viernes, 27 de marzo de 2009

El mp3 ejecutable

metallica1

Esto de aquí arriba es una bonita canción de Metallica ... o eso parece.

metallica2

Si, tras escucharla he verificado que es una hermosa canción de Metallica. Tan bonita, tan bonita que me apetece verla hexadecimalmente, seguro que sigue los esquemas binarios mas armónicos del mundo !!

metallica3

¿MZ? Eso no era lo de...como era...si, eso del msdos, los ejecutables y tal, no? No se yo...que raro es esto, ¿perooo ... no era una canción?. Voy a renombrar el archivo a exe a ver que me dice windows.

metallica4

Vaya, parece que se ejecuta y me muestra ese cartel. Pero ¿cómo es posible que sea un mp3 y un exe al mismo tiempo?

Por lo que comentan en este enlace, el formato mp3 se compone de varios frames que no están en posiciones fijas. Y que para reproducir un mp3 lo primero que se hace es hallar el primer frame. Así que en teoría antes del primer frame puede haber lo que quiera, incluso un exe. El reproductor de música buscará el primer frame saltándose toda la basura inicial e ignorando el posible ejecutable.

Así que tenemos un archivo que, según la extensión que tenga, windows lo ejecuta correctamente como un ejecutable o lo envía al reproductor por defecto el cual lo interpreta adecuadamente como un mp3 válido.

Umm pero y como lo ejecutará el comando start de cmd, ¿cómo exe o cómo mp3?

metallica5

Como un ejecutable, parece que omite la extensión y se fija en la cabecera del fichero. Interesante....

Si, interesante porque alguien podría hacer acceso directo que ejecutase el comando "cmd.exe /c metallica.mp3" /C Ejecuta el comando especificado en cadena y luego finaliza

metallica6 *Nótese el atractivo titulo del acceso directo

cmd.exe interpretaría el archivo como un fichero ejecutable y ... BOOM.

De aquí podéis descargar el fabuloso disco de Metallica (en realidad es un solo mp3-exe y el malvado acceso directo). El incauto usuario se lo baja y desolado comprueba que no es todo el disco, es una sola canción.

metallica7

Tras escucharla se fija en ese link que dice llevarle a la página donde podrá bajarse el disco completo, pero tras pulsarlo...

metallica8

Windows le muestra un extraño cartel y decide ir a tienda a comprarse el disco original que seguro que acaba antes.

El pobre usuario ha sido contaminado por los virus mas horripilantes de la faz de la tierra y Metallica conquista el corazón de otro fiel seguidor.

*Nota: El ejecutable podría en vez de mostrar un cartel, mostrar la página web a la que aparenta llevar el link y hacer otras atroces acciones. De modo que todo funciona como debería...aparentemente.

Dedicatoria: Esto me lo he encontrado gracias a HacKDarK, en un post en el que se retaba a los usuarios a comprobar si un archivo estaba infectado o no. Pero él no había subido un exe, sino "el mp3xe" :D

miércoles, 25 de marzo de 2009

La botnet de routers

Hace-unos-meses-comentaba como los routers eran perfectos para redireccionar nuestras conexiones y aumentar un poco el anonimato o acceder a servidores con una IP distinta a la nuestra.

Y hoy leo en una-al-dia, un articulo que trata de como una botnet se alimenta de estos cacharros silenciosos que están encendidos las 24 horas y con escasa vigilancia. http://www.hispasec.com/unaaldia/3805/routers-modems-botnets

Estos locos han ido bastante mas lejos y han subido bots compilados para MIPS, la arquitectura de algunos routers, que se conectan a un IRC y reciben malvadas ordenes. Y claro como estos dispositivos suelen estar encendidos las 24 horas del día es el bot perfecto.

Supongo que el malware dependerá mucho del modelo de router que se quiera infectar... Ya no solo de la arquitectura sino del sistema operativo que use, IOS¿?, versión de este... no tengo ni idea.

Vaya infierno, ya uno no se puede fiar ni de su ordenador, ni de su router, ni del teléfono... Pobres personas con escasos conocimientos de informática que quieran solo ver el marca y chatear por internet, están completamente indefensos. Que Dios se apiade de nuestros bytes.

lunes, 9 de marzo de 2009

Los antivirus quieren destruir el mundo

Hace 6 meses el antivirus AVG se cansó de los estúpidos usuarios y se puso como loco a borrar user32.dll. La cantidad de llamadas a la centralita de AVG tuvo que ser importante, un DDoS telefónico.

No es raro que un antivirus en su proceso de mejora detecte un archivo del sistema, seguro que alguno realiza acciones muy sospechosas. Lo raro es que no se probara antes, seguro que tienen un banco de pruebas gigantesco con "Goodware" y hacen una pasada antes de dar como bueno un nuevo algoritmo, regla heurística, firmas o lo que sea. Pero hay tantos programas, tantas dlls, tantas versiones, que al final son habituales estas cosas.

Hoy mismo NOD32 hizo lo propio con winlogon.exe, es lo que tiene la paranoia de los antivirus, es como mi paranoia, TODO es malware y si actualmente no lo es lo será es la siguiente actualización. Te jodes.

Y no es un caso aislado, Panda, Norton, ninguno se salva. Esto es la guerra. Un día te formatean el disco duro si te descuidas.

Lo mejor: no tener antivirus, no creerse eso de que necesitas ejecutar un exe para ver una foto o para ver un video de youtube. Y fiarse de que no usen contra ti un exploit 0-day ¿un antivirus evitaría algo? lo dudo.