venerdì 9 novembre 2007

Aggiornamento storm worm

Ricorderete sicuramente la pagina 'Lo scheletro danzante” (download the dancing skeleton" ) proposta dalla rete storm worm in occasione della festa di Halloween, pagina che faceva scaricare il malware halloween.exe.
Al momento la pagina e' ancora presente in rete sui soliti domini che fanno capo alla rete botnet di storm worm.
Ci sono pero' alcune differenze.
Vediamo ad esempio la pagina presente al dominio ptowl.com
La prima variazione , facilmente spiegabile, e' l'aggiornamento del nome del file malware che adesso prende il nome di dancer.exe.
L'analisi con virus total mostra che si e' passati dal 72% di riconoscimento con il vecchio file halloween.exe ad un 50% attuale.
Una seconda differenza e' che il file javascript offuscato non risulta piu' presente, almeno al momento in cui ho visionato il sito.
C'e' poi una variazione sul layout della pagina che risulta pero' di difficile comprensione.
Andando a visionare in dettaglio la videata della pagina si nota, con firefox, in alto a sinistra un piccolissimo punto.


In realta' si tratta di un iframe nascosto
Andando ad usare l'opzione presente nella developper toolbar di firefox "small screen rendering" ecco quello che appare


Praticamente la pagina sembra composta da due iframe di cui uno (nascosto) e' la pagina di google ed uno e' la pagina di halloween.
Anche da un comando outline si vede che la pagina comprende i 2 frame.

Ho ricevuto da GMG la spiegazione alla presenza di questo strano iframe di google assieme alla pagina di storm worm.

GMG scrive:

L' iframe scarica uno script offuscato che fa scaricare un altro script offuscato con vari exploit.

L' offuscamento è complesso (usal la funzione (arguments.callee)
http://isc.sans.org/diary.html?storyid=3219

Per scaricare il secondo script bisogna usare il primo come referer, inoltre funziona solo con ie ed ha un controllo sull'ip per non essere eseguito più volte altrimenti mostra l'homepage di google.
Il file scaricato è un rootkit che fa scaricare il file sony.exe dallo stesso sito.

Come si vede hanno aumentato la complessita' del codice pericoloso in maniera notevole rispetto al semplice script offuscato usato in precedenza.

La spiegazione del fatto che vedevo la pagina di google e non il codice javascript nel secondo iframe e' dovuta al fatto che, avendo visitato piu' volte il dominio ptowl.com, il mio IP e' stato registrato dal sito e quindi se ptowl.com rileva lo stesso Ip piu' di una volta visualizza l'iframe con la pagina di google e non l'iframe con il codice javascript offuscato.

Edgar

2 commenti:

GmG ha detto...

L' iframe scarica uno script offuscato che fa scaricare un altro script offuscato con vari exploit.
L' offuscamento è complesso (usal la funzione (arguments.callee)
http://isc.sans.org/diary.html?storyid=3219

Per scaricare il secondo script bisogna usare il primo come referer, inoltre funziona solo con ie ed ha un controllo sull'ip per non essere eseguito più volte altrimenti mostra l'homepage di google.
Il file scaricato è un rootkit che fa scaricare il file sony.exe dallo stesso sito.

Edgar Bangkok ha detto...

Bene, grazie della spiegazione.
In effetti con firefox non risolvevo un tubo a cercare di capire cosa succedeva...
Sembra che abbiano aumentato la complessita' della pagina...
ciao
Edgar