04-07-2017, 04:15 PM
(Este mensaje fue modificado por última vez en: 04-07-2017, 04:18 PM por Reboot.)
Hola amiguitos.
Hoy he recibido uno de tantos de esos emails que dicen que te envían una factura y en realidad es un virus porque canta la traviata sólo de verlo. Pero hoy ha sido especial (insertar imagen de Ralph) y me he arriesgado a olerle las entrañas a esos ZIPs misteriosos.
He guardado el adjunto y lo he abierto con el Bandizip.
En su interior, un PNG y un JS con el mismo nombre del ZIP.
He descomprimido el JS (si es que me gusta el riesgo) y lo he abierto con el editplus. En su interior un par de invocaciones a unos ActiveX que hacen que te descargues un fichero temporal de un sitio polaco, un certificado de dicho otro sitio, también polaco, y finalmente la orden de ejecución.
No contento con el riesgo ya asumido, me he bajado el fichero al que invoca el JS, de la web polaca... y no he podido ver mucho más porque en el preciso momento en el que el Firefox trataba de bajarlo, el MSSECES bloqueaba la descarga y lo metía directamente en cuarentena.
Mi gran pregunta es... ¿Sólo con el hecho de tener un JS en el disco, el Windows lo ejecuta? Si le haces un click, sin ejecutar, solo para señalar, ¿Windows ejecuta el JS?
Y otra pregunta, ¿qué sentido tiene meter un JS en un ZIP? ¿Quién en su sano juicio abriría un JS? ¿O acaso es que el PNG que trae también el ZIP puede usar alguna argucia del sistema para ejecutar el JS por su cuenta? ¿O es que el WinZip que trae incorporado el explorador de windows ejecutaría ese JS al abrir el ZIP?
Lo digo porque hace una semana que he reinstalado el sistema (y ahora va de lujo) y me jodería tener que volver a formatear.
Hoy he recibido uno de tantos de esos emails que dicen que te envían una factura y en realidad es un virus porque canta la traviata sólo de verlo. Pero hoy ha sido especial (insertar imagen de Ralph) y me he arriesgado a olerle las entrañas a esos ZIPs misteriosos.
He guardado el adjunto y lo he abierto con el Bandizip.
En su interior, un PNG y un JS con el mismo nombre del ZIP.
He descomprimido el JS (si es que me gusta el riesgo) y lo he abierto con el editplus. En su interior un par de invocaciones a unos ActiveX que hacen que te descargues un fichero temporal de un sitio polaco, un certificado de dicho otro sitio, también polaco, y finalmente la orden de ejecución.
No contento con el riesgo ya asumido, me he bajado el fichero al que invoca el JS, de la web polaca... y no he podido ver mucho más porque en el preciso momento en el que el Firefox trataba de bajarlo, el MSSECES bloqueaba la descarga y lo metía directamente en cuarentena.
Mi gran pregunta es... ¿Sólo con el hecho de tener un JS en el disco, el Windows lo ejecuta? Si le haces un click, sin ejecutar, solo para señalar, ¿Windows ejecuta el JS?
Y otra pregunta, ¿qué sentido tiene meter un JS en un ZIP? ¿Quién en su sano juicio abriría un JS? ¿O acaso es que el PNG que trae también el ZIP puede usar alguna argucia del sistema para ejecutar el JS por su cuenta? ¿O es que el WinZip que trae incorporado el explorador de windows ejecutaría ese JS al abrir el ZIP?
Lo digo porque hace una semana que he reinstalado el sistema (y ahora va de lujo) y me jodería tener que volver a formatear.
![[Imagen: YpRAA7X.png]](http://i.imgur.com/YpRAA7X.png)
"Es como el que se mataba a pajas con U-jin y hoy en día o es Boku no Piko o ni se le levanta." - AniList