[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM Nota de Seguridad UNAM-CERT 2003-004 Incremento de Sistemas Windows Comprometidos en Redes MX ------------------------------------------------------------------------ En las ultimas semanas el UNAM-CERT (Equipo de respuesta a Incidentes de Seguridad en Cómputo UNAM) ha recibido diversos reportes que indican un alto índice de equipos con sistemas Windows 2000 comprometidos en redes MX. De acuerdo a análisis preliminares ocurren principalmente en sistemas que presentan características de passwords débiles o nulos y a su vez a la falta de actualizaciones de seguridad. SISTEMAS AFECTADOS ------------------ * Microsoft Windows 2000 DESCRIPCIÓN DETALLADA DE ARCHIVOS Y POSIBLES LOCALIZACIONES ----------------------------------------------------------- Los sistemas Windows Comprometidos han sido analizados y han presentado distintos patrones de comportamiento entre los que se encuentran: 1. Compromiso mediante el Gusano Payload.dat (W32.Randex.C) En los sistemas comprometidos este archivo esta alojado en el directorio /C:\/ y en el directorio de Sistema (%System% es usualmente C:\WINNT\system32) bajo los nombres: /payload.dat/, /gesfm32.exe/ o /msmonk32.exe/ y es un gusano de propagación mediante red detectado por Norton Antivirus como: W32.Randex.C. Este gusano se copia por sí mismo a los recursos administrativos compartidos en sistemas con passwords débiles a los siguientes archivos: \Admin$\system32\msmonk32.exe \c$\winnt\system32\msmonk32.exe El gusano puede recibir instrucciones de forma remota, alguna de las cuales disparará la propagación antes mencionada. Cuando el gusano se ejecuta realiza lo siguiente: * Se copia a sí mismo a %System%\gesfm32.exe. De forma predeterminada %System% es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP). * Calcula una dirección IP aleatoria de algún sistema a infectar. * Intenta autenticarse en la dirección IP generada aleatoriamente utilizando uno de los siguientes passwords: o <blank> o admin o root o 1 o 111 o 123 o 1234 o 123456 o 654321 o !@#$ o asdf o asdfgh o !@#$% o !@#$%^ o !@#$%^& o !@#$%^&* o server * Se copia a sí mismo a los sistemas con password de administrador débil, como: o \\\Admin$\system32\msmonk32.exe o \\c$\winnt\system32\msmonk32.exe * Programa un Trabajo de Red para que se ejecute el gusano. * Agrega el siguiente valor: /"Microsoft Netview"="%System%\gesfm32.exe"/ a la clave de Registro: /HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/ para que el gusano se ejecute automáticamente. * El gusano puede recibir instrucciones remotas, como lo son: o /ntscan/: Realiza el escaneo de sistemas con passwords de administrador débiles y se copia a dichos sistemas. o / syn/: Realiza un ataque /syn flood/ con un tamaño de datos de 55808 bytes. o /sysinfo/: Obtiene información de los sistemas infectados, como lo es velocidad del CPU, memoria, etc. * En gusano se copia al directorio raíz del sistema comprometido: Directorio de C:\ ... 04/29/2003 05:27p 37,376 payload.dat ... * De igual forma, el gusano se copia al directorio de Sistema (usualmente C:\Winnt\System32): Directorio de C:\Winnt\Sistem32 ... 04/29/2003 05:27p 37,376 gesfm32.exe ... 04/29/2003 05:27p 37,376 msmonk32.exe ... Los sistemas comprometidos mediante éste patrón pueden presentar una variedad de programas instalados comúnmente en /C:\Winnt\System32/ o en un subdirectorio con atributo de oculto dentro del mismo directorio. Algunos de estos programas pueden ser los siguientes: Archivo Node.exe ----------------- El directorio /C:\/ y el directorio de Sistema (usualmente C:\WINNT\System32) contiene el troyano */node.exe/*: Directorio de C:\ ... 21/05/2003 04:46p 110,592 node.exe 19/05/2003 05:59p 34,724 NTDETECT.COM 19/05/2003 05:59p 215,552 ntldr ... Este troyano es detectado como /*Backdoor.Trojan*/ por Norton Antivirus de Symantec. El troyano agrega una entrada en el Registro del sistema con el valor: /"Services"="C:\node.exe"/ A la clave de Registro: /HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/ De esta forma, el troyano se ejecutará cada vez que inicie el sistema. El troyano abre una puerta trasera en el puerto 7441/TCP y en algunos casos el puerto 123/UDP en espera de ordenes por parte de un intruso. ... 884 svchost -> 3003 TCP G:\WINDOWS\System32\svchost.exe 1052 -> 5000 TCP 1612 node -> 7441 TCP C:\node.exe 1612 node -> 123 UDP C:\node.exe 884 svchost -> 123 UDP G:\WINDOWS\System32\svchost.exe 820 svchost -> 135 UDP G:\WINDOWS\system32\svchost.exe ... FireDaemon (FireDaemon.EXE) ---------------------------- FireDaemon es una utilería que permite que se instalen y ejecuten virtualmente cualquier aplicación o script nativo de Win32 (por ejemplo Batch/Cmd, Perl, Java, Python, TCL/TK) como un servicio de Windows NT/2K/XP/2K3. A continuación se muestra un ejemplo: Directory of C:\Winnt\System32\com\c0m1\lib ... 03/07/2003 12:01p 81,920 firedaemon.exe ... Iroffer ------- Iroffer es un servidor de archivos para irc (comúnmente referenciado como DDC bot). Utiliza la característica de irc para enviar archivos a otros usuarios. Iroffer se conecta a un servidor irc y permite a los usuarios requerir archivos del mismo. Este archivo fue encontrado en los sistemas comprometidos con el nombre de /*encrypt.EXE*/ o */winmgnt.exe/*. Este irc se ejecuta en los puertos 1311/TCP y 1435/TCP. ... 860 encrypt -> 1311 TCP c:\winnt\system32\Com\C0M1\LIB\encrypt.exe ... 860 encrypt -> 1435 TCP c:\winnt\system32\Com\C0M1\LIB\encrypt.exe ... Algunos ejemplos de conexión son los siguientes: ... ** 2003-05-27-19:55:46: iroffer started v1.2b13 [November 10th, 2001] ** 2003-05-27-19:55:46: WARNING: Empty XDCC File, Starting With No Packs Offered ** 2003-05-27-19:55:46: Writing pid file... ** 2003-05-27-19:55:46: Attempting Connection to geneva.ch.eu.undernet.org (direct) ** 2003-05-27-19:55:47: Server Connection Established, Logging In ** 2003-05-27-19:55:47: Closing Server Connection: Connection Lost. ** 2003-05-27-19:55:47: Attempting Connection to geneva.ch.eu.undernet.org (direct) ** 2003-05-27-19:55:47: Server Connection Established, Logging In ** 2003-05-27-19:56:09: Joined #XDCCQUEBEC ** 2003-05-27-19:56:14: DCC Chat Requested ** 2003-05-27-19:56:20: ADMIN ADD Requested (DCC Chat) ** 2003-05-27-19:56:27: ADMIN SEND Requested (DCC Chat) ** 2003-05-27-19:56:29: XDCC [00:{morpheus]: Resumed at 4866K ** 2003-05-27-19:56:31: XDCC [00:{morpheus]: Connection established (24.122.2.164:2193 -> 132.248.X.X:1384) ** 2003-05-27-19:56:32: ADMIN SEND Requested (DCC Chat) ** 2003-05-27-19:56:33: XDCC [00:{morpheus]: Transfer Completed (16 kbytes, 0 min 1 sec, 16.0 kbytes/sec) ** 2003-05-27-19:56:33: XDCC [01:tiguypala]: Resumed at 4866K ** 2003-05-27-19:56:34: XDCC [01:tiguypala]: Connection established (66.36.140.173:4796 -> 132.248.X.X:1637) ** 2003-05-27-19:56:36: ADMIN DCLD Requested (DCC Chat) ** 2003-05-27-19:56:37: XDCC [01:tiguypala]: Transfer Completed (16 kbytes, 0 min 2 sec, 8.0 kbytes/sec) ** 2003-05-27-19:56:43: ADMIN SEND Requested (DCC Chat) ** 2003-05-27-19:56:44: ADMIN DCLD Requested (DCC Chat) ** 2003-05-27-19:56:45: XDCC [00:tiguypala]: Connection established (66.36.140.173:4797 -> 132.248.X.X:2320) ** 2003-05-27-19:56:49: ADMIN DCLD Requested (DCC Chat) ** 2003-05-27-19:57:32: ADMIN SEND Requested (DCC Chat) ** 2003-05-27-19:57:33: XDCC [01:{morpheus]: Connection established (24.122.2.164:2194 -> 132.248.X.X:1981) ** 2003-05-27-19:57:33: ADMIN DCLD Requested (DCC Chat) ... Serv-U FTP Server ----------------- Serv-u es un servidor de FTP con características completas que se ejecuta en sistemas Windows para la compartición de archivos en Internet. Este servidor FTP fue encontrado en los sistemas como /*svchost.exe*/. El puerto que abre dicho servidor FTP es el 1337/TCP: ... 868 svchost -> 1337 TCP c:\winnt\system32\Com\C0M1\LIB\svchost.exe ... Al realizar una conexión telnet o ftp a un sistema con este servicio en ejecución, podría observarse lo siguiente: ... ftp> open 132.248.X.X 1337 Connected to 132.248.X.X. 220-Serv-U FTP Server v3.1 for WinSock ready... 220-:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::: 220-:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::: ... 2. Compromiso mediante Ataques de Fuerza Bruta Otra forma de explotación de sistemas Windows reportada en las últimas semanas en diversos equipos dentro de redes MX, es a través de la explotación de passwords y nombres de usuarios débiles o nulos utilizando mecanismos de fuerza bruta. Utilizando mecanismos automáticos para acceder a tráves de fuerza bruta, y a su vez teniendo acceso al sistema, éste puede recibir instrucciones para ser controlado de forma remota y de esta forma lanzar ataques contra otras redes y sistemas mediante una serie de herramientas y troyanos que a continuacion se describen: Dameware -------- Dameware NT Utilities es una aplicación de administración de sistemas empresarial para Windows NT/2000/XP, que proporciona una colección integrada de utilerias de administración remota para dichos sistemas. Los siguientes archivos corresponden al servicio *Dameware Mini Remote Control* que es ejecutado en los sistemas comprometidos y que permite la administración remota del sistema. Estos archivos fueron encontrados en el directorio /C:\Winnt\System32\/: ... Directorio de C:\WINNT\system32 11/26/2002 03:56p 53,248 DWRCK.DLL 12/16/2002 09:53a 233,472 DWRCS.EXE 03/26/2003 10:46a 2,277 DWRCS.INI 11/26/2002 03:56p 110,592 DWRCSET.DLL 11/26/2002 04:29p 65,536 DWRCShell.dll ... El servicio de *Dameware Mini Remote Control (DWRCS.EXE)* se ejecuta en el puerto 6129 en espera de un inicio de sesión remoto. ... 492 DWRCS -> 6129 TCP C:\WINNT\SYSTEM32\DWRCS.EXE ... Rootkit STDE9.exe ------------------ Este archivo esta presente en el directorio /C:\Winnt\System32/ y descomprime los siguientes archivos en el directorio C:\Winnt\Web\printers\images\. Directorio de C:\Winnt\Web\printers\images\ 08/25/2002 09:22p 39,424 bootdrv.dll 01/05/2003 10:06p 24 boywonder.dat 11/16/2002 11:10p 59 explore.DAT 03/04/2003 02:47p 20,257 explore.EXE 11/28/2002 07:21p 562,688 explorer.exe 03/31/2003 06:15p 29,696 hidden32.exe 05/18/2003 11:50p 26,310 iiscache.dll 05/02/2002 12:32a 25,600 Libparse.exe 06/10/2002 08:41a 106,496 moo.dll 01/05/2003 06:46p 133,113 navdb.dbx 07/10/2002 05:15p 37,376 psexec.exe 06/19/2003 05:58p 5,320 rcfg.ini 11/14/2002 12:06a 320 rconnect.conf 07/31/2002 09:08p 18,944 rconnect.exe 04/06/2003 09:07p 127 regkeyadd.bat 04/06/2003 09:06p 642 regkeyadd.reg 03/04/2003 02:43p 444 SECURE.BAT 05/11/2003 10:50p 377 server.txt 05/18/2003 05:29p 109 start.bat 10/04/2002 01:44p 63,140 str.vxd 11/28/2002 07:19p 19,968 svchost.exe 05/17/2003 01:53a 3,035 v32driver.bat 11/22/2002 12:48a 2,390 web.swf 07/02/1999 03:36a 162,816 wget.exe 05/05/2002 04:17a 6,656 win32.exe 01/05/2003 06:35p 11 win32.vxd Este archivo es un troyano que contiene una puerta trasera con múltiples componentes: * navdb.dbx: Archivo de texto no malicioso que contiene una lista de palabras que serán utilizadas por las aplicaciones mIRC modificadas como nicks IRC. * boywonder.dat: Archivo de texto no malicioso. * explore.DAT: Archivo de texto no malicioso. * explore.EXE: Archivo que carga el componente, explorer.exe, cuando es ejecutado (detectado como TROJ_GLITCH.B por Trend Micro). * explorer.exe: Este archivo es una aplicación mIRC modificada que actúa como parte del servidor de todo el paquete de puerta trasera (detectado como BKDR_IRCFLOOD.BI por Tren Micro). * hidden32.exe: Permite iniciar cualquier programa sin que aparezca su ventana principal, permitiendo su ejecución en segundo plano. * iiscache.dll: Script IRC que es utilizado por el servidor de puerta trasera. (detectado como IRC_ZCREW.A por Trend Micro). * Libparse.exe: Utilidad no maliciosa que permite al usuario mostrar y terminar los procesos en ejecución. * moo.dll: .DLL utilizado por la puerta trasera. * bootdrv.dll: Una utilidad mIRC no maliciosa que muestra información del sistema. * psexec.exe: Utilidad no maliciosa para sistemas Windows NT y 2000 que permite al usuario ejecutar procesos en sistemas remotos sin haber instalado un componente para el cliente. Sin embargo, para ser capaz de ejecutar procesos, se deben suministrar credenciales de inicio de sesión. * rcfg.ini: Archivo script IRC utilizado por la puerta trasera. * rconnect.conf: Script de inicio de sesión utilizado con "rconnect.exe". * rconnect.exe: Utilidad no maliciosa que es una implementación completa de servidor FTP. * regkeyadd.bat: Archivo que ejecuta a "regkeyadd.REG" y establece atributos de ocultos a los archivos en C:\winnt\web\printers\images\ * regkeyadd.reg: Agrega el valor "print sharing" al registro para que se ejecute el archivo "start.bat" cada vez que se inicie el sistema. * SECURE.BAT: Archivo batch que remueve todos los recursos compartidos de red predeterminados, y detiene los servicios de sistema como lo son Remote Access Connection Manager, telnet, messenger, y netbios. * server.txt: Archivo de registro no malicioso. * start.bat: Archivo batch que utiliza "hidden32.exe" para ocultar la ejecución de "secure.bat", "explorer.exe" y "regkeyadd.bat" * str.vxd: Archivo de texto no malicioso. * svchost.exe: Utilidad no maliciosa utilizada para ocultar la ventana de un programa. * v32driver.bat: Archivo batch que intenta iniciar un sesión en otros sistemas dentro de la red de área local con el nombre de usuario "Administrator" utilizando una lista de passwords. Si el inicio de sesión es satisfactorio, se copia y se ejecuta el Troyano en el sistema remoto comprometido (detectado como BAT_ZCREW.A por Trend Micro). * web.swf: Script IRC utilizado por la puerta trasera (detectado como IRC_ZCREW.A por Trend Micro). * wget.exe: Utilidad no maliciosa utilizada para descargar archivos desde la WWW. * win32.exe: Programa de puerta trasera que permite que en un intruso remoto cargue y ejecute archivos en un sistema comprometido (detectado como BKDR_SHIZNAT.A por Trend Mcro). * win32.vxd: Archivo de texto no malicioso conteniendo la cadena "explore.EXE". Estos archivos son conocidos en conjunto como el troyano Zcrew, el cual se propaga a través del Internet, comprometiendo sistemas basados en NT con combinaciones de password y nombres de usuario débiles. El troyano agrega valor: /"EXPLORE"="C:\%System%\EXPLORE.exe"/ a la clave de Registro: /HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/ para que el gusano se ejecute automáticamente cuando se inicie Windows. También modifica las entradas predeterminadas en las siguientes claves del Registro para que otro archivo EXPLORER.EXE se ejecute cuando un archivo .CHA o .CHAT sea ejecutado en el sistema comprometido: /HKEY_LOCAL_MACHINE\ChatFile\Shell\open\command/ /HKEY_LOCAL_MACHINE\irc\Shell\open\command/ /HKEY_LOCAL_MACHINE\APD\Shell\open\command/ Rootkit windows.exe ------------------- Este archivo fue encontrado en el directorio /C:\Winnt\System32/ y descomprime los siguientes archivos en el directorio donde se encuentre ubicado. Al ejecutar el archivo se crean los siguientes archivos: * ipcpass.dic: Archivo de texto que contiene una lista de posibles passwords utilizados en un ataque de fuerza bruta. * IpcScan.txt: Contiene una lista de direcciones IP que han sido escaneadas. * release.exe: Archivo troyano que se copia en C:\winnnt\system32 como "svhost.exe" y crea un proceso en memoria con el mismo nombre, además abre una puerta trasera en el puerto 113/TCP. El troyano crea una entrada en el registro (/HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /y /HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices/) denominada "Configuration Loader" con el valor de "svhost.exe". * rscan.exe: Escaner de cuentas NT de línea de comando (IPScan). * msnp.exe: Archivo troyano que se copia en C:\winnnt\system32 como "msnp.exe" y crea un proceso en memoria con el mismo nombre, además abre una puerta trasera en los puertos 113/TCP y 2138/TCP. El troyano crea una entrada en el registro (/HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/ y /HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices/) denominada "Configuration Loader" con el valor de "msnp.exe". * afdx.exe: Similar al archivo "msnp.exe". * PSEXEC.EXE: Utilidad no maliciosa para sistemas Windows NT y 2000 que permite al usuario ejecutar procesos en sistemas remotos sin haber instalado un componente para el cliente. Sin embargo, para ser capaz de ejecutar procesos, se deben suministrar credenciales de inicio de sesión. RECOMENDACIONES --------------- El UNAM-CERT recomienda a todo usuario de cómputo llevar a cabo los siguientes pasos para verificar que los sistemas Windows no estén comprometidos: * Monitorear la existencia de puertos abiertos en el sistema y compararlos con los mencionados en este análisis. Algunas de las herramientas que pueden emplearse son las siguientes: o netstat (incluida en el sistema operativo Windows). o fport (www.foundstone.com). o aports (http://www.ntutility.com). * Ejecutar y administrar de forma periódica algún software antivirus. * Verificar y aplicar las Actualizaciones de Seguridad de Microsoft. * HotFix & Security Bulletin Service http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp Algunas de las herramientas utilizadas para la verificación de actualizaciones son: o Microsoft Baseline Security Analyzer 1.1 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/Tools/MBSAhome.asp o HfnetchkLT http://www.shavlik.com/ <http://www.shavlik.com/ o Windows Update http://v4.windowsupdate.microsoft.com/en/default.asp * Implementar un Firewall de Perímetro de Red o un Firewall Personal. Entre los denominados Personal Firewalls, se encuentran: o Norton Personal Firewall 2003 (Symantec) http://www.symantec.com/sabu/nis/npf/ o ZoneAlarm (ZoneLabs) http://www.zonelabs.com/store/content/home.jsp o Sygate Personal Firewall PRO (Sygate) http://smb.sygate.com/support/documents/pspf/default.htm o McAffe Personal Firewall (McAffe) http://www.mcafee.com/myapps/firewall/default.asp o Tiny Personal Firewall (ViruScan Software) http://www.virus-scan-software.com/index.shtml APÉNDICE A. Información Adicional --------------------------------- # Gusano W32.Randex.C <http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.c.html> # Backdoor.Trojan <http://securityresponse.symantec.com/avcenter/venc/data/backdoor.trojan.html> # Troyano Zcrew <http://www.sophos.com/virusinfo/analyses/trojzcrew.html> # FireDamon <http://www.firedaemon.com > # Iroffer <http://iroffer.org/> # Serv-U FTP Server <http://www.ftpserv-u.com/> # Dameware <http://www.dameware.com/> A continuación se muestran algunos distribuidores antivirus: # http://www.pandasoftware.es # http://www.bitdefender-es.com # http://www.trendmicro.com <http://www.trendmicro.com/> # http://esp.sophos.com # http://www.ravantivirus.com # http://securityresponse.symantec.com # http://www.viruslist.com APÉNDICE B. Reportar Información -------------------------------- El UNAM-CERT ha puesto todo el esfuerzo posible para asegurar que la información contenida en este documento sea confiable al momento de su publicación. Sin embargo, la decisión de utilizar la información descrita es responsabilidad de cada usuario u organización. La adecuación de este documento para una organización o sistema individual debería ser considerada antes de su aplicación en conjunto con las políticas y procedimientos locales. La aplicación de las recomendaciones mencionadas en éste documento son responsabilidad absoluta del administrador del sistema. Si algún administrador o usuario de red detecta que su sistema ha sido comprometido, puede contactar al UNAM-CERT en la siguiente cuenta de correo electrónico: escaneos en seguridad unam mx ------------------------------------------------------------------------ El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en la elaboración, revisión y análisis de esta Nota de Seguridad a: * Jesús Ramón Jiménez Rojas (jrojas en seguridad unam mx) * Nancy Fabiola García Fones (ngarcia en seguridad unam mx) ------------------------------------------------------------------------ INFORMACIÓN ----------- Este documento se encuentra disponible en su formato original en la siguiente direccion: http://www.seguridad.unam.mx http://www.unam-cert.unam.mx Para mayor informacion acerca de esta nota de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : unam-cert en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 - -- Juan Carlos Guel Lopez UNAM-CERT Equipo de Respuesta a Incidentes UNAM DGSCA, UNAM E-mail: unam-cert en seguridad unam mx Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43 Del. Coyoacan WWW: http://www.seguridad.unam.mx 04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBPvTYE3AvLUtwgRsVAQEnZgf+K8Wmo5gsFNxkrUHR5Dz+MH10L+KVkTcl /evtMDY7/EtiBgqPesrw2Sw5PcYj+zbewJ3o6MIKjlZCXyminZ2b7x7umJo9qi4C Q78Kw9lL6UkWlKsS/JAQ3/IK/kWn6kd3kAnw5IHp+tBZ0WSUs9ABo5z7EkHTluNH rIFUtAX4Vx6dIqltygeJD7yqACI0BwMgKl3n/hAsWmblYJqNV0sKLmqnDTxJrDcj qnSjNqB7bVYUrByAQJypyd9MUU1/SPHoo2PUt4D8SaAJSAtGbxUu9Xfe7y3bKXV7 9/EDMuaduMPc7Z2hlsdRMbJnAHJRDmnA5E6jOsvIyK6gOzEj6fuoNA== =kkAY -----END PGP SIGNATURE----- _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/