RSS
 

Posts Tagged ‘virus’

createCSS farligare än den ser ut

12 Apr

Jag upptäckte för några dagar sen en större malwareattack. Vanliga hemsidor hackas och html-kod som anropar extern javascriptkod läggs in på indexsidorna. Jag har lokaliserat 284 olika sidor som används för visa javascriptkoden, samtliga sidor har antagligen hackats.

http://213.175.200.227/js.php
http://213.175.200.233/js.php
http://4nicetime.com/search.php
http://70.86.154.56/js.php
http://abarquitectos.com.pe/search.php
http://abecasinsight.com/search.php
http://agmorganizasyon.com/search.php
http://aircodeac.com/search.php
http://air-link.ws/js.php
http://akyurtemlak.net/counter.php
http://akyurtemlak.net/js.php
http://albagrafica.com/counter.php
http://alcrealty.com/js.php
http://alomextrusions.com/js.php
http://alom.in/js.php
http://alqreenxp.com/js.php
http://aluminiumcasting.net/js.php
http://anekinox.comlu.com/search.php
http://animeshowtime.com/js.php
http://anvikur.tmweb.ru/js.php
http://anwarulquranonline.com/search.php
http://apicons.com.ar/search.php
http://apolomedicspa.com/search.php
http://arabnursing.org/search.php
http://arrowsoleight.com/search.php
http://art.milleniumstudio.pl/js.php
http://assca.fr/search.php
http://attackmediagroup.com/search.php
http://attakornw.comuv.com/search.php
http://autosjulios.com/js.php
http://babychicny.com/search.php
http://balticaniechorze.pl/search.php
http://batecho.eu/js.php
http://beninmarket.com/search.php
http://bestforexacademy.com/js.php
http://biegajski.pl/js.php
http://billrobinsonmusic.com/search.php
http://blogswho.com/search.php
http://bodyfashionperu.com/search.php
http://bodyhome.co.uk/js.php
http://briancampbell.co.uk/js.php
http://buygiftstoindia.com/search.php
http://bymixproduction.com/counter.php
http://callieandcompany.com/search.php
http://canas-bg.com/js.php
http://carreramaleconcampeche.com/js.php
http://casadown.herobo.com/search.php
http://catcumhuriyetyibo.k12.tr/js.php
http://catmuftulugu.gov.tr/js.php
http://cef.co.pt/js.php
http://cennetpansiyon.com/search.php
http://centurycfs.com/js.php
http://chicharito.pl/js.php
http://chipmaster.pt/counter.php
http://cihanbeylininsesigazetesi.com/search.php
http://cinkfranchise.com/search.php
http://clientzone.saturn.tj/js.php
http://cnslis.com/search.php
http://colincampbell.co.uk/js.php
http://comfortseatings.com/search.php
http://computerscienceandmedia.com/search.php
http://cyber-ink.com/search.php
http://dalyanhaber.com/js.php
http://dalyanhomes.net/js.php
http://dalyanrentacar.com/js.php
http://dalyantr.com/js.php
http://debianne.webd.pl/search.php
http://denturessheffield.co.uk/js.php
http://design-maniacs.com/search.php
http://diehlsorchard.com/search.php
http://dl.rap-melody.com/search.php
http://d-mubd3.com/search.php
http://donnamania.com/search.php
http://dreaklandmt2.com/js.php
http://duygusalforum.net/js.php
http://ecoalarm.org/js.php
http://ecofriendlyartists.com/search.php
http://eglen.biz/counter.php
http://ekudakov.ru/js.php
http://emma-bunton.net/search.php
http://energieressourcen.eu/js.php
http://equine-mortality.com/js.php
http://erenerdogan.com.tr/js.php
http://escortbayanla.com/search.php
http://escort-siteleri.net/search.php
http://estudio-zero.com/search.php
http://evelyncampbell.co.uk/js.php
http://extremoskateparkmovil.com/search.php
http://eynesil28.com/search.php
http://eyupliseliler.com/search.php
http://f-3.com.sg/search.php
http://fashionjolik.com/js.php
http://fatmagulunsucuneizle.in/js.php
http://fethiyecarrental.net/js.php
http://filoilkogretim.com/counter.php
http://forextradingglobal.com/js.php
http://fotosnimka.com/js.php
http://four-directions.org/search.php
http://fragata.com.ar/js.php
http://freestyles.xaa.pl/search.php
http://gamefountain.com/js.php
http://gencer.org/js.php
http://GERIH.ORG/search.php
http://girlsgames.me/js.php
http://godswithguns.site90.com/search.php
http://goldensilkscreening.com/search.php
http://gomezteam.ro/search.php
http://goodandbaddrivers.hostzi.com/search.php
http://gpz1357.pdnetworks.pl/js.php
http://grzenio.webd.pl/js.php
http://hairizate.com/search.php
http://harikatatil.com/search.php
http://haydikampa.com/search.php
http://herkimer.com/search.php
http://herocyn.com/search.php
http://highpoint-asia.com/js.php
http://hkorte.net/search.php
http://hkorte.nl/search.php
http://hospital-noticias.com/search.php
http://hosting0013924.az.pl/js.php
http://hsbilisim.net/search.php
http://ideascampechanas.com/js.php
http://ilanozel.com/search.php
http://immobilien-ml.com/search.php
http://influx-website-promotion.com/search.php
http://internetmarketing-tips.net/js.php
http://introplastik.ru/js.php
http://inversionesminerasartc.com/search.php
http://istanbulkulturdans.com/js.php
http://jkarquitectos.com/search.php
http://Kadiyadra.org/js.php
http://kastamonuhaber37.com/search.php
http://katolik4motion.hostoi.com/search.php
http://katosteelthai.com/search.php
http://keynetikfusion.com/search.php
http://khadijahtulquran.com/search.php
http://ki123web.info/search.php
http://konhaber.com/js.php
http://kumarscars.com/search.php
http://l2agony.site90.net/search.php
http://lafaramizda.com/counter.php
http://letfollow.us/js.php
http://limarbis.webd.pl/search.php
http://linkads.in/js.php
http://livezilla.802-x.com/search.php
http://lowcost-car-insurance.com/search.php
http://maciejweigel.pl/js.php
http://marketingnorg.nl/js.php
http://masozescort.com/counter.php
http://mbld.co.uk/search.php
http://mercancicekevi.com/search.php
http://miechowianka.krakow.pl/js.php
http://mijnbernerbende.nl/js.php
http://miloevents.com/js.php
http://mothabroon.com/search.php
http://mujeres-gratis.com/search.php
http://municipiodecampeche.gob.mx/js.php
http://my-garden.pl/js.php
http://nagalla.com/search.php
http://nass.nanolv.com/counter.php
http://navtrack.eu/js.php
http://neotravel.xaa.pl/search.php
http://neroli.com.pl/counter.php
http://neroli.com.pl/js.php
http://neroli.com.pl/search.php
http://networkfairy.com/search.php
http://newperformance.pt/search.php
http://obuwiewl.webd.pl/search.php
http://oceanpacifico.com/js.php
http://oh-geri.fanfusion.org/search.php
http://ohmysole.com/search.php
http://olayspor.net/search.php
http://omegasystems.eu/counter.php
http://optimistbenin.com/search.php
http://osiolkowo.xpag.pl/search.php
http://paintball35.com/js.php
http://pancampeche.org/js.php
http://passionostra.com/js.php
http://pawelmakowski.pl/js.php
http://perih.milleniumstudio.pl/js.php
http://perubrand.com/search.php
http://pesat11jakarta.co.cc/search.php
http://pharmtechsonly.com/search.php
http://pink2cake.com/js.php
http://pirci.com/counter.php
http://pixelwebware.com/js.php
http://pixelwebware.in/js.php
http://pixin.com/js.php
http://playguitarmusiclessons.com/search.php
http://policysimulator.org/counter.php
http://prosuregroup.com/js.php
http://przejrzystaoswiata.pl/js.php
http://psa.krakow.pl/counter.php
http://psa.krakow.pl/js.php
http://puertociudad.mx/js.php
http://pvp-forum.com/js.php
http://quadrapol.milleniumstudio.pl/js.php
http://radicalcosmetics.com/search.php
http://raswiedza.xaa.pl/search.php
http://rewards-palace.com/search.php
http://riarenterprises.com/search.php
http://rifatozkan.com.tr/search.php
http://ropaultra.uphero.com/search.php
http://rotaryklubpancevo.org/search.php
http://sagitta.cp5.win.pl/js.php
http://saglikalemi.com/js.php
http://salecyprus.com/js.php
http://scresurs.kz/js.php
http://secretsimages.com/js.php
http://sharpwebmarketing.com/search.php
http://shatrappz.com/search.php
http://shopriderphilippines.com/search.php
http://shsilver.com/search.php
http://skoopa.com/js.php
http://skracanie.pl/js.php
http://small-servers.com/js.php
http://soal.comuv.com/search.php
http://soscz.ru/js.php
http://starcevo.org.rs/search.php
http://steljanjazaj.host56.com/search.php
http://studiodada.biz/js.php
http://studiodada.biz/search.php
http://support.802-x.com/search.php
http://tanierodzinnezakupy.vot.pl/counter.php
http://targulbisericesc.eu/search.php
http://tazzandersonenterprises.com/search.php
http://tearapy-thailand.com/search.php
http://tekstlandschap.nl/search.php
http://telecomfoundation.com.pk/search.php
http://telemundial.tv/search.php
http://terkom.pl/search.php
http://testzone.saturn.tj/js.php
http://tinydl9.netau.net/search.php
http://tmeg.info/search.php
http://travelbymile.com/js.php
http://unicornteleservices.com/search.php
http://uniqueclassicvideo.com/search.php
http://up.milleniumstudio.pl/js.php
http://vacha.org.in/js.php
http://watorachacha.com/search.php
http://wmakler.star-kom.pl/js.php
http://woweb.biz/js.php
http://www.3doi.com/js.php
http://www.3doq.com/js.php
http://www.acnenomorev.info/js.php
http://www.adamsforwarding.com/js.php
http://www.advertisewithventure.com/js.php
http://www.agen-gamat.com/counter.php
http://www.agmorganizasyon.com/js.php
http://www.andhraruchi.com/search.php
http://www.ankarahavalari.net/counter.php
http://www.ankarahavalari.net/js.php
http://www.avv-roermond.nl/counter.php
http://www.bbwonlinedating.info/js.php
http://www.bestfullgames.com/js.php
http://www.bm69.com/js.php
http://www.broilmastergrills.org/js.php
http://www.butterflyfashion.eu/js.php
http://www.charliesheennews.info/js.php
http://www.floridagas.net/js.php
http://www.forextradingglobal.com/js.php
http://www.freemuslimpartner.com/search.php
http://www.gazetevan.com/js.php
http://www.gemininirman.com/js.php
http://www.geranges.info/js.php
http://www.immobilien-ml.com/search.php
http://www.internetmarketing-tips.net/js.php
http://www.mediapembelajaranonline.web.id/js.php
http://www.m-norte.net/js.php
http://www.mortgagecapped.com/js.php
http://www.myspice.ro/js.php
http://www.obatalami-2u.com/search.php
http://www.optikazoom.si/search.php
http://www.pfmfastdl.ptclans.info/js.php
http://www.protegeanalytics.com/search.php
http://www.ruyacafe.net/js.php
http://www.saglikalemi.com/js.php
http://www.therioclub.com/search.php
http://www.vallesmanteniments.com/js.php
http://www.vallesmanteniments.com/search.php
http://www.zintec.be/js.php
http://yalecontrols.com/search.php
http://zarabianiewnecie24.com.pl/js.php
http://zlinki.com/search.php

Javascriptet som anropas ser till en början oskyldig ut, namnet på funktionen är createCSS och scriptet kontrollerar user agent och kör en datumfunktion. Jag har inte gått genom de exakta funktionerna i scriptet men en trolig gissning är att user agenten kontrolleras för att se att det är en riktig webbläsare som körs och att även datumfunktionen kontrollerar detta.

Men efter dessa kommando blir scriptet mer uppenbart. Jag har lagt till radbrytningen för tydlighetens skull och bara tagit med början av den krypterade delen av scriptet.

Resultatet av javascriptkoden är att den via iframe anropar en ny sida. De 284 sidor jag hittat anropar någon av:

http://offers.daddycrafts.com/news/2010
http://builder.rockstargraphicdesign.com/news/2010
http://top.threejonline.com/news/last

Just nu lyckas jag dock endast få dessa sidor att ge 404-fel eller skicka vidare till Google. Men man kan se att något inte är som det ska vara. Testar jag att hämta http://offers.daddycrafts.com/news/2010 med wget rapporteras det att webbservern är lighthttpd.

Går jag in på sidan med Firefox får jag däremot felmeddelande som anger att det är webbservern nginx som körs.

 

G20 mål för attacker mot Frankrike

08 Mar

Det är inte bara den franska regeringen som haft problem med dataintrång på sistone. Även Kanada har drabbats på liknande sätt. I Frankrike har fokus för intrånget varit dokument rörande G20, som Kanada hade ordförandeskapet för 2010 tills Frankrike tog över, och man misstänker därför att attackerna hänger samman.

Information om hur attacken mot Frankrike gått till är väldigt knapphändig men för Kanada finns mer information. Enligt CBC News användes två angreppsmetoder. Mail som såg ut att komma från personer med chefsposition skickades till tekniker och i mailen bad man om hjälp med lösenord. Samtidigt skickade man mail till anställda, mail med bilagor som innehöll virus. Enligt uppgifter om den franska attacken användes även där mail med bilagor, dessutom spred sig viruset vidare automatiskt. I båda fallen har data skickats till servrar i Kina.

Även om det är möjligt att de kinesiska servrarna bara är ett mellanled misstänker de flesta att det är Kina som står bakom attacken. Det är inte första gången Kina anklagas för attacker mot utländska myndigheter och företag. Operation Ghostnet som upptäcktes mars 2009 och operation Aurora som satte igång några månader senare anses båda härstamma från Kina.

 
 

Botnätet Waledac nertaget

03 Feb

Botnätet Waledac som används för att skicka spam har stött på nya motgångar. Microsoft, Symantec, Shadowserver och flera universitet har gått samman för att ta ner C&C-servrarna som botnätet använder. Förutom tekniska åtgärder har Microsoft lämnat in stämningsansökan för att få 273 domännamn avstängda. Statistik från Sudosecure visar att åtgärderna haft effekt.

Detta är inte första gången Microsoft använder juridik för att få bort Waledec, i september 2010 fick de genom domstolsbeslut 276 domännamn avstängda. Säkerhetsforskare har också kommit över en del av Waledacs data och hittade då inloggningsuppgifter till 123 920 hackade FTP-konto och 489 528 hackade mailkonton. Ytterligare läsning om Waledac finns i en 67-sidig rapport från TrendMicro.

 

Bohu, trojan anpassad för molnet

20 Jan

Antivirus i molnet har på senare år blivit riktigt populärt. Förutom att använda buzz-wordet ”molnet” ska fördelarna vara att det går snabbare att analysera nya filer och blir effektivare då många datorer delar med sig av information om filer. Signaturfiler har blivit mer omodernt då de hela tiden måste uppdateras och många virus förändras för att inte ha någon generell signatur.

Nu kommer den första trojanen speciellt anpassad för att stå emot antivirus i molnet. Det är Bohu, som har sitt ursprung i Kina och vid installation direkt blockerar anslutningar till molntjänster som kinesiska antivirusföretag, bland annat Kingsoft, Rising och Qihoo använder.

För att undvika antivirusprogram som använder hash-summor för att upptäcka kända virus lägger trojanen också in slumpad data i slutet av filen.

 

USA och Israel bakom Stuxnet?

18 Jan

Det har spekulerats mycket om vilket land som står bakom viruset Stuxnet. Några av de länder som diskuterats är USA (september 2010), Israel (oktober 2010), Ryssland (november 2010) och Kina (december 2010).

Ny månad, nya spekulationer. Idag berättar IDG att New York Times kommit fram till att det är USA och Israel som gemensamt tagit fram viruset. Inte heller denna gång visas några fasta bevis utan bygger artikeln på anonyma källor och indicier. En av de få kontrollerbara faktumen är att Siemens och Idaho Labs (som i sin tur samarbetade med Department of Homeland Security) tillsammans undersökte säkerhetshål i Siemens-maskiner vilket resulterade i en PowerPoint-presentation. Spekulationerna lär fortsätta även nästa månad.

 

Servage hackat för search result hijacking

07 Jan

Search result hijacking kan närmast översättas till sökresultatskapning och innebär att när man klickar på en länk i till exempel Googles sökresultat kommer man inte till den valda sidan utan skickas vidare till en helt annan adress. Det kan vara en adress som försöker sälja Viagra, falska antivirusprogram eller som försöker installera virus på ens dator. Eftersom man endast skickas vidare om man kommer via en sökresultatsida och inte när man anger adressen till sajten manuellt kan det ta tid för ägaren av sajten att upptäcka att något är fel.

Oftast beror kapningen på att ett konto hackats och att en .htaccessfil lagts upp med kommando för att skicka besökare vidare.

De första fem raderna anger att om ett felmeddelande, till exempel för 404 för att angivna adressen inte existerar, ska visas så  ska servern skicka vidare besökaren till http://virtuta.ru/router/index.php. Raderna 6-11 anger att om referer (den sida besökaren senast kom från) innehåller google, ask, yahoo, linkedin eller flickr ska besökaren skickas vidare till adressen angiven på rad 12, http://virtuta.ru/router/index.php. Denna adressen skickar i sin tur vidare till http://villusoftreit.ru/in.cgi?3 som jag inte undersökt närmare men av adressen att döma gissar jag på att den försöker installera malware på besökarens dator.

Den senaste veckan har jag gått genom ett stort antal se-domäner för att se om de är drabbade av search result hijacking. Testet är väldigt enkelt. Jag hämtar sajtens förstasida två gånger, en gång där jag inte anger någon referer och en gång där jag anger google.com som referer. Sedan jämfört jag resultaten. För att snabba upp det hela kör jag kommandot HEAD istället för GET för att hämta sidan. HEAD innebär att servern ska göra exakt som vid en vanlig request, men låta bli att skicka ut själva sidan. Den informationen jag behöver finns i headerinformationen.

I bilden ovan hämtas förstasidan på www.afoco.se. Svaret från servern innehåller ”200 OK” vilket innebär att jag inte fick något felmeddelande och inte heller skickas vidare till någon annan adress. När jag anger http://www.google.com/?q=www.afoco.se som referer blir resultatet annorlunda.

Här får jag istället ”301 Moved Permantently” vilket betyder att adressen jag försöker nå inte är tillgänglig, istället ombeds jag istället hämta sidan som anges vid ”Location:”, i detta fall http://chimeboom.ru/in.cgi?17. Hade jag gjort besöket med en webbläsare hade jag automatiskt skickats vidare.

Av de se-domäner jag undersökte pekade www.domänen.se till ett IP-nummer i 629 817 fall. Av dessa var 149 (0,23 promille) domäner drabbade av search result hijacking. De webbhotell som hade flest kapade domäner är också de som har flest domännamn, One.com, Loopia och Binero.

Men ett företag stack ut från mängden, Servage.

För Servage hittades 30 domäner fördelade på två olika IP-nummer, 77.232.90.107 och 77.232.91.8. Ännu märkligare var att dessa 30 domäner skickade vidare till endast två olika adresser, http://chimeboom.ru/in.cgi?17 och http://zxsoftpromo.ru/in.cgi?5. Jag började undersöka domäner som inte är se-domäner och låg på samma servrar och fick mina misstankar bekräftade. Samtliga domännamn på dessa två IP-nummer är drabbade av search result hijacking. För andra webbhotell är det enskilda kunder som hackats men i det här fallet är det sannolikt att själva servrarna hos Servage hackats. Jag kontaktade Servages abuse omedelbart men har efter ett dygn ännu inte fått svar och problemet kvarstår.

De se-domäner som är drabbade är:
afoco.se
agenteyes.se
chokladgrottan.se
coach4me.se
crystaltrading.se
garnexpo.se
hallsbergstvatt.se
hemsidaprogram.se
ifkstockaryd.se
kommunikationskonst.se
lakritsgrottan.se
lovecyprus.se
martinaskowronska.se
mfwilma.se
mobil-shop.se
monashemochkok.se
negumbolew.se
peaceuniversity.se
perfectshop.se
pizzapicasso.se
ppbox.se
purecase.se
smallshoes.se
sykarsbrunn.se
tendera.se
twinani.se
vasbysmuscout.se
webbeditors.se
webeditors.se
wpthemes.se

Uppdatering 8 januari: Det har nu gått två dygn sen jag kontaktade Servage. På 77.232.91.8 har nu 9 av 14 sajter åtgärdats. För 77.232.90.107 är det värre, samtliga 16 är fortfarande hackade. För 6 sajter har hackers sedan igår uppdaterat så att man numera skickas till zippmonstersoft.ru.

 

Säkerhetshål i Phoenix Exploit Kit 2.3

04 Jan

Phoenix Exploit Kit är ett script som används för att enkelt smitta datorer med malware. Det består dels av filer som attackerar kända säkerhetshål i webbläsare, Adobe Flash och Adobe reader, dels av en kontrollpanel där man enkelt kan ladda upp den fil man vill ska installeras på attackerade datorer och se statistik över attacken.

Ironiskt nog innehåller denna kontrollpanel ett säkerhetshål som rapporterades 2 januari. Säkerhetshålet gör att man kan logga in utan att känna till lösenordet förutsatt att serverns har register_globals aktiverat. Php-koden som hanterar inloggningen ser ut så här:

I rad 9 och 10 kontrolleras dels om något är fel med lösenordet (pw), dels om något är fel med användarnamnet (login). Sistnämnda är intressant, då man på kontrollpanelens inloggningssida endast fyller i lösenord. För att inloggningen ska misslyckas måste både lösenord och användarnamn vara felaktigt.

Variabeln $ADMINLN som kontrolleras på rad 10 sätts aldrig. Det spelar ingen roll för funktionaliteten eftersom en misslyckad inloggning kräver att både lösenordet och användarnamnet är fel. Däremot kan man sätta $ADMINLN, enklast genom att ange det i adressfältet, förutsatt att register_globals är aktiverat. På rad  21 sätts sessioncookie med namnet ‘login’ oavsett om inloggningen lyckats eller inte, rad 22 gör att sidan laddas om och först då kontrolleras att inloggningen är korrekt, via rad 9 och 10.

Vi har alltså möjlighet att kontrollera värdena i både sessioncookien ‘login’ och variabeln $ADMINLN. Eftersom kontrollen på rad 9 och 10 godkänner inloggning om inte både lösenord och användarnamn är fel kan vi nu logga in utan att veta lösenordet, eftersom vi har full kontroll över användarnamnet.

Enklast är att visa med hjälp av ett php-script.

<?php
$ch = curl_init();

curl_setopt($ch, CURLOPT_COOKIEJAR, ”cookie.txt”);
curl_setopt($ch, CURLOPT_URL, ”http://example.org/phoenix/statistics.php”);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, ‘login=’);
curl_exec($ch);

curl_setopt($ch, CURLOPT_URL, ”http://example.org/phoenix/statistics.php?ADMINLN=da39a3ee5e6b4b0d3255bfef95601890afd80709”);
curl_setopt($ch, CURLOPT_POST, 0);
curl_exec($ch);

curl_close($ch);
?>

I den första curl-requesten postar vi ett formulär till inloggningssidan, i detta fall http://example.org/phoenix/statistics.php. Enda fältet i det postade formuläret är login som lämnas tomt. Sessioncookien ‘login’ kommer nu att sättas med värdet av sha1-hash av en tom sträng. I nästa curl-request hämtar vi sidan igen och denna gången kommer $ADMINLN att sättas via adressen. Den sätts till värdet av sha1-hash av en tom sträng. När inloggningen kontrolleras kommer vi att uppfylla både kravet att sessioncookien ‘login’ är satt och att den har samma värde som variabeln $ADMINLN. Php-scriptet kommer att returnera sen html-kod som visas efter en lyckad inloggning.

 

Svensk virusvarning seglivad

04 Jan

Jag råkade notera att en varning för Koobface sprids på Facebook just nu. Texten som skickas är ”Virus sprider sig som en löpeld på FB! Det är en trojan som heter mask Koobface. Det kommer att stjäla din info, invadera ditt system och stänga av den! INTE öppna länken Barack Obama Clinton Skandal! Om SmartGirl15 begär dig som vän, accepterar inte, det är ett virus. Om någon annan på din vänlista accepterar, då får du också viruset! Kopiera och klistra in på din logg… vänligen skicka vidare”.

Masken Koobface existerar visserligen och använder Facebook-länkar för att spridas men varningen är falsk. Varningstexten började skickas på engelska redan i juli 2010. På engelska verkar varningen ha dött ut men på svenska är den seglivad. Söker man på SmartGirl15 på Facebook är texterna endast på svenska (förutom något enstaka på finska).

 
 

Danska Nordea varnar för Carberp

28 Dec

IDG berättar idag att danska Nordea varnar för trojanen Carberp. Carberp kan bland annat spara allt som skrivs på datorn, övervaka nätverkstrafik och ladda hem och köra nya programfiler på datorn.

Det är ingen slump att det är danska Nordea som går ut med denna varning. 24-25 november var den danska tidningen Midtjyllands Avis reklamsystem hackat och användes för att sprida just Carberp till besökare. Midtjyllands Avis har ungefär 15 000 besökare per dag, deras reklamsystem används även av andra sajter.

CSIS har tagit fram ett verktyg för att enkelt se om man är infekterad med Carberp, och Malwarecity har ett program för att ta bort trojanen.

 

Koobface igång igen

11 Dec

Efter att Koobfaces C&C-server stängdes ner i mitten av november har aktiviteten varit låg, men det var bara en fråga om tid innan Koobface skulle börja igen, med nya C&C-servrar. I sin spridning utnyttjar datormasken Koobface hackade FTP-konton (en av Koobface funktioner är just att stjäla inloggningsuppgifter till FTP-konton) för att lägga upp falska Youtube-sidor. Reklam för sidorna görs via Facebook och om man klickar på att visa Youtube-filmen försöker Koobface hämtas hem och installeras. I veckan upptäcktes en del FTP-konton där nya Koobface-script lagts upp och dessa har jag nu undersökt.

Som tidigare laddas filerna upp i en mapp med slumpat namn, till exempel ”72jks5wji”. Den här gången lades även en fil upp i rotmappen, mytest.php.

Mytest.php används för att kontrollera att servern fungerar, kör php och kan ansluta till servern med IP-nummer 94.100.25.58. Eftersom sidan som hämtas för närvarande skriver ut ”sys” kommer scriptet att skriva ut ”php dont working! sys”. IP-numret som testade att hämta mytest.php var just 94.100.25.58. Detta IP-nummer används även för att hämta statistik från sidorna som sprider Koobface och man kan misstänka att det är personerna bakom Koobface som hanterar denna server.

IP-numret är registrerat av företaget King Servers och Nederländerna anges som landskod. Kontaktperson för IP-serien är dock en Vladimir Fomenko med address i Storbritannien. Spamhaus har blockerat hela ip-serien för ”bulletproof cybercrime hosting operation”.

En annan nyhet är att Koobface tydligen sagt upp avtalet med adultfriendfinder.com. Istället skickas besökare som inte kan infekteras med Koobface till rolly.com. Detta visas i funktionen other() som körs om besökaren inte verkar använda Windows. I detta script kan man även notera att loggningen till en extren server kommenterats bort.