martedì 8 settembre 2009

Bmblog (la decodifica dello script offuscato)

Nel precedente post eravamo rimasti con l'interrogativo al riguardo del file javascript offuscato linkato dai falsi blog che ha richiesto una decodifica piu' laboriosa di quanto succede con i normali javascript offuscati che facilmente, ad esempio con l'uso di Malzilla, possono essere decodificati. (ringrazio SysAdMini di www.malwaredomainlist.com per l'utile suggerimento ad utilizzare Jsunpack)

Ecco la decodifica di parte del file offuscato

che, tramite l'uso anche di alcune delle variabili presenti sul file java offuscato originale, genera quando viene eseguito questo indirizzo di sito web.


Dopo aver attivato una connessione proxy, per simulare un IP diverso da quello Thai (es USA nel caso visto ora), se carichiamo il link nel browser abbiamo l'apertura di questa pagina (dal layout molto comune) che simula l'ennesimo falso scanner AV



hostato su due diversi indirizzi IP

Una analisi VT dimostra che il file linkato e', come ormai succede spesso, poco riconosciuto.

Abbiamo quindi la conferma che le centinaia di false pagine simili a blog incluse sui siti IT visti nel precedente post hanno lo scopo di proporre falsi scanner AV, confermando quindi la tendenza ad una diffusione sempre in rete piu elevata di false applicazioni antivirus.

Una nuova ricerca dimostra inoltre come anche negli ultimi minuti l'inclusione di queste false pagine blog sia estremamente attiva, e chiaramente non solo per siti .IT,


coinvolgendo comunque, almeno per ora, molti siti hostati su servers UK.

Edgar

Nessun commento: