Como me mola jugar

Estándar

Y el que no quiera, es porque no quiere. Juegos en flash, en java, javascript, mame, playstation (I, II, III), wii, XBOX, arrgghhhh!!!

Pero uno que me mola mucho es el WOW (World of WarCraft). Humanos, elfos, enanos, alianzas, bandos, etc.. Podemos elegirentre muchos jugadores, y la cantidad de gente que utiliza este juego es brutal (+ de 8 millones).

Esta mañana recibo un mail.  Un mail de WoW! Qué guapo! Me habrán invitado a jugar? El link es este:

http://www.worldaofwr.net/

Pero el link de mi correo redirecciona a un directorio del dominio woldaofwr.net que se llama /level/goldani.htm y mi equipito se queda mudo, sin hacer nada.

Los que me conocen algo saben que voy por la vida sin antivirus ni antispyware. Tan solo con mi equipo actualizado al día, un firewall y una cuenta NO administrativa, con la que voy pululando por la INET.

Al mirar el código fuente del htm me encuentro con una cosa curiosa:

<META http-equiv=refresh content=3000></HEAD><BODY><DIV style=”CURSOR: url(‘goldani.gif’)”></DIV></body></html>

Ummm….. Sólo un gif? Yo quiero jugar!! 🙂

Miraré el registrador del dominio…..

[Querying whois.opensrs.net]
[whois.opensrs.net]
Registrant:
QiuLin Li
GuangDong PuLing City, DaNanShan 88 Hao
Puling, NA 515421
CN
Domain name: WORLDAOFWR.NETAdministrative Contact:
    Li, QiuLin  881515com@163.com
    GuangDong PuLing City, DaNanShan 88 Hao
    Puling, NA 515421
    CN
    +1.862386215578
Technical Contact:
    Li, QiuLin  881515com@163.com
    GuangDong PuLing City, DaNanShan 88 Hao
    Puling, NA 515421
    CN
    +1.862386215578

Registration Service Provider:
    Ecommerce, Inc., registrars@ecommerce.com
    800-861-9394
    http://ecommmerce.com
    UNLIMITED Storage Space, 3 TERRABYTES of Monthly Transfer & up-to 16
    domains, starting at $3.95!
   
    LIFETIME FREE DOMAIN REGISTRATION + FREE FEATURES INCLUDED, ONLY AT
    IXWEBHOSTING.COM

Registrar of Record: TUCOWS, INC.
Record last updated on 21-Mar-2007.
Record expires on 21-Mar-2009.
Record created on 21-Mar-2007.

Domain servers in listed order:
    NS7.IXWEBHOSTING.COM  
    NS8.IXWEBHOSTING.COM  

Domain status: clientTransferProhibited
                clientUpdateProhibited

Un gif como cursor….. Sin extensión ANI? Tengo que mirarlo….

Me descargo el gif ¿?, le paso un strings para salir de dudas y me encuentro con que es un archivo malicioso que te descarga y ejecuta otra aplicación. Más concretamente esta:

http://www.worldaofwr.net/jw/softs.exe

Este me queda por analizarlo y ver que hace.

La particularidad de esto es que el navegador no parece darse cuenta de que no es un cursor animado (ANI), aunque mi equipo no lo haya ejecutado. Si hemos bloqueado cualquier tipo de archivo ANI en nuestros equipos, lógicamente este tipo de ficheros, al llevar otra extensión, pasarán, y si no tenemos nuestros equipos debidamente configurados y parcheados, ni me lo imagino… Bueno sí, porque estoy arrancando una maquinita virtual para infectarla y ver qué hace… Pero eso ya es otra historia.. 🙂

Saludos!

Anuncios

5 comentarios en “Como me mola jugar

  1. Yo ayer me monté una máquina de pruebas guarras como haces tu con esa VM. La idea es utilizarla con snapshots y discos reversibles para tener na limpia para cada prueba. Tu lo haces así o vas a saco siempre con la misma.

    Por otro lado, el artículo muy interesante 🙂

  2. Pues básicamente así lo hago Gura. Utilizo VM de Spectra para tareas de seguridad, configuraciones, escenarios, etc..
    Para forensics me gusta más VmWare.
    Te mando un mail esta tarde para pasarte unas cosillas y así empiezas a hacer pruebas guarras! 🙂

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s