venerdì 31 agosto 2007

Analisi di una falsa pagina Google


Quella che vedete nell'immagine e' una falsa pagina Google presente in rete.
Le differenze con l'originale sono veramente minime, solo la posizione di alcuni link(images, video, news ecc...) che nell'originale sono in alto a sinistra mentre nella falsa pagina sono al centro e la presenza dell'invito ad aggiornare il browser sacricando un addons.

Vediamo il link presenti, che naturalmente non portano al sito di Google ma caricano altri siti o files eseguibili.

I link o ricaricano la pagina, o rimandano ad altri siti oppure nel caso del link download addons scaricano il malware zun.exe.
Tentado di eseguire una ricerca si riceve un messaggio di Google che dice che la ricerca non e' possibile.

Esaminando in dettaglio il codice della pagina troviamo tre javascript offuscati, in maniera semplice, che vengono decodificati facilmente anche dalla mia utility scritta in autoit Escape sequence decoder


Gl parte criptata degli scripts contiene il codice di un exploit che sfrutta una vecchia vulnerabilita Microsoft MS06-014 MDAC vulnerability


I tre javascript differiscono solo per il nome del malware che viene passato all'exploit e che risulta home.exe, zin.exe zun.exe.

Trendmicro identifica i files “home.exe” and “zun.exe” come WORM_SOHANAT.CO mentre il file “zin.exe” viene identificato come WORM_VB.EIQ.

Un fatto curioso e' che in realta' se visioniamo con la Web Developper Toolbar di Firefox i codici javascript inline che vengono caricati ci accorgiamo che esiste anche un collegamento ad un link del sito YAHOO 360.

In effetti facendo una outline con la Web Developper Toolbar di Firefox vediamo che

e' presente un codice di iframe nascosto che contiene un link ad una sottopagina dello stesso dominio della falsa pagina Google.
Questa sottopagina denominata /blog/ al momento sembra contenere solo due link come da immagine


che puntano ad un accout Yahoo 360
Provando ad aprire uno di questi link parrebbe essere riferito ad un utente .VN (Vietnam)


Che abbia a che fare con chi ha creato la falsa pagina Google ??? oppure .......

Edgar




Nessun commento: