TUTTI I LINK E INDIRIZZI IP CITATI NEL POST APRONO UNA PAGINA CONTENENTE FILE EXE MALWARE E JAVASCRIPT OFFUSCATO CONTENENTE EXPLOIT POTENZIALMENTE PERICOLOSO SE NON AVEVTE AGGIORNATO WINDOWS ED I SOFTWARE CHE USATE CON TUTTE LE PATCH DI SICUREZZA. EVITATE DI APRIRE QUESTI LINK SE NON AVETE PRESO TUTTE LE PRECAUZIONI DEL CASO (ES. FIREFOX CON ESTENSIONE NOSCRIPT ATTIVATA ED ESEGUITO IN SANDBOXIE)
La pagina presente sui siti StormWorm e' cambiata e sostituisce la pagina dei falsi giochi arcade da scaricare che e' stata attiva per piu' di un mese.
Questo e' il nuovo layout del sito.
La pagina presente sui siti StormWorm e' cambiata e sostituisce la pagina dei falsi giochi arcade da scaricare che e' stata attiva per piu' di un mese.
Questo e' il nuovo layout del sito.
Pagina stormworm con il falso sito superlaugh.comDopo la falsa pagina Youtube e la pagina con il falso sito TOR ora ci troviamo di fronte al tentativo di copiare il sito di greetings cards superlaugh.com
Come si vede le differenze con l'originale sono minime.
Pagina originale del sito superlaugh.com Tornando alla falsa pagina rispetto a quelle dei mesi precedenti (arcade games, ecc...) abbiamo il caricamento anche di un file flash con una animazione e di un file midi TAKE5.MID che chiaramente tenta di essere eseguito in automatico quando si carica la pagina.
Non so se questa sia solo una aggiunta per animare ulteriormente la pagina od abbia come secondo scopo quello di lanciare in esecuzione automatica il media player rendendo piu' facile poi l'attacco da parte di qualche exploit contenuto nel javascript offuscato.
Il file malware e' presente su tutti i vari link sparsi sulla pagina e si tratta al momento di SuperLaugh.exe (stesso nome del sito reale).
E' presente anche un javascript offuscato di raguardevoli dimensioni.
Non so se questa sia solo una aggiunta per animare ulteriormente la pagina od abbia come secondo scopo quello di lanciare in esecuzione automatica il media player rendendo piu' facile poi l'attacco da parte di qualche exploit contenuto nel javascript offuscato.
Il file malware e' presente su tutti i vari link sparsi sulla pagina e si tratta al momento di SuperLaugh.exe (stesso nome del sito reale).
E' presente anche un javascript offuscato di raguardevoli dimensioni.
una prima analisi del file exe con virustotal
---------------------------------------------------------------------
[ file data ]
* name: SuperLaugh.exe
* size: 121238
* md5.: 1b38f4faa864324936b342dfc464bb31
* sha1: 532ef06e54d3db95d7bbb7092d42dfd0d39fdc03
[ scan result ]
AhnLab-V3 2007.10.12.0/20071011 found nothing
AntiVir 7.6.0.20/20071011 found [WORM/Zhelatin.Gen]
Authentium 4.93.8/20071011 found nothing
Avast 4.7.1051.0/20071011 found [Win32:Tibser]
AVG 7.5.0.488/20071011 found [Downloader.Tibs]
BitDefender 7.2/20071012 found [Trojan.Peed.ILR]
CAT-QuickHeal 9.00/20071011 found [I-Worm.Zhelatine.dt]
ClamAV 0.91.2/20071011 found [Trojan.Peed-17]
DrWeb 4.44.0.09170/20071012 found [Trojan.Packed.142]
eSafe 7.0.15.0/20071010 found [Suspicious File]
eTrust-Vet 31.2.5203/20071011 found [Win32/Sintun.AI]
Ewido 4.0/20071011 found nothing
F-Prot 4.3.2.48/20071011 found nothing
F-Secure 6.70.13030.0/20071011 found [Email-Worm.Win32.Zhelatin.ki]
FileAdvisor 1/20071012 found nothing
Fortinet 3.11.0.0/20071011 found [W32/PackTibs.D]
Ikarus T3.1.1.12/20071012 found [Email-Worm.Win32.Zhelatin.ki]
Kaspersky 7.0.0.125/20071012 found [Email-Worm.Win32.Zhelatin.ki]
McAfee 5139/20071011 found [Tibs-Packed]
Microsoft 1.2908/20071012 found [Trojan:Win32/Tibs.EO]
NOD32v2 2586/20071011 found [Win32/Nuwar.Gen]
Norman 5.80.02/20071011 found [Tibs.gen171]
Panda 9.0.0.4/20071011 found nothing
Prevx1 V2/20071012 found nothing
Rising 19.44.32.00/20071011 found [Worm.Mail.Win32.Zhelatin.jw]
Sophos 4.22.0/20071011 found [Mal/Dorf-E]
Sunbelt 2.2.907.0/20071011 found nothing
Symantec 10/20071012 found [Trojan.Packed.13]
TheHacker 6.2.8.086/20071011 found [W32/Zhelatin.gen]
VBA32 3.12.2.4/20071011 found nothing
VirusBuster 4.3.26:9/20071011 found [Trojan.Tibs.Gen!Pac.132]
Webwasher-Gateway 6.0.1/20071011 found [Worm.Zhelatin.Gen]
[ notes ]
packers: Malware_Prot.A
-------------------------------------------------------------
Una buona percentuale di antivirus della lista di VirusTotal (72%) riconosce,per ora, questo malware come il noto Email-Worm.Win32.Zhelatin.
Il file javascrip offuscato, con una sequenza di codici questa volta veramente molto lunga, contiene due funzioni dal nome quantomeno spiritoso... function kaspersky(suck,dick){}; function kaspersky2(suck_dick,again){};
Il file javascrip offuscato, con una sequenza di codici questa volta veramente molto lunga, contiene due funzioni dal nome quantomeno spiritoso... function kaspersky(suck,dick){}; function kaspersky2(suck_dick,again){};
Il codice javascript e' facilmente deoffuscabile in quanto utilizza nel codice semplicemente la funzione XOR.
Anche in questo caso, come nel precedente sito arcade games, la chiave numerica della funzione XOR cambia continuamente
var xored_str = xor_str(plain_str, 24);...... xor_str(plain_str, 73) .... ecc
Questo e' il risultato dopo l'uso con il mio tool di decodifica. (si tratta di una nuova versione che pubblichero' a breve e che accetta anche una chiave numerica per eseguire un XOR sul codice offuscato)
Anche in questo caso, come nel precedente sito arcade games, la chiave numerica della funzione XOR cambia continuamente
var xored_str = xor_str(plain_str, 24);...... xor_str(plain_str, 73) .... ecc
Questo e' il risultato dopo l'uso con il mio tool di decodifica. (si tratta di una nuova versione che pubblichero' a breve e che accetta anche una chiave numerica per eseguire un XOR sul codice offuscato)
ci troviamo di fronte a piu' di 280 linee di codice !!!
Al suo interno troviamo altri segmenti di codice offuscato.
Dovrebbe trattarsi, da una prima veloce lettura del codice, di un exploit che sfrutta le vulnerabilita' di stack overflow di winzip e quicktime, e contiene anche funzioni che forse sfrutterebbero la MDAC Buffer Overrun Vulnerability .
Attualmente sono online e distribuiscono la pagina , via botnet fastflux , i segunti domini
tibeam.com;
ptowl.com;
eqcorn.com;
che usano la tecnica fast-flux.
Ecco un breve elenco generato in qualche minuto, da uno script in Autoit per 50 letture dell'IP di tibeam.com
USA-Virginia
Korea,RepublicOf
USA-Virginia
USA-Texas
USA-California
USA-Texas
USA-Virginia
USA-Virginia
USA-Georgia
USA-Virginia
USA-Virginia
USA-NewJersey
USA-Texas
USA-Kentucky
USA-Kentucky
USA-Virginia
USA-Virginia
USA-Illinois
USA-Virginia
USA-NewJersey
Argentina
USA-NewJersey
USA-NewJersey
USA-Georgia
Slovakia
USA-Kentucky
USA-Missouri
USA-Virginia
USA-Virginia
USA-Virginia
USA-NewJersey
USA-Texas
Argentina
Argentina
USA-Virginia
USA-Georgia
USA-Virginia
Romania
USA-Virginia
USA-Texas
Colombia
UnitedKingdom
USA-Missouri
USA-Kentucky
USA-Virginia
USA-Virginia
USA-California
HongKong
USA-NewJersey
USA-Texas
Come si vede predominano come sempre , forse anche a causa dell'orario , le 5 di mattina in Europa, gli indirizzi di computer situati in USA.
Chiaramente il fine ultimo di tutto questo e' far scaricare automaticamente a chi vista la pagina il file malware e trasformare il computer del malcapitato in una macchina zombie della rete botnet.
L'accesso a questi domini verra' adesso facilitato dalla sicura grande quantita' di mails di spam che inviteranno chi le legge a visitare il falso sito di Free Greetings Cards
Penso che molti utententi internet, specialmente in Usa, saranno ingannati da questa nuova pagina che ora copia un reale sito web.
Una dettagliata analisi tecnica sul funzionamento del malware storm worm (formato PDF in lingua inglese) la potete trovare a questo link
Aggiornamento:
Puntualmente hanno cominciato ad arrivare le mails, ecco alcuni testi .....
"Someone is thinking of you! Open your ecard!"
"We have a ecard greeting for you."
"We have a ecard surprise!"
ecc...
Al suo interno troviamo altri segmenti di codice offuscato.
Dovrebbe trattarsi, da una prima veloce lettura del codice, di un exploit che sfrutta le vulnerabilita' di stack overflow di winzip e quicktime, e contiene anche funzioni che forse sfrutterebbero la MDAC Buffer Overrun Vulnerability .
Attualmente sono online e distribuiscono la pagina , via botnet fastflux , i segunti domini
tibeam.com;
ptowl.com;
eqcorn.com;
che usano la tecnica fast-flux.
Ecco un breve elenco generato in qualche minuto, da uno script in Autoit per 50 letture dell'IP di tibeam.com
USA-Virginia
Korea,RepublicOf
USA-Virginia
USA-Texas
USA-California
USA-Texas
USA-Virginia
USA-Virginia
USA-Georgia
USA-Virginia
USA-Virginia
USA-NewJersey
USA-Texas
USA-Kentucky
USA-Kentucky
USA-Virginia
USA-Virginia
USA-Illinois
USA-Virginia
USA-NewJersey
Argentina
USA-NewJersey
USA-NewJersey
USA-Georgia
Slovakia
USA-Kentucky
USA-Missouri
USA-Virginia
USA-Virginia
USA-Virginia
USA-NewJersey
USA-Texas
Argentina
Argentina
USA-Virginia
USA-Georgia
USA-Virginia
Romania
USA-Virginia
USA-Texas
Colombia
UnitedKingdom
USA-Missouri
USA-Kentucky
USA-Virginia
USA-Virginia
USA-California
HongKong
USA-NewJersey
USA-Texas
Come si vede predominano come sempre , forse anche a causa dell'orario , le 5 di mattina in Europa, gli indirizzi di computer situati in USA.
Chiaramente il fine ultimo di tutto questo e' far scaricare automaticamente a chi vista la pagina il file malware e trasformare il computer del malcapitato in una macchina zombie della rete botnet.
L'accesso a questi domini verra' adesso facilitato dalla sicura grande quantita' di mails di spam che inviteranno chi le legge a visitare il falso sito di Free Greetings Cards
Penso che molti utententi internet, specialmente in Usa, saranno ingannati da questa nuova pagina che ora copia un reale sito web.
Una dettagliata analisi tecnica sul funzionamento del malware storm worm (formato PDF in lingua inglese) la potete trovare a questo link
Aggiornamento:
Puntualmente hanno cominciato ad arrivare le mails, ecco alcuni testi .....
"Someone is thinking of you! Open your ecard!"
"We have a ecard greeting for you."
"We have a ecard surprise!"
ecc...
Edgar
Nessun commento:
Posta un commento