Virus transforma documentos en zip! (SOLUCIONADO)

[burriana]

Buenas a to2, tengo un problema con unvirus, el ##### me ha cambiado todos los documentos de office a .zip con un pass de 10 digitos, me dice q si les hago un ingreso de $300 me dan la clave, serás hijos de ####! Ademas se burla de mi me dice q ha sido por entrar en webs ilegales, ¿¿¿¿que hago????

Me dice q entre en la web de me-gold.com; goldex.net o usece.com para efectuar el pago y q es tonto ir a la policia pq ellos no tienen el pass!



La verdad es q me da hasta miedo intertar quitarlo por si me elimina el programa pero se me quedan los archivos corruptos!



¿Alguien le ha pasado alguna vez algo similar?

[msc hotline sat]

Es Vd el primer caso que conocemos, pero posiblemente no será el ultimo, hasta que los metan en la cárcel, cosa que la guardia civil, grupo de delitos telematicos conseguirá.



De entrada hace bien en comentarnoslo, para qie tratemos de encontrar solucion tecnica, pero paralelamente conviene que denuncie el hecho a la policia o directamente a la guardia civil, para que empiecen a perseguir el caso.



http://www.gdt.guardiacivil.es/



Independientemente, mire de enviarnos copia de alguno de estos zip de varias aplicaciones, si es que tiene de excel, de word, o de lo que sea, para que veamos el tripo de encriptacion u tratemos de encontrar el password



Lo del mensaje de que es un virus y que piden el pago, sale en los documentos afectados ? o donde ?



Por otro lado, posteenos el log del HJT, para que veamos lo que se lo puede haber causado:







[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Y no desespere que estaremos a su lado. Y el mal nunca vence !!!



Sentimos que haya sido afectado, y haganos caso y pongalo inmediartamente en conocimiento de la guardia civil !!!



Logicamente hagase copia de seguridad fuera del ordenador, si es que no lo tiene todavía, al menos de estos documentos enzipados



saludos



ms, 7-3-2006



NOTA: Para el envio de los ZIP, hagalo anexandolos a un mail dirigido a zonavirus@satinfo.es en cuyo texto indiquye como referencia "REF DGT" y le mantendremos informado. ms

[msc hotline sat]

Pendientes de recibir las muestras solicitadas y de que el afectado nos postee el log del HJT, hemos buscado encontrabndo un unico Tema en Internet ??? muy reciente, que viene al caso:


[quote]
Warning to ALL PC users [Mar. 5th, 2006|08:26 pm]

[ mood | enraged ]



OUR E-GOLD ACCOUNT: 2934903



INSTRUCTIONS HOW TO GET YUOR FILES BACK

READ CAREFULLY. IF YOU DO NOT UNDERSTAND, READ AGAIN.



This is automated report generated by auto archiving software.



Your computer catched our software while browsing illigal porn

pages, all your documents, text files, databases was archived

with long enought password.



You can not guess the password for your archived files - password

lenght is more then 10 symbols that makes all password recovery

programs fail to bruteforce it (guess password by trying all

possible combinations).



Do not try to search for a program what encrypted your information - it

is simply do not exists in your hard disk anymore.

If you really care about documents and information in encrypted files

you can pay using electonic currency $300.

Reporting to police about a case will not help you, they do not know

password. Reporting somewhere about our e-gold account will not help

you to restore files. This is your only way to get yours files back.



------------------------------



How to pay to get your information back.



1. click on this link to open your free e-gold account - the first

screen is the e-gold "terms and conditions" page. You need to

agree to these by clicking on the "I AGREE" button on the bottom

on the page.

2. On the next page is the sign up form:

1. "Account name" - here is where you name your account - tip:

make it easy to remember (as you will be asked for it) and

reasonably short, example, "John's e-gold", "My Money e-gold"

or perhaps "Felix" (whatever you like, just make it easy for

you to remember it).

2. "User Name" - here just repeat the account name (from 1 above).

3. "Point of Contact" - this is where you put our name, address,

phone number and email address (any email address can be used

here but it is recommended you use your ISP address - not a

free hotmail, etc address).

It is also recommended your also include a fax number

(don't have a fax number? This company offers free fax to email

services). Try and make it as easy as possible for e-gold to contact you.

4. "Passphrase" - this is the most important piece of information

connected to any e-gold account. We can not stress enough how

important it is that your passphrase is kept safe and secure.

5. "Turing Number Entry" - type the 6 numbers you see there into the input

box below.

6. The last step click "Open"



On the next page it will tell you that your e-gold account number has been emailed to you.



check your email - you can expect to wait up to 5 minutes for your account number

to arrive. If it does not arrive after 5 minutes then that means the email address

you supplied was incorrect and you will have to open another new account (go through

and repeat what you just did above again).



To buy e-gold to your account please use official exchange services

http://www.me-gold.com/

http://www.goldex.net/

http://usece.com/



or try to search own way with

http://gold-pages.net/e-Gold__1MDC__Pecunix_Wizard_Links/Purchase_E-gold/index.html

http://www.google.com/search?hl=en&q=buy+e-gold&btnG=Google+Search



FINALLY when you bought e-gold you have to transfer $300 to our e-gold account.

In next 24 hours you will recieve $1 back to your account. Transfer details

of this $1 transfer will have a link to software that will automatically

unzip all your files back to normal state.



Next day login to your account https://www.e-gold.com/acct/login.html,

press History and press submit, you will see LINK TO UNZIP-software.
[/quote]

Veremos lo que nos envia y postea el afectado ...



saludos



ms, 7-3-2006

[msc hotline sat]

Buscando raices de este asunto, hemos llegado a una fuente que a mediados del año pasado informaba de un agujero de seguridad de microsoft que era aprovechado maliciosamente a tal fin:



http://www.vnunet.com/vnunet/news/2135609/hackers-move-information-kidnap



Se supone que fue parcheado, si bien no se sabe cual es, pero cuando el afectado postee el log del HJT podremos ver si tiene o no los parches actualizados y consideraremos...



Realmente es un peligro navegar en webs desconocidas, pero si son de cierto tipo, como las tan buscadas penalmente de `prnografía infantil o de fabricacion de bombas/entrenamiento terrorista, juegan con que no se les va a denunciar por que al hacerlo podrían ser incriminados en la navegacion por webs de dicho tipo, y quizas por ello nadie ja tenido el coraje (o la temeridad) de denunciarlos...



Que sirva de experiencia para los foreros !!!



saludos



ms, 7-3-2006

[burriana]

Disculpad el retraso, pero el señor Jazztel no estaba deacuerdo a q yo me conectara :x



Bueno aqui lo dejo por si podeis mirar algo.

Logfile of HijackThis v1.99.1

Scan saved at 13:42:39, on 08/03/06

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\ATI2EVXX.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\VSO\MCVSRTE.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\AHEAD\INCD\INCD.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\AGENT\MCREGWIZ.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\VSO\MCVSSHLD.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\AGENT\MCAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\VSO\MCVSESCN.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\AGENT\MCUPDATE.EXE

C:\ARCHIVOS DE PROGRAMA\USB PRODUCT DRIVER V2.15R004\SHWICON.EXE

C:\WINDOWS\SYSTEM\E_S4I0T1.EXE

C:\WINDOWS\SYSTEM\WIN32LIB.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\80\TOOLS\BINN\SQLMANGR.EXE

C:\PALM\HOTSYNC.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE

C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSTS08.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onobox.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\VSO\MCVSSHL.DLL

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

O4 - HKLM\..\Run: [McRegWiz] C:\ARCHIV~1\MCAFEE.COM\AGENT\MCREGWIZ.EXE /autorun

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "C:\ARCHIV~1\MCAFEE.COM\VSO\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] C:\ARCHIV~1\MCAFEE.COM\AGENT\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\MCAFEE.COM\AGENT\MCUPDATE.EXE

O4 - HKLM\..\Run: [ShowIcon_Samsung_USB Product Driver v2.15r004] "C:\Archivos de programa\USB Product Driver v2.15r004\shwicon.exe" -t"Samsung\USB Product Driver v2.15r004"

O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\SYSTEM\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O5 "LPT1:" /M "Stylus C46"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [Panda Preventium+ Service] "C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2004\PREVSRV.EXE"

O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe

O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe

O4 - HKLM\..\RunServices: [McVsRte] C:\ARCHIV~1\MCAFEE.COM\VSO\mcvsrte.exe /embedding

O4 - HKCU\..\Run: [win_shell] C:\WINDOWS\SYSTEM\win32lib.exe

O4 - Startup: SQL Server.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\scm.exe

O4 - Startup: Service Manager.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Startup: Acceso directo a CONECTA.pif = C:\INFAL\CONECTA.BAT

O4 - Startup: Acceso directo a ServiciosSQL.bat.pif = D:\DATOS\SERVIC~1.BAT

O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE

O4 - Startup: hpoddt01.exe.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - Startup: hp psc 2000 Series.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab







Mi amigome ha jurado y perjurado q desde ahi no ha entrado a ningun sitio q es de la tienda y ahi solo lo usa para trabajar q si tiene q entrar a alguna pagina cochina lo hace desde casa XDD



Gracias por la ayuda!

salu2

[msc hotline sat]

Pues si tiene la conciencia tranquilam denuncielo como le sugerñia de entrada.



Del analisis, de entrada se ve el adware ALEXA y una clave sospechosa:





analizar:



O4 - HKCU\..\Run: [win_shell] C:\WINDOWS\SYSTEM\win32lib.exe







elimina:



O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm



O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm







Voy a comer, luego sigo... que aproveche a todos los que lo van a hacer :lol: !



saludos



ms, 8-3-2006

[msc hotline sat]

Bueno, pues a por este sospechoso.



En la siguiente descripcion de McAfee :



http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=138776&affid=108[quote]Virus InformationVirus Profile: W32/Bagle.dy@MM

Risk Assessment

- Home Users: Low-Profiled

- Corporate Users: Low-Profiled

Date Discovered: 3/2/2006

Date Added: 3/2/2006

Origin: Unknown

Length: N/A

Type: Virus

SubType: E-mail worm

DAT Required: 4709



Virus Characteristics

-- Update March 3, 2006 --

The risk assessment of this threat has been updated to Low-Profiled due to media attention



http://www.techweb.com/wire/security/181500722



(Note: McAfee AVERT has observed instances of this threat, infected with W32/Sality, spreading in the wild)



W32/Bagle.dy@MM is a trojan downloader and mailing worm that uses its own SMTP engine to send itself to the email addresses that it harvests on the infected computer.



Upon execution, it creates a copy of itself into the windows system directory:



%Windir%\%SYSDIR%\win32lib.exe (copy of the worm)

%Windir%\%SYSDIR%\win32lib.exeopen (copy of worm plus garbage code)

%Windir%\%SYSDIR%\win32lib.exeopenopen (copy of worm plus garbage code)



Adds the following values to the registry to auto start itself when Windows starts.



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"win_shell" = "%Windir%\%SYSDIR%\win32lib.exe"



Stores harvested e-mail addresses to spam into:



%Windir%\vcremoval.dll



Attempts to download an updated copy of itself from the following domains:



amanit.ru

anthonyflanagan.com

approved1stmortgage.com

argument.h12.ru

arkebek.de

artek.org

asianfestival.nl

astergut.at

aviation-center.de

bbsh.org

besino.com

bestbuy.de

beta.mtw.ru

bga-gsm.ru

blessino.com

blueeyeinc.com

breaklight.be

brzesko.net.pl

catsystem.com.kg

cdnpartner.com.pl

ceskyhosting.cz

channeland.com

compsolutionstore.com

concept.kg

corpsite.com

couponcapital.net

DarrkSydebaby.com

dehut-westerhoven.nl

dhl.kg

dierollendedisco.de

discobaradventure.be

e-nfo.com

e-power.com.cn

ecobank.kg

elenalazar.com

epicbiz.com

europa.kg

everett.wednet.edu

externet.hu

forester.kg

fotocliparts.de

fotonw.org

freesites.com.br

funbunker.de

funworld.tv

gameser.com

gci-bln.de

gcnet.ru

giantrevenue.com

himpsi.org

i3dvr.com

ibigmart.net

idb-group.net

illusionoflife.net

infocuspromo.com

irinaswelt.de

jansenboiler.com

jasnet.pl

jcribeiro.com

jewelleryamberproducts.com

jimvann.com

jldr.ca

jordanramey.net

joy-musik-sound.de

justrepublicans.com

katel.kg

knicks.nl

koebers.pl

kogaionon.com

kplus.kg

kradtraining.de

kranenberg.de

kranenberg.de:113547

kstrus.com.pl

ktsonline.de

lahelaino.com

lawform.com.au

leetexgroup.com

leshrak.de

leshrak.de:prophets

logoseiten.de

magicbottle.com.tw

mcuserver.cz

mega-spass.com

mega.kg

mepbisu.de

mepmh.de

mtfdesign.com

mtransit.kg

neotech.kg

nikonfotoshare.com

novosti.kg

ok.kg

onepositiveplace.org

online.kg

orangesuburban.5u.com

otv.ch

pageantpage.com

pankration.com

para-agility.com

pdxracing.net

pfadfinder-leobersdorf.com

pipni.cz

pjwstk.edu.pl

polizeimotorrad.de

proway-consulting.com

pugetsoundyc.org

pyrlandia-boogie.pl

qphoto.co.za

raecoinc.com

realgps.com

realty.kg

redlightpictures.com

reliance-yachts.com

relocationflorida.com

rentalstation.com

rieraquadros.com.br

roaming.kg

sacohalle.be

scanex-medical.fi

scoping4success.com

sert.ru

sigi.lu

spadochron.pl

ssc.kg

ssmifc.ca

stadtmeyers.de

stadtmeyers.de:R2D2c3po

sterlingirb.com

sunassetholdings.com

szantomierz.art.pl

szosa.pl

tambourenvereine.ch

tarnow.opoka.org.pl

tc-muraene.com

tc-muraene.com:hunter

theroyalregistry.com

transportation.gov.bh

tumar.kg

tunguska.hu

turkeyhomes.com

ulpiano.org

unicity.pl

vbw.info

velezcourtesymanagement.com

vorrix.com

webpark.pl

wecompete.com

wp.pl

wwwebad.com

xpager321.wz.cz

yamdiamonds.com

zander-yachting.com



NOTE: At the time of writing this description, McAfee AVERT did not see the downloading of any files as they may have been moved or deleted at the remote site.



Indications of Infection

Propagation via Mail:



The following files types are read by the worm in order to harvest email addresses from an infected system.



.wab

.txt

.msg

.htm

.shtm

.stm

.xml

.dbx

.mbx

.mdx

.eml

.nch

.mmf

.ods

.cfg

.asp

.php

.wsh

.adb

.tbb

.sht

.xls

.oft

.uin

.cgi

.mht

.dhtm

.jsp



Mailbody:



Constructs an email message with the following characteristics:



From: [SPOOFED]



Subject: (Any of the following)



Pay your debts before we come to you

Call to your lawer immidiately

Lawsuit against you

We wait your response.



Message body: (Any of the following)



LAWSUIT AGAINST YOU (CLICK TO ATTACHED DOCUMENT FOR MORE INFORMATION)



Tucker's Fix-It-Quick Garage

9938 Main St.

Chicago, IL 61390



Dear Mr. Tucker,



On Feb 21, 2006, I took my car to your garage for servicing. Shortly after picking it up the next day, the engine caught fire because of your failure to properly tighten the fuel line to the fuel injector. Fortunately, I was able to douse the fire without injury to myself.



As a direct result of the fire, I paid the ABC garage $681 for necessary repair work. I enclose a copy of their invoice.



In addition, as a direct result of the fire, I was without the use of my car for three days and had to rent a car to get to work. I enclose a copy of an invoice for the rental cost of $145.



In a recent phone conversation, you claimed that the fire wasn't the result of your negligence and would have happened anyway. You also claimed that, even if it was your fault, I should have brought my car back to your garage so you could have fixed it at a lower cost.



As to the first issue, Peter Klein of the ABC Garage is prepared to testify in court that the fire occurred because the fuel line was not properly connected to the fuel injector.



Second, I had no obligation to return the car to you for further repair. I had the damage you caused repaired at a commercially reasonable price and am prepared to prove this with several higher estimates by other garages.



Please send me a check or money order for $826 on or before July 15. If I don't receive payment by that date, I'll promptly file this case in small claims court.



You may reach me during the day at 555-2857 or in the evenings until 10 p.m. at 555-8967.



Sincerely,



Marsha Rizzoli









LAWSUIT AGAINST YOU (CLICK TO ATTACHED DOCUMENT FOR MORE INFORMATION)

To Whom It May Concern:



On 02, 2006, you sent a facsimile (the Fax) to my facsimile machine that is connected to my telephone number 678-5713-1571. A copy of your Fax is ENCLOSED IN ATTACHMEN. The Fax is an advertisement for the commercial availability or quality of property, goods, or services. You sent your Fax to me without my prior express invitation or permission. You and I have never had an established business relationship.



A federal law enacted in 1991 called the Telephone Consumer Protection Act (the Act) provides that -It shall be unlawful for any person within the United States . . . to use any telephone facsimile machine, computer, or other device to send an unsolicited advertisement to a telephone facsimile machine. 47 U.S.C. § 227(b)(1). The federal law also provides that - A person or entity may . . . bring in an appropriate court . . . an action . . . to receive $500 in damages for each such violation . . . . If the court finds that the defendant willfully or knowingly violated this subsection or the regulations . . . ., the court may triple the damage award. See 47 U.S.C. § 227(b)(3) (emphasis added).



By sending the Fax to me, you violated 47 U.S.C. § 227(b)(1) and are now liable to pay damages to me of not less than $500 under 47 U.S.C. § 227(b)(3). I believe you willfully or knowingly violated the Act, which would make you liable to pay me $1,500. I am willing to waive my right to seek damages of $1,500 and will agree not to file a 47 U.S.C. § 227(b)(1) lawsuit against you if you pay me $500 on or before April , 2006.



If you do not pay me $500 by the deadline for payment, I intend to sue you in Nyew-York, NY, for violating the Telephone Consumer Protection Act. If you force me to sue you, I will not settle for less than $1,000 and will seek triple damages of $1,500. I also demand that you immedia! tely cea se and desist from sending any facsimiles to me in the future.



For information about the Act, see the article entitled -Junk Fax Law - the Telephone Consumer Protection Act of 1991,- which can be viewed on the internet at http://www.keytlaw.com/faxes/junkfaxlaw.htm. This article contains links to the complete statute, the federal regulations interpreting the Act, several junk fax articles and articles on a recent class action lawsuit called Nicholson v. Hooters of Augusta, Inc., (Richmond County, Georgia, Superior Court case number 95-RCCV-616). Hooters hired a fax service that sent six unsolicited junk faxes to each of 1,321 fax numbers. In April of 2001, the court ordered Hooters to pay treble damages of $11,889,000.



I am sending you a copy of this letter by regular first class mail in case you refuse to accept the certified mail, return receipt requested version of this letter.









'LAWSUIT AGAINST YOU (ATTACHMENT HAS MORE INFORMATION)

1550 Peachtree Street

Atlanta, GA 30309



To Whom It May Concern:



Enclosed is a copy of the lawsuit that I filed against you in (my county) court on March 22, 2001. Currently the Pretrail Conference is scheduled for April 10th, 2001 at 9:30 A.M. in courtroom #33. The case number is (insert case #).



The reason the lawsuit was filed was due to a completely inadequate response from your company. When someone is the victim of identity theft, it is simply a nightmare trying to get false information removed from a credit file. I have contacted all of the false creditors listed on my credit file. I have challenged all of the false listings on my credit file. Nothing ever happens to fix the situation.



Over 90 days ago I wrote each the creditors in question and demanded proof that I am their customer. I asked for proof of the alleged debt, including specifically the alleged contract or other instrument bearing my signature. So far none of them has been able to provide such proof to me. I have sent follow-up letters to each of them and there is still no proof. I have attempted phone contact, but I simply get transferred around and nothing ever gets accomplished.



I have fully investigated my rights in this matter. Under the doctrine of estoppel by silence, Engelhardt vGravens (Mo) 281 SW 715, 719, I may presume that no proof of the alleged debt, nor therefore any such debt, in fact exists. I have copies of the certified letters and dates prepared to bring to court on April 10th. Also, under the Fair Credit Reporting Act, these disputed items may not appear on my credit report if they cannot be supported by any evidence.



Under the Fair Credit Reporting Act, if they cannot verify the debt within 30 days, then it must be removed. Your letters to me claim to have ?verified? the debt, but this is in fact not true under law. Simply contacting the alleged creditor and asking them to match up numbers in their database is no sufficient verification for identity theft. Of course the information matches up. Someone clearly used my information without my authorization.



Now I am suing Equifax for being such a pain in the posterior to me. I have provided more than sufficient evidence to get these false accounts removed.



You may contact me before April 10th at (my phone number) or at my address listed at the top of this letter. This matter can be settled simply by your agreement to remove the false information from my credit file.



I require a response, on point, in writing, hand signed, and in a timely manner. If I get another pointless letter from you saying that it has already been ?verified? then there will be no more opportunity for negotiation. This will proceed in court until I have successfully proven to a judge that this false information must be removed from my credit file. I will also be aggressively pursuing the full judgment that I can get against Equifax for violation of the Fair Credit Reporting Act and Defamation.'







Attachment: (Any of the following)



lawsuit.exe

explanation.exe

documents.exe



In some cases, the worm also attaches a harmless text file "report.txt" containing the following string:



++++ Attachment: No Virus found

++++ Norton AntiVirus - http://www.symantec.com



The worm does not send itself to addresses which contain any of the following strings:



@hotmail

@msn

@microsoft

rating@

f-secur

news

update

anyone@

bugs@

contract@

feste

gold-certs@

help@

info@

nobody@

noone@

kasp

admin

icrosoft

support

ntivi

unix

linux

listserv

certific

sopho

@foo

@iana

free-av

@messagelab

winzip

google

winrar

samples

abuse

panda

cafee

spam

@avp.

noreply

local

root@

postmaster@



Propagation via Peer-to-Peer Networks:



W32/Bagle.dy@MM copies itself to folders that have the phrase "shar" in the name (such as common peer-to-peer applications: KaZaa, Bearshare, Limewire, etc)

To entice users into downloading and executing these file, the worm uses names of popular applications and porn for its dropped copy.



anna benson sex video.exe

kate beckinsale nude pictures.exe

jenna elfman sex anal deepthroat.exe

miss america Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

barrett jackson nude photos, movies, porn video.exe

Britney Spears sex photos.exe

paris hilton Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 10.exe

Windown Vista Beta Leak.exe

IE beta 7.exe

Serials 2005 database.exe

XXX hardcore images.exe

Adobe Photoshop 9 full.exe



The following strings are found inside the worm body:



In a difficult world

In a nameless time

I want to survive

So, you will be mine!!



-- Bagle Author, 29.04.04, Germany.



Method of Infection

W32/Bagle.dy@MM was mass spammed on March 3, 2006.



Removal Instructions

A combination of the latest DATs and the Engine will be able to detect and remove this threat. AVERT recommends users not to trust seemingly familiar or safe file icons, particularly when received via P2P clients, IRC, email or other media where users can share files.



Additional Windows ME/XP removal considerations



Aliases

Email-Worm.Win32.Bagle.fr (Kaspersky), W32.Beagle.DX@mm (Symantec), W32/Bagle-DO (Sophos), Win32/Bagle.AN (CA), WORM_BAGLE.DQ (Trend Micro)Current Threats Add to Your Site

Virus Advisory

W32/Sober@MM!M681 is a Low-Profiled virus.

Virus Search



Free Virus News More





Related Links

Security News Network Online Guide for Parents Virus Removal Services Anti-Virus Tips eSecurity News Archives We also recommend...



Keep your PC safe. Automatically checks for virus updates, so your protection stays up-to-date.





[/quote]



Se ve que crea la llamada del gusano en esta clave:



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"win_shell" = "%Windir%\%SYSDIR%\win32lib.exe"





que usa el mismo valor , ruta y fichero que la de marras:



O4 - HKCU\..\Run: [win_shell] C:\WINDOWS\SYSTEM\win32lib.exe



Por lo que creo que todo puede estar relacionado, pues este virus es un downloader, que puede haber bajado cualquier troyano capaz de hacer la encriptacion en cuestion.



La cuestion es si su antivirus no le detecta el virus, confirmar que lo sea.



Ante todo mire de enviarnos una copia de este fichero a zonavirus@satinfo.es anexada a un mail en cuyo texto indique como referencia REF 300$ y tras analizarlo, le informaremos



Aparte, luego baje nuestra utilidad ELIBAGLA y la prueba, a ver si resulta positiva la sospecha:



ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



Luego veremos si entre los payload de este Bagle si es que lo es, o de los troyanos que descarga, tiene como funcion la encriptacion sucedida, que por cierto no hemos recibido los fichero encriptados solicitados, ni nos ha dicho de qué manera le informaban del chantaje ???



Esperamos la muestra y las otras encriptadas, aparte de su informacion al respecto



saludos



ms, 8-3-2006

[flacoroo]

tambien podrias sacar una imagenes de tu pantalla cuando dice que te mandan esos mensajes...y cuando las tengas nos las mandas...

[msc hotline sat]

Acabamos de subir nueva version de ELIBAGLA que controla nueva muestra recibida, variamte no controlada hasta ahora:



https://foros.zonavirus.com/viewtopic.php?p=52893#52893



Bajala de nuevo y pruebala, y nos comentas el resultado, gracias





saludos



ms, 8-3-2006

[burriana]

Ya he enviado los archivos y el documento dnd me pone q les pague, pero es el documento q cito msc hotline sat, casi al principio del hilo.



Gracias por preocuparos!

Un gran saludo a todos!

[msc hotline sat]

Pues lo analizaremos e informaremos, pero le pediamos tambien muestra de este otro fichero:


[quote="msc"]
O4 - HKCU\..\Run: [win_shell] C:\WINDOWS\SYSTEM\win32lib.exe



Por lo que creo que todo puede estar relacionado, pues este virus es un downloader, que puede haber bajado cualquier troyano capaz de hacer la encriptacion en cuestion.



La cuestion es si su antivirus no le detecta el virus, confirmar que lo sea.



Ante todo mire de enviarnos una copia de este fichero a zonavirus@satinfo.es anexada a un mail en cuyo texto indique como referencia REF 300$ y tras analizarlo, le informaremos


[/quote]

y tras enviarnoslo, ¿qué nos dice del resultado del ultimo ELIBAGLA ??? (pero primero envie el fichero, o sino lo borrará y nos quedaremos si es el causante !!!



saludos



ms, 8-3-2006

[burriana]

ejem.... pues no lo entendi bien y nada mas lo ve me lo descarge y se le pase el ELIBAGLA...

[msc hotline sat]

Bueno, el documento es parecido pero han cambiado la cuenta de ingreso de los 300$, si bien es copia de la misma por repetirse las faltas (iligal en lugar de ilegal)



Pero no nos ha enviado la muestra del supuesto Bagle:



C:\WINDOWS\SYSTEM\win32lib.exe



Es posible que se trate de un payload del mismo o de un troyano que descarga, y encontrarlo es el camino, ya que encontrar la encriptacion de 10 digitos con 255 caracteres que tiene la tabla, son 255^10 (255 elevado a 10) posibilidades, lo cual se trata de una cifra con 24 ceros detrás, aparte del saber el tipo de encriptacion, y unos cuantos ordenadores de los mas rapidos actuales en paralelo, podrían tardar unas cuantas vidas en encontrarlo, y por ahora no tenemos mas que una...



Existe el proyecto SETI que une varios miles de ordenadores para calculos similares, y asi escudriñar las emisiones captadas por los radiotelescopios en busca de inteligencia exterior, pero por $300 sale mas a cuenta pagar, si bien, por principios, DENUNCIARLO !!!



Tras recibir la muestra solicitada la monitorizaremos a ver si tenemos suerte de que nos haga lo mismo y podamos cazar la aplicacion causante antes de que sea eliminada, pues seguro que es lo que hacen para no facilitar la encriptacion de ficheros sencillos y poder ver su encriptacion, que es lo que haremos si llegamos a tener dicha aplicacion.



Mientras, tenganos informados de sus gestiones con la Guardia CIvil, si es que nos ha hecho caso,



y en cuanto recibamos su win32lib.exe le informaremos de lo que descubramos al respecto.



saludos



ms, 9-3-2006

[msc hotline sat]

Mientras esperamos su envio, hemos puesto el fichero encriptado en proceso con un encriptador que compramos en su día legalmente (los trial solo desencriptan 5 digitos como maximo) y lo estamos procesando en un Pentium 4 de 3 Gb con dicha aplicacion, y como que le indican que la encriptacion es con código de por lo menos 10 digitos, y en media hora ha testeado 20 mil millones de combinaciones. Y para llegar a controlar 8 digitos nos dice tiempo restante mas de 1 año, para 9 sería mas de 300 y para 10 unos 80.000 años, pero quizas para entonces ya no le hará falta, verdad ?



sobran comentarios...



saludos



ms, 9-3-2006

[burriana]

Me explico, el ordenador es de un amigo y me dio el disco para hacer un poco mas fluido esto ya q yo preguntaba me contestais yo le explico, me contesta y lo pongo... muuuu largo

pues eso, me dio el disco hice una imagen y al ponerlo en mi disco lo primero q ha hecho mi antivirus ha sido borrar esos ficheros :(



Por lo q aun tendré q ir a su casa copiarlos y hacer maravillas para poder enviarlos.



Perdonad la tardanza, pero no es q pasemos del asunto, q ya tengo complejo de mesajero ;)



Gracias por ayudar

[msc hotline sat]

Entendido, no se preocupe, hagalo cuando pueda.



Y tenganos al tanto de la denuncia, que es lo que pertoca, pues como esto se ponga de moda, tendremos que unirnos al SETI



saludos



ms, 9-3-2006

[msc hotline sat]

En relacion con la encriptacion y el tiempo necesario para desencriptar mensajes, vene al pelo la informacion que ofrece HISPASEC hoy en http://www.hispasec.com/unaaldia/2693 sobre que 64 años han sido necesarios para desencriptar un mensaje que enviaron los alemanes en la segunda guerra mundial, y que hasta ahora no había sido posible desencriptar:


[quote="Sergio Hernandom de HISPASEC"]09/03/2006 - Segundo mensaje de la máquina Enigma de cuatro rotores descifrado





La lucha por conocer el contenido de tres mensajes cifrados con una

máquina Enigma especialmente modificada para uso naval por militares

alemanes en la Segunda Guerra Mundial sigue sin tregua.



Recientemente, anunciamos en Hispasec Sistemas el descifrado del

primer mensaje, hito histórico logrado por equipo de investigación

denominado M4 Project. Este proyecto persigue el descifrado de un

conjunto de tres mensajes que llevan más de 60 años esperando ser

revelados. Estos mensajes fueron interceptados por los servicios de

inteligencia de los aliados en el Atlántico Norte en 1942, durante la

Segunda Guerra Mundial.



Los emisores de los mensajes no fueron otros que los militares de la

Alemania nazi, que en un intento de obtener comunicaciones cifradas

que no pudieran ser descifradas por los aliados, aprovecharon la

máquina Wehrmacht Enigma y desarrollaron una variante de cuatro

rotores y múltiples mecanismos de robustecimiento del cifrado, cifrado

robusto que ha impedido conocer el contenido de los mensajes hasta

transcurridos 64 años desde su captura.



La máquina Enigma es todo un referente histórico en el mundo de la

criptografía. Su importancia histórica es tan notoria que muchos

expertos no dudan en afirmar que la finalización de la guerra en buena

medida se adelantó uno o dos años al poder capturarse y descifrarse

muchos de los mensajes de la inteligencia alemana, cifrados con

máquinas Enigmas elementales. Esta captura de información militar

sensible permitió obtener referencias importantes al bando aliado,

además de representar como se ha dicho, un referente histórico en el

espionaje y contraespionaje militar.



Este segundo mensaje contiene información similar a la mostrada por el

primero. El primer mensaje descifrado perteneció a Hartwig Looks,

capitán del sumergible alemán U264. Este segundo mensaje es de Hermann

Schröder, al mando del navío U623. La traducción de los resultados del

descifrado es la siguiente:



"Señal de radio saliente 0246/21/203: Ningún hallazgo en la ruta del

convoy 55º. Me desplazo al cuadrante naval ordenado. Posición en

cuadrante naval AJ 3995. Viento sur-este fuerza 4, estado del mar 3,

nuboso 10/10, barómetro 1028 mb y subiendo, niebla, visibilidad de una

milla náutica. Schroeder."



El proyecto M4 se basa en computación distribuida en la que cualquiera

puede sumar sus esfuerzos instalando un software proporcionado por los

responsables del proyecto. Para tales efectos, existen versiones de

los clientes de cómputo para UNIX y Windows 98, 2000 y XP. Tal y como

comentamos en el anterior boletín, este sistema colaborativo recuerda

mucho al proyecto Seti@Home, de búsqueda de señales extraterrestres

mediante sistemas distribuidos en los que cualquiera puede aportar su

máquina y capacidad de cómputo.



Sólo queda un mensaje para resolver uno de los secretos más

celosamente guardados por la historia de la criptografía.





Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/2693/comentar



Más Información:



Ruptura del cifrado Enigma de cuatro rotores

http://www.hispasec.com/unaaldia/2685



Second break of the M4 Project

http://www.bytereef.org/m4-project-second-break.html



M4 Project

http://www.bytereef.org/index.html





Sergio Hernando

shernando@hispasec.com


[/quote]

Tal como informan en el artículp, al igual que en el proyecto SETI para analisis de señales captadas por los radiotelescopìos, existe el proyecto M4 ("M4 Project") que une ordenadores de universidades, emoresas y usuarios interesados en ello, para lograr desencriptar el ultimo de los mensajes que aun se resiste de esta historia de la segunda guerra mindial, si bien ya se han logrado desencriptar los anteriores, siendo este aunciado el tercero de los encriptados con 4 rotores que se logra desencriptar ... tras 64 años de trabajos !



Lo de los "rotores" para los menos metidos en criptografía, consiste en que cada digito es encriptado en funcion de la posicion de cada rotor, de los cuatro existentes, esto es, como si cada digito se convirtiera en otro en funcion de 4 procesos de encriptacion, pasando a otro en un primer paso, y este a otro en funcion del segundo paso, y asi sucesivamente hasta terminar el proceso segun los "rotores" o procesos que se contemplaran, por lo cual, para la desencriptacion, digito a digito se debe emnpezar por el resultado fibal, desprocesar este para llegar al tercero, y el resultadi de este para llegar al segundo y asi sucesicamente, digito a digito, algo humanamente impensable pero que con la ayuda de los ordenadores, en paralelo entre unos cuantos miles o millones, cabe lograrlo dentro de una vida (64 años lo demuestran :lol: :lol: :lol:



Valga esta noticia para mentalizacion de las posibilidades de la encriptacion, muy acorde con el Tema que nos ocupa !



saludos



ms, 10-3-2006



PD A titulo de informacion son mas de 5 millones los usuarios con ordenador que participan en el proyecto SETI@home

[nikita@work]

[quote="burriana"]Buenas a to2, tengo un problema con unvirus[/quote]

Hello,



Sorry, I don't speak Spanish but if you still have troubles with decrypting such files I can help. Of course for free. Could you contact with me via PM or email? I'm looking for trojan exe file itself.

[nikita@work]

Hmm... I've found it!



Password is "C:\Program Files\Microsoft Visual Studio\VC98" without quotes.

[msc hotline sat]

Pues lo probaremos, ahora no lo tengo aqui, pero el lunes lo probaremos en el trabajo, con la muestra recibida



Al forero "burriana" le pedimos que intente extraer de los ZIP los documentos encriptados probando con el password indicado



C:\Program Files\Microsoft Visual Studio\VC98



y nos comente el resultado, gracias



y al forero moscovita agradecerle la participacion en nuestro foro, él puede entendernos gracias al traductor automatico de este foro a frances e ingles.



saludos



ms, 11-3-2006

[msc hotline sat]

Efectivamente, con el password de 46 digitos que nos envio el forero nikita@work desde Moscú, hemos podido desencriptar el ZIP que nos envió de muestra:



ABIERTO



DICIEMBRE

DOMINGO 11

DOMINGO 18



ENERO

DOMINGO 8





HORARIO

11:00 A 13:30

17:30 A 20:00





(en texto rojo y letras grandes)



Con lo que ya puede desencriptar todos los documentos que le convirtieron a ZIP con password.



Agradecemos la cortesía de nikita@work gracias a quien se ha ahorrado los 300 $ y puede recuperar todos los documentos !!!



Por cierto que con 46 digitos, las combinaciones hubieran sido 255^46 ... esto es 5 y 110 cifras detrás... ni la ENIGMA !!!



Como que 255^8 combinaciones tardaba aprox 1 año con una computadora actual (3 GHz), 255^46 combinaciones lo podriamos extrapolar a 255^38 años. o sea aprox 2.8 con 98 cifras enteras (siglo mas, siglo menos) serían los años que hubiera tardado en descubrir la clave, digamos que demasiado... :lol: :lol: :lol:



Y un éxito de este foro, al lograr que nos entiendan foreros que no hablan nuestro idioma, como nuestro amigo de Moscú, gracias al traductor automático al inglés o francés integrado.



Esperamos nos confirme la recuperación total de todos los documentos, para poder dar por solucionado el Tema



saludos



ms, 13-3-2006

[burriana]

MUXIIIIIIIIIIIIIIISIMAS GRACIAS!!!!!!!!!!!!!!!



Es increible lo que habeis conseguido. Muxas gracias a todos los q os habeis molestado en contestarme. Este foro es muy pero que muy bueno!!!.



GRACIAS A TODOS!!!

[msc hotline sat]

Pues lo celebramos, y repetimos nuestro agradecimiento a nikita@work por su colaboracion, y manifestamos nuestra satisfaccion por haber sido a traves de nuestro foro con el que se haya logrado semejante proeza!



Levantemos la copa en un brindis todos juntos por ello !



[url=http://www.imagenesup.com][img]http://www.imagenesup.com/temporal/24/santé.gif[/img][/url]





y solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 13-3-2006

[msc hotline sat]

AÑADIDO POSTCIERRE:



El jueves 16 VSantivirus publica un articulo sobre este Tema en:



http://vsantivirus.com/zippo-10.htm





indicando lo que ya sabermos, en cualquier caso sirva para ratificarlo



saludos



ms, 16-3-2006

[msc hotline sat]

y el viernes 17 de Marzo, mas de lo mismo:



http://vsantivirus.com/cryzip-a.htm



parece una repeticion, pero con otro titulo y nombre del troyano, pero basicamente igual que el anterior.



Solo se añade a título de comentario, parece que les ha gustado el Tema, aunque lleguen tarde... especialmente cuando ya informabamos que de esto ya había informacion en Mayo del año pasado y en este foro ya se dió la solucion dias atras ...



saludos



ms, 17-3-2006