Tuesday, May 30, 2006

"what-to-do.net"

Il 29 Maggio 2006 su it.comp.sicurezza.virus è stato segnalato un sito contenente una grande (ma purtroppo, neanche troppo "insolita") quantità di malware.

Ne segue un'analisi.

Il sito segnalato, http://virgilio.what-to-do.net/primisintomogravidanza/ (NON visitatelo se avete dei dubbi sull'efficacia delle vostre protezioni), contiene vari exploit e trojan, nonché una metodologia d'infezione che ricorda molto da vicino quella di iframecash/smitfraud.

La pagina su virgilio.what-to-do.net non contiene malware, ma questo è richiamato da un sito esterno tramite un javascript nel body:



Ormai pratica comune di questi script è quella di offuscarne i contenuti. Come da me precedentemente detto in questo blog, la "decodifica" risulta quasi sempre banale.

Il contenuto della pagina richiamata dal javascript è questo:



Per avere un'idea del contenuto effettivo (e cioè non "offuscato") dello script, è bastato aggiungere un paio di tag html e sostituire l'istruzione "eval" nello script con un alert:



Il risultato è stato questo:



A questo punto è stato possibile analizzare gli effettivi contenuti del malware. NB: Kaspersky 6 mi ha avvertito subito di due contenuti maligni (un exploit WMF ed un Trojan-Dropper.Win32.Small.aol) quando ho visitato la pagina sopra detta per la prima volta, ma dato ho già visto questo genere di pagine piene di exploit e mi rendo conto che gli antivirus per varie ragioni (prima fra tutte che non tutto ciò che è contenuto viene effettivamente caricato) segnalano solo una parte di ciò che è effettivamente contenuto.

Ho proceduto a visitare il secondo link, un IFRAME: i malware segnalati dal Kaspersky erano su quel dominio, ed il primo è un noto "contatore" di accessi.

Il suddetto IFRAME contiene altri 3 IFRAME, più un applet.

Il primo è gromozon.com/b88db6cc/50300/2/pic.php; questo contiene un refresh sull'exploit WMF localizzato su gromozon.com/b88db6cc/50300/2/pic.tiff (l'immagine non è una tif o tiff, è una WMF, è Internet Explorer la riconoscerà come WMF indipendentemente dall'estensione, per cui in una versione non patchata l'exploit avrà successo comunque):



L'applet immediatamente seguente si trova su gromozon.com/b88db6cc/50300/8/stat.jar. Anche questo è un noto malware/exploit:



Il secondo iframe, su gromozon.com/b88db6cc/50300/5/ccr.htm, è anch'esso codificato. Usando una tecnica simile alla precedente (leggermente diversa, ma non starò qui a descriverla), ne salta fuori che contiene un probabilissimo createControlRange exploit:



Stranamente, l'upload su Virustotal ha dato il file .js come completamente pulito. È possibile che questo sia dovuto ad una mancata (e abbastanza comune) rilevazione dei javascript come file maligni, oppure questo è effettivamente un nuovo exploit (un exploit createControlRange è già stato segnalato più di un anno fa, vedi http://archives.neohapsis.com/archives/fulldisclosure/2005-02/0183.html). L'ho inviato a Kaspersky, staremo a vedere.

Il terzo IFRAME fa un refresh su gromozon.com/be7cc983/50300/1/Microsoft.exe; su VirusTotal:



L'ipotesi più probabile è che il precedente createControlRange exploit (esecuzione di codice da remoto) si occupi di lanciare l'eseguibile qui sopra senza interazione dell'utente.

Una delle cose più interessanti del sito è che i link cambiano in continuazione: tutti i link sopra descritti nel giro di mezz'ora non esistevano più. Una nuova visita al sito ha poi rivelato che i vari "b88db6cc" presenti nell'URL erano stati sostituiti con nuove stringhe pseudo/random. Probabilmente si tratta di un cron job automatico sul server che regolarmente cambia i link e il javascript che li carica.

Sunday, May 14, 2006

Again on the botnet I found

SANS published the story about the botnet I found last night (they are between the first I contacted). I see they contacted Google about blocking all payments of the clicks. That's good.

CWS... wide open?

It was bound to happen, I guess. While doing the usual research for in-the-wild malware samples to send to antivirus/antitrojan vendors (ok, shut up, some hobbies are even dumber than this) I stumbled upon the classic site that the stupid admin left "wide open". The difference is, this was actually a Coolwebsearch hijacker remote admin site. Take at look at this:



This happens to ba remote console for the "hijacked" PCs, with IP, clicks, remote shutdown, etc. The page goes WAY down, in a few minutes I've seen this remote console reporting of 600-something hijacked PC online at the same time. Hum. Oh, yeah, the guys are so nice leaving everything wide open for us all to see. Thanks for your stupidity guys, now I've got:

- the hijacker malware sample that's gonna be sent to ALL the Antivirus companies in the World (apart from your own "rogue" trash, of course)

- a list of your sites that I didn't know of and that are gonna be added to my blocklist

I forwarded this to people who might be interested, too.
microscopic-scrabbly