Y el que no quiera, es porque no quiere. Juegos en flash, en java, javascript, mame, playstation (I, II, III), wii, XBOX, arrgghhhh!!!
Pero uno que me mola mucho es el WOW (World of WarCraft). Humanos, elfos, enanos, alianzas, bandos, etc.. Podemos elegirentre muchos jugadores, y la cantidad de gente que utiliza este juego es brutal (+ de 8 millones).
Esta mañana recibo un mail. Un mail de WoW! Qué guapo! Me habrán invitado a jugar? El link es este:
Pero el link de mi correo redirecciona a un directorio del dominio woldaofwr.net que se llama /level/goldani.htm y mi equipito se queda mudo, sin hacer nada.
Los que me conocen algo saben que voy por la vida sin antivirus ni antispyware. Tan solo con mi equipo actualizado al día, un firewall y una cuenta NO administrativa, con la que voy pululando por la INET.
Al mirar el código fuente del htm me encuentro con una cosa curiosa:
<META http-equiv=refresh content=3000></HEAD><BODY><DIV style=”CURSOR: url(’goldani.gif’)”></DIV></body></html>
Ummm….. Sólo un gif? Yo quiero jugar!! 
Miraré el registrador del dominio…..
[Querying whois.opensrs.net]
[whois.opensrs.net]
Registrant:
QiuLin Li
GuangDong PuLing City, DaNanShan 88 Hao
Puling, NA 515421
CNDomain name: WORLDAOFWR.NETAdministrative Contact:
Li, QiuLin 881515com@163.com
GuangDong PuLing City, DaNanShan 88 Hao
Puling, NA 515421
CN
+1.862386215578
Technical Contact:
Li, QiuLin 881515com@163.com
GuangDong PuLing City, DaNanShan 88 Hao
Puling, NA 515421
CN
+1.862386215578
Registration Service Provider:
Ecommerce, Inc., registrars@ecommerce.com
800-861-9394
http://ecommmerce.com
UNLIMITED Storage Space, 3 TERRABYTES of Monthly Transfer & up-to 16
domains, starting at $3.95!
LIFETIME FREE DOMAIN REGISTRATION + FREE FEATURES INCLUDED, ONLY AT
IXWEBHOSTING.COM
Registrar of Record: TUCOWS, INC.
Record last updated on 21-Mar-2007.
Record expires on 21-Mar-2009.
Record created on 21-Mar-2007.
Domain servers in listed order:
NS7.IXWEBHOSTING.COM
NS8.IXWEBHOSTING.COM
Domain status: clientTransferProhibited
clientUpdateProhibited
Un gif como cursor….. Sin extensión ANI? Tengo que mirarlo….
Me descargo el gif ¿?, le paso un strings para salir de dudas y me encuentro con que es un archivo malicioso que te descarga y ejecuta otra aplicación. Más concretamente esta:
http://www.worldaofwr.net/jw/softs.exe
Este me queda por analizarlo y ver que hace.
La particularidad de esto es que el navegador no parece darse cuenta de que no es un cursor animado (ANI), aunque mi equipo no lo haya ejecutado. Si hemos bloqueado cualquier tipo de archivo ANI en nuestros equipos, lógicamente este tipo de ficheros, al llevar otra extensión, pasarán, y si no tenemos nuestros equipos debidamente configurados y parcheados, ni me lo imagino… Bueno sí, porque estoy arrancando una maquinita virtual para infectarla y ver qué hace… Pero eso ya es otra historia..
Saludos!
Yo ayer me monté una máquina de pruebas guarras como haces tu con esa VM. La idea es utilizarla con snapshots y discos reversibles para tener na limpia para cada prueba. Tu lo haces así o vas a saco siempre con la misma.
Por otro lado, el artículo muy interesante
Pues básicamente así lo hago Gura. Utilizo VM de Spectra para tareas de seguridad, configuraciones, escenarios, etc..
Para forensics me gusta más VmWare.
Te mando un mail esta tarde para pasarte unas cosillas y así empiezas a hacer pruebas guarras!
Si no son robo de cookies o sesiones,
Es un exe vía Payload.
Ya no queda gente original, ¿ o que ?
Saludos,
Sir!
Y tu blog tío??
Te has mudado sin decir nada?
Qva tío! Mucha presión eso de llevar un blog
Saludos!