"what-to-do.net"
Il 29 Maggio 2006 su it.comp.sicurezza.virus è stato segnalato un sito contenente una grande (ma purtroppo, neanche troppo "insolita") quantità di malware.
Ne segue un'analisi.
Il sito segnalato, http://virgilio.what-to-do.net/primisintomogravidanza/ (NON visitatelo se avete dei dubbi sull'efficacia delle vostre protezioni), contiene vari exploit e trojan, nonché una metodologia d'infezione che ricorda molto da vicino quella di iframecash/smitfraud.
La pagina su virgilio.what-to-do.net non contiene malware, ma questo è richiamato da un sito esterno tramite un javascript nel body:
Ormai pratica comune di questi script è quella di offuscarne i contenuti. Come da me precedentemente detto in questo blog, la "decodifica" risulta quasi sempre banale.
Il contenuto della pagina richiamata dal javascript è questo:
Per avere un'idea del contenuto effettivo (e cioè non "offuscato") dello script, è bastato aggiungere un paio di tag html e sostituire l'istruzione "eval" nello script con un alert:
Il risultato è stato questo:
A questo punto è stato possibile analizzare gli effettivi contenuti del malware. NB: Kaspersky 6 mi ha avvertito subito di due contenuti maligni (un exploit WMF ed un Trojan-Dropper.Win32.Small.aol) quando ho visitato la pagina sopra detta per la prima volta, ma dato ho già visto questo genere di pagine piene di exploit e mi rendo conto che gli antivirus per varie ragioni (prima fra tutte che non tutto ciò che è contenuto viene effettivamente caricato) segnalano solo una parte di ciò che è effettivamente contenuto.
Ho proceduto a visitare il secondo link, un IFRAME: i malware segnalati dal Kaspersky erano su quel dominio, ed il primo è un noto "contatore" di accessi.
Il suddetto IFRAME contiene altri 3 IFRAME, più un applet.
Il primo è gromozon.com/b88db6cc/50300/2/pic.php; questo contiene un refresh sull'exploit WMF localizzato su gromozon.com/b88db6cc/50300/2/pic.tiff (l'immagine non è una tif o tiff, è una WMF, è Internet Explorer la riconoscerà come WMF indipendentemente dall'estensione, per cui in una versione non patchata l'exploit avrà successo comunque):
L'applet immediatamente seguente si trova su gromozon.com/b88db6cc/50300/8/stat.jar. Anche questo è un noto malware/exploit:
Il secondo iframe, su gromozon.com/b88db6cc/50300/5/ccr.htm, è anch'esso codificato. Usando una tecnica simile alla precedente (leggermente diversa, ma non starò qui a descriverla), ne salta fuori che contiene un probabilissimo createControlRange exploit:
Stranamente, l'upload su Virustotal ha dato il file .js come completamente pulito. È possibile che questo sia dovuto ad una mancata (e abbastanza comune) rilevazione dei javascript come file maligni, oppure questo è effettivamente un nuovo exploit (un exploit createControlRange è già stato segnalato più di un anno fa, vedi http://archives.neohapsis.com/archives/fulldisclosure/2005-02/0183.html). L'ho inviato a Kaspersky, staremo a vedere.
Il terzo IFRAME fa un refresh su gromozon.com/be7cc983/50300/1/Microsoft.exe; su VirusTotal:
L'ipotesi più probabile è che il precedente createControlRange exploit (esecuzione di codice da remoto) si occupi di lanciare l'eseguibile qui sopra senza interazione dell'utente.
Una delle cose più interessanti del sito è che i link cambiano in continuazione: tutti i link sopra descritti nel giro di mezz'ora non esistevano più. Una nuova visita al sito ha poi rivelato che i vari "b88db6cc" presenti nell'URL erano stati sostituiti con nuove stringhe pseudo/random. Probabilmente si tratta di un cron job automatico sul server che regolarmente cambia i link e il javascript che li carica.
Ne segue un'analisi.
Il sito segnalato, http://virgilio.what-to-do.net/primisintomogravidanza/ (NON visitatelo se avete dei dubbi sull'efficacia delle vostre protezioni), contiene vari exploit e trojan, nonché una metodologia d'infezione che ricorda molto da vicino quella di iframecash/smitfraud.
La pagina su virgilio.what-to-do.net non contiene malware, ma questo è richiamato da un sito esterno tramite un javascript nel body:
Ormai pratica comune di questi script è quella di offuscarne i contenuti. Come da me precedentemente detto in questo blog, la "decodifica" risulta quasi sempre banale.
Il contenuto della pagina richiamata dal javascript è questo:
Per avere un'idea del contenuto effettivo (e cioè non "offuscato") dello script, è bastato aggiungere un paio di tag html e sostituire l'istruzione "eval" nello script con un alert:
Il risultato è stato questo:
A questo punto è stato possibile analizzare gli effettivi contenuti del malware. NB: Kaspersky 6 mi ha avvertito subito di due contenuti maligni (un exploit WMF ed un Trojan-Dropper.Win32.Small.aol) quando ho visitato la pagina sopra detta per la prima volta, ma dato ho già visto questo genere di pagine piene di exploit e mi rendo conto che gli antivirus per varie ragioni (prima fra tutte che non tutto ciò che è contenuto viene effettivamente caricato) segnalano solo una parte di ciò che è effettivamente contenuto.
Ho proceduto a visitare il secondo link, un IFRAME: i malware segnalati dal Kaspersky erano su quel dominio, ed il primo è un noto "contatore" di accessi.
Il suddetto IFRAME contiene altri 3 IFRAME, più un applet.
Il primo è gromozon.com/b88db6cc/50300/2/pic.php; questo contiene un refresh sull'exploit WMF localizzato su gromozon.com/b88db6cc/50300/2/pic.tiff (l'immagine non è una tif o tiff, è una WMF, è Internet Explorer la riconoscerà come WMF indipendentemente dall'estensione, per cui in una versione non patchata l'exploit avrà successo comunque):
L'applet immediatamente seguente si trova su gromozon.com/b88db6cc/50300/8/stat.jar. Anche questo è un noto malware/exploit:
Il secondo iframe, su gromozon.com/b88db6cc/50300/5/ccr.htm, è anch'esso codificato. Usando una tecnica simile alla precedente (leggermente diversa, ma non starò qui a descriverla), ne salta fuori che contiene un probabilissimo createControlRange exploit:
Stranamente, l'upload su Virustotal ha dato il file .js come completamente pulito. È possibile che questo sia dovuto ad una mancata (e abbastanza comune) rilevazione dei javascript come file maligni, oppure questo è effettivamente un nuovo exploit (un exploit createControlRange è già stato segnalato più di un anno fa, vedi http://archives.neohapsis.com/archives/fulldisclosure/2005-02/0183.html). L'ho inviato a Kaspersky, staremo a vedere.
Il terzo IFRAME fa un refresh su gromozon.com/be7cc983/50300/1/Microsoft.exe; su VirusTotal:
L'ipotesi più probabile è che il precedente createControlRange exploit (esecuzione di codice da remoto) si occupi di lanciare l'eseguibile qui sopra senza interazione dell'utente.
Una delle cose più interessanti del sito è che i link cambiano in continuazione: tutti i link sopra descritti nel giro di mezz'ora non esistevano più. Una nuova visita al sito ha poi rivelato che i vari "b88db6cc" presenti nell'URL erano stati sostituiti con nuove stringhe pseudo/random. Probabilmente si tratta di un cron job automatico sul server che regolarmente cambia i link e il javascript che li carica.