Quando si visita un sito web, il nostro browser di solito invia al server web una stringa di testo che identifica lo user agent utilizzato.
L' user agent in questo specifico caso , e' il nostro browser web, ma potrebbe intendersi come U.A.(user agent) una qualunque applicazione client utilizzata con un certo protocollo di rete.
La stringa di testo identificata dal prefisso "User-agent:" normalmente include informazioni come il nome dell'applicazione client (il browser), la versione, il sistema operativo e la lingua utilizzata.
Queste informazioni possono essere usata dal server per conoscere che browser stiamo usando, il sistema operativo e permettergli di inviarci pagine o file compatibili con la nostra configurazione software ed hardware.
Questo metodo, viene sempre piu' spesso usato , dai siti distributori di malware per 'personalizzare' l'invio di codice malevolo tramite pagine appositamente create a seconda se usiamo Windows, Mac, Linux , ecc...
Un piccolo addons per Firefox, “User agent switcher”, permette di cambiare al volo l'User Agent ed, entro certi limiti, di poter testare la risposta di un sito malware a seconda dei diversi Sistemi Operativi identificati dalla stringa User Agent.
Vediamo ora un utilizzo pratico di questo addon.
A questo punto interviene l'uso dell'user agent switcher per permetterci di vedere cosa succede a seconda del sitema operativo selezionato.
Supponiamo di aver selezionato una stringa U.A. corrispondente a Microsoft Windows e browser explorer
Questa sara' la pagina proposta
Se gli script sono attivi parte in automatico la box di download del falso codec
Inoltre se si tenta di chiudere la finestra che ci chiede di scaricare il plugin si entra in un continuo loop di richieste di download del malware.
che con virus total:
L' user agent in questo specifico caso , e' il nostro browser web, ma potrebbe intendersi come U.A.(user agent) una qualunque applicazione client utilizzata con un certo protocollo di rete.
La stringa di testo identificata dal prefisso "User-agent:" normalmente include informazioni come il nome dell'applicazione client (il browser), la versione, il sistema operativo e la lingua utilizzata.
Queste informazioni possono essere usata dal server per conoscere che browser stiamo usando, il sistema operativo e permettergli di inviarci pagine o file compatibili con la nostra configurazione software ed hardware.
Questo metodo, viene sempre piu' spesso usato , dai siti distributori di malware per 'personalizzare' l'invio di codice malevolo tramite pagine appositamente create a seconda se usiamo Windows, Mac, Linux , ecc...
Un piccolo addons per Firefox, “User agent switcher”, permette di cambiare al volo l'User Agent ed, entro certi limiti, di poter testare la risposta di un sito malware a seconda dei diversi Sistemi Operativi identificati dalla stringa User Agent.
Di default “User agent switcher” possiede solo una stringa impostata ma si puo, od impostarne nuove a mano, o piu' semplicemente scaricare una lista aggiornata in rete da qui http://techpatterns.com/downloads/firefox/useragentswitcher.xml ed importarla nell'addon che ci permettera' cosi' di simulare un buon numero di browser e S.O. (Linux, Windows, Mac ecc....)
Vediamo ora un utilizzo pratico di questo addon.Ci sono in rete molti siti (es. www.angelina-jolie-doing-it.info , www.celine-dion-facestanding-movies.org ecc... ) che al lato pratico reindirizzano sul sito itsgo.com e da qui ad una pagina che richiede un falso codec video per poter visualizzare il filmato proposto.
A questo punto interviene l'uso dell'user agent switcher per permetterci di vedere cosa succede a seconda del sitema operativo selezionato.Supponiamo di aver selezionato una stringa U.A. corrispondente a Microsoft Windows e browser explorer
Questa sara' la pagina proposta
Se gli script sono attivi parte in automatico la box di download del falso codecInoltre se si tenta di chiudere la finestra che ci chiede di scaricare il plugin si entra in un continuo loop di richieste di download del malware.
che con virus total:| ile ultrahqcodec4158.exe received on 11.24.2007 03:57:35 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AntiVir | 7.6.0.34 | 2007.11.23 | HEUR/Malware |
| AVG | 7.5.0.503 | 2007.11.23 | Downloader.Zlob.KF |
| BitDefender | 7.2 | 2007.11.24 | Trojan.Downloader.Zlob.ABAZ |
| ClamAV | 0.91.2 | 2007.11.24 | Trojan.Dropper-3153 |
| Ewido | 4.0 | 2007.11.23 | Downloader.Zlob.eie |
| F-Secure | 6.70.13030.0 | 2007.11.23 | Trojan.Win32.DNSChanger.abe |
| Kaspersky | 7.0.0.125 | 2007.11.21 | Trojan.Win32.DNSChanger.abe |
| Prevx1 | V2 | 2007.11.24 | Generic.Dropper.xCodec |
| Sophos | 4.23.0 | 2007.11.23 | Troj/Zlobar-Fam |
| Symantec | 10 | 2007.11.24 | Trojan.Zlob |
| TheHacker | 6.2.9.140 | 2007.11.24 | Trojan/Downloader.Zlob.eie |
| Webwasher-Gateway | 6.0.1 | 2007.11.24 | Heuristic.Malware |
| Additional information | |||
| File size: 231469 bytes | |||
| MD5: f40d72f2d4d8600227bbb1254b2359dd | |||
| SHA1: 281a264be675816ba2464d37332e2baba239d6e4 | |||
Ripetiamo ora il caricamento del sito itsgo.com avendo pero' prima impostato il nostro U.A. come Mac OSX e browser Safari.
La pagina visualizzata cambia (sempre compatibilmente al fatto che siamo in ambiente Windows) ed anche il nome del file ora presenta l'estensione DMG (Apple Mac OS X Disk Image File).
Virus Total ci evidenzia il malware come un dns changer (modifica i nostri indirizzi DNS reindirizzando la nostra navigazione su siti malware, phishing ecc...)| ile ultrahqcodec4158.dmg received on 11.24.2007 03:31:35 (CET) | |||
| Antivirus | Version | Last Update | Result |
| Ikarus | T3.1.1.12 | 2007.11.24 | Trojan.Mac.Dnscha.dmg |
| Sophos | 4.23.0 | 2007.11.23 | OSX/RSPlug-Gen |
| Additional information | |||
| File size: 17585 bytes | |||
| MD5: e44f2f75e6f6c7f3822ff1fd49f51cc7 | |||
| SHA1: 89a0b612877a75099e81968803ca36ac4b59394b | |||
Abbiamo quindi visto come si sia diffusa la possibilta' da parte dei siti malware di selezionare il file malevolo a seconda del browser usato e questo per aumentare le possibilita' di infettare il maggior numero di computer possibili e come un piccolo addon Firefox ci possa aiutare ad effettuare una verifica di questo comportamento in maniera molto semplice.
Edgar
Nessun commento:
Posta un commento