sabato 24 novembre 2007

User Agent e Malware 'personalizzato'

Quando si visita un sito web, il nostro browser di solito invia al server web una stringa di testo che identifica lo user agent utilizzato.
L' user agent in questo specifico caso , e' il nostro browser web, ma potrebbe intendersi come U.A.(user agent) una qualunque applicazione client utilizzata con un certo protocollo di rete.

La stringa di testo identificata dal prefisso "User-agent:" normalmente include informazioni come il nome dell'applicazione client (il browser), la versione, il sistema operativo e la lingua utilizzata.
Queste informazioni possono essere usata dal server per conoscere che browser stiamo usando, il sistema operativo e permettergli di inviarci pagine o file compatibili con la nostra configurazione software ed hardware.

Questo metodo, viene sempre piu' spesso usato , dai siti distributori di malware per 'personalizzare' l'invio di codice malevolo tramite pagine appositamente create a seconda se usiamo Windows, Mac, Linux , ecc...

Un piccolo addons per Firefox, “User agent switcher”, permette di cambiare al volo l'User Agent ed, entro certi limiti, di poter testare la risposta di un sito malware a seconda dei diversi Sistemi Operativi identificati dalla stringa User Agent.

Di default “User agent switcher” possiede solo una stringa impostata ma si puo, od impostarne nuove a mano, o piu' semplicemente scaricare una lista aggiornata in rete da qui http://techpatterns.com/downloads/firefox/useragentswitcher.xml ed importarla nell'addon che ci permettera' cosi' di simulare un buon numero di browser e S.O. (Linux, Windows, Mac ecc....)

Vediamo ora un utilizzo pratico di questo addon.

Ci sono in rete molti siti (es. www.angelina-jolie-doing-it.info , www.celine-dion-facestanding-movies.org ecc... ) che al lato pratico reindirizzano sul sito itsgo.com e da qui ad una pagina che richiede un falso codec video per poter visualizzare il filmato proposto.

A questo punto interviene l'uso dell'user agent switcher per permetterci di vedere cosa succede a seconda del sitema operativo selezionato.
Supponiamo di aver selezionato una stringa U.A. corrispondente a Microsoft Windows e browser explorer
Questa sara' la pagina proposta

Se gli script sono attivi parte in automatico la box di download del falso codec
Inoltre se si tenta di chiudere la finestra che ci chiede di scaricare il plugin si entra in un continuo loop di richieste di download del malware.

che con virus total:

ile ultrahqcodec4158.exe received on 11.24.2007 03:57:35 (CET)
AntivirusVersionLast UpdateResult
AntiVir7.6.0.342007.11.23HEUR/Malware
AVG7.5.0.5032007.11.23Downloader.Zlob.KF
BitDefender7.22007.11.24Trojan.Downloader.Zlob.ABAZ
ClamAV0.91.22007.11.24Trojan.Dropper-3153
Ewido4.02007.11.23Downloader.Zlob.eie
F-Secure6.70.13030.02007.11.23Trojan.Win32.DNSChanger.abe
Kaspersky7.0.0.1252007.11.21Trojan.Win32.DNSChanger.abe
Prevx1V22007.11.24Generic.Dropper.xCodec
Sophos4.23.02007.11.23Troj/Zlobar-Fam
Symantec102007.11.24Trojan.Zlob
TheHacker6.2.9.1402007.11.24Trojan/Downloader.Zlob.eie
Webwasher-Gateway6.0.12007.11.24Heuristic.Malware

Additional information
File size: 231469 bytes
MD5: f40d72f2d4d8600227bbb1254b2359dd
SHA1: 281a264be675816ba2464d37332e2baba239d6e4


e' evidenziato come l'ormai noto e diffuso trojan ZLOB anche se come vediamo non molti software rilevano la minaccia.

Ripetiamo ora il caricamento del sito itsgo.com avendo pero' prima impostato il nostro U.A. come Mac OSX e browser Safari.
La pagina visualizzata cambia (sempre compatibilmente al fatto che siamo in ambiente Windows) ed anche il nome del file ora presenta l'estensione DMG (Apple Mac OS X Disk Image File).

Virus Total ci evidenzia il malware come un dns changer (modifica i nostri indirizzi DNS reindirizzando la nostra navigazione su siti malware, phishing ecc...)

ile ultrahqcodec4158.dmg received on 11.24.2007 03:31:35 (CET)
AntivirusVersionLast UpdateResult
IkarusT3.1.1.122007.11.24Trojan.Mac.Dnscha.dmg
Sophos4.23.02007.11.23OSX/RSPlug-Gen

Additional information
File size: 17585 bytes
MD5: e44f2f75e6f6c7f3822ff1fd49f51cc7
SHA1: 89a0b612877a75099e81968803ca36ac4b59394b

Abbiamo quindi visto come si sia diffusa la possibilta' da parte dei siti malware di selezionare il file malevolo a seconda del browser usato e questo per aumentare le possibilita' di infettare il maggior numero di computer possibili e come un piccolo addon Firefox ci possa aiutare ad effettuare una verifica di questo comportamento in maniera molto semplice.

Edgar

Nessun commento: