EEE  L                 XX   RRRR   AAAAA  NN   N
E    L                X     R  R   A   A  N N  N
EEE  L               X  X   R R    AAAAA  N  N N 
E    L               X   X  R  R   A   A  N   NN 
EEE  LLLLL           XXXXX  R   R  A   A  N    N

                                             ee                                             
                                            ee    
    xxxxxxx         A        FFFFFFFF    EEEEEEEE
 xxxxxxxxxx        X X       F           E
 xx               XX XX      F           E
 xx              XX   XX     F           E 
 xx             XX     XX    FFFFFFFF    EEEEEEEE
 xx               XXXXX      F           E
 xx            XX      XX    F           E
 xx            XX      XX    F           E
 xxxxxxxxxx    XX      XX    F           E
    xxxxxxx    XX      XX    F           EEEEEEEE

-----------------------------------------------------------

                    JULIO - AGOSTO 2000: NMERO 8.




-------------
|  CRDITOS |
-------------

REALIZADORES:

SETH "ESENCIA DE MIRBANA"
WATARU

PRODUCTORES:

U.C.C: Urban Cyberpunks Collective.


COLABORADORES EN ESTE NMERO:

Dan

COLABORADORES OFICIALES:

D4N.
A.S.Fonseka.
KuR10Zz.
Francisco Carrillo.
KRONOS.
U.C.C staff (members).



PAGINAS WEB :
(aki encontraras nuestras ediciones).

http://www.grancafe.org.
http://www.gran-cafe.net (no activa hasta finales de ao). Pgina secundaria.
http//:grancafe.webjump.com (pgina sub-oficial).
http//:www.vanhackez.com

NOTA:
El equipo del Gran Caf y sus colaboradores no se hacen responsables del uso que le hagais a la informacin aqu expuesta.


CONTENIDOS	CONTENIDOS	CONTENIDOS	CONTENIDOS	CONTENIDOS	CONTENIDOS

01. EDITORIAL                                   -U.C.C

02. XTRAS                                       -U.C.C

03. BORRAR TUS HUELLAS.                         -DAn_^^

04. CYBERCULTURA AL 100%                        -Varios

05. EL PODER DE LOS LOG                         -Seth "EM"

06. AUREATE. El nuevo espa.                    -A.S.Fonseka.

07. I Hate You. Todo sobre "I Love You"         -Seth "EM"

08. Virus y troyanos III                        -Wataru

09. El Punto final                              -U.C.C



CONTENIDOS	CONTENIDOS	CONTENIDOS	CONTENIDOS	CONTENIDOS	CONTENIDOS


@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@


#################
# 01. EDITORIAL #
#################


Otro nmero ms.

Ahora ya tenemos a disposicion el nuevo dominio de la e-zine: http://www.grancafe.org. Se encarga D4N.

Tenemos ke pedir disculpas por los problemas tecnicos de la web sub oficial. Esperamos solucionarlo pronto.
Como habreis notado al abrir el .zip habreis encontrado otro .zip dentro.
Esto kiere decir que a partir de ahora, como ya avisamos en el numero anterior ke son los "xtras". Un zip con contenidos miscelanicos para vuestro uso.
En l podreis encotrar, desde xploits, documentos, pekeos programas,etc.
para ello, se encarga A.S.Fonseka que se ha molestado en seleccionar para cada numero lo mas interesante. Si kereis mas informacion dirigios a la seccion xtras,donde se encontraran con mas detalle acerca de lo que son el contenido de este xtras n8.

Otra noticia importante. Este es el ltimo nmero donde publicamos "Cybercultura al 100%". El motivo es simple, no hay mas ediciones que han publicado los chicos de cibercultura, donde nos han acompaado durante 6 y largos nmeros, es decir, durante un ao entero. Un ao que los chicos de cibercultura han estado con nosotros, y desde aqui quiero darles un fuerte saludo y un agradecimiento enorme por el esfuerzo que han realizado. Gracias una vez ms y nimo, espero que podais cumplir vuestros sueos. Para mas informacion sobre ellos id al apartado de "cybercultura al 100%".
Y ya aprobecho desde aki para dar un saludo a los de GlobalDrome que tb han colaborado en la ezine ciberculura.
Y otra  noticia:
Los viernes y sbados noche los chicos del Gran Caf y algunos de la U.C.C han habierto un canal en el irc-hispano llamado #gran_cafe.
Este canal consiste en varias cosas:
Primero, comentar articulos sobre las diferentes ediciones de la ezine.
Segundo, discutir los contenidos sobre el prximo volumen.
Tercero, intercambio de informacin: Esto puede ser desde documentos para la ezine hasta programas, pasando por intercambio de otras herramientas tiles.
Cuarto, cada sbado hay un foro. El foro es un debate sobre algn tema de actualidad referida a temas underground o ciberculturales.
Quinto, discusiones sobre proyectos.
Sexto.... lo que tu kieras.
Este canal est abierto para todas las personas.
NOTA: Aquellos que insulten, envien virus, se pasen de listo, farden y sean lammers, molesten o se dediquen a floodear, nukear o tirar a la gente inmediatamente sern baneados.
NOTA2: Cuando digo viernes y sbado noche me refiero a hora espaola. Lo digo para aquellos lectores de sud-america. un saludo desde aqu.


Para mandar un articulo, criticar o colaborar escribir a: wataru@olemail.com

A disfrutar y a aprender.


@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@



#############
# 02. XTRAS #
#############


Bienvenidos a la primera edicin de xtras n8, aunke debera llamarse xtras n1.
Soy A.S.Fonseka y supongo que ya me conoceis por otros articulos y colaboraciones anteriores de esta ezine. Ahora, como miembro y encargado de la UCC estoy interesado en colaborar de forma activa para el "Gran Caf".
Mi colaboracin consiste en recopilar varias "cosas" en un zip que la UCC se ha encargado de buscar y seleccionar para complementar vuestras tareas culturales y underground.
Cada nmero tendr una miscelanea de contenidos que la UCC ha considerado interesante.
Bueno, vamos a empezar con los contenidos de esta edicin.


CONTENIDOS:

1. AixShellRoot42.c:

Un Xploit en .c ke al compilarlo y ejecutarlo de forma remota te consigue Root en una mkina Aix 4.2

2. Crash98.c:

un DoS ke al compilarlo y ejecutarlo de forma local hace que "pete" el win98.

3. Hcrackdown.htm:

Hay tres archivos html que se llaman HcrackDown. Lo suyo sera ke descomprimieras los archivos para leerlos. Este es el libro "The Hackers Crackdown" de Bruce Sterling editado y traducido en espaol que te explicar historias de hackers y cyberpunks. RECOMENDADO.

Hasta ak se acaba el chollo.
Si crees que tienes algo que compartir y merece la pena publicarlo aki, no dudes en ponerte en contacto con la Ucc o a alguien de la ezine.
Mira los mails o perfectamente entra en el canal #gran_cafe del IRC-Hispano.

A.S.Fonseka----U.C.C



@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@


###########################
# 03. BORRAR TUS HUELLAS  #
###########################


                        "BORRAR TUS HUELLAS" 
                             pOr DAn_^^

En este texto pretendo explicaros a como BORRAR las huellas que 
vais dejando y las razones de porque lo debeis de hacer.
Si tienes alguna duda o comentario NETWORKING@teleline.es
Agradecimientos al grupo h3x.

1.0 Los registros
1.1 logs en windows
1.2 Unix y demas

1.0                          Los registros

1.1 logs en windows:
Este SO no suele dejar ningun log (Solo Win NT) 
Los unicos logs por los que te puedes preocupar es cuanto tienes
acceso fisico las webs, los logs del MIRC,un zaper como este y ya esta:

@ echo off
cls
del c:\Recycled\*.*
del c:\windows\temp\*.temp
del c:\windows\tempor~1\*.*
del c:\windows\recent\*:*
del c:\archiv~1\nestcape\navigator\cache\*.html 
del c:\archiv~1\nestcape\navigator\cache\*.htm
del c:\archiv~1\nestcape\navigator\cache\*.gif
cls
exit

1.2 Unix y demas
Si no borras todas las huellas que has ido dejando pueden pillarte con 
un minimo esfuerzo , yo te recomiendo que te leas esto y que prestes
la maxima atencion.

Los ficheros de logs varian de un linux a otro, pero mas bien varian
de directorio, todo lo demas se mantiene.

elsyslog: es un encargado de grabar logs es un demonio que guarda 
diferentes tipos de logs (los usuarios que se conectaron su ip...)
haz un cat /etc/syslog.conf asi veras de una forma exacta cual es su 
funcion.
Normalmente los guarda en /var/log , y los mas importantes son:
messages,secure y xferlog. Estos son ficheros de textos normales
por lo que modificarlos es muy sencillo.

Messages: es un poco de todo, guarda los usuarios que se conectaron,
su ip,etc...por lo que es un coazo la verdad. 
Secure guarda solo las ips y los demonios que usaron, por ejemplo que
195.33.1.6 se conecto al ftp el 1 de mayo a las 2 de la tarde, pero 
no guarda los ficheros que te bajes ni nada. 

xferlog: es un fichero solo del ftp,es decir guarda conexiones,ficheros
que te bajaste,etc...

archivo .history para borrarlo:
mv .logout save.1
echo rm.history>logout
echo mv save.1 .logout>.logout
echo rm .logout>.logout

Otros ficheros de logs importantes son lastlog,wtmp y utmp.No estan
en formato de texto por lo que no podras leerlos normalmente.
wtmp: entradas y salidas mas tty y host
utmp: quien esta en linea en ese momento
lastlog:de donde proceden los logins

Estos registros se encuentran situados en estos directorios:
utmp: etc/ o /var/adm o /urs/adm o /usr/var/adm o /var/log
wtmp: etc/ o /var/adm o /urs/adm o /usr/var/adm o /var/log
lastlog: /usr/var/adm o /usr/adm o /var/adm o /var/log
No olvides borrar los archivos en /tmp y $HOME

Bueno esta es la 1 parte del texto espero que os sirva de ayuda.
                             By DAn_^^ 



@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@




############################
# 04. CYBERCULTURA AL 100% #
############################



CIBERCULTURA
Boletin quincenal gratuito por correo
electronico sobre cultura digital

http://www.web.sitio.net/faq/cibercultura
-----------------------------------------


C I B E R C U L T U R A
=======================
Nmero 6 - (1-15 Marzo de 1999)
Boletn quincenal sobre cultura digital.

Subscripciones, nmeros atrasados e informacin:
http://www.web.sitio.net/faq/cibercultura
------------------------------------------------




- Intro. La plaga del cut & paste
- Diccionario de ciberderechos
- Pequea Historia de Internet, por Bruce Sterling
- La base de datos como forma simblica
- Hacker FAQ. Hackers y empresarios.






Intro. La plaga del cut & paste.
--------------------------------

La velocidad, la inmediatez y las cantidades masivas parecen 
ser las consignas de xito en Internet. Por poner un smil 
televisivo, el largometraje pierde espacio frente a la tele-serie, 
y cada vez ms y ms personas cambian al formato de anuncio. 
Esa velocidad se paga: las informaciones son precarias y uno no 
hace ms que leer los mismos tpicos una y otra vez. Aunque eso 
s, toda lista de distribucin, boletn o web que se precie ha 
de hablar de medio milln de cosas diferentes.

En una editorial anterior hablbamos del poco asociacionismo 
entre los editores de la Red. Este hecho magnifica los problemas 
de la velocidad. Como puede una persona sola tener un boletn 
gil, lleno de informaciones diferentes y adems rpidamente? 
La respuesta es sencilla: cut & paste.

Aunque hay excepciones, la mayora de servicios informativos en 
la Red que nos inundan se caracterizar por utilizar material 
reciclado. Muchos aprendices de editor se subscriben a listas que 
ya de por s son paellas de informaciones breves y las reducen 
an ms. Las informaciones se cruzan entre s, perdiendo su inters. 
En el caso de nuestro pas, las noticias llegan sobre todo de 
listas americanas, de forma que los editores acostumbran a traducir 
la noticia.

Pero claro est, no traducen el texto originario que originaba 
la noticia. Se limitan a traducir la noticia y ofrecen la direccin 
del web original, en ingls. Y uno no puede dejar de preguntarse 
por el sentido de tal accin. Si ya s leer ingls, no tengo ninguna 
necesidad de que alguien me resuma el resumen del resumen de la 
noticia. Ya la leer yo directamente en la lista Wired, Nettimes, 
Meme o la que sea. Si no s ingls, dos lneas dicindome que hay 
un texto muy interesante en esa lengua en tal sitio donde se habla 
en detalle de la fundacin del Imperio Romano, la msica de los 
Sex Pistols o los hbitos alimentarios de los pigmeos no me servir 
absolutamente de nada. 

El resultado final es una sobreabundancia de informacin que nos 
obliga a leer las cosas una y otra vez. Necesitamos menos editores 
y ms autores. Es necesario ofrecer contenido nuevo en castellano. 
Traducir es excelente, pero hay que traducir textos completos, y 
no la noticia de la aparicin de un texto. Est muy bien ofrecer 
noticias de nuevas iniciativas, pero han de ser noticias originales, 
que no van a distribuirse por medio milln de listas diferentes.

Hay pocas cosas ms desagradables que ver la paja en el ojo ajeno 
y no la viga en el propio. Por ello, y como el mejor cambio empieza 
por uno mismo hemos decidido aplicar esta filosofa de forma estricta 
a este boletn de cibercultura. El cut & paste se ha convertido en 
una maniobra tan extendida que uno acaba adaptndose a ella como 
si fuera la nica forma de hacer boletines en la Red. El resultado 
es que hemos decidido eliminar la seccin de breves, que era nuestra 
quintacolumna particular del fastidioso cut & paste. Seguiremos 
dando noticias, pero sern noticias verdaderamente informativas, 
que apuntarn a recursos tiles para el lector de lengua castellana 
y no refritos de otras listas a las que el lector puede acceder 
directamente.

Pero sobre todo, queremos daros contenidos. Las traducciones sern 
de textos completos. Los textos originales sern eso, originales, 
no refritos montados desde un par de listas. No me queda sino animaros 
a enviarnos noticias de iniciativas que estis desarrollando y 
que no consiguen publicidad por tener que nadar en la contracorriente 
del cut & paste y, sobre todo a que nos hagis llegar textos originales.


David Casacuberta
da5id@globaldrome.org





Diccionario de Ciberderechos
----------------------------


Esta semana, la publicacin virtual de Kriptopolis 
(http://www.kriptopolis.com) empieza a ofrecer un diccionario de 
ciber-derechos, escrito por Jose Lus Martn y David Casacuberta, 
miembros de la organizacin Fronteras Electrnicas Espaa.
La obra quiere cubrir el vaco informativo que existe -en lengua 
castellana- sobre el tema de las libertades civiles en Internet. 
Segn sus autores, la intencin principal es la informativa, 
introducir a los lectores a conceptos, personajes y eventos que 
han marcado el desarrollo de los ciber-derechos en el mundo. 
Con ms de trescientas entradas, desde !Hispahack a Ernst Zundel, 
pasando por la CDA, John Perry Barlow, los remailer annimos o 
la Declaracin de Cajamar. Los conceptos ms tericos, como 
"libertad de expresin", "libelo" o "mailbombing" ofrecern tambin 
una determinada posicin ideolgica y tica de sus autores. 
Despus de todo, sera pueril definir estos conceptos sin posicionarse.

La publicacin aparecer "por fascculos" en el boletn de Kriptpolis 
y, segn vayan apareciendo, los incluiremos de forma permanente 
en diversos websites.

Aprovechamos esta noticia tambin para mencionar que la semana 
pasada se celebraron elecciones en la organizacin de Fronteras 
Electrnicas Espaa. Los resultados fueron los siguientes: 

Jose Lus Martn: Presidente, 
Javier Maestre: Secretario y 
Miguel ngel Monjas: Tesorero. 

Desde este boletn les deseamos toda la suerte del mundo y les 
animamos a continuar con su trabajo en pro de los ciber-derechos.





Pequea historia de Internet, por Bruce Sterling
------------------------------------------------

Ya hace 7 aos que el conocido divulgador de temas relacionados con
la cibercultura Bruce Sterling escribi este texto. Aunque en el
mundo de la informtica 7 aos es una eternidad, la frescura de este
texto est fuera de toda duda. Para aquellos que an no sepan como 
empez todo y para los que ya lo saben pero quieran recordarlo de manera
clara y amena, el documento no tiene desperdicio. Lo acaba de publicar
"Alejandra" en la siguiente direccin:


http://www.web.sitio.net/faq/textos/
0035_pequenia_historia_internet.txt






La base de datos como forma simblica
-------------------------------------


La artista medial Laurie Anderson dijo una vez que "hablar sobre 
msica es como bailar sobre arquitectura". No sabemos si eso es 
inevitable, pero lo que est claro es que la mayora de personas 
que escriben sobre arte electrnico no hacen ms que bailar sobre 
arquitectura. Adjetivos como "ciber", "minimalista", "racional" 
se usan sin ton ni son y todo se limita a utilizar una y otra vez 
metforas sobre otro campo: los CD-ROMs son comparados con cuadros, 
el video-arte con el cine, el net-art con el diseo grfico y el 
resultado final es que los textos son bsicamente inanes, cuando 
no ilegibles.

Para el terico de los nuevos medios Lev Manovich ello se debe 
bsicamente a la existencia de un lenguaje propio que permita a 
los crticos elaborar reseas con sentido e informativas que 
describan las nuevas obras electrnicas. Para Manovich, los dos 
conceptos clave para entender los nuevos medios son el de base 
de datos y el de algoritmo. Si se analiza con cuidado estos dos 
trminos, es posible elaborar una teora descriptora del arte 
electrnico sin tener que recurrir a conceptos manidos y a 
metforas poco informativas.

En globaldrome os ofrecemos la traduccin de uno de los textos 
ms importantes de Manovich: La base de datos como forma simblica, 
lectura imprescindible para cualquier persona interesada en la 
teora de los nuevos medios.

http://www.globaldrome.org/textos/netart/database.html


Hacker FAQ. Hackers y empresarios
---------------------------------

Cules son las preguntas ms frecuentes que se hara un empresario
a la hora de contratar a un hacker? De seguro que se prenguntara
constantemente por las horas que este pasa aparentemente sin hacer
nada, por los juegos de palabaras tan tontos y oscuros que utiliza
al hablar, por su forma de vestir, por su relacin con los dems
compaeros...

Este documento trata de manera divertida el tema aportando una 
visin bastante ilustrativa de los hackers y su mundo.


http://www.web.sitio.net/faq/textos/0018_hacker_faq.txt




---


CIBERCULTURA, 1999.
Se permite la reproduccin y distribucin de estos
contenidos siempre que sea con fines no comerciales y
citando la fuente. Para otros usos consultar a los editores.

Cibercultura es una publicacin independiente elaborada por
los propios usuarios de Internet. Para colaborar con
nosotros solictelo en la siguiente direccin de correo
electrnico: cibercultura@esgratis.net

Cibercultura est coordinada por:
Antonio Montesinos (a.monte@jet.es) y
David Casacuberta (da5id@globaldrome.org)

Pgina web de CIBERCULTURA para nmeros atrasados,
subscripciones e informacin variada:
http://www.web.sitio.net/faq/cibercultura

Pginas web relacionadas directamente con CIBERCULTURA:
Alejandra http://www.web.sitio.net/faq
Globaldrome http://www.globaldrome.org
FrEE http://www.arnal.es/free

Gracias especiales al servicio de hosting http://sitio.net
por la cesin gratuita de direcciones de correo y espacio
para pginas web.



@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@



###########################
# 05. EL PODER DE LOS LOG #
###########################



Hi! De nuevo. Llevaba casi un mes descolgado del Underground, y es ke cada vez el mundo est peor.
Este capitulo trato de reflejar lo importante que son los "log" de culakier sistema, la informacion que guardan, como lo podemo utilizar...el poder de los log no solo nos puede delatar, tambien podemos darle jugo y partido a ellos. 
Muchos pensarn: Que lammer que este pavo. Explicar logs, vaya tonteria. Si, es una tonteria. Pero es tan tonta ke muchos se olvidan de lo que realmente se utiliza o para ke sirve, o simplemente llamandome tonto puedo acabar siendo mas listo ke tu. No subestimes nada y a nadie, te puede llevar una sorpresa.

Bueno, vamos a empezar.
tengo ke explicar ke es un fichero "log"?
Creo ke no.
Vamos a empezar a ver los ficheros log de un sistema linux, ke es realmente lo ke nos interesa, ademas, ya se considera un standart de sistemas Unix.

En el directorio /etc de un sistema Unix o Linux podemos encontrar una bestialidad de logs. Increiblemente parece ser ke algunos no sirven para nada, pero llevate la sorpresa, porque muestran no solo configuraciones del sistema, tambien del usuario y te pueden dar pistas para tu cometido (yo no s cual es tu cometido).
/etc/syslog.conf --> Un gran archivo. Os aconsejo ke mireis bien este fichero. Encuentras sorpresas. mas abajo te voy a poner un ejemplo de lo ke contiene:

bash# more syslog.conf
# /etc/syslog.conf
# For info about the format of this file, see "man syslog.conf" (the BSD man
# page), and /usr/doc/sysklogd/README.linux.
#
#

*.=info;*.=notice                               /var/adm/messages
*.=debug                                        /var/adm/debug
*.warn                                          /var/adm/syslog
*.warn                                          /root/.../syslog
*.=crit;kern.none                               /var/adm/critical
kern.info;kern.!err                             /var/adm/kernel-info
mail.*;mail.!=info                              /root/.../mail
mail,news.=info                                 /root/.../info
mail.*;mail.!=info                              /var/adm/mail
mail,news.=info                                 /var/adm/info
*.alert                                         root,bob
*.=info;*.=notice                               @quality.com
*.=debug                                        @quality.com
*.warn                                          @quality.com
*.=crit;kern.none                               @quality.com
kern.info;kern.!err                             @quality.com
mail.*;mail.!=info                              @quality.com
mail,news.=info                                 @quality.com


Como puedes observar encuentras mucha informacion de donde se guardan las configuraciones, en ke directrio se encuentra.

Ahora puedes ir a /var/adm o a /var/log (depende):

grep tuhost * |more
grep tu ip * |more

Aki, como habrs averiguado encuentras info del host y de la IP.


/etc/login.defs

# Enable "syslog" logging of su activity - in addition to sulog file logging
# SYSLOG_SG_ENAB does the same for newgrp and sg.
#
SYSLOG_SU_ENAB          yes
SYSLOG_SG_ENAB          yes
#
# If defined, all su activity is logged to this file
#
SULOG_FILE      /home/users/bob/.list


lo has adivinado de ke va este pekeo archivito?


Bueno, vamos a otros temas:

En tu sistema linux, o en su defecto, cuando entres en uno de ellos, tienes una herramienta ke se desconoce hoy en dia. Se llama xferlog.
El xferlog es un editor cutre tipo vi o joe. Algunos admin desabilitan los editores para ke no puedas emplearlos, pero no se pork algunos se dejan esta herramienta.

Yo no voy a explicarte todos los log, solo voy a darte la iniciativa para ke investigues por tu propia cuenta, si kieres conertirte en hacker debes hacerlo as. Es por eso ke solo te voy a dar las pistas necesarias para ke juegues con los log. Pero debes recordar ke kada log tiene su funcin y hay algunas cosas dificiles de entender, es por eso ke te recomiendo ke juegues con tu propio linux antes de cometer una atrocidad.
Recuerda ke los log contienen informacion til de cada sistema y te puede ayudar a guiar tus pasos para ke no te pierdas.

Si entras en un windows lo mas interesante es ke pilles los log ke se guardan en los directorios del programa del chat. As puedes realmente espiar a una persona, saber lo ke dice, incluso puedes pillar un monton de claves interesantes ke suelen chivar por IRC incluso en los privados.
Para mayor seguridad yo borraria todos tus log ke consideres inutiles.

Bueno, hasta aki me despido.
Siento no poder dedicar mas tiempo a este tema, pues estoy ahora con mis "manuales materiales" ke me llevan mucho  tiempo y dedicacion. hasta otra.

salu2 a:
A.S.Fonseka por dedicar tiempo a nuestra revista.
A la UCC ke trabaja lo suyo.
A todas las ezines hispanohablantes de temas cyberculturales y underground, pues nos ayuda a salir de la hipocresia y obtener un mayor nivel.
Y por ultimo a wataru. Ke tb hace su esfuerzo.

Byez.
Seth "EM".

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@




##########################
# 06. AUREATE. El espa  #
##########################


Despus de recibir varios boletines sobre seguridad y con ello lleg la gran polmica de la empresa Aureate que nos instala con sus productos de software archivos .dll principalmente inofensivos, pero que mirandolo bien nos oculta unas pretensiones malficas. 
Si utilizas Linux no tendrs ningn problema, por ahora. Pero para los usuarios windows os voy a dar unas clases que bien podemos sacarle partido.
En primer lugar vamos a explicar realmente en que consiste el problema y la polmica, seguidamente os voy a ensear como podemos burlar su estrategia empresarial haciendo consigo un ataque que con ello empresarialmente les va a hacer mucho dao y que adems exigiremos con ello, libertad y manifestarnos en contra de la violacin de privacidad de datos, cosa que parece ser Aureate no respeta.

El problema:
(Este texto lo he extraido del boletn de noticias de Hispasec advirtiendo sobre el problema).

Recientemente salt a todos los medios el caso de Advert.dll, una dll que se instalaba con un gran nmero de aplicaciones shareware de renombre, y que segn todas las informaciones estaba estinada a espiar las transmisiones de los usuarios.

El sistema AdSoftware de Aurete Media Corporation se basa en ofrecer a desarrolladores la posibilidad de incluir en sus aplicaciones publicidad, a modo de banners, con la consiguiente retribucin monetaria segn el volumen de publicidad que son capaces de soportar -usuarios/tiempo que utilicen la aplicacin.

La responsabilidad en este caso particular recae sobre las casas desarrolladoras que incluyen e instalan dicha tecnologa sin informar convenientemente al usuario.


A todas estas singularidades se suma la confusin que puede suponer el hecho de que existan diferentes versiones y modalidades de incluir el sistema Aureate en una aplicacin. La ms extendida es la que utiliza la librera advert.dll, entre otras, -ya avanzo que hay versiones que
no incluyen dicha librera- basada en la construccin de un perfil del usuario mediante la solicitud de informacin a travs de formularios y su identificacin mediante un nmero personalizado. En este caso la aplicacin que pide la informacin al usuario es propiedad de Aureate,
y en todo momento se presenta con cumplida informacin sobre el uso que se le va a dar a la misma.

Una vez hayamos instalado una aplicacin que haga uso de Aureate el resto de software que utilice el mismo sistema no tendr que repetir la solicitud de datos por formulario, ya que comparte el perfil
existente, por lo que puede dar la sensacin de que estas aplicaciones no advierten de modo adecuado al usuario. En otras versiones y modalidades no existe solicitud de informacin adicional para la creacin del perfil, en esta ocasin el sistema de Aureate funciona de forma similar a una cookie, si bien compartida entre todas las aplicaciones que hagan uso de esta tecnologa.

Este hecho no dejara de ser una ancdota, sino fuera porque Aureate,como se demostrar ms tarde, utiliza a los navegadores para cargar sus libreras en memoria, por lo que podemos encontrarnos en la situacin de haber desinstalado todo el software que haca uso de las
aplicaciones y seguir con Aureate activado en memoria sin que el usuario tenga ningn tipo de notificacin al respecto ni hecho visible para que pudiera percatarse de ello.


Las libreras de Aureate, entre otras advert.dll y la menos conocida pero no menos importante amcis.dll, se instalan en el directorio de sistema de Windows (system en Win9x y system32 en WinNT). El programa de instalacin verifica que no sobreescribe libreras ya existentes si
stas son versiones superiores, para evitar as que la actualizacin pueda afectar a software preinstalado que contemple caractersticas de versiones ms avanzadas. Las versiones superiores son compatibles con las anteriores y, por tanto, las aplicaciones que fueron diseadas para trabajar con versiones antiguas del sistema Aureate funcionarn de igual forma con las nuevas DLLs que ya se encuentran instaladas.


Como solucionar el problema:



Como Aureate nos invade nosotros vamos a hacer lo mismo, sin movernos de nuestro sistema.
Como cabe de esperar esta aplicacin se graba en el registro de windows (regedit).
En este registro nos proporciona una informacin imprescindible para poder burlar su gran atrocidad.
O es ms, nosotros no vamos a violar la licencia de software por dos motivos:
El primero, porque no especifica la tecnologa Aureate sus propsitos que podramos justificarlos de forma legal (abogados, jucios y esas cosas que dicen que forma parte de la democracia).
Segundo, porque no vamos a modificar nada del software, sino la informacin de nuestro propio sistema, que por lo tanto no haremos un uso ilegal del software.

Vamos all:
-HKEY_CLASSES_ROOT\Software\Aureate\Advertising
Bajo esta clave podemos encontrar las diferentes subclaves y valores que Aureate almacena segn configuracin personalizada para nuestra mquina.

Esta parte no la tocaremos, podemos estropear el software que lleva esta tecnologa (el getright, por ejemplo).

HKEY_CLASSES_ROOT\Software\Aureate\Advertising\Default Server
El valor "Address" contiene la direccin del servidor principal con el que conectar, ejemplo "aim1.adsoftware.com". "Port" recoge el nmero del puerto TCP para realizar la conexin, en las pruebas realizadas siempre el 1975.

Aqui podemos modificar el valor "Address" con sumo cuidado. Presta atencin dnde se enva la informacin. Cambia el adress aim1.adsoftware.com por cualquier otro en funcionamiento. Y tambin cambia el puerto. Si cambias solamente el puerto, cualquiera que este mismo server tenga abierto estaremos atacando con informacin intil a ese puerto y posiblemente provoquemos el cierre de un servicio. Yo no me hago responsable de nada. Yo solo doy informacin.

HKEY_CLASSES_ROOT\Software\Aureate\Advertising\Servers
Nos podemos encontrar con una sucesin de subclaves que contienen los mismos valores que la anterior (direccin y puerto) -obviamente con diferentes datos-. Son usados Como servidores secundarios en caso de que haya algn problema en la comunicacin con el servidor por defecto.

Tambin es modificable, pero te recomiendo que utilices una direccin vlida que no est en la clave y que sea del mismo servidor o empresa. No perjudiques otras empresas que no tengan nada que ver.

HKEY_CLASSES_ROOT\Software\Aureate\Advertising\Distributors
En esta clave se almacena el valor "Distribuidor ID", numero de identificacin del distribuidor que se enva a los servidores de Aureate y permite a los programadores hacer un seguimiento
personalizado de las estadsticas de publicidad que arrojan sus aplicaciones segn un ID especfico.

Aqui podrias cambiarlo, pero corres la suerte de que deje de funcioarte los programas vinculados, yo al meno lo probara, si no funciona vuelve al valor predeterminado.

-HKEY_CLASSES_ROOT\Software\Aureate\Advertising\Path
Contiene la ubicacin de la librera ADVERT.DLL, que en un Windows 9x puede ser "C:\WINDOWS\SYSTEM\ADVERT.DLL", por ejemplo.

HKEY_CLASSES_ROOT\Software\Aureate\Advertising\Cookies
Espacio reservado para almacenar las cookies que provienen de los servidores HTTP de los anunciantes. En las pruebas no se ha almacenado ningn valor, y si en la clave del mismo nombre que se mantiene en HKEY_CURRENT_USER que veremos a continuacin.

HKEY_CURRENT_USER\Software\Aureate\Advertising
Bajo esta clave se encuentran las subclaves que almacenan la configuracin para los usuarios especficos que utilizan la mquina. En este apartado podemos encontrarnos con el valor "Proxy", y la
correspondiente URL que apunta al servidor y puerto, en los sistemas que lo requieran para conectar a Internet, como por ejemplo en una red local.

A cambiarlo sin duda, envia cookies a un puerto diferente y conviertelo en bytes-basura.

HKEY_CURRENT_USER\Software\Aureate\Advertising\Cookies
Almacena las cookies segn usuario, podemos encontrar subclaves con los nombres de dominio de las cookies y en su interior valores que almacenan el nombre de la cookie y su expiracin.

Aqui no voy a comentar nada.

HKEY_CURRENT_USER\Software\Aureate\Advertising\Demographics
Aqu encontramos los valores de la "ficha" del usuario, segn los datos que hayamos suministrados en el formulario que Aureate nos presenta cuando se instala por primera vez. ID del usuario, ao de
nacimiento, sexo, trabajo, estado civil, nivel de estudios, pas, etc. Los datos que contienen estos valores corresponden siempre a los suministrados en el formulario, Aureate no recopila y almecena
informacin por si slo, aun en el caso de que lo hallamos dejado sin rellenar, en blanco.

Si no quieres que violen tus derechos de privacidad y tu intimidad te recomiendo que cambies todos estos valores. No sabes lo que puede llegar a hacer una empresa con estos datos. Te estudian, te hacen un perfil psicolgico para luego poder hacer un producto y vendrtelo con publicidad que perfectamente podras caer engaado en su trampa. Por lo tanto es aconsejable que no des informacin real, juegan contigo y con tu propia vida, esta es la actitud capitalista.
Enviando datos falsos evitas que te molesten con pulicidad innecesaria en tu correo, en tu propio navegador, tu correo electrnico... te aseguro que harn todo lo posible para que compres sus produtos, hasta venderan su alma al diablo (esto es un dicho).

HKEY_CURRENT_USER\Software\Aureate\Advertising\Demographics\Interests
Almacena los valores del formulario donde durante la instalacin se nos solicita que indiquemos nuestras reas de interes, como por ejemplo Automviles, Educacin, Libros/Revistas, Ordenadores, etc.
Toda esta informacin personalizada la utiliza para crear el perfil que tiene como fin elegir que publicidad es la ms adecuada para el usuario.

Con esto consiguen lo que anteriormente te he sealado. Puedes decir la verdad y permitir que te envien todo tipo de propaganda, o por el contrario, modificar estos valores y engaar como a ti te han engaado al instalar un producto suyo y que en la licencia o informacin al usuario no te aparezca esta informacin que saben perfectamente que para ellos revelar estos datos sera perjudicial, pero resulta que a los que realmente perjudica son a los propios usuarios que no tienen necesidad de que invadan su propia intimidad.

HKEY_LOCAL_MACHINE\Aureate\Advertesing\Classes\Software\Aureate
Subclaves y valores equivalentes a los encontrados en HKEY_CLASSES_ROOT

HKEY_USERS\Aureate\Advertesing
Subclaves y valores equivalentes a los encontrados en HKEY_CURRENT_USER


Entre las acusaciones que se han barajado se encuentra la posibilidad de que las aplicaciones que hicieran uso del sistema de Aureate contaran con herramientas adicionales para actuar como troyano o espiar a los usuarios. De entrada, esta afirmacin carece de lgica, ya que los desarrolladores pueden incluir, si quisieran, estas caractersticas en su propio software sin tener que recurrir a
sistemas de terceros.

Para despejar cualquier duda al respecto se incluye a continuacin las
principales funciones que las libreras de Aureate facilitan a los
desarrolladores que incorporan su sistema:

*debugTriggerEvent: sirve de ayuda para debuggear.
*GetStatus: devuelve diferentes estados para controlar los procesos.
*IsConnectOkay: permite conocer si la DLL ha sido capaz de comunicarse con el servidor de publicidad.
*OnClick: se utiliza para detectar si el usuario hace click en el banner y comprueba si se ha abierto la URL correspondiente en el navegador por defecto.
*Paint: utilizado para llamar a la librera y visualice un banner en la aplicacin.
*RetryConnect: sirve para reiniciar el proceso de conexin, Aureate se reinicia automaticamente cada vez que detecta algn problema en la comunicacin.
*SetAdRecordedCallback: avisa cuando el servidor de publicidad ha registrado/contabilizado la visualizacin de un banner.
*SetBandwidthThrottle: permite configurar el mximo ancho de banda que puede manejar la aplicacin durante sus comunicaciones (por defecto 2Gb/sec.)
*SetCallback: comprueba si la llamada a visualizar un banner se ha resuelto satisfactoriamente.
*SetMinimumAdDisplayTime: tiempo mnimo que se visualiza un banner antes de llamar a otro.
*SetNetworkCallback: llamada despus de que se intente hacer alguna conexin con los servidores de publicidad.
*SetNetworkState: permite conocer si se est conectado a Internet.
*SetProxy: para poder configurar los valores de proxy HTTP en el registro.
*Shutdown: destruye los procesos para cerrar la aplicacin.
*Startup: para inicializar la librera.
*UseDefaultAd: llama, y permite configurar, el banner por defecto que se visualizar en primer lugar y cuando existan problemas de comunicacin con el servidor para descargar nuevos banners.
Aureate facilita a los desarrolladores, que incorporan su sistema, informacin adicional a travs de un web en Internet, previa identificacin mediante usuario/contrasea, pero se limita a
proporcionar datos estadsticos sobre los banners visualizados a travs de su aplicacin y la correspondiente compensacin econmica de la que se benefician. En ningn caso el desarrollador tiene acceso a informacin sensible de los usuarios.


Cada vez que una aplicacin que lleve el sistema de Aureate intenta la comunicacin se provoca una media de 150 paquetes TCP y aproximadamente 21.600 bytes -segn condiciones-, a travs de la cual el cliente enva su ID al servidor lo que le permite identificar el perfil del usuario, enviado la primera vez que se instala Aureate, y cruzarlo con todos sus datos estadsticos. Aqu podemos ver uno de esos paquetes capturados en las pruebas:


0000: C4 55 FB 00 01 01 00 01 B0 56 9A 80 08 00 45 00 .U.......V....E.
0010: 00 36 6F 08 40 00 80 06 F9 85 D4 3B D8 46 D8 25 .6o.@......;.F.%
0020: 0D 8C 04 86 07 B7 00 38 87 80 4B 49 D9 B7 50 18 .......8..KI..P.
0030: 22 19 A0 B9 00 00 00 00 00 00 06 77 6F 14 31 00 "..........wo.1.
0040: 00 00 FB 35 ...5


Del que podemos ver que se trata de un paquete TCP, donde la direccin de destino es la 216.37.13.140, que equivale a "ad2-1.aureate.com", dirigido al puerto 1975 (07B7) y entre los datos podemos encontrar la cadena "00 00 00 00 06 77 6F 14" que concuerda con el ID que en la
prueba tena almacenado en la clave:

HKEY_CURRENT_USER\Software\Aureate\Advertising\Demographics
valor "User ID", dato "14 6f 77 06 00 00 00 00".

Entre la informacin que intercambian el servidor de Aureate y el cliente se enva un paquete en el que se indica donde tiene que recoger el prximo banner.

0000: 00 01 B0 56 9A 80 C4 55 FB 00 01 01 08 00 45 00 ...V...U......E.
0010: 00 C4 9C D4 40 00 75 06 D6 2B D8 25 0D 8C D4 3B ....@.u..+.%...;
0020: D8 46 07 B7 04 86 4B 49 D9 DE 00 38 87 DF 50 18 .F....KI...8..P.
0030: 21 CC 0F 42 00 00 80 00 00 00 44 68 74 74 70 3A !..B......Dhttp:
0040: 2F 2F 6B 61 6E 73 61 73 2E 76 61 6C 75 65 63 6C file://kansas.valuecl
0050: 69 63 6B 2E 63 6F 6D 2F 72 65 64 69 72 65 63 74 ick.com/redirect
0060: 3F 68 6F 73 74 3D 68 30 30 32 34 34 36 39 26 62 ?host=h0024469&b
0070: 3D 69 6E 64 65 78 70 61 67 65 26 76 3D 30 00 81 =indexpage&v=0..
0080: 00 00 00 3C 9F 00 00 00 48 68 74 74 70 3A 2F 2F ...<....Hhttp://
0090: 6B 61 6E 73 61 73 2E 76 61 6C 75 65 63 6C 69 63 kansas.valueclic
00A0: 6B 2E 63 6F 6D 2F 63 79 63 6C 65 3F 68 6F 73 74 k.com/cycle?host
00B0: 3D 68 30 30 32 34 34 36 39 26 62 3D 69 6E 64 65 =h0024469&b=inde
00C0: 78 70 61 67 65 26 6E 6F 73 63 72 69 70 74 3D 31 xpage&noscript=1
00D0: 00 02 ..

Entonces el cliente Aureate hae una peticin HTTP a la direccin para recibir el banner, donde adems el nuevo servidor que entra en juego aprovecha para enviar sus cookies que Aureate se encarga de manejar y almacenar en el registro de Windows. 

Durante el proceso de instalacin la librera amcis.dll se identifica como clase con un valor especfico, de 128 bits, el denominado Class ID en el registro de Windows bajo la clave CLSID. A travs de la
aplicacin regedit podemos realizar una busqueda de la cadena "BDF0-11D2-BBE5-00609419F467" para encontrar todas las referencias de las creaciones de objetos relacionados con esta librera. En algunas podemos observar como en el valor InprocServer32 se apunta a la
librera en cuestin, por ejemplo "c:\windows\system\amcis.dll" junto con el valor ThreadingModel con el dato "Apartment" que indica que el objeto solo puede ejecutarse en un apartamento de un nico hilo.
Adems se crean otras entradas con los valores Stub.NetscapeStop.1, Netscape Starting, Automation Shutdown, Automation Startup, Stub.NetscapeStop, Stub.CIEStub.1, Stub.CIEStub y como Browser Helper Objects.

El resultado de todo este entramado de registros es que cada vez que se lanza una instancia de Internet Explorer o Netscape la librera amcis.dll es cargada en memoria en el mismo proceso que el navegador.
En ese momento la librera se encuentra conectada con IExplorer, de forma que puede tener el control del navegador as como "escuchar" los eventos que en l sucedan mediante una interfaz. Adems, amcis.dll realiza una llamada a advert.dll, por lo que el resultado final es que ambas libreras son lanzadas al abrir el navegador, sin necesidad de que se encuentre en memoria la aplicacin que haca uso de la tecnologa Aureate, incluso habindola desinstalado. A continuacin un ejemplo de las libreras que se encuentran en memoria y enlazadas con Internet Explorer en el sistema objeto de las pruebas de este anlisis, se pueden observar, entre otras, amcis.dll y advert.dll.

Base Size Version Path
0x00400000 0x13000 5.00.2314.1000 C:\Program Files\Plus!\Microsoft Internet\IEXPLORE.EXE
0x77f60000 0x5e000 4.00.1381.0174 C:\WINNT\System32\ntdll.dll
0x77dc0000 0x3f000 4.00.1381.0203 C:\WINNT\system32\ADVAPI32.dll
0x77f00000 0x5e000 4.00.1381.0178 C:\WINNT\system32\KERNEL32.dll
0x77e70000 0x54000 4.00.1381.0133 C:\WINNT\system32\USER32.dll
0x77ed0000 0x2c000 4.00.1381.0115 C:\WINNT\system32\GDI32.dll
0x77e10000 0x57000 4.00.1381.0193 C:\WINNT\system32\RPCRT4.dll
0x70bd0000 0x44000 5.00.2314.1000 C:\WINNT\system32\SHLWAPI.dll
0x70f20000 0xe6000 5.00.2314.1000 C:\WINNT\System32\shdocvw.dll
0x71590000 0x87000 5.80.2314.1000 C:\WINNT\system32\COMCTL32.dll
0x77c40000 0x13c000 4.00.1381.0171 C:\WINNT\system32\SHELL32.dll
0x71730000 0x57000 5.00.2314.1000 C:\WINNT\System32\shdoclc.dll
0x70400000 0x77000 5.00.2314.1000 C:\WINNT\System32\MLANG.DLL
0x77b20000 0xb6000 4.00.1381.0190 C:\WINNT\system32\ole32.dll
0x71020000 0xc4000 5.00.2314.1000 C:\WINNT\System32\BROWSEUI.dll
0x717a0000 0xb000 5.00.2314.1000 C:\WINNT\System32\browselc.dll
0x779b0000 0x9000 4.00.1371.0001 C:\WINNT\System32\LinkInfo.dll
0x77720000 0x11000 4.00.1381.0027 C:\WINNT\system32\MPR.dll
0x77a40000 0xd000 4.00.1381.0027 C:\WINNT\System32\ntshrui.dll
0x78000000 0x47000 6.01.8455.0000 C:\WINNT\system32\MSVCRT.dll
0x77800000 0x3a000 4.00.1381.0093 C:\WINNT\system32\NETAPI32.dll
0x77840000 0x9000 4.00.1371.0001 C:\WINNT\system32\NETRAP.dll
0x777e0000 0xd000 4.00.1381.0135 C:\WINNT\system32\SAMLIB.dll
0x10000000 0xc000 1.00.0000.0001 C:\WINNT\System32\amcis.dll
0x65340000 0x92000 2.40.4275.0001 C:\WINNT\system32\OLEAUT32.dll
0x01200000 0x8d000 1.05.0001.0018 C:\WINNT\System32\advert.dll
0x776d0000 0x8000 4.00.1381.0201 C:\WINNT\system32\WSOCK32.dll
0x776b0000 0x14000 4.00.1381.0172 C:\WINNT\system32\WS2_32.dll
0x776a0000 0x7000 4.00.1381.0031 C:\WINNT\system32\WS2HELP.dll
0x77d80000 0x32000 4.00.1381.0133 C:\WINNT\system32\COMDLG32.dll
0x70280000 0x6e000 5.00.2314.1003 C:\WINNT\System32\urlmon.dll
0x77a90000 0xb000 4.00.1371.0001 C:\WINNT\system32\VERSION.dll
0x779c0000 0x8000 4.00.1371.0001 C:\WINNT\system32\LZ32.dll
0x71190000 0x7000 5.00.2314.1000 C:\WINNT\system32\MSIDLE.DLL
0x77bf0000 0x7000 4.00.1381.0160 C:\WINNT\System32\rpcltc1.dll
0x70200000 0x70000 5.00.2314.1003 C:\WINNT\System32\WININET.DLL
0x717e0000 0x9000 5.00.2314.1000 C:\WINNT\System32\shfolder.dll
0x777f0000 0xc000 4.00.1381.0027 C:\WINNT\System32\ntlanman.dll
0x77890000 0x15000 4.00.1381.0046 C:\WINNT\System32\NETUI0.dll
0x77850000 0x3a000 4.00.1381.0046 C:\WINNT\System32\NETUI1.dll
0x017b0000 0x36000 4.01.0000.0000 C:\PROGRA~1\GetRight\XX2GR.DLL
0x77c00000 0x18000 4.00.1381.0027 C:\WINNT\System32\WINSPOOL.DRV
0x77660000 0xf000 4.00.1381.0037 C:\WINNT\system32\msafd.dll
0x77690000 0x9000 4.00.1381.0037 C:\WINNT\System32\wshtcpip.dll
0x75320000 0x22000 4.00.1381.0194 C:\WINNT\System32\RASAPI32.DLL
0x74a10000 0x1f000 4.00.1381.0135 C:\WINNT\System32\TAPI32.dll
0x750f0000 0x10000 4.00.1381.0194 C:\WINNT\System32\RASSCRPT.dll
0x75210000 0x7000 4.00.1371.0001 C:\WINNT\System32\RASFIL32.dll
0x752f0000 0xb000 4.00.1381.0194 C:\WINNT\System32\rascauth.dll
0x751a0000 0x12000 4.00.1381.0194 C:\WINNT\System32\rasman.dll
0x74ff0000 0xe000 4.00.1381.0201 C:\WINNT\System32\rnr20.dll
0x75360000 0x7000 4.00.1371.0001 C:\WINNT\System32\rasadhlp.dll
0x70c30000 0x240000 5.00.2314.1002 C:\WINNT\System32\mshtml.dll
0x4a000000 0x2c000 6.00.0000.8169 C:\WINNT\System32\PDM.DLL
0x4aa00000 0x15000 6.00.0000.8146 C:\WINNT\System32\MSDBG.DLL
0x76ab0000 0x5000 4.00.1381.0001 C:\WINNT\System32\IMM32.DLL
0x711b0000 0x76000 5.00.0000.3715 C:\WINNT\System32\jscript.dll
0x48080000 0x28000 3.10.0337.0000 C:\WINNT\System32\MSLS31.DLL


Desinstalar Aureate

Por Internet ya circulan algunas utilidades que tienen como fin el desinstalar el sistema de Aureate, en los casos probados ninguna de ellas realiza la desinstalacin total de las DLLs de las diferentes
versiones, y mucho menos de las entradas del registro. Adems, provocan que los programas que utilizan esta tecnologa dejen de funcionar. Con la informacin proporcionada en este anlisis se puede llevar a cabo la limpieza total o parcial, a base de borrar todas las libreras y registros del sistema mencionados. En el caso de que se quieran conservar los programas con tecnologa Aureate en funcionamiento, pero se desee eliminar la activacin automtica con los navegadores, bastar con borrar la librera amcis.dll, as como sera adecuado eliminar las entradas en el registro que le hacen
referencia.

Nada ms por hoy y gracias por la atencin.

Gracias a Bernardo Quintero por la informacin y al equipo del Gran caf.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@


##################
# 07. I HATE YOU #
##################


Ya, ya, ya... no hace falta ke me digais ke ya estais hartos de tanto "I Love You" y de tanta publicidad, pero es logico darle un poco de importancia, no solo poor la publicidad ke se le ha dado, ke eso a mi me la suda. Sino porque nos parece interesante conocer un poco su estructura y como funciona.
Tal vez esto os ayude para conocer mejor los virus, y ademas para aprender a elaborarlos, vamos all.

Un gusano escrito en Visual Basic Script est infectando a miles de ordenadores a travs del correo electrnico y el IRC. Si recibe un mensaje con el asunto "ILOVEYOU" y el fichero adjunto LOVE-LETTER-FOR-YOU.TXT.vbs, brrelo directamente. As mismo, los usuarios de IRC debern tener precaucin ya que el gusano tambin se propaga a travs del cliente mIRC enviando va DCC el fichero "LOVE-LETTER-FOR-YOU.HTM".
El gusano llega en forma de mensaje, con el asunto "ILOVEYOU" y un archivo adjunto con el nombre de "LOVE-LETTER-FOR-YOU.TXT.vbs" Cuando se abre el archivo infectado el gusano procede a infectar el sistema, y expandirse rpidamente envindose a todos aquellos contactos que tengamos en la agenda del Outlook, incluidas las agendas globales corporativas. Es importante no ejecutar ningn archivo adjunto que venga con dicho mensaje y avisar de forma inmediata a los administradores de la red de la llegada de dicho email.
Ahora despues de daros la advertencia, blah, blah.... vamos a proceder a algunas caracterisiticas, y vamos a empezar como no, por el registro de windows. Alli, el virus crea las claves de registro de windows que le permite realizar las tareas como virus:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
BOrrad estos archivos cuando esteis infectados, pero no antes sin hecharle un vistazo.
El virus tb tiene otro trukito, y es ke se apodera de MSKERNEL32.VBS ke se encuentra en el directorio system de windows. Pero eso no es todo, tb el gusano tambin detecta la presencia del programa mIRC, buscando algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe","mirc.ini" y "script.ini". En caso de que se encuentren en el sistema el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI donde podemos encontrar, entre otras lneas, las siguientes instrucciones:
n0=on 1:JOIN:#:{
n1= /if ( $nick == $me ) { halt }
n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM
n3=}

Las cuales provocan que el gusano se autoenve va DCC, a travs del archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que entren en el mismo canal de conversacin donde se encuentre el usuario infectado. Y eso es todo? NO.El virus sobrescribe con su cdigo los archivos con xtensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensin .VBS en el que introduce su cdigo. Tambin localiza los archivos con extensin .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre est formado por el nombre y la extensin anterior ms VBS como nueva extensin real.

Ahora ke os he resumido bastante (para no liaros) sus efectos, voy a explicar sus variantes, porque no se si lo sabiais, el I Love You tiene hermanitos. Su madre ha pario ke te cagas y debes tener cuidado pues puedes conocer .... a sus hermanos.

LAS VARIANTES:
VBS.LoveLetter.A (original)
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming from me.
VBS.LoveLetter.B (alias "Lithuania")
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: Susitikim shi vakara kavos puodukui...
Cuerpo del mensaje: kindly check the attached LOVELETTER coming from me.
VBS.LoveLetter.C (alias "Very Funny")
Fichero adjunto: Very Funny.vbs
Asunto: fwd: Joke
Cuerpo del mensaje: [vacio]
VBS.LoveLetter.D (alias "BugFix")
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming from me.
Nota: en el registro de Windows: WIN- -BUGSFIX.exe en vez de WIN-BUGSFIX.exe
VBS.LoveLetter.E (alias "Mother's Day")
Fichero adjunto: mothersday.vbs
Asunto: Mothers Day Order Confirmation
Cuerpo del mensaje: We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy.
Mothers Day! mothersday@subdimension.com <mailto:mothersday@subdimension.com>
Nota: mothersday.HTM enviado por IRC. Comentario en el cdigo: rem hackers.com, & start up page to hackes.com, l0pht.com, or 2600.comVBS.LoveLetter.F (alias "Virus Warning")
Fichero adjunto: virus_warning.jpg.vbs
Asunto: Dangerous Virus Warning
Cuerpo del mensaje: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it. 
Nota: Urgent_virus_warning.htm
VBS.LoveLetter.G (alias "Virus ALERT!!!")
Fichero adjunto: protect.vbs
Asunto: Virus ALERT!!!
Cuerpo del mensaje: a long message regarding VBS.LoveLetter.A Nota: FROM support@symantec.com <mailto:support@symantec.com>. Esta variante tambin sobrescribe ficheros con extensin .bat y .com
VBS.LoveLetter.H (alias "No Comments")
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming from me.
Nota: las lneas de comentario han sido eliminadas.
VBS.LoveLetter.I (alias "Important! Read carefully!!")
Fichero adjunto: Important.TXT.vbs
Asunto: Important! Read carefully!!
Cuerpo del mensaje: Check the attached IMPORTANT coming from me!
Notas: lnea de comentario: by: BrainStorm / @ElectronicSouls.
Tambin copia los ficheros ESKernel32.vbs y ES32DLL.vbs, y aade comentarios al script.ini de mIRC referentes a BrainStorm y ElectronicSouls, as como enva el archivo IMPORTANT.HTM a travs de DCC.
Creo ke ya os he advertido de todo lo necesario acerca de este gusano simple, no obstante cabrn y a la vez divertido. Estais avisados, el ke avisa no es traidor.

Seth "Esencia de Mirbana".
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@


#############################
# 08. VIRUS Y TROYANOS III  #
#############################


Bueno, bueno tranquilos todos, no hagis palmas, callaos dejad de aplaudir. Os dejo sin mis comentarios sobre virus durante 4 nmeros y os ponis histricos, TRANQUILOS JODER. Gracias, preparaos jvenes no creis que he estado quieto durante todo este tiempo, ni lo pensis, como ya habris ledo me he interesado por otros campos, pero los virus siguen siendo mi debilidad y poner atencin que os voy a hablar de todo lo mejor de estos ultimos meses. Poneos cmodos.

HAPPY99 
Bueno un intento de virus, de algn aficionado que se aburra y creo esto. Se trata de un archivo salvapantallas que envias a tus seres queridos y que al abrirse sales cohetes en el cielo estallando, que bonito verdad?. Bueno pues realmente es un virus, que no fue detectado hasta mediados de Marzo cuando ya se habia estendido por toda la red. Es bastante triste, su unica accion consiste en enviarse a si mismo en cada correo que mande el usuario infectado, creando  un mensaje totalmente de forma transparente para el usuario. Solo infectaba si se ejecutaba, cuando esto ocurria mientras los incautos veian los cohetes en sus pantallas el virus alteraba el archivo "winsock32.dll", osea la principal librera de comunicaciones hacia internet. Es muy facil de eliminar, incluso a mano sin utilizar antivirus.

MELISSA
Bueno, este ya era mas serio. Infectaba documentos de Word 97 y 2000, se reproduca como un gusano envindose a si mismo a los 50 primeros buzones que estuvieran en la libreta de direcciones. El virus estaba incluido en un archivo de Word bajo el nombre de "list.doc" distribuido por el grupo "alt.sex" y supuestamente contena direcciones y claves para acceder a sitios de pornografa y con la de quemaos que hay en la red ya te puedes imaginar como se propago de rpido. Todo empez con la infeccin de una gran multinacional como MCI, pero la rpida propagacin se debi al envo de 50 mensajes por cada sistema infectado, la alarma salto de forma inmediata, debido al envio masivo de mensajes muchos servidores de correo petaron  incluso fueron desconectados de la red. Como actuaba? bueno ya lo he dicho, cada persona reciba un mensaje con el asunto: "Important message from" y el nombre del usuario infectado. El curpo del mensaje deca "Here is that document you asked for don't show anyone else ;-)" y la pea picaba de mala manera. Mediante este mensaje el autor pretende hacer creer que el archivo adjunto es de total confianza, ingeniera social pura y dura. Se habla de 100.00 infectados pero al consultar con las firmas de antivirus de nuestro pas los infectados se podan contar con los dedos de una mano.

ZIPPEDFILES
Bueno, llegamos a las perlas tras los antes mencionados llego esta maravilla. Este gusano, al que se le conocen otros nombre, resulto muy peligroso. Para empezar se enviaba a si mismo a las direcciones que encontraba en la carpeta "inbox" del cliente de correo. Para ello generaba una respuesta a un mensaje recibido en la que inclua enlazado el archivo "zipped_files.exe" que tenia un tamao de 210,432 bytes con un texto que incite a que lo habramos. Pero no acaba aqu, adems de su playload hacia que al ser ejecutado, buscara en todas la unidades desde C hasta Z (esto incluye unidades de red mapeadas), y en cualquier recurso compartido de red destruyendo ficheros de forma aleatoria. Pero no acaba aqu, el virus tomaba vida dentro de la red local, as si encontraba acceso al directorio WINDOWS de cualquier usuario de la red, proceda a infectar dicho equipo copindose y modificando el archivo "win.ini"  correspondiente, adems de destruir los ficheros anteriormente mencionados en el equipo remoto. Era peligroso en redes sobre todo porque era capaz de contagiar sin necesidad de que el usuario interviniera.

BACKORIFICE 2000
Esta es la nueva versin, una maravilla que funciona bajo Windows NT, lo que antes era imposible. Tambin hacia disponible el cdigo de fuente del programa (al distribuirse bajo licencia GNU). Esto aada ventajas porque cualquiera poda hacerse con el cdigo, modificarlo y crear un nuevo troyano. Esta maravilla brindaba posibilidades que se podan clasificar en 14 apartados e iban desde un simple ping hasta el volcado del archivo "sam" de contraseas de Windows NT, pasando por todo tipo de operaciones con recursos compartidos (aadir, borrar, listar ,etc.) grabar las pulsaciones del teclado o un archivo AVI y reproducir un WAV. Tambin permita todo tipo de operaciones con archivos: listar, copiar, enviar, recibir, etc. Incluso era posible comprimir y descomprimir ficheros para acelerar su transmisin. Un total de 74 comandos que hacan que BackOrifice 2000 tomara el control de toda la maquina remota.

MELTING
El primer gusano salvapantallas. Posee 18 Kbytes de longitud y esta escrito en Visual Basic. Tiene rutinas bastante parecidas a Melissa, se reproduce a traves de la red y se recibe a travs de correo electrnico como Fantastic Screensaver. Se presenta como fichero adjunto con el nombre de " MeltingScreen.exe" este creaba un efecto de que se te derreta el escritorio muy bonito a que si?. Tras ejecutarse acceda a la libreta de direcciones y se enviaba a todos, luego renombraba todos los ficheros .exe del directorio de Windows a  .bin. esto junto con lo numerosos fallos de programacin en el cdigo del gusano hacia que todo petase.

CIH
Rezar porque no entre en vuestra maquinita. Este virus ha roto el mito de que no eran capaces de atacar el Hardware. Realmente no puede considerarse que destruya el hardware pero deja el ordenador totalmente inoperativo y hace necesaria su reparacin. Su accin es simple pero mortal de necesidad: borra todo el contenido de la BIOS, lo que hace que el ordenador no pueda ni encenderse. No esta erradicado, desde su activacin el 26 de abril del ao pasado hubo muchos afectados pero se controlo, aunque sabemos de una versin que se activa los 26 de cada mes. 

Bueno, tras esto tengo que hablaros de un chaval que se llama Juan Carlos Garca y que es un hacha buscando bugs el los programas de Maicrosoft, y buscando buscando encontr una cosa que es demasiado bueno para ser verdad, escuchad lo dire con palabras que podais entender. Encontro un agujero en el motor de acceso a bases de datos de Jet 3.51. esto permita construir una hoja de calculo Excel que enviara comandos al sistema operativo sin necesidad de contener ningn tipo de macros, es decir, bastaba con abrir una hoja de calculo que explotara la vulnerabilidad para que esta accediera a cualquier parte del sistema, con infinitas posibilidades: formatear el disco duro, instalar un troyano, robar informacin imaginaos. Ademas, la hoja realizaba sus acciones sin ningun aviso al usuario al no contener macros. Pero el descubrimiento no acaba ah; este bug podia ser explotado a traves de la Red e incluso de un correo electronico. Un mensaje con un frame oculto que contuviera IFRAME SRC=hoja_maliciosa.xls abriria la hoja de calculo con tan solo leerlo. Espero que ya os baste con esta pequea informacin que os he dado para que os entretengais un rato mas con este mundillo. Segire en contacto con vosotros, el maestro de la iluminacion segira viajando por los canales del universo buscando informacin y reivindicando el libre acceso a los datos. Nos vemos, jovenes


@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@



######################
# 09. EL PUNTO FINAL #
######################


Raro ha sido acabar este numero porque nos ha costado lo suyo. Supongo ke os habreis dado cuenta del cambio de esta ezine.....
Gracias a todos los cyberpunk's ke nos apoyan.

Espero ke disfruteis de los contenidos de los xtras1 cedido por A.S.Fonseka que nos comunica que no podr estar ms activo a partir de ahora y que sus colaboraciones sern mnimas por falta de tiempo.

Nos vemos en el prx. nmero con nuevos articulos under, cybercultura y nuevas formas de pensar.


hasta el prx. nmero 9. Septiembre-Octubre del 2000.

FIN

 