Intanto il file javascript viene caricato dal sito b15.3322.org che ad un whois risulterebbe hostato in USA.
Questo e' il contenuto dello script:
ad una prima decodifica otteniamo un nuovo codice intermedio che dobbiamo comunque decodificare
e finalmente decodificando questo script otteniamo
Come si vede si viene reindirizzati sulla pagina ie.htm hostata sempre sul medesimo serverA questo punto carichiamo la pagina e ci ritroviamo di nuovo con una serie di javascript offuscati
decodifichiamo ad esempio uno dei codici offuscati ed otteniamo
all'interno del codice possiamo notare nomi di funzioni che si commentano da sole... (exploit)Senza entrare in ulteriori dettagli possiamo vedere che in questo javascript abbiamo riferimenti ad alcuni file eseguibili che probabilmente sono parte integrante dell'exploit e precisamente
Infatti, dopo aver decodificato il semplice codice contenuto nello script, vediamo che ad esempio viene referenziato il file qq.exeIl file risulta presente sul sito, possiamo scaricarlo, ed a una analisi con Virus Total appare come:
| File qq.exe received on 12.28.2007 12:21:37 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | - | - | - |
| AntiVir | - | - | TR/Crypt.XPACK.Gen |
| Authentium | - | - | - |
| Avast | - | - | - |
| AVG | - | - | - |
| BitDefender | - | - | - |
| CAT-QuickHeal | - | - | TrojanDownloader.Agent.c |
| ClamAV | - | - | - |
| DrWeb | - | - | - |
| eSafe | - | - | Suspicious File |
| eTrust-Vet | - | - | - |
| Ewido | - | - | - |
| FileAdvisor | - | - | - |
| Fortinet | - | - | - |
| F-Prot | - | - | W32/Heuristic-162!Eldorado |
| F-Secure | - | - | Trojan-Downloader:W32/Agent.FOQ |
| Ikarus | - | - | - |
| Kaspersky | - | - | Trojan-Downloader.Win32.Agent.gwx |
| McAfee | - | - | Generic Downloader.c |
| Microsoft | - | - | - |
| NOD32v2 | - | - | - |
| Norman | - | - | - |
| Panda | - | - | Suspicious file |
| Prevx1 | - | - | - |
| Rising | - | - | Packer.Win32.VmpPacker.a |
| Sophos | - | - | Mal/Basine-C |
| Sunbelt | - | - | - |
| Symantec | - | - | - |
| TheHacker | - | - | - |
| VBA32 | - | - | - |
| VirusBuster | - | - | - |
| Webwasher-Gateway | - | - | Trojan.Crypt.XPACK.Gen |
| Additional information | |||
| MD5: b70c0911f849a139df48ac197af71aba | |||
Nello script sono inoltre presenti altri due riferimenti i files a sofzlcn.exe e cuteqq_CN.exe entrambi file con contenuto malware.
Edgar
3 commenti:
L'ho fatto pure io :-))
era molto molto semplice.
Non mi pare la mano dei soliti simpaticoni
Quello che pero' colpisce e' che sono molto abili nel diffonderlo.. ed hanno approffittato subito degli eventi... Inoltre il fatto che riescono ad avere diverse vie di distribuzione...news.. blogger ed altro vuole dire che dietro c'e' una organizzazioen niente male...
l'exploit è l'ho visto in molti siti.
forse sono cinesi, ma è solo una supposizione
Posta un commento