venerdì 28 dicembre 2007

Attackers Exploiting News of Benazir Bhutto Assassination - Analisi dello script.

Visto che lo script java presente sulle pagine di News ma anche su siti Blogger in riferimento all'attentato a Benazir Bhutto sembra essere molto diffuso , cerchiamo di vedere che cosa combina...

Intanto il file javascript viene caricato dal sito b15.3322.org che ad un whois risulterebbe hostato in USA.
Questo e' il contenuto dello script:


ad una prima decodifica otteniamo un nuovo codice intermedio che dobbiamo comunque decodificare


e finalmente decodificando questo script otteniamo

Come si vede si viene reindirizzati sulla pagina ie.htm hostata sempre sul medesimo server

A questo punto carichiamo la pagina e ci ritroviamo di nuovo con una serie di javascript offuscati


decodifichiamo ad esempio uno dei codici offuscati ed otteniamo

all'interno del codice possiamo notare nomi di funzioni che si commentano da sole... (exploit)

Senza entrare in ulteriori dettagli possiamo vedere che in questo javascript abbiamo riferimenti ad alcuni file eseguibili che probabilmente sono parte integrante dell'exploit e precisamente

Infatti, dopo aver decodificato il semplice codice contenuto nello script, vediamo che ad esempio viene referenziato il file qq.exe
Il file risulta presente sul sito, possiamo scaricarlo, ed a una analisi con Virus Total appare come:

File qq.exe received on 12.28.2007 12:21:37 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V3---
AntiVir--TR/Crypt.XPACK.Gen
Authentium---
Avast---
AVG---
BitDefender---
CAT-QuickHeal--TrojanDownloader.Agent.c
ClamAV---
DrWeb---
eSafe--Suspicious File
eTrust-Vet---
Ewido---
FileAdvisor---
Fortinet---
F-Prot--W32/Heuristic-162!Eldorado
F-Secure--Trojan-Downloader:W32/Agent.FOQ
Ikarus---
Kaspersky--Trojan-Downloader.Win32.Agent.gwx
McAfee--Generic Downloader.c
Microsoft---
NOD32v2---
Norman---
Panda--Suspicious file
Prevx1---
Rising--Packer.Win32.VmpPacker.a
Sophos--Mal/Basine-C
Sunbelt---
Symantec---
TheHacker---
VBA32---
VirusBuster---
Webwasher-Gateway--Trojan.Crypt.XPACK.Gen

Additional information
MD5: b70c0911f849a139df48ac197af71aba

Nello script sono inoltre presenti altri due riferimenti i files a sofzlcn.exe e cuteqq_CN.exe entrambi file con contenuto malware.

Edgar

3 commenti:

maverick ha detto...

L'ho fatto pure io :-))

era molto molto semplice.
Non mi pare la mano dei soliti simpaticoni

Edgar Bangkok ha detto...

Quello che pero' colpisce e' che sono molto abili nel diffonderlo.. ed hanno approffittato subito degli eventi... Inoltre il fatto che riescono ad avere diverse vie di distribuzione...news.. blogger ed altro vuole dire che dietro c'e' una organizzazioen niente male...

maverick ha detto...

l'exploit è l'ho visto in molti siti.
forse sono cinesi, ma è solo una supposizione