, obviamente un troyano. Con ayuda del TCActive, rastreé las bibliotecas dll vinculadas a ese programa y encontré: progdl.dll, qmgr.dll, qmgrprxy.dll.
Al visualizar en modo texto el primero de los archivos, encontré que este era un archivo log y contenía lo siguiente:

InitThrottle: found modem connection InitThrottle: Couldnt find active interface GetIpForwardTable GetIpAddrTable GetBestInterface GetIfTable iphlpapi.dll InitThrottle: Connection lost GetIpFwdTable failed with error d, exiting InitThrottle: Failed to load func addr for inet_addr or inet_ntoa InitThrottle: GetIfTable failed, GetLastError= d Throttling on interface with IP address - s GetBestInterface failed with error d, might be Win95 207.46.177.15 inet_ntoainet_addr InitThrottle: Failed to load wsock32 dll wsock32.dll InitThrottle: Failed to load ws2_32 dll, might be Win95 ws2_32.dll ***I think bandwidth= d***, but am working on it InitThrottle: Found lan connection InitThrottle: Failed to get func pointers in rasapi32 (GetLastError= d), assuming 28.8k InitThrottle: Non-RAS connection, assuming 28.8k InitThrottle: Couldnt find RAS window, assuming 28.8k InitThrottle: RAS connection - s Connected to RasEnumConnectionsA DialEngineRequest InitThrottle: Failed to load rasapi32 (GetLastError= d), assuming 28.8k rasapi32 InitThrottle HTTP/1.1 check: Connection lost before HttpSendRequest

Con esto se resolvía el misterio de porque mi conexión se cortaba. Cada vez que me conectaba con la otra PC, el loadqm.exe cargado en memoria desde el inicio, detectaba la conexión y ejecutaba la rutina. Luego pensé porque esto no cortaba mis conexiones a Internet y si mi conexión directa. Y la respuesta estaba que, según lo muestra este log, cada vez que el troyano encontraba un error de transferencia bajaba las pretensiones de velocidad de conexión, pero descendía tan solo hasta 28.8k. Como yo generalmente a Internet me conecto entre 33 y 56 k, parecería que allí no tenía problemas, pero en la conexión directa la velocidad era de 14.4 k, porque a pesar de que los dos módems eran V.90, el juego que originaba la conexión tenía como velocidad máxima 14.4k, algo que al parecer para este troyano era insuficiente y abortaba la conexión.

Después de esto intenté limpiar el troyano de mi PC, con el programa de The Cleaner, pero no lo detectó, me conecté a Internet y actualicé el programa pero tampoco logré nada. Entonces no me quedaba otra que tratar de eliminarlo manualmente o formatear el rígido e instalar todo de nuevo, lo cual no tenía muy muchas ganas de hacer.
Para eliminarlo empecé chequeando la fecha de creación del directorio oculto c:/Archivos de Programa/qmgr, la cual era 05/01/2002. Después busqué todos los directorios que con esa fecha de creación (los directorios, no archivos, porque la fecha de creación de estos no refleja como la de los directorios el momento en que fueron alojados en el rígido sino el momento en el que fueron creados originalmente). Y apareció como único resultado de la búsqueda el directorio del messenger, luego de ver que la coincidencia se daba incluso en la hora, concluí que el troyano había sido instalado junto con ese programa, para estar más seguro abrí el pac de instalación del messenger (messenger.exe) con el winzip, y entre los archivos comprimidos figuraban: qmgr.inf, qmgr.cab, dentro de este último estaban el progdl.dll, qmgr.dll, qmgrprxy.dll y loadqm.exe. Luego de haber encontrado el inf del troyano me fue fácil eliminarlo, tan solo borré los archivos en cuestión y las claves del registro respectivas (las mismas estaban mencionadas en el qmgr.inf):

ARCHIVOS:
- loadqm.exe
- progdl.dll
- qmgr.dll
- qmgrprxy.dll


CLAVES DEL REGISTRO:

HKLM,"SOFTWAREMicrosoftActive SetupInstalled Components{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"

HKLM,"SOFTWAREMicrosoftActive SetupInstalled Components{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"

HKLM,"SOFTWAREMicrosoftActive SetupInstalled Components{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"

HKLM,"SOFTWAREMicrosoftActive SetupInstalled Components{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"

HKLM,"SOFTWAREMicrosoftActive SetupInstalled Components{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"

HKLM,"SOFTWAREMicrosoftActive SetupInstalled Components{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"



HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunloadqm.exe
(Para que el sistema no intente cargar el troyano que ya no existe y nos ponga por la tanto la típica pantalla azul de errores de windows).

El qm según su archivo log, envía toda la información relevante del sistema y del usuario (tipo de PC, contraseñas, configuración, programas instalados, preferencias de navegación, etc.) a la página https://windowsupdate.microsoft.com/R922. Y es al igual que la supuesta clave NSA o puerta trasera de Windows un verdadero avasallamiento a la privacidad y seguridad de los usuarios de Internet.


Notas:
1. Nuevo tipo de virus informático, que aparentando ser un programa convencional realiza rutinas perniciosas al sistema. Este tipo de virus está de última moda en Internet, ya que son usados para hacer "sniff" (espiar a otras personas).

2. Archivo que guarda rutinas realizadas por un programa.

No me arriesgaría a calificar a Loadqm como un troyano, pero lo que si es cierto esque por lo visto realiza muchisimas operaciones a nuestras espaldas y es suficiente para desconfiar de él.


John Keeper - Keeper Projects

 

[sim]

Torbe, el fichero "progdl.dll" es una librería que actúa de ejecutable (todas las librerías son así) y en él se encuentran escritos los mensajes que dan por pantalla, que son en ASCII y que al pasar a código máquina quedan de una manera, pero que cualquier editor de textos convierte a su forma alfanumérica y por eso se pueden "leer". NO son LOGS, son los mensajes de la librería. Recoge otra cualquiera y verás otro tipo de mensajes, igual la primera que escojas no, pero hay bastantes.

El tema de que la conexión de este tío/a de sus cortes, presumiblemente sean a su proveedor de servicios.

Esto es una fábula, como la del programa jv**.exe que tenía el icono de un osito, ¿recuerdas?, pues era ni más ni menos que un programa para ejecutar el java.

Saludos

 

[El_Pouto_Topo]

Si, pero olvidas mencionar el ddf.exe, que esta mas que nada vinculado a todo lo que viene a ser la libreria ccdf.dll, que siempre que ejecutas el bucle termina colapsando toda la ram en forma de impulsos de estatica mediante un protocolo dhcp, esto es, todas las veces que pongas el microondas a 70, la temperatudra de la calefaccion termina bajando un grado, esto a nivel usuario no es nada, pero si tomas cada grado de todos los usuarios, termina producioendo un enfriamiento global del planeta, con lo que los intenstinos se resienten con el primer cafe de la mañana y el metano producido por estos crea un efecto invernadero que tarde o temprano sera la catarsis para la especie humana.
Naturalmente esto es un ardid de Bill Gates, que tiene un piso en Marte con jacuzzi como Lo_campano preparado para cuando esto pase.

 

[JackMan]

Si, pero olvidas mencionar el ddf.exe, que esta mas que nada vinculado a todo lo que viene a ser la libreria ccdf.dll, que siempre que ejecutas el bucle termina colapsando toda la ram en forma de impulsos de estatica mediante un protocolo dhcp, esto es, todas las veces que pongas el microondas a 70, la temperatudra de la calefaccion termina bajando un grado, esto a nivel usuario no es nada, pero si tomas cada grado de todos los usuarios, termina producioendo un enfriamiento global del planeta, con lo que los intenstinos se resienten con el primer cafe de la mañana y el metano producido por estos crea un efecto invernadero que tarde o temprano sera la catarsis para la especie humana.
Naturalmente esto es un ardid de Bill Gates, que tiene un piso en Marte con jacuzzi como Lo_campano preparado para cuando esto pase.

CRACK :P
:pla :pla :pla :pla :pla :pla

 

[DEIBE]

este tema demuestra que hace falta un subforo para despejar todo este tipo de dudas ciberneticas y poder hacerle frente en masa al monopolio de microsoft

 

[Chungo]

Joder me he kdao tonto kon leer tanto metalenguaje y movidas raras...

Y eso k las mañanas kurro de informatiko... k tiemble mi empresa mauahahahahhHAHAHAHAHAH

 

[Rastrer0]

Joder me he kdao tonto kon leer tanto metalenguaje y movidas raras...

Y eso k las mañanas kurro de informatiko... k tiemble mi empresa mauahahahahhHAHAHAHAHAH

Y por las atrdes a q te dedicas solo por curiosidad?


P.D no me lo digas ya me lo imagino con lo CHUNGO Q ERES.

 

[Tremendo]

JODER, NO ME ENTERO DE NADA.

:? :? :?

 

[Laerthes]

Insisto, el PP pretendía dar un golpe de estado...

 

[yonkispucela]

Hay cientos de patochadas que van circulando por ahí y que me hacen mucha gracia. Me ha hecho gracia que el supuesto hacker que ha hecho todos esos descubrimientos y sabe tanto del tema y descifra textos indescifrables use windows 95: Failed to load ws2_32 dll, might be Win95 ws2_32.dll
Esto también me ha hecho gracia, teniendo en cuenta que el fulano se conecta con modem: Found lan connection InitThrottle: Failed to get func pointers in rasapi32

La movida que se monta con el protocolo v90 ha sido buenísma, ¿qué coño tiene que ver la velocidad con el tocino?

El PP iba a dar un golpe de estado, pero contaban con escaso apoyo de los militares y tuvieron que abandonar la idea. Gracias a no sé que ser superior tenemos a Ronco Varela para meter cizaña en el gobierno.

InitThrottle: found modem connection InitThrottle: Couldnt find active interface GetIpForwardTable GetIpAddrTable GetBestInterface GetIfTable iphlpapi.dll InitThrottle: Connection lost GetIpFwdTable failed with error d, exiting InitThrottle: Failed to load func addr for inet_addr or inet_ntoa InitThrottle: GetIfTable failed, GetLastError= d Throttling on interface with IP address - s GetBestInterface failed with error d, might be Win95 207.46.177.15 inet_ntoainet_addr InitThrottle: Failed to load wsock32 dll wsock32.dll InitThrottle: Failed to load ws2_32 dll, might be Win95 ws2_32.dll ***I think bandwidth= d***, but am working on it InitThrottle: Found lan connection InitThrottle: Failed to get func pointers in rasapi32 (GetLastError= d), assuming 28.8k InitThrottle: Non-RAS connection, assuming 28.8k InitThrottle: Couldnt find RAS window, assuming 28.8k InitThrottle: RAS connection - s Connected to RasEnumConnectionsA DialEngineRequest InitThrottle: Failed to load rasapi32 (GetLastError= d), assuming 28.8k rasapi32 InitThrottle HTTP/1.1 check: Connection lost before HttpSendRequest

 

[Laerthes]

If PP=GolpeDeEstado then
Zapatero Presidente println ("Hola mundo")
Error in Commodore 64
Else
ETA = AlQaeda
End if
Madrid = CampeonDeLiga
Exit

 

[yonkispucela]

If PP=GolpeDeEstado then
Zapatero Presidente println ("Hola mundo")
Error in Commodore 64
Else
ETA = AlQaeda
End if
Madrid = CampeonDeLiga
Exit

If ZapateroPresidente>=1 then
quit (ZapateroPresidente);
Else
tambien;
end if;

While Terroristas > 0 do
kill (Terroristas);
limpiarsangre(consusescrotos);
end while

prinftf ("Stoichkov for president!, este país necesita PISA CUELLO...");

 

[miniyo]

Joder me he kdao tonto kon leer tanto metalenguaje y movidas raras...

Y eso k las mañanas kurro de informatiko... k tiemble mi empresa mauahahahahhHAHAHAHAHAH

Te cito a ti, pero lo que voy a decir no va para ti en concreto, es para contextualizar.

Hoy en día cualquiera que sepa escribir chorradas con el Word y enviar emails con el outlook ya ponen en su currículum "conocimientos de informática a nivel de usuario" ¡Los cojones! Yo sé cruzar un puente y algo sé de estructuras (lo estudié en el instituto, Tecnología Industrial I y II) y no pongo en mi currículum "Conocimientos de ingeniería de caminos, canales y puertos a nivel usuario".

Esto viene a cuento de que estoy harto de encontrarme con suspuestos informáticos que no tienen ni puta idea de informática (sólo saben jugar al Quake, a juegos hechos con flash y poca cosa más), y cuando les preguntas alguna cuestión un poco "profunda" te dicen: "eso no es verdad, te lo estás inventando", con el consiguiente cabreo y sentimiendo de impotencia al hablar con un muro de ladrillos. Ah, por cierto, yo no soy informático, estudio telecos

 

[Laerthes]

Ingeniero tenía que ser...

 

[PiChaKe]

Yo el LoadQM ese lo tengo desactivado desde siempre.

Cuando instalo muchas cosas y creo que tengo mucha mierda en el ordenador (tened en cuenta que es W98), me meto en:

Inicio - Programas - Accesorios - Herramientas de sistema - Información del sistema. Ahora dentro de "Información del sistema", elijo la pestaña Herramientas y abro "Programa de configuración del sistema".
Ya dentro, me voy a la pestaña inicio donde estan todos los programas que se abren al iniciar Windows, entre ellos el LOADQM, el cual simpre desactivo, junto con la mayoría de los programas que allí figuran, ya que solo dejo los que yo instalo directamente. Y windows va de deporte, ademas de ir mas rapido por no tener la saturación de tanto subrogramilla iniciado.

 

[edunacle]

Joder no hace falta leerse el tocho ese que ha puesto Torbe para saber que los de microsoft, con cualquier cosa que tenga acceos a la red te están espiando.

 

[Lebeau]

Como coño se pueden borrar todos los archivos estos espías ? Y localizarlos ?

 

[Piraña]

format hilo;

 

[yonkispucela]

Como coño se pueden borrar todos los archivos estos espías ? Y localizarlos ?

Para buscarlos, desmonta el disco duro y busca con un interferómetro.
Para borrarlos: la gasolina suele dar resultado, aunque procura hacerlo al aire libre.