Archief - De topics van lang geleden

163.js websites: opnieuw geinfecteerd of nog steeds?

10-03-2007, 20:10 door Bitwiper, 6 reacties
Op [url=http://isc.sans.org/diary.html?storyid=2397]Internet Storm Center[/url] wijst Maarten van Horenbeeck op een reeks geinfecteerde websites die malware op je PC proberen te installeren. Zo te zien gebeurt dat doordat een deel van de inhoud van de 'title' regel van de gekraakte webpage is vervangen door een call naar een site in China waar 163.js wordt gedownload. Op zijn beurt zal 163.js een webpage met daarin o.a. vbscript downloaden, die ik niet onderzocht heb (zie de SANS site voor details).

Om zelf een overzicht te krijgen van geinfecteerde sites (nergens op clicken!), Google naar: smeisp 163.js

Terzijde, Google heeft technologie die je voor gevaarlijke webpages zou moeten waarschuwen, maar dat lijkt in dit geval niet te werken.

De malware die je opgedrongen kunt krijgen werd volgens ISC vanmorgen door geen enkele virusscanner herkend, nu zijn dat er een stuk of zeven.

Hoe de websites gekraakt worden is niet zeker, maar het lijken allemaal IIS 5.0 of 6.0 websites te zijn. Wat mij opviel was dat een aantal sites bij de http handshake melden: MicrosoftOfficeWebServer: 5.0_Pub

Op basis van die zoekstring ge-Googled: [url=http://sqljunkies.com/Article/525B575A-7F61-483A-AC8F-FEC700C34674.scuk]sqljunkies[/url] vermeldt dat je, na het verplaatsen van de virtual directories van 'Reporting Services' wel even moet doen:
On the Directory Security tab, Authentication and Access Control, Edit button, deselect the "Enable Anonymous Access" check box.
Microsoft geeft in [url=http://www.microsoft.com/technet/prodtechnol/sppt/SharePnt/cnt_save.mspx]deze page[/url] aan hoe je kunt toestaan of juist dichtzetten dat met een webbrowser files gesaved kunnen worden op een server waar 'SharePoint Team Services' op draait.

Ik heb geen idee of reporting en/of sharepont services iets met deze cracks te maken zouden kunnen hebben. Is er toevallig een lezer die hier meer van weet?

Scary is dat sites als InstallShield ook kraakbaar blijken, een site die typisch door softwareontwikkelaars wordt bezocht (volgens de Google cache hiervan was deze site in elk geval besmet op 6 maart, maar de eerder besmette page was vandaag schoon).

Ten slotte, van de sites die volgens [url=http://isc.sans.org/diary.html?storyid=2166]SANS[/url] begin februari al 'besmet' waren met vergelijkbare malware, zie ik een aantal weer terug: de al genoemde stariq.com (die volgens de Google cache page al op 27 feb drager was van 163.js, maar op dit moment niet meer) maar ook totallydrivers.com - saillant detail: op een page waar je 'IE Privacy Keeper 2.3' kunt downloaden, en die page was zojuist nog wel 'besmet'.
Reacties (6)
10-03-2007, 20:53 door G-Force
Goed dat je dit zegt Erik. Helemaal mooi wordt het wanneer
ik via Firefox extensie Dr.Web deze links eens ga
onderzoeken, maar in geen enkel geval slaat de virusscanner
aan. Van het ISC heb ik al gehoord dat nog niet alle
virusscanners zijn bijgewerkt. De onderstaande lijst zou de
huidige stand van zaken zijn:

AntiVir 7.3.1.41 03.09.2007 TR/Crypt.FKM.Gen
CAT-QuickHeal 9.00 03.10.2007 (Suspicious) - DNAScan
eSafe 7.0.14.0 03.08.2007 Suspicious Trojan/Worm
Kaspersky 4.0.2.24 03.10.2007 Trojan-PSW.Win32.WOW.pu
Sunbelt 2.2.907.0 03.10.2007 VIPRE.Suspicious
Symantec 10 03.10.2007 Infostealer.Wowcraft
VBA32 3.11.2 03.10.2007 suspected of
Downloader.Dadobra.10 (paranoid heuristics)

F-Secure, Fortinet en Sophos hebben via e-mail al laten
weten dat zij bezig zijn hun virusdefinities voor deze
bedreiging bij te werken.

De sites die gecompromitteerd zijn en via Google werden gevonden
zijn tot nu toe:

# airindia punt com (zou weer schoon zijn)
# acmt punt net
# fireworks punt com
# fci punt org
# pbonline punt com
# postbulletin punt com
# post-bulletin punt com
# k-1usa punt net
# scsusports punt com
# stariq punt com
# erskinecollegesports punt com
# installshield punt com
# roundballclassic punt com
# onebrick punt org
# whozontop punt com
# dove punt org
# cvac punt net
# honestreporting punt com
# totallydrivers punt com
# irinnews punt org
# ........

De sites zijn hier onwerkzaam gemaakt zodat er geen link
naar een besmette site kan worden aangeklikt.

Wie een groot aantal Windows machines heeft met browsing mogelijkheden, moet beslist de logbestanden van de proxy-server gaan raadplegen voor de onderstaande bestanden. Het domein is verwijderd zodat men niet via een toevallige klik bij de malware kan komen. Deze bestanden zijn:

[xxx] .cn/images/163.js
[xxx] .cn/images/sina.htm

De bestandsnaam die wordt gedownload is: install.exe en heeft een md5 checksum: f9fc3189d619462f6c939bfbf36c90ab. Eenmaal opgestart, installeert het drie bestanden op het systeem, waarvan een deel memory resident aanwezig is:

winboot.exe
winroot.bat
1.exe

De software blijkt een keylogger te zijn en nog niet alle AntiVirus software detecteert - zoals eerder gezegd - deze bedreiging.

Je zegt verder dat Google de gebruiker zou moeten waarschuwen voor een gevaarlijke website indien zo een link wordt aangeklikt via de zoekmachine. Sterker nog: geen enkel beveiligingsmiddel dat ik op dit moment in de browser (Firefox 2.0.0.2) heb geïnstalleerd waarschuwt de gebruiker. Ik neem aan dat alleen de Firefox extensie NoScript hier zijn werk zal kunnen doen, maar dat heb ik - om veiligheidsredenen - niet kunnen controleren. Het zou dus eens uitgeprobeerd moeten worden of de script-tag die gelinkt werd aan het kwaadaardige Java-script (gehost op een server in China) de zaak kan stoppen.
11-03-2007, 01:07 door Bitwiper
Door Peter V. op 10 maart 2007 20:53
Je zegt verder dat Google de gebruiker zou moeten waarschuwen voor een gevaarlijke website indien zo een link wordt aangeklikt via de zoekmachine.
Nee, dit klinkt alsof het moet van mij, maar dat is niet zo (maar het mag natuurlijk wel).

Ik verwijs naar een eigenschap die ik wel eens gezien heb bij het Googlen naar malwaresites, maar die -helaas- onvoldoende betrouwbaar werkt om van uit te kunnen gaan.

Zie: [url=http://www.security.nl/article/14154/1/Google_waarschuwt_voor_malware.html]Google waarschuwt wanneer zoekresultaten naar sites met malware zouden kunnen leiden.[/url]

Aanvuling 13:48: 'maar het mag natuurlijk wel'
11-03-2007, 20:07 door Anoniem
Het 163.js javascript roept een vbscript aan. Hierin bevinden zich
gecodeerde twee scripts. Het eerste script zorgt voor het downloaden van
een bestand met de naam avp.exe van smeisp.cn, dit bestand wordt
opgeslagen als c:install.exe door gebruik te maken van de
RDS.DataSpace control. Vervolgens wordt via een tweede stukje script
getracht dit bestand uit te voeren door het downloaden en uitvoeren van
jc.vbs van smeisp.cn, eveneens d.m.v. de RDS.DataSpace control.

Zie http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
18-03-2007, 19:51 door G-Force
Hallo Erik,

Zou jij eens je licht kunnen schijnen op het volgende artikel?

http://www.dshield.org/diary.html?storyid=2462&dshield=c2a6b4e5830699d4e1317d78e86abd9e

Een remote file inclusion attack zou naar mijn mening
een van de mogelijkheden kunnen zijn, waarom websites via
een kwaadaardig script zijn overgenomen. Er is één persoon
die melding maakt van een voortdurende aanval op zijn
website en uitgevoerd door Turkse hackers.

Wat is jouw mening hierover?
18-03-2007, 23:27 door Bitwiper
Door Peter V. op zondag 18 maart 2007 19:51
Hallo Erik,

Zou jij eens je licht kunnen schijnen op het volgende artikel?

http://www.dshield.org/diary.html?storyid=2462&dshield=c2a6b4e5830699d4e1317d78e86abd9e

Een remote file inclusion attack zou naar mijn mening een van de mogelijkheden kunnen zijn, waarom websites via een kwaadaardig script zijn overgenomen. Er is één persoon die melding maakt van een voortdurende aanval op zijn website en uitgevoerd door Turkse hackers.

Wat is jouw mening hierover?
Ik had het zelfde artikel hier al gelezen: http://isc.sans.org/diary.html?storyid=2462. Dit ISC/Sans/DShield artikel van Kevin Liston gaat echter over sites die PHP draaien, en juist niet MS IIS zoals hierboven beschreven.

Vorige week schreef ik [url=http://www.security.nl/article/15629/1/Trojaans_paard_verspreid_via_gehackte_webservers.html]hier[/url] over een defacement door een groep die zich Turkish Hackers noemt, het zou me niet verbazen als zij daar [url=http://en.wikipedia.org/wiki/Remote_File_Inclusion]RFI (Remote File Inclusion) technieken[/url] voor gebruiken. Overigens barst het kennelijk van de gewillige prooien voor deze jongens, een dikke week geleden vooral in Nederland (zie [url=http://www.zone-h.org/index.php?option=com_attacks&Itemid=43&filter=1]Zone-H[/url], kies dandikse.org en last month, of Google naar DandikSE.org).

De motieven van dit soort groepen ken ik niet, en ook moet je er altijd rekening mee houden dat het om personen gaat die zich kunnen voordoen als Turkse mensen (om wat voor reden dan ook; de locatie van een IP-adres zegt niets meer tegenwoordig, voor weinig geld kun je overal wel iets huren of zonder betalen 'binnenwandelen'). Ook heb ik geen idee of dit dezelfde groep is die de website van 'Chris' (uit het artikel van Liston) heeft geprobed. Voor zover ik weet plaatst deze groep alleen maar een link naar een onschuldig plaatje, maar tegelijkertijd tonen dit soort groepen wel aan dat heel veel webservers eigenlijk niet aan het Internet horen. Voor serieuze zakkenvullers is het op zulke websites natuurlijk net zo eenvoudig om in plaats van een link naar een gifje, een link naar drive-by-download malware te installeren, zoals op bovenstaande IIS servers het geval was (aanvulling: en deels nog is).
04-07-2007, 18:02 door Anoniem
Toch vreemd dat anti-virus vendors hiervoor blind blijven, toch?!

http://www.siteadvisor.com/sites/smeisp.cn/summary/

DirkVD
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search