giovedì 17 aprile 2008

P0llo

Capita a volte di dare una occhiata ai siti elencati da McAfee Site Advisor per vedere se c'e' qualche novita' in fatto di malware, exploit e pagine collegate, anche se spesso e volentieri , succede che il sito McAfee non cataloghi come pericolose pagine che in realta' contengono script offuscati od altro codice che linka a malware.

Oggi la mia attenzione e' stata attratta da un nome di sito particolare e cioe' p0llo.com. (con il numero zero al posto della prima o)
Anche se Site Advisor non ha ancora esaminato il link ho provato a verificare i contenuti di questa pagina ed in effetti chi ha segnalato il sito ha pienamente ragione a dire che e' alquanto pericoloso.
Esaminando, per iniziare, il whois della pagina si scopre che appartiene ad un server noc4host locato in Usa, che , anche se con ranges IP diversi, appare ad esempio nella BLACKLIST del blog Maipiugromozon.

Il sito 'p0llo', che sulla home presenta solo l'info di sito in costruzione contiene in effetti una sottopagina che presenta questo codice javascript offuscato



Si tratta di uno script composto da molte istruzioni che decodifichiamo una prima volta con Malzilla
Quello che otteniamo e' un'altro script che per la seconda volta passiamo a Malzilla per l'ulteriore decodifica

A questo punto abbiamo un lungo codice che esaminamo , anche se sommariamente per vedere cosa potrebbe fare se esguito

Come si vede si nota ad esempio la presenza di queste righe di codice che riportano , in diverse lingue, un percorso alla cartella autorun di windows.
Una ricerca in rete permette di individuare un simile exploit e la relativa spiegazione del funzionamento.
Ci troviamo in pratica davanti ad un codice che, una volta sfruttata una vulnerabilita' del tipo MDAC ActiveX utilizza il folder autostart per piazzare al suo interno un file eseguibile scaricato e chiaramente eseguirlo ad ogni avvio di Windows

A questo punto seguendo il link, contenuto nel codice, possiamo scaricare il file malware

di cui vediamo anche la divertente icona
e tramite Virus Total esaminare il codice e quanti e quali antivirus lo rilevano
Anche in questo caso un whois del server che hosta il file malware
ci dice che l'IP appartiene a Theplanet.com, altro provider Usa coinvolto in spam e distribuzione di malware.

Edgar

Nessun commento: