Era da un po di tempo che non controllavo gli exploit che vengono utilizzati per scaricare il LinkOptimzer.B
Dopo aver guardato le pagine sono rimasto così
Non mi sarei aspettato di trovare più di
20 exploit.
Patiamo con ordine
Dal sito nel range
192.115.70.0-192.115.70.128 viene scaricata una pagina che contiene due iframe dalla struttura
[SITO]/[HASH 20 caratteri]/5 lettere (corrisponde al nome dell'eseguibile da scaricare)/[nome casuale].php
ad esempio
[SITO]/d83d55f3bd6896293a0f/bagbc/mwrrwwy.php
[SITO]/d83d55f3bd6896293a0f/bagbc/blqmjd.php
Analizziamo ora le pagine
Pagina mwrrwwy.php
Come si può vedere la pagina sembra contenere testo senza alcun significato, ma in realtà è solamente codificata per eludere una possibile rilevazione da parte degli antivirus.
La pagina è codificata con l'ASCII Exploit
Internet Explorer quando carica una pagina codificata in charset=us-ascii, ingnora la parte di carattere che non è valida nella codifica US-ASCII.
La codifica US-ASCII è compsta da caratteri di 7 bit quindi il bit più significativo viene ignorato da Internet Explorer.
Le stringhe (che formano la parola casa)
0x63,0x61,0x73,0x61
0xE3,0xE1,0xF3,0xE1
per Internet Explorer sono equivalenti
Decodificata la pagina (basta eseguire un AND 0x7F su tutti i byte del file)
la pagina risultante si presenta offuscata
Deoffuscata otteniamo uno JavaScript che esegue più funzioni e più exploit
In ordine abbiamo
Microsoft Data Access Components RDS.Dataspace ActiveX Vulnerability (MS06-014)http://secunia.com/advisories/19583/Acer LunchApp.APlunch ActiveX Control "Run" Insecure Methodhttp://secunia.com/advisories/23003/E qui una novità per nascondere l'eseguibile alla scansione degli antivirus viene scaricato un file in formato
.msi (Microsoft Windows Installer) ed eseguita da msiexec.exe
Il formato MSI non è supportato da tutti gli antivirus (ad es. su VirusTotal viene riconosciuto infetto solo da 4 antivirus invece che da 14 se scompattato)
Telecom Italy Alice Messenger Hp.Revolution.RegistryManager.dll (v.1) remote arbitrary registry key manipulationhttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4740Gateway CWebLaunchCtl ActiveX control buffer overflowhttp://secunia.com/advisories/28379/HP Quick Launch Button Info Center ActiveX Control Insecure Methodshttp://secunia.com/advisories/28055/Macrovision FLEXnet Connect Update Service Agent Buffer Overflowhttp://secunia.com/advisories/24270/Baidu Soba Search Bar ActiveX Control Unspecified Code Execution Vulnerabilityhttp://secunia.com/advisories/26256/America Online SuperBuddy ActiveX Control "LinkSBIcons()" Vulnerabilityhttp://secunia.com/advisories/24714/GOM Player GOM Manager ActiveX Control Buffer Overflowhttp://secunia.com/advisories/27418/PPStream PowerPlayer.DLL ActiveX Control Buffer Overflow Vulnerabilityhttp://www.securityfocus.com/bid/25502Baofeng Storm Multiple Buffer Overflow Vulnerabilitieshttp://secunia.com/advisories/26749/Online Media Technologies NCTsoft NCTAudioFile2 ActiveX buffer overflowhttp://www.kb.cert.org/vuls/id/292713Lista applicazioni vulnerabiliIncrediMail IMMenuShellExt ActiveX Control Buffer Overflowhttp://secunia.com/advisories/25051Yahoo! Music Jukebox ActiveX Control Buffer Overflowshttp://secunia.com/advisories/28757/Microsoft Windows CFileFind Class "FindFile()" Buffer Overflowhttp://secunia.com/advisories/26800Toshiba Surveillix RecordSend Class ActiveX Control Buffer Overflowshttp://secunia.com/advisories/28557BitDefender Online Scanner ActiveX Control Buffer Overflowhttp://secunia.com/advisories/27717/WinZip FileView ActiveX Control Multiple Vulnerabilitieshttp://secunia.com/advisories/22891/Aurigma Image Uploader ActiveX Control "Action" Property Buffer Overflow http://secunia.com/advisories/28733/Aurigma Image Uploader ActiveX Control Property Handling Buffer Overflow http://secunia.com/advisories/28707/Facebook Photo Uploader ActiveX Control Property Handling Buffer Overflow http://secunia.com/advisories/28713/ Apple Quicktime RTSP URL Handling Buffer Overflow Vulnerabilityhttp://secunia.com/advisories/23540/Apple QuickTime RTSP Reply Reason-Phrase Buffer Overflowhttp://secunia.com/advisories/28423/Microsoft Windows Kodak Image Viewer Code Executionhttp://secunia.com/advisories/27092/Heap-based buffer overflow in DirectAnimation.PathControl COM object (daxctle.ocx)http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4446Infine nel caso che non si fosse vulnerabili a nessuno di questi exploit verebberichesta l'installazione di un oggetto ActiveX dal nome
SuperUpdate.cab o
FineDownload.cab, etc (il nome è variabile).
La seconda pagina invece non contiene la codifica ASCII ma è solamente offuscata e contiene l'exploit
Firefox "firefoxurl" URI Handler Registration Vulnerabilityhttp://secunia.com/advisories/25984/Se Invece di usare Interne Explorer Usiamo Firefox abbiamo sempre due iframe che eseguno
Windows Media Player Plug-in EMBED Element Buffer Overflowhttp://secunia.com/advisories/18852/Apple QuickTime "qtnext" Input Validation Vulnerabilityhttp://secunia.com/advisories/22048/Il virus è riconosciuto da
14/
32
http://www.virustotal.com/it/analisis/813c9b9c433a7f1277d96606693ac133Per ora questo è tutto.
Ciao, Matteo.
Print