RSS
 

Archive for the ‘Malware & Virus’ Category

createCSS farligare än den ser ut

12 Apr

Jag upptäckte för några dagar sen en större malwareattack. Vanliga hemsidor hackas och html-kod som anropar extern javascriptkod läggs in på indexsidorna. Jag har lokaliserat 284 olika sidor som används för visa javascriptkoden, samtliga sidor har antagligen hackats.

http://213.175.200.227/js.php
http://213.175.200.233/js.php
http://4nicetime.com/search.php
http://70.86.154.56/js.php
http://abarquitectos.com.pe/search.php
http://abecasinsight.com/search.php
http://agmorganizasyon.com/search.php
http://aircodeac.com/search.php
http://air-link.ws/js.php
http://akyurtemlak.net/counter.php
http://akyurtemlak.net/js.php
http://albagrafica.com/counter.php
http://alcrealty.com/js.php
http://alomextrusions.com/js.php
http://alom.in/js.php
http://alqreenxp.com/js.php
http://aluminiumcasting.net/js.php
http://anekinox.comlu.com/search.php
http://animeshowtime.com/js.php
http://anvikur.tmweb.ru/js.php
http://anwarulquranonline.com/search.php
http://apicons.com.ar/search.php
http://apolomedicspa.com/search.php
http://arabnursing.org/search.php
http://arrowsoleight.com/search.php
http://art.milleniumstudio.pl/js.php
http://assca.fr/search.php
http://attackmediagroup.com/search.php
http://attakornw.comuv.com/search.php
http://autosjulios.com/js.php
http://babychicny.com/search.php
http://balticaniechorze.pl/search.php
http://batecho.eu/js.php
http://beninmarket.com/search.php
http://bestforexacademy.com/js.php
http://biegajski.pl/js.php
http://billrobinsonmusic.com/search.php
http://blogswho.com/search.php
http://bodyfashionperu.com/search.php
http://bodyhome.co.uk/js.php
http://briancampbell.co.uk/js.php
http://buygiftstoindia.com/search.php
http://bymixproduction.com/counter.php
http://callieandcompany.com/search.php
http://canas-bg.com/js.php
http://carreramaleconcampeche.com/js.php
http://casadown.herobo.com/search.php
http://catcumhuriyetyibo.k12.tr/js.php
http://catmuftulugu.gov.tr/js.php
http://cef.co.pt/js.php
http://cennetpansiyon.com/search.php
http://centurycfs.com/js.php
http://chicharito.pl/js.php
http://chipmaster.pt/counter.php
http://cihanbeylininsesigazetesi.com/search.php
http://cinkfranchise.com/search.php
http://clientzone.saturn.tj/js.php
http://cnslis.com/search.php
http://colincampbell.co.uk/js.php
http://comfortseatings.com/search.php
http://computerscienceandmedia.com/search.php
http://cyber-ink.com/search.php
http://dalyanhaber.com/js.php
http://dalyanhomes.net/js.php
http://dalyanrentacar.com/js.php
http://dalyantr.com/js.php
http://debianne.webd.pl/search.php
http://denturessheffield.co.uk/js.php
http://design-maniacs.com/search.php
http://diehlsorchard.com/search.php
http://dl.rap-melody.com/search.php
http://d-mubd3.com/search.php
http://donnamania.com/search.php
http://dreaklandmt2.com/js.php
http://duygusalforum.net/js.php
http://ecoalarm.org/js.php
http://ecofriendlyartists.com/search.php
http://eglen.biz/counter.php
http://ekudakov.ru/js.php
http://emma-bunton.net/search.php
http://energieressourcen.eu/js.php
http://equine-mortality.com/js.php
http://erenerdogan.com.tr/js.php
http://escortbayanla.com/search.php
http://escort-siteleri.net/search.php
http://estudio-zero.com/search.php
http://evelyncampbell.co.uk/js.php
http://extremoskateparkmovil.com/search.php
http://eynesil28.com/search.php
http://eyupliseliler.com/search.php
http://f-3.com.sg/search.php
http://fashionjolik.com/js.php
http://fatmagulunsucuneizle.in/js.php
http://fethiyecarrental.net/js.php
http://filoilkogretim.com/counter.php
http://forextradingglobal.com/js.php
http://fotosnimka.com/js.php
http://four-directions.org/search.php
http://fragata.com.ar/js.php
http://freestyles.xaa.pl/search.php
http://gamefountain.com/js.php
http://gencer.org/js.php
http://GERIH.ORG/search.php
http://girlsgames.me/js.php
http://godswithguns.site90.com/search.php
http://goldensilkscreening.com/search.php
http://gomezteam.ro/search.php
http://goodandbaddrivers.hostzi.com/search.php
http://gpz1357.pdnetworks.pl/js.php
http://grzenio.webd.pl/js.php
http://hairizate.com/search.php
http://harikatatil.com/search.php
http://haydikampa.com/search.php
http://herkimer.com/search.php
http://herocyn.com/search.php
http://highpoint-asia.com/js.php
http://hkorte.net/search.php
http://hkorte.nl/search.php
http://hospital-noticias.com/search.php
http://hosting0013924.az.pl/js.php
http://hsbilisim.net/search.php
http://ideascampechanas.com/js.php
http://ilanozel.com/search.php
http://immobilien-ml.com/search.php
http://influx-website-promotion.com/search.php
http://internetmarketing-tips.net/js.php
http://introplastik.ru/js.php
http://inversionesminerasartc.com/search.php
http://istanbulkulturdans.com/js.php
http://jkarquitectos.com/search.php
http://Kadiyadra.org/js.php
http://kastamonuhaber37.com/search.php
http://katolik4motion.hostoi.com/search.php
http://katosteelthai.com/search.php
http://keynetikfusion.com/search.php
http://khadijahtulquran.com/search.php
http://ki123web.info/search.php
http://konhaber.com/js.php
http://kumarscars.com/search.php
http://l2agony.site90.net/search.php
http://lafaramizda.com/counter.php
http://letfollow.us/js.php
http://limarbis.webd.pl/search.php
http://linkads.in/js.php
http://livezilla.802-x.com/search.php
http://lowcost-car-insurance.com/search.php
http://maciejweigel.pl/js.php
http://marketingnorg.nl/js.php
http://masozescort.com/counter.php
http://mbld.co.uk/search.php
http://mercancicekevi.com/search.php
http://miechowianka.krakow.pl/js.php
http://mijnbernerbende.nl/js.php
http://miloevents.com/js.php
http://mothabroon.com/search.php
http://mujeres-gratis.com/search.php
http://municipiodecampeche.gob.mx/js.php
http://my-garden.pl/js.php
http://nagalla.com/search.php
http://nass.nanolv.com/counter.php
http://navtrack.eu/js.php
http://neotravel.xaa.pl/search.php
http://neroli.com.pl/counter.php
http://neroli.com.pl/js.php
http://neroli.com.pl/search.php
http://networkfairy.com/search.php
http://newperformance.pt/search.php
http://obuwiewl.webd.pl/search.php
http://oceanpacifico.com/js.php
http://oh-geri.fanfusion.org/search.php
http://ohmysole.com/search.php
http://olayspor.net/search.php
http://omegasystems.eu/counter.php
http://optimistbenin.com/search.php
http://osiolkowo.xpag.pl/search.php
http://paintball35.com/js.php
http://pancampeche.org/js.php
http://passionostra.com/js.php
http://pawelmakowski.pl/js.php
http://perih.milleniumstudio.pl/js.php
http://perubrand.com/search.php
http://pesat11jakarta.co.cc/search.php
http://pharmtechsonly.com/search.php
http://pink2cake.com/js.php
http://pirci.com/counter.php
http://pixelwebware.com/js.php
http://pixelwebware.in/js.php
http://pixin.com/js.php
http://playguitarmusiclessons.com/search.php
http://policysimulator.org/counter.php
http://prosuregroup.com/js.php
http://przejrzystaoswiata.pl/js.php
http://psa.krakow.pl/counter.php
http://psa.krakow.pl/js.php
http://puertociudad.mx/js.php
http://pvp-forum.com/js.php
http://quadrapol.milleniumstudio.pl/js.php
http://radicalcosmetics.com/search.php
http://raswiedza.xaa.pl/search.php
http://rewards-palace.com/search.php
http://riarenterprises.com/search.php
http://rifatozkan.com.tr/search.php
http://ropaultra.uphero.com/search.php
http://rotaryklubpancevo.org/search.php
http://sagitta.cp5.win.pl/js.php
http://saglikalemi.com/js.php
http://salecyprus.com/js.php
http://scresurs.kz/js.php
http://secretsimages.com/js.php
http://sharpwebmarketing.com/search.php
http://shatrappz.com/search.php
http://shopriderphilippines.com/search.php
http://shsilver.com/search.php
http://skoopa.com/js.php
http://skracanie.pl/js.php
http://small-servers.com/js.php
http://soal.comuv.com/search.php
http://soscz.ru/js.php
http://starcevo.org.rs/search.php
http://steljanjazaj.host56.com/search.php
http://studiodada.biz/js.php
http://studiodada.biz/search.php
http://support.802-x.com/search.php
http://tanierodzinnezakupy.vot.pl/counter.php
http://targulbisericesc.eu/search.php
http://tazzandersonenterprises.com/search.php
http://tearapy-thailand.com/search.php
http://tekstlandschap.nl/search.php
http://telecomfoundation.com.pk/search.php
http://telemundial.tv/search.php
http://terkom.pl/search.php
http://testzone.saturn.tj/js.php
http://tinydl9.netau.net/search.php
http://tmeg.info/search.php
http://travelbymile.com/js.php
http://unicornteleservices.com/search.php
http://uniqueclassicvideo.com/search.php
http://up.milleniumstudio.pl/js.php
http://vacha.org.in/js.php
http://watorachacha.com/search.php
http://wmakler.star-kom.pl/js.php
http://woweb.biz/js.php
http://www.3doi.com/js.php
http://www.3doq.com/js.php
http://www.acnenomorev.info/js.php
http://www.adamsforwarding.com/js.php
http://www.advertisewithventure.com/js.php
http://www.agen-gamat.com/counter.php
http://www.agmorganizasyon.com/js.php
http://www.andhraruchi.com/search.php
http://www.ankarahavalari.net/counter.php
http://www.ankarahavalari.net/js.php
http://www.avv-roermond.nl/counter.php
http://www.bbwonlinedating.info/js.php
http://www.bestfullgames.com/js.php
http://www.bm69.com/js.php
http://www.broilmastergrills.org/js.php
http://www.butterflyfashion.eu/js.php
http://www.charliesheennews.info/js.php
http://www.floridagas.net/js.php
http://www.forextradingglobal.com/js.php
http://www.freemuslimpartner.com/search.php
http://www.gazetevan.com/js.php
http://www.gemininirman.com/js.php
http://www.geranges.info/js.php
http://www.immobilien-ml.com/search.php
http://www.internetmarketing-tips.net/js.php
http://www.mediapembelajaranonline.web.id/js.php
http://www.m-norte.net/js.php
http://www.mortgagecapped.com/js.php
http://www.myspice.ro/js.php
http://www.obatalami-2u.com/search.php
http://www.optikazoom.si/search.php
http://www.pfmfastdl.ptclans.info/js.php
http://www.protegeanalytics.com/search.php
http://www.ruyacafe.net/js.php
http://www.saglikalemi.com/js.php
http://www.therioclub.com/search.php
http://www.vallesmanteniments.com/js.php
http://www.vallesmanteniments.com/search.php
http://www.zintec.be/js.php
http://yalecontrols.com/search.php
http://zarabianiewnecie24.com.pl/js.php
http://zlinki.com/search.php

Javascriptet som anropas ser till en början oskyldig ut, namnet på funktionen är createCSS och scriptet kontrollerar user agent och kör en datumfunktion. Jag har inte gått genom de exakta funktionerna i scriptet men en trolig gissning är att user agenten kontrolleras för att se att det är en riktig webbläsare som körs och att även datumfunktionen kontrollerar detta.

Men efter dessa kommando blir scriptet mer uppenbart. Jag har lagt till radbrytningen för tydlighetens skull och bara tagit med början av den krypterade delen av scriptet.

Resultatet av javascriptkoden är att den via iframe anropar en ny sida. De 284 sidor jag hittat anropar någon av:

http://offers.daddycrafts.com/news/2010
http://builder.rockstargraphicdesign.com/news/2010
http://top.threejonline.com/news/last

Just nu lyckas jag dock endast få dessa sidor att ge 404-fel eller skicka vidare till Google. Men man kan se att något inte är som det ska vara. Testar jag att hämta http://offers.daddycrafts.com/news/2010 med wget rapporteras det att webbservern är lighthttpd.

Går jag in på sidan med Firefox får jag däremot felmeddelande som anger att det är webbservern nginx som körs.

 

Photoshop of you, check it out

03 Apr

Idag dök denna chat upp på Facebook, en vän skrev ”hey, i just made a photoshop of you, check it out :P: bit.ly/ihB3Cl”.

Bit.ly publicerar statistik för varje länk och man kan se att länken aktiverades för ungefär en timme sedan och sedan dess haft ungefär tusen besökare per minut.

Klickar man på länken skickas man vidare till Facebook-applikationen bandupl.co.cc som förutom generell information även vill ha tillgång till ens chat.

Har det inte dykt upp några varningsklockor tidigare kan man börja fundera på varför applikationen själv vill chatta med ens kompisar. Godkänner man applikationen skickas man vidare till en sida som ger följande meddelande.

Att testa om man är en människa genom att skicka ut pennset är onekligen en intressant tanke, men främsta syftet med denna ”Security check” är att skaparen av applikationen får betalt för att skicka besökare till olika sidor.

Är man inte intresserad av undersökningar och tävlingar kan man dock läsa källkoden för att direkt hitta resultatet.

Man skickas alltså till http://www.graphicdesignblog.org/strange-funny-photoshop-manipulations/ och bilden som visas är denna. Men oavsett om du väljer att genomföra någon undersökning eller inte har alla dina vänner redan fått en chat från dig där du tipsar om sidan.

 

Hbgary – Rootkits en lönsam affär

22 Feb

När säkerhetsföretaget Hbgary hackades användes flera olika metoder för att nå målet. På hemsidan fanns ett script som Hbgary själv inte skapat och som var sårbart för SQL-injections. Detta säkerhetshål användes för att lägga in kod som kom åt lösenordshashar för de konto som användes för att uppdatera hemsidan. Men en bruteforceattack kunde man genom hasharna få tag på flera anställdas lösenord. Det visade sig att dessa lösenord även användes för Linkedin, Twitter och mailkonton.

Med tillgången till mailkonton kunde man gå vidare till nästa metod, social engineering.

Ett mail från rätt adress och till rätt person räckte för att få brandväggen deaktiverad och dessutom få lösenordet till servern för rootkit.com som administreras av Hbgarys ägare Greg Hoglund.

Bakgrunden till attacken är att Hbgary sagt att de samlat information om Anonymous  och skulle offentligöra information om personer högt upp i organisationen. Efter hackerattacken och vandalisering gav Hbgary upp och ställde in.

Hbgary grundades av Greg Hoglund 2003 och säljer säkerhetstjänster till amerikanska företag och myndigheter. En tidigare nyckelperson i företaget är Jamie Bulger som inte bara arbetat på Hbgary utan också hjälpt till med rootkit.com och skrivit en bok tillsammans med Greg Hoglund. Boken handlade om rootkits. Jamie Bulger har dessutom själv skapat och spridit rootkits som FU rootkit. Ett av Hbgarys huvudområden är program för att stoppa just rootkits. Samma gäller för Komoku, där Jamie Bulger nu arbetar.

Att utveckla, aktivt sprida för att sedan stoppa rootkits kan vara en riktigt lönsam affärsidé. Man behöver inte heller vara orolig för att andra företag vägrar samarbeta med personer som utvecklat och spridit rootkits, Hbgary samarbetar med McAfee och Komoku har blivit uppköpta av Microsoft.

 

Botnätet Waledac nertaget

03 Feb

Botnätet Waledac som används för att skicka spam har stött på nya motgångar. Microsoft, Symantec, Shadowserver och flera universitet har gått samman för att ta ner C&C-servrarna som botnätet använder. Förutom tekniska åtgärder har Microsoft lämnat in stämningsansökan för att få 273 domännamn avstängda. Statistik från Sudosecure visar att åtgärderna haft effekt.

Detta är inte första gången Microsoft använder juridik för att få bort Waledec, i september 2010 fick de genom domstolsbeslut 276 domännamn avstängda. Säkerhetsforskare har också kommit över en del av Waledacs data och hittade då inloggningsuppgifter till 123 920 hackade FTP-konto och 489 528 hackade mailkonton. Ytterligare läsning om Waledac finns i en 67-sidig rapport från TrendMicro.

 

Ny mask på Twitter

20 Jan

En ny mask sprider sig just nu på Twitter. Tidigare använde den goo.gl-adresser för att skicka vidare till filnamnet m28sx.html på olika domäner.

Klickar man på en länk får man upp en varningsruta och när man klickar på OK ser datorn ut att göra en sökning efter virus. Det är dock det falska antivirusprogrammet Security Shield som försöker installeras.

 

Bohu, trojan anpassad för molnet

20 Jan

Antivirus i molnet har på senare år blivit riktigt populärt. Förutom att använda buzz-wordet ”molnet” ska fördelarna vara att det går snabbare att analysera nya filer och blir effektivare då många datorer delar med sig av information om filer. Signaturfiler har blivit mer omodernt då de hela tiden måste uppdateras och många virus förändras för att inte ha någon generell signatur.

Nu kommer den första trojanen speciellt anpassad för att stå emot antivirus i molnet. Det är Bohu, som har sitt ursprung i Kina och vid installation direkt blockerar anslutningar till molntjänster som kinesiska antivirusföretag, bland annat Kingsoft, Rising och Qihoo använder.

För att undvika antivirusprogram som använder hash-summor för att upptäcka kända virus lägger trojanen också in slumpad data i slutet av filen.

 

USA och Israel bakom Stuxnet?

18 Jan

Det har spekulerats mycket om vilket land som står bakom viruset Stuxnet. Några av de länder som diskuterats är USA (september 2010), Israel (oktober 2010), Ryssland (november 2010) och Kina (december 2010).

Ny månad, nya spekulationer. Idag berättar IDG att New York Times kommit fram till att det är USA och Israel som gemensamt tagit fram viruset. Inte heller denna gång visas några fasta bevis utan bygger artikeln på anonyma källor och indicier. En av de få kontrollerbara faktumen är att Siemens och Idaho Labs (som i sin tur samarbetade med Department of Homeland Security) tillsammans undersökte säkerhetshål i Siemens-maskiner vilket resulterade i en PowerPoint-presentation. Spekulationerna lär fortsätta även nästa månad.

 

Servage hackat för search result hijacking

07 Jan

Search result hijacking kan närmast översättas till sökresultatskapning och innebär att när man klickar på en länk i till exempel Googles sökresultat kommer man inte till den valda sidan utan skickas vidare till en helt annan adress. Det kan vara en adress som försöker sälja Viagra, falska antivirusprogram eller som försöker installera virus på ens dator. Eftersom man endast skickas vidare om man kommer via en sökresultatsida och inte när man anger adressen till sajten manuellt kan det ta tid för ägaren av sajten att upptäcka att något är fel.

Oftast beror kapningen på att ett konto hackats och att en .htaccessfil lagts upp med kommando för att skicka besökare vidare.

De första fem raderna anger att om ett felmeddelande, till exempel för 404 för att angivna adressen inte existerar, ska visas så  ska servern skicka vidare besökaren till http://virtuta.ru/router/index.php. Raderna 6-11 anger att om referer (den sida besökaren senast kom från) innehåller google, ask, yahoo, linkedin eller flickr ska besökaren skickas vidare till adressen angiven på rad 12, http://virtuta.ru/router/index.php. Denna adressen skickar i sin tur vidare till http://villusoftreit.ru/in.cgi?3 som jag inte undersökt närmare men av adressen att döma gissar jag på att den försöker installera malware på besökarens dator.

Den senaste veckan har jag gått genom ett stort antal se-domäner för att se om de är drabbade av search result hijacking. Testet är väldigt enkelt. Jag hämtar sajtens förstasida två gånger, en gång där jag inte anger någon referer och en gång där jag anger google.com som referer. Sedan jämfört jag resultaten. För att snabba upp det hela kör jag kommandot HEAD istället för GET för att hämta sidan. HEAD innebär att servern ska göra exakt som vid en vanlig request, men låta bli att skicka ut själva sidan. Den informationen jag behöver finns i headerinformationen.

I bilden ovan hämtas förstasidan på www.afoco.se. Svaret från servern innehåller ”200 OK” vilket innebär att jag inte fick något felmeddelande och inte heller skickas vidare till någon annan adress. När jag anger http://www.google.com/?q=www.afoco.se som referer blir resultatet annorlunda.

Här får jag istället ”301 Moved Permantently” vilket betyder att adressen jag försöker nå inte är tillgänglig, istället ombeds jag istället hämta sidan som anges vid ”Location:”, i detta fall http://chimeboom.ru/in.cgi?17. Hade jag gjort besöket med en webbläsare hade jag automatiskt skickats vidare.

Av de se-domäner jag undersökte pekade www.domänen.se till ett IP-nummer i 629 817 fall. Av dessa var 149 (0,23 promille) domäner drabbade av search result hijacking. De webbhotell som hade flest kapade domäner är också de som har flest domännamn, One.com, Loopia och Binero.

Men ett företag stack ut från mängden, Servage.

För Servage hittades 30 domäner fördelade på två olika IP-nummer, 77.232.90.107 och 77.232.91.8. Ännu märkligare var att dessa 30 domäner skickade vidare till endast två olika adresser, http://chimeboom.ru/in.cgi?17 och http://zxsoftpromo.ru/in.cgi?5. Jag började undersöka domäner som inte är se-domäner och låg på samma servrar och fick mina misstankar bekräftade. Samtliga domännamn på dessa två IP-nummer är drabbade av search result hijacking. För andra webbhotell är det enskilda kunder som hackats men i det här fallet är det sannolikt att själva servrarna hos Servage hackats. Jag kontaktade Servages abuse omedelbart men har efter ett dygn ännu inte fått svar och problemet kvarstår.

De se-domäner som är drabbade är:
afoco.se
agenteyes.se
chokladgrottan.se
coach4me.se
crystaltrading.se
garnexpo.se
hallsbergstvatt.se
hemsidaprogram.se
ifkstockaryd.se
kommunikationskonst.se
lakritsgrottan.se
lovecyprus.se
martinaskowronska.se
mfwilma.se
mobil-shop.se
monashemochkok.se
negumbolew.se
peaceuniversity.se
perfectshop.se
pizzapicasso.se
ppbox.se
purecase.se
smallshoes.se
sykarsbrunn.se
tendera.se
twinani.se
vasbysmuscout.se
webbeditors.se
webeditors.se
wpthemes.se

Uppdatering 8 januari: Det har nu gått två dygn sen jag kontaktade Servage. På 77.232.91.8 har nu 9 av 14 sajter åtgärdats. För 77.232.90.107 är det värre, samtliga 16 är fortfarande hackade. För 6 sajter har hackers sedan igår uppdaterat så att man numera skickas till zippmonstersoft.ru.

 

Säkerhetshål i Phoenix Exploit Kit 2.3

04 Jan

Phoenix Exploit Kit är ett script som används för att enkelt smitta datorer med malware. Det består dels av filer som attackerar kända säkerhetshål i webbläsare, Adobe Flash och Adobe reader, dels av en kontrollpanel där man enkelt kan ladda upp den fil man vill ska installeras på attackerade datorer och se statistik över attacken.

Ironiskt nog innehåller denna kontrollpanel ett säkerhetshål som rapporterades 2 januari. Säkerhetshålet gör att man kan logga in utan att känna till lösenordet förutsatt att serverns har register_globals aktiverat. Php-koden som hanterar inloggningen ser ut så här:

I rad 9 och 10 kontrolleras dels om något är fel med lösenordet (pw), dels om något är fel med användarnamnet (login). Sistnämnda är intressant, då man på kontrollpanelens inloggningssida endast fyller i lösenord. För att inloggningen ska misslyckas måste både lösenord och användarnamn vara felaktigt.

Variabeln $ADMINLN som kontrolleras på rad 10 sätts aldrig. Det spelar ingen roll för funktionaliteten eftersom en misslyckad inloggning kräver att både lösenordet och användarnamnet är fel. Däremot kan man sätta $ADMINLN, enklast genom att ange det i adressfältet, förutsatt att register_globals är aktiverat. På rad  21 sätts sessioncookie med namnet ‘login’ oavsett om inloggningen lyckats eller inte, rad 22 gör att sidan laddas om och först då kontrolleras att inloggningen är korrekt, via rad 9 och 10.

Vi har alltså möjlighet att kontrollera värdena i både sessioncookien ‘login’ och variabeln $ADMINLN. Eftersom kontrollen på rad 9 och 10 godkänner inloggning om inte både lösenord och användarnamn är fel kan vi nu logga in utan att veta lösenordet, eftersom vi har full kontroll över användarnamnet.

Enklast är att visa med hjälp av ett php-script.

<?php
$ch = curl_init();

curl_setopt($ch, CURLOPT_COOKIEJAR, ”cookie.txt”);
curl_setopt($ch, CURLOPT_URL, ”http://example.org/phoenix/statistics.php”);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, ‘login=’);
curl_exec($ch);

curl_setopt($ch, CURLOPT_URL, ”http://example.org/phoenix/statistics.php?ADMINLN=da39a3ee5e6b4b0d3255bfef95601890afd80709”);
curl_setopt($ch, CURLOPT_POST, 0);
curl_exec($ch);

curl_close($ch);
?>

I den första curl-requesten postar vi ett formulär till inloggningssidan, i detta fall http://example.org/phoenix/statistics.php. Enda fältet i det postade formuläret är login som lämnas tomt. Sessioncookien ‘login’ kommer nu att sättas med värdet av sha1-hash av en tom sträng. I nästa curl-request hämtar vi sidan igen och denna gången kommer $ADMINLN att sättas via adressen. Den sätts till värdet av sha1-hash av en tom sträng. När inloggningen kontrolleras kommer vi att uppfylla både kravet att sessioncookien ‘login’ är satt och att den har samma värde som variabeln $ADMINLN. Php-scriptet kommer att returnera sen html-kod som visas efter en lyckad inloggning.

 

Gott nytt säkert år!

31 Dec

Vid midnatt kommer fyrverkeri explodera, champagne drickas och malwarescript på 8000000.in sluta fungera. 8000000.in registrerades 12 december och har infekterat minst 70 domäner. Malwarescriptet som körs innehåller denna javascriptkod.

Mh använder på rad 32 javascripts datumobjekt medan variabeln vipt är (och förblir) tom. På rad 34 hämtas årtalet med mh.getFullYear() från vilken 1 subtraheras. Fram till och med midnatt 31 december 2010 får man alltså 2009. Eftersom varibeln vipt är tom sätts variabeln gg till ”e2009al”.

Nästa steg är att i variabeln gg byta ut 2009 mot bokstaven v, och vi får ”eval”, okil är nu en funktion som kör eval(). Detta är ett javascriptkommando som exekverar data som javascriptkod. På rad 36 körs kommandot för strängen ”var kfxb=String.fromCharcode”, vilket sätter en ny variabel. Denna variabel används längre fram för att dekryptera och skriva ut ytterligare javascriptkod.

År 2011 kommer variabeln gg istället att sättas till ”e2010al” och kommer inte att ändras till ”eval”. Javascriptet kommer inte att kunna köra vidare eftersom den försöker använda ett kommando som inte existerar.

Denna post är inspirerad av en post hos Websense.