La semana pasada informamos del Ataque masivo a miles de sitios web y en ese momento decíamos que el código JavaScript de los sitios web involucrados estaban ofuscados y descargaban malware que ya era detectado por ESET NOD32.

Ahora veamos este código un poco más en detalle y analicemos si se puede des-ofuscar. Para ello descargamos el archivo 0.js mencionado en aquella oportunidad, y vemos su contenido:

Como puede verse, no se puede leer demasiado del mismo y sólo obtenemos como conclusión que el archivo es un JavaScript, el cual el navegador deberá “entender” y traducir de alguna forma.

Un método trivial y básico de des-ofuscar este código es hacer que el navegador trabaje para nosotros. Para ello realizamos un sencillo document.write(), el cual volcará en la pantalla el código en Javascript ya traducido:

Ahora sólo resta ordenar y emprolijar el código para comprenderlo sin problemas.

Como podemos notar al final, el script se encarga de descargar y ejecutar el archivo dañino .exe desde un servidor externo.

Esta sencilla técnica no funciona siempre y dependerá del tipo de ofuscación empleado, pero suele ser un buen comienzo para ver a qué nos enfrentamos.

Cristian

Vota primero

• Falso Google Analytics propaga malware
• Desofuscando un TrojanClicker
• Múltiples ataques, una sola defensa

Categorias: Educación, Malware
1 Comentario »

En los últimos días hemos tenido consultas sobre esta noticia que ha sido publicada en varios medios comenzado por su fuente original Gmer, por lo que a continuación comentamos algo al respecto.

Como se sabe, la Master Boot Record (MBR para los amigos) es el primer sector del disco y por ello es utilizado como sector de arranque del mismo. En la conferencia Black Hat de 2005 un par de investigadores presentaron una tecnología que denominaron BootRootKit y que puede ser utilizada para modificar la secuencia de arranque de Windows.

En ese momento, se publicó el código ensamblador de este programa y a fines del 2007 se comenzó a encontrar diversos tipos de malware que hacen uso de esta tecnología para infectar el sector de inicio del disco y así lograr pasar desapercibido para el sistema operativo y algunas herramientas de seguridad, debido a que no realiza ninguna modificación que involucren al sistema operativo (archivos, registro, dato, etc.).

Otra complejidad extra de este tipo de malware radica en que al almacenarse directamente en los sectores del disco, el mismo no puede ser eliminado convencionalmente por lo que deberemos volver al “antiguo” FDISK /MBR (o fixmbr) o instalar ESET NOD32 que detecta este RootKit desde octubre pasado como Sinowal o Mebroot.

¿Quién dijo que vivir la época de los virus para DOS no era de utilidad?

Cristian

Vota primero

• Herramienta para eliminar MebRoot
• Novedades de Virus Bulletin 2008
• Michelangelo cumple 16 años

Categorias: Educación, Malware
3 Comentarios »

En los últimos días nuestro laboratorio ha capturado diferentes variantes de un troyano que se propaga, por lo general, a través de clientes de mensajería instantánea, simulando estar relacionado con los perfiles de MySpace.

Hoy, a través de perfiles de MySpace manipulados, se ha estado propagando una nueva variante que posee la particularidad de simular ser una actualización de Microsoft, específicamente una actualización para la herramienta antimalware de esta empresa.

Al ser descargada, para no levantar sospechas, redirecciona a una página falsa que también simula ser la de Microsoft.

Jorge

Vota primero

• Falsa actualización de Microsoft en MySpace
• SpReSo: SPam en REdes SOciales
• Falsos perfiles de MySpace explotados por sitios chinos

Categorias: Malware
2 Comentarios »