Edgar Bangkok
14-04-2009, 11:17
martedì 14 aprile 2009
Si tratta di una singolare pagina linkata da centinaia di pagine nascoste ospitate da sito .IT compromesso.
La particolarita' e' che questa volta i creatori di links a malware hanno combinato in una sola pagina sia una falsa applicazione AV che un links a pagina con exploit che tenta di scaricare malware sul pc.
Vediamo i dettagli, ricordando sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Ecco il sito compromesso e tuttora attivo di Istituto Scolastico italiano che presenta il problema molto diffuso di pagine inserite al suo interno in maniera nascosta
http://i241.photobucket.com/albums/ff186/EdgarBangkok/obfuhome.jpg
Il contenuto nascosto e' costituito da qualche centinaio di pagine
http://i241.photobucket.com/albums/ff186/EdgarBangkok/structura.jpg
come questa che vediamo in dettaglio
http://i241.photobucket.com/albums/ff186/EdgarBangkok/pageredirect.jpg
Il codice sorgente in ognuna di queste pagine mostra la presenza di link a javascript
http://i241.photobucket.com/albums/ff186/EdgarBangkok/scriptredirect.jpg
che una volta in esecuzione punta a sito che redirige poi su questa pagina di cui vediamo un dettaglio del codice sorgente
http://i241.photobucket.com/albums/ff186/EdgarBangkok/sourcefinale.jpg
Come si puo' notare sono presenti due codici di iframe (uno dei quali genera iframe nascosto) che linkano rispettivamente a fake Av ed a pagina con exploit (quello nascosto).
In pratica chi visitasse la pagina in questione e presentasse il pc vulnerabile all'exploit linkato avrebbe oltre al danno di vedersi il computer compromesso anche la beffa della presenza del falso scanner antivirus.
Ecco come viene visualizzata la pagina sul browser
http://i241.photobucket.com/albums/ff186/EdgarBangkok/pagina2iframescreenshot.jpg
dove notiamo sia la falsa applicazione Av (iframe in chiaro) che l'icona aggiunta da Noscript che evidenzia lo script nascosto.
Per quanto si riferisce al falso scanner Av online questo e' il risultato di una analisi VT
(img sul blog)
che dimostra lo scarso riconoscimento del software antivirus fasullo.
Se andiamo invece ad analizzare il link contenuto nell'iframe nascosto vediamo che punta a pagina che contiene questo ulteriore javascript offuscato.
(img sul blog)
Analizzando la natura dello script vediamo che si tratta di noto exploit gia' presente da tempo e che sfrutta vulnerabilita conosciuta (analisi Wepawet)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/wepawetmalwa.jpg
Questo un dettaglio del file malware linkato dal codice dell'exploit
(img sul blog)
e che esaminato con VT
http://i241.photobucket.com/albums/ff186/EdgarBangkok/vtcaricatodaexpl1.jpg
dimostra lo scarsissimo riconoscimento, sempre per quanto si riferisce a scansione online on-demand VT.
Interessante notare che sempre sul medesimo range IP a cui appartiene la pagina con exploit esiste un altro indirizzo IP
(img sul blog)
che punta anch'esso a pagina con exploit simile a quello visto ora.
Un whois delle diverse pagine viste ora che distribuiscono malware o fake Av punta a siti hostati su dominio tedesco.
Edgar :D
fonte: http://edetools.blogspot.com/2009/04/tutto-compreso.html
Si tratta di una singolare pagina linkata da centinaia di pagine nascoste ospitate da sito .IT compromesso.
La particolarita' e' che questa volta i creatori di links a malware hanno combinato in una sola pagina sia una falsa applicazione AV che un links a pagina con exploit che tenta di scaricare malware sul pc.
Vediamo i dettagli, ricordando sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Ecco il sito compromesso e tuttora attivo di Istituto Scolastico italiano che presenta il problema molto diffuso di pagine inserite al suo interno in maniera nascosta
http://i241.photobucket.com/albums/ff186/EdgarBangkok/obfuhome.jpg
Il contenuto nascosto e' costituito da qualche centinaio di pagine
http://i241.photobucket.com/albums/ff186/EdgarBangkok/structura.jpg
come questa che vediamo in dettaglio
http://i241.photobucket.com/albums/ff186/EdgarBangkok/pageredirect.jpg
Il codice sorgente in ognuna di queste pagine mostra la presenza di link a javascript
http://i241.photobucket.com/albums/ff186/EdgarBangkok/scriptredirect.jpg
che una volta in esecuzione punta a sito che redirige poi su questa pagina di cui vediamo un dettaglio del codice sorgente
http://i241.photobucket.com/albums/ff186/EdgarBangkok/sourcefinale.jpg
Come si puo' notare sono presenti due codici di iframe (uno dei quali genera iframe nascosto) che linkano rispettivamente a fake Av ed a pagina con exploit (quello nascosto).
In pratica chi visitasse la pagina in questione e presentasse il pc vulnerabile all'exploit linkato avrebbe oltre al danno di vedersi il computer compromesso anche la beffa della presenza del falso scanner antivirus.
Ecco come viene visualizzata la pagina sul browser
http://i241.photobucket.com/albums/ff186/EdgarBangkok/pagina2iframescreenshot.jpg
dove notiamo sia la falsa applicazione Av (iframe in chiaro) che l'icona aggiunta da Noscript che evidenzia lo script nascosto.
Per quanto si riferisce al falso scanner Av online questo e' il risultato di una analisi VT
(img sul blog)
che dimostra lo scarso riconoscimento del software antivirus fasullo.
Se andiamo invece ad analizzare il link contenuto nell'iframe nascosto vediamo che punta a pagina che contiene questo ulteriore javascript offuscato.
(img sul blog)
Analizzando la natura dello script vediamo che si tratta di noto exploit gia' presente da tempo e che sfrutta vulnerabilita conosciuta (analisi Wepawet)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/wepawetmalwa.jpg
Questo un dettaglio del file malware linkato dal codice dell'exploit
(img sul blog)
e che esaminato con VT
http://i241.photobucket.com/albums/ff186/EdgarBangkok/vtcaricatodaexpl1.jpg
dimostra lo scarsissimo riconoscimento, sempre per quanto si riferisce a scansione online on-demand VT.
Interessante notare che sempre sul medesimo range IP a cui appartiene la pagina con exploit esiste un altro indirizzo IP
(img sul blog)
che punta anch'esso a pagina con exploit simile a quello visto ora.
Un whois delle diverse pagine viste ora che distribuiscono malware o fake Av punta a siti hostati su dominio tedesco.
Edgar :D
fonte: http://edetools.blogspot.com/2009/04/tutto-compreso.html