mercoledì 15 aprile 2009

Aggiornamenti sito compromesso con redirect su fakeAV/exploit

Nel precedente post avevo preso in considerazione la grande quantita' di pagine inserite all'interno del sito di istituto scolastico compromesso di cui ripropongo lo screenshot questa volta caricando il sito con explorer

Vediamo ora il contenuto della homepage che presenta un certo numero di scripts offuscati malevoli

Ecco ad esempio la decodifica di uno di questi

che porta, tra l'altro, ad individuare una link a questo exploit tools "UniquePack"

con i relativi folders
e di cui riporto la descrizione delle caratteristiche presente in rete:
Exploits for Opera9, Firefox, Internet Explorer 4, 5, 6, and 7. Seperate module to exploit Adobe Reader util.printf() (CVE-2008-2992) vulnerability. Also, includes a module to deliver binaries via social engineering the visitor into accepting the download, similar to Fake AV.

L'attivita' di rete legata alla homepage compromessa

mostra una notevole serie di connessioni a diversi indirizzi tutti con contenuti malevoli di vario genere (exploits PDF, Windows, ecc....) che sembrerebbero comunque legati all'uso del tool "UniquePack"

Edgar

4 commenti:

Murack ha detto...

una domanda: il sito in questione mi ha scaricato un eseguibile che sembra appartenere alla botnet Waledec

confermi?

l'eseguibile è questo:
http://www.virustotal.com/it/analisis/96a4d1e4554b1dbba7008812e3e0d972

nel mio caso specifico, è stata sfruttata una vulnerabilità in Acrobat Reader 7

ciao e grazie :)

Edgar Bangkok ha detto...

A meno che non si tratti di una nuova variante ben diversa dal solito non credo siamo di fronte ad un file del tipo Waledac in quanto al momento mi risulta che i files di tipo waledac vengano linkati solo dalle pagine hostate dalla botnet, come le nuove pagine presenti da poche ore in rete (vedi ultimo mio post) ... ed anche ultimamente sembrerebbe esserci qualche relazione tra il noto conficker “ .......In addition, Conficker reaches out to a domain that is known to be infected by a worm called Waledac and downloads an encrypted file. .......” ed un possibile download da sito waledac.
A vedere il report VT che hai postato mi sembrerebbe un malware di altra natura anche se un antivirus rileva un walepack ma comunque solo uno.
Prova un attimo a passare il file o il link a wepawet ed anubis e vedere i report generati.
Edgar

Murack ha detto...

questo è il report di wepawet:
http://wepawet.iseclab.org/view.php?hash=b6e947ce126e738a935950819154928e&t=1239892220&type=js

anche se li dice che nn c'è nessun exploit, analizzando uno dei link malevoli:
http://wepawet.cs.ucsb.edu/view.php?type=js&hash=bc2e9aa85b7f80634e5b7e5df0e76324&t=1238341867

dove si parla di un exploit acrobat, quindi i conti tornano: oggi ho riprovato, e si ripete l'exploit

visitando invece il sito senza acrobat, nn è partito nulla, nessun file scaricato, anche se noto un certo download di dati da uno dei link malevoli...però nessun danno apparente...

questo è invece il report di anubis:
http://anubis.iseclab.org/?action=result&task_id=1d7eeb63441180d94f97d096342d9a79c

secondo te di che natura è quel malware?

grazie, ciao :)

Edgar Bangkok ha detto...

Secondo me siamo in presenza di un exploit PDF (si vede anche analizzando uno degli scripts offuscati che punta es a pdf.php) e che una volta attivo tenta di scaricare ed eseguire uno dei tanti trojan che ci sono in giro al momento
Non credo comuque che sia collegato alla botnet Waledac.