Desafío 11 de ESET

En esta oportunidad un cliente ha suministrado este enlace que dice ser sospechoso para que procedamos a su análisis y posteriormente le brindemos un informe en español al respecto.

Como siempre el primer usuario en dejarnos la solución en los comentarios, recibirá una licencia de ESET NOD32.

Cristian Borghello
Director de Educación

Autor , ESET

  • Si cambiamos el User-Agent por Linux / Opera 7.23 se muestra una página de error 404 que ejecuta el script “sendus.js” (envíenos).

  • juan vasquez

    la página esta proibida o el servidor prohibe la entrada a este sitio o se reusa a respondela, pero ademas de esto tiene on error 404 esto nos indica que servidor web no a encontrado la pagina solicitada

  • José

    Hola, una pregunta, el enlace que conduce el sitio “sospechoso” está roto o es parte del desafio?. Puede que sea un poco tonta la pregunta, pero es la primera vez que entro a esta web y me entero de los desafios de ESET….

    Saludos!

    • A los que han preguntando por el error 403 y 404, no todo es lo que parece.
      Rafael, todavía falta.

      Cristian

  • Estos son los caracteres que almacena el archivo al cambiar de User-Agent:
    “lrreaaisbtoeoo@t”
    Por lo tanto, el enlace es aparentemente inofensivo.

    • Rafael, luego de tu comentario aún sigue faltando :)
      Edwin, sigue intentando.

      Cristian

  • edwin

    el codigo fuente del enlace roto parece real…

  • Thor

    Me he fijado que se produce un comportamiento curioso modificando el UserAgent, se devuelve una página distinta. Ademas el UserAgent es escrito al comienzo de la página y se puede inyectar código html o javascript. Pero no se como seguir avanzando. ¿Voy bien encaminado?

    • Thor, vas por el camino correcto pero no se trata de que tú tengas que inyectar algo.

      Cristian

  • juan

    Alguna ayuda para los que no pueden entrar por el error 403. Si quito el user agent me redirige al error 404, he intentado varias cosas pero no funcionan.

  • Wow! Este es muy bueno, Cristian! Me rindo… :(
    Enhorabuena a los que lo han resuelto!

    • Estimados,

      A los que se han dado por vencidos y a los que siguen participando va una pista: el desafío está dividido en dos partes y uno de los “tres chiflados” puede ayudar a resolver la primera parte.

      Cristian

      • Estimados,

        Otra pista: no hay que modificar archivos pero sí verlos para luego descifrar una “dirección de correo electrónico”.

        Cristian

  • José

    ¿Deberia encontrar la forma de acceder al servidor web (Apache), para darle permisos de lectura a ese directorio, o descubrir que condicion se tiene que cumplir para acceder al sitio (por ej. estar en un determinado rango de IP)?. Efectivamente se trata de un “Forbidden” (HTTP Status Code 401) por parte del servidor, que lo he visto analizando las cabeceras del response de HTTP, no se me ocurre ninguna forma de acceder a un directorio protegido que no sea modificando el .htaccess de Apache… Es esto así, o la cosa es mas simple?.

  • Thor

    Obtengo una cadena cifrada pero no se si esa es la resolución. Supongo que habrá que hacer algo mas. Pero no tengo ni la menor idea de el que.

    Solo quiero saber si hay que hacer algo mas.
    Gracias por estos retos.

  • Thor

    Buenas,
    expongo a continuación lo que creo que es la solución.

    Lo primero que hice fue acceder al enlace que nos daban:
    http://ba-infohub01-v.hq.eset.com/wp-content/uploads/es-la/2010/04/desafio-11/
    Al acceder al mismo vi que se mostraba un error 403 forbidden con solo texto.

    Como sabia que había gato encerrado probé varias cosas. Mire el código fuente por si se había dejado alguna pista, examiné las cabeceras, nunca se sabe…

    Tras un periodo de reflexión llegué a la conclusión de que al ser un reto relacionado con el malware es posible que solo respondiera con un exploit ante determinados User-Agents antiguos, así que probé con distintos valores. Así conseguí descubrir que con todos los UsersAgent de los navegadores mas conocidos se devolvía la misma página de 403 con solo texto, pero cuando desaparecía el User-Agent o contaba con un valor aleatorio se mostraba una página 404 personalizada, en html, siguiendo la estética del blog.

    Tras muchos intentos y tras leer alguna pista en los comentarios ;) me dio por comparar la página 404 que da el blog de eset con esa que se mostraba. Y en efecto no eran iguales. Así llegue a encontrar un script que no se cargaba en la página 404 normal. Estaba en la siguiente URL:
    http://ba-infohub01-v.hq.eset.com/wp-content/uploads/es-la/2010/04/desafio-11/sendus.js
    El contenido de la misma era este:
    lrreaaisbtoeoo@t

    A primera vista parecía casi una cadena válida pero le faltaba algo, probé con Rot13 y todos los XOR posibles pero nada no había forma. Así que pregunte en los comentarios y recibí la pista definitiva, “era una dirección de correo”. Sabiendo esto pensé en algún tipo de cifrado que jugaba con la transposición de caracteres. Así que conté los caracteres, 16, buen número. Después intentando hacer algún tipo absurdo de criptoanálisis me dio por dividir la cadena en dos partes, y hacer lo mismo con el resultado, logrando sorprendentemente el objetivo buscado:
    lrre
    aais
    btoe
    oo@t

    Leyendo de arriba a abajo: laboratorio eset
    Gracias por el reto. Un saludo!

  • lrreaaisbtoeoo@t >>> ESET LABORATORIO

    • Hola,

      En este momento hay 2 personas que han respondido correctamente con las dos palabras que forman parte de la solución (la primera de estas personas en responder es el ganador).

      De todos modos he aprobado algunos comentarios que dan más pistas de por donde va la solución, para que los demás sigan jugando.

      Cristian

  • Thor

    laboratorio@eset

  • Si en realidad he quedado primero, quisiera regalar esta merecida licencia al segundo ganador, pues en el anterior reto ya conseguí una y no sería justo que yo la obtuviera. Gracias a Cristian y ESET por estos entretenidos juegos. Un saludo a todos y enhorabuena al ganador.

  • Alex

    La respuesta es laboratorio eset ?

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Solución al desafío 11 de ESET()

  • hola quero cuanto cuesta eset 4 en pesos chilenos y cual vercion sigue despues de la 4.2

    • Hola claudio,

      Por tema de costos, contacta a alguno de nuestros Partners Autorizados en tu región. La última versión disponible es la 4.2 así que con ella estás protegido.

      Sebastián

Síguenos