Es ist derzeit ja in aller Munde, dass ein fieser 0day für den IE in verschiedenen Versionen durch das Netz schwebt. Nun hat das SANS kürzlich einen Post mit dem Titel "MSIE 0-day Spreading Via SQL Injection" rausgebracht, welcher eine SQL-Injektion Logdatei zeigt.
Ich hab mir den eigentlichen Infektionslink mal genauer angeschaut und ein wenig rumgeschnüffelt.
Die eigentliche Startdomain lautet in diesem Fall http://17gamo.com/1.js (NICHT BESUCHEN wenn Ihr nicht wisst, was Ihr tut!)
Die JS-Datei versucht auf 2 weitere Seiten umzuleiten. Einmal einen Counter und einmal einen IFrame auf /co/index.htm. Der Counter ist uninteressant ... der IFrame ist also unser Ziel.
Nun werden verschiedene IFrames aufgerufen. Ein Screenshot des Sources sieht aus wie folgt:
Es werden folgende Dateien referenziert:
- 14.htm
- flash.htm
- IE7.htm
- nct.htm
- office.htm
- real.htm
14.htm besteht aus obfuscated javascript, welches ich mal durch die Software "Malzilla" jagte. Malzilla bietet einen JS-deobfuscater der mit solchem Code recht gut umgehen kann - leider in diesem Fall nicht wirklich. Ein Screenshot seht ihr hier:
Anscheinend wird mit verschiedenen Arten des Wortes "Game" versucht, das Opfer zu täuschen. Letztendlich wird aber versucht, von http://www.steoo.com/admin/win.exe eine Binary runterzuladen und über einen Exploit zu installieren.flash.htm bietet zwei IFrames, die dann auf diverse SWF-Files verlinken von denen auszugehen ist, dass sie nichts Gutes im Schilde führen.
IE7.htm bietet den neusten IE-0day. Es ist letztendlich derjenige, der auch auf milw0rm zu finden ist.
Bei den restlichen URLs handelt es sich wie angenommen auch um etliche Browser-Exploits. Ich würde daher empfehlen auf Firefox mit NoScript umzuswitchen und kein Windows zum Surfen zu benutzen ...
0 Kommentare:
Kommentar veröffentlichen