In un post precedente avevo descritto la scansione di un indirizzo IP che presentava alcuni siti contenenti un iframe con link a server malware.
A distanza di qualche giorno ho ripetuto la stessa scansione e comparato i sorgenti di uno stesso sito scaricati l'11/10/07 ed il 14/10/07,
Stranamente si notano piccole ma significative differenze: l' iframe con link al server malware rimane , il layout del codice malevolo sulla pagina, come le date e la dimensione del file sorgente cambiano.
Ecco il primo esempio
A distanza di qualche giorno ho ripetuto la stessa scansione e comparato i sorgenti di uno stesso sito scaricati l'11/10/07 ed il 14/10/07,
Stranamente si notano piccole ma significative differenze: l' iframe con link al server malware rimane , il layout del codice malevolo sulla pagina, come le date e la dimensione del file sorgente cambiano.
Ecco il primo esempio
con una piccola differenza sul codice riguardante l'IFRAME
Il secondo esempio piu' evidente
con un posizionamento dell'iframe in un punto diverso del codice.Inoltre le proprieta dei due files dei codici sorgenti scaricati cambiano di conseguenza anche come dimensione.
Notate anche la data di modifica del file che passa dal 5 ottobre al 14 ottobre.
Una delle spiegazioni possibili potrebbe essere quella che. in qualche maniera, il codice malevolo viene continuamente aggiornato o ripristinato sulle pagine che lo ospitano, nel caso queste vengano bonificate.
Come questo possa avvenire anche a distanza di qualche giorno dal primo attacco e continui tuttora, rimane ababstanza misterioso.
Durante la scansione sono stati individuati anche 2 siti vvv.trentinospettacoli.it e .net con iframe e link che punta all'IP ://81.29.241.234/.. contrariamente alla maggior parte dei siti che puntano all'IP 81.29.241.238.
Il server all''ip in questione contiene una pagina con un codice javascript offuscato
Come questo possa avvenire anche a distanza di qualche giorno dal primo attacco e continui tuttora, rimane ababstanza misterioso.
Durante la scansione sono stati individuati anche 2 siti vvv.trentinospettacoli.it e .net con iframe e link che punta all'IP ://81.29.241.234/.. contrariamente alla maggior parte dei siti che puntano all'IP 81.29.241.238.
Il server all''ip in questione contiene una pagina con un codice javascript offuscato
che decodificato mostra un exploit che tenta di eseguire il file winhp32.exe
riconosciuto dagli antivirus presenti nella lista di VirusTotal come trojan clicker win32 small
-----------------------------------------------------------------------------------------------------
[ file data ]
* name: winhp32.exe
* size: 9216
* md5.: 7cda63600e2590b3f37c8fcc0412845e
* sha1: 27eccd0f18edd8bc40052f99da0f67e98ea1cc02
[ scan result ]
AhnLab-V3 2007.10.13.1/20071012 found [Win-Trojan/Downloader.9216.CD]
AntiVir 7.6.0.23/20071013 found [TR/Crypt.XPACK.Gen]
Authentium 4.93.8/20071014 found nothing
Avast 4.7.1051.0/20071014 found [Win32:Small-FHR]
AVG 7.5.0.488/20071014 found [Clicker.FHU]
BitDefender 7.2/20071014 found [Dropped:Trojan.Clicker.Small.KJ]
CAT-QuickHeal 9.00/20071013 found [TrojanClicker.Small.kj]
ClamAV 0.91.2/20071014 found nothing
DrWeb 4.44.0.09170/20071014 found [Trojan.Click.3612]
eSafe 7.0.15.0/20071010 found [suspicious Trojan/Worm]
eTrust-Vet 31.2.5207/20071013 found [Win32/Doklin.AP]
Ewido 4.0/20071014 found [Hijacker.Small.kj]
F-Prot 4.3.2.48/20071014 found nothing
F-Secure 6.70.13030.0/20071013 found [Trojan-Clicker.Win32.Small.kj]
FileAdvisor 1/20071014 found [High threat detected]
Fortinet 3.11.0.0/20071014 found [Clckr.KY!tr]
Ikarus T3.1.1.12/20071014 found [Trojan-Clicker.Win32.Small.KJ]
Kaspersky 7.0.0.125/20071014 found [Trojan-Clicker.Win32.Small.kj]
McAfee 5140/20071012 found [Generic.abu]
Microsoft 1.2908/20071014 found [TrojanClicker:Win32/Kut.H]
NOD32v2 2591/20071014 found [Win32/TrojanClicker.Small.NBG]
Norman 5.80.02/20071012 found [W32/Smalltroj.BGRA]
Panda 9.0.0.4/20071014 found [Trj/Lineage.CVQ]
Prevx1 V2/20071014 found nothing
Rising 19.44.62.00/20071014 found [Trojan.DL.Small.upy]
Sophos 4.22.0/20071014 found [Troj/Clckr-KY]
Sunbelt 2.2.907.0/20071013 found [Win32.ExplorerHijack]
Symantec 10/20071014 found [Trojan Horse]
TheHacker 6.2.8.089/20071013 found [Trojan/Small.kj]
VBA32 3.12.2.4/20071014 found [Trojan.Win32.TrojanClicker.Small.NBG]
VirusBuster 4.3.26:9/20071013 found [Trojan.DR.Small.DZR.Gen]
Webwasher-Gateway 6.0.1/20071013 found [Trojan.Crypt.XPACK.Gen]
[ notes ]
packers: UPX
packers: UPX
Bit9 info:
packers: PE_Patch.UPX, UPX
--------------------------------------------------------------------------------------------------------
Edgar
Nessun commento:
Posta un commento