[HACK] Nos espia Microsoft?

David A. Pérez kamborio at hotmail.com
Fri Aug 10 19:43:37 CEST 2001 

Hola,

> Posiblemente antes de acusar a un programa de "espia" habría que
> analizar un poco que hace... y para ello nada mejor que un buen
> sniffer.

No acuse de espia a ningun programa. Relee mi mensaje.

Sin usar un sniffer ya explique que es lo que hace. Pero como veo que no me
crees, ahi va eso:

D:\usr\bin\>windump -i 3 port 80
windump: listening on\Device\Packet_{B7F406E2-C59A-4515-BE87-A6F4B15DFAA1}
18:35:11.981894 xxx.webshack-it.com.2339 > 207.46.106.88.80: S
2160114718:2160114718(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
18:35:14.894291 xxx.webshack-it.com.2339 > 207.46.106.88.80: S
2160114718:2160114718(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
18:35:15.052111 207.46.106.88.80 > xxx.webshack-it.com.2339: . ack
2160114719 win 17520 (DF)
18:35:15.350985 207.46.106.88.80 > xxx.webshack-it.com.2339: S
3667119343:3667119343(0) ack 2160114719 win 17520 <mss 1460,nop,nop,sackOK>
(DF)

[...]

De la ip 207.46.106.88 te puedo decir:

Microsoft (NETBLK-MICROSOFT-GLOBAL-NET)
   One Redmond Way
   Redmond, WA 98052
   US

   Netname: MICROSOFT-GLOBAL-NET
   Netblock: 207.46.0.0 - 207.46.255.255

   Coordinator:
      Microsoft  (ZM39-ARIN)  noc at microsoft.com
      425-936-4200

   Domain System inverse mapping provided by:

   DNS1.CP.MSFT.NET  207.46.138.20
   DNS2.CP.MSFT.NET  207.46.138.21
   DNS1.TK.MSFT.NET  207.46.232.37
   DNS1.DC.MSFT.NET  207.68.128.151
   DNS1.SJ.MSFT.NET  207.46.97.11

   Record last updated on 20-Jun-2001.
   Database last updated on 9-Aug-2001 23:12:21 EDT.

> LOADQM es el encargado de conectar automáticamente con el servidor de
> MSN Messenger para "avisar" a la comunidad que estás online, comprobar
> si tienes correo pendiente, etc.

Una polla como una olla (excuse my language).

Eso ya lo hace el messenger en si mismo. Si ya lo hacian las anteriores
versiones, por que ahora hace falta un programa asociado?

loadqm.exe es el encargado de usar las librerias DLL que aparecen
mencionadas en mi mensaje. Por si mismo creo que no puede hacer nada si no
es usando las funciones de las librerias. Un vistazo a la libreria
progdl.dll nos arroja cosas como:

*/* Orig size=%d, new size=%d -- Retry! File has changed on server in middle
of download!   Progressive Download Recheck Size   Resuming interrupted file
File has been downloaded    Anomaly, file creation time on server < on
client! Removing cached file

    In cache: date = %d-%d-%d, time = %d-%d-%d, milli = %d
    On Server: date = %d-%d-%d, time = %d-%d-%d, milli = %d    File vers
differ! Removing cached file  File not in cache, need to download Error
during download, exiting hr=%x    HttpOpenRequest failed before download
loop in no throttle case, GetLastError=%d    ProgressiveDL: Error during
download, exiting hr=%x HttpOpenRequest failed on resume, GetLastError=%d
Connection lost before block %d, exiting    Error during speed measurement,
exiting GetLastError=%d Renamed file in cache   Error trying to move file
from cache, hr=%x Download done, blocks downloaded=%d Got %d bytes in block
%d, will try again    Resuming block=%d, blocksize=%d Total blocks = %d
Beginning at block %d   \   InternetReadFile failed in progressive download
loop - GetLastError=%d, Progress=%d HttpSendRequest failed in progressive
download loop - GetLastError=%d, Progress=%d  Range:  bytes=%ld-%ld

Si eso es para conectarte y para comprobar los mensajes, prometo imprimir
este mensaje 100 veces y comermelo ;)

Ademas, como es que el messenger sigue funcionando si loadqm.exe no esta
corriendo?

Salu2,

    kamborio
================
 David A. Pérez
 _                       _                   _
| | __  __ _  _ __ ___  | |__    ___   _ __ (_)  ___
| |/ / / _` || '_ ` _ \ | '_ \  / _ \ | '__|| | / _ \
|   < | (_| || | | | | || |_) || (_) || |   | || (_) |
|_|\_\ \__,_||_| |_| |_||_.__/  \___/ |_|   |_| \___/
      El perdón es la venganza de los buenos (anónimo)

More information about the hacking mailing list