Comentarios en: Desafío y premio de ESET Latinoamérica http://blogs.eset-la.com/laboratorio/2008/09/19/desafio-y-premio-de-eset-latinoamerica/ Laboratorio de Malware de ESET Latinoamérica Fri, 19 Mar 2010 13:13:48 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Por: jol ito XP http://blogs.eset-la.com/laboratorio/2008/09/19/desafio-y-premio-de-eset-latinoamerica/comment-page-3/#comment-5087 jol ito XP Fri, 11 Sep 2009 14:22:57 +0000 http://blogs.eset-la.com/laboratorio/?p=469#comment-5087 ¿Qué sucede al ejecutarlo? El código JavaScript aprovecha un exploit conocido para la vulnerabilidad del componente ActiveX ADODB.STREAM que permite descargar de Internet un archivo ejecutable (en nuestro caso Hola.EXE). Este archivo una vez ejecutado simplemente muestra un popup en pantalla con el mensaje “Chau”. Al principio, el código reemplaza el nombre del fichero HTML en el que se incluya el script (supuestamente hola.html) por caracteres en blanco, dejándolo inaccesible para no poder ser editado. ¿Qué condiciones deben darse para que suceda lo anterior? El sistema operativo usado debe ser Windows NT, 2000 y XP. El sistema, además debe ser vulnerable al agujero de seguridad para ADODB.STREAM. Además, el código javascript tiene que ser abierto con Internet Explorer El navegador debe soportar contenido activex El usuario debe aceptar el conendio activex. Los objetos usados son MSXML2.XMLHTTP, Shell.Application, ADODB.Stream. ¿Qué objeto es utilizado en este script? Mencionar lo que se crea conveniente de este objeto. El objeto principal es ADODB.STREAM. Presenta una vulnerabilidad para Internet Explorer que permite la ejecucion de ficheros .EXE remotos que pueden ser descargados localmente en la máquina y reemplazar otros .EXE legítimos y de uso común (ej: NOTEPAD.EXE, VMPLAYER.EXE). Existen dos actualizaciones de Microsoft para evitar esta vulnerabilidad: – MS03-032 Actualización acumulativa para IE (822925) – MS03-040 Actualización acumulativa para IE (828750) Procedimiento detallado utilizado para llegar a las respuestas anteriores. – Desofuscación del código: a) Meter los saltos de línea oportunos a partir de los signos “;” y los corchetes { y } hasta separar las líneas, indentarlas y darle forma legible al código. b) Hacer las sustituciones que se indican mediante “.replace” hasta dejar un código limpio de caracteres innecesarios. c) Renombrar todas las variables para una mejor comprensión del código – Buscar en google sobre vulnerabilidades de ADODB.STREAM. – Ejecutar el código con el antivirus activo en una máquina virtual y comprobar que lo detecta como un código malicioso (JS/Psyme). Buscar en Google información sobre este malware.Descifrar el codigo usando alerts.Averiguar sobre algunas funciones, ej: savetofile. ¿Qué sucede al ejecutarlo? El código JavaScript aprovecha un exploit conocido para la vulnerabilidad del componente ActiveX ADODB.STREAM que permite descargar de Internet un archivo ejecutable (en nuestro caso Hola.EXE). Este archivo una vez ejecutado simplemente muestra un popup en pantalla con el mensaje “Chau”. Al principio, el código reemplaza el nombre del fichero HTML en el que se incluya el script (supuestamente hola.html) por caracteres en blanco, dejándolo inaccesible para no poder ser editado.
¿Qué condiciones deben darse para que suceda lo anterior? El sistema operativo usado debe ser Windows NT, 2000 y XP. El sistema, además debe ser vulnerable al agujero de seguridad para ADODB.STREAM. Además, el código javascript tiene que ser abierto con Internet Explorer
El navegador debe soportar contenido activex
El usuario debe aceptar el conendio activex.
Los objetos usados son MSXML2.XMLHTTP, Shell.Application, ADODB.Stream.
¿Qué objeto es utilizado en este script? Mencionar lo que se crea conveniente de este objeto. El objeto principal es ADODB.STREAM. Presenta una vulnerabilidad para Internet Explorer que permite la ejecucion de ficheros .EXE remotos que pueden ser descargados localmente en la máquina y reemplazar otros .EXE legítimos y de uso común (ej: NOTEPAD.EXE, VMPLAYER.EXE). Existen dos actualizaciones de Microsoft para evitar esta vulnerabilidad: – MS03-032 Actualización acumulativa para IE (822925) – MS03-040 Actualización acumulativa para IE (828750)
Procedimiento detallado utilizado para llegar a las respuestas anteriores. – Desofuscación del código: a) Meter los saltos de línea oportunos a partir de los signos “;” y los corchetes { y } hasta separar las líneas, indentarlas y darle forma legible al código. b) Hacer las sustituciones que se indican mediante “.replace” hasta dejar un código limpio de caracteres innecesarios. c) Renombrar todas las variables para una mejor comprensión del código – Buscar en google sobre vulnerabilidades de ADODB.STREAM. – Ejecutar el código con el antivirus activo en una máquina virtual y comprobar que lo detecta como un código malicioso (JS/Psyme). Buscar en Google información sobre este malware.Descifrar el codigo usando alerts.Averiguar sobre algunas funciones, ej: savetofile.

]]> Por: Cristian Borghello http://blogs.eset-la.com/laboratorio/2008/09/19/desafio-y-premio-de-eset-latinoamerica/comment-page-2/#comment-4599 Cristian Borghello Fri, 07 Aug 2009 21:36:03 +0000 http://blogs.eset-la.com/laboratorio/?p=469#comment-4599 Francisco De cordoba argentina: Efectivamente es la respuesta correcta. La solución completa <a href="http://blogs.eset-la.com/laboratorio/2008/09/26/solucion-primer-desafio-eset/" rel="nofollow">aquí</a>. Cristian Francisco De cordoba argentina:

Efectivamente es la respuesta correcta. La solución completa aquí.

Cristian

]]> Por: Francisco De cordoba argentina http://blogs.eset-la.com/laboratorio/2008/09/19/desafio-y-premio-de-eset-latinoamerica/comment-page-2/#comment-4598 Francisco De cordoba argentina Fri, 07 Aug 2009 20:51:04 +0000 http://blogs.eset-la.com/laboratorio/?p=469#comment-4598 1. ¿Qué sucede al ejecutarlo? El código JavaScript aprovecha un exploit conocido para la vulnerabilidad del componente ActiveX ADODB.STREAM que permite descargar de Internet un archivo ejecutable (en nuestro caso HOLA.EXE). Este archivo una vez ejecutado simplemente muestra un popup en pantalla con el mensaje “Chau”. Al principio, el código reemplaza el nombre del fichero HTML en el que se incluya el script (supuestamente hola.html) por caracteres en blanco, dejándolo inaccesible para no poder ser editado. 2. ¿Qué condiciones deben darse para que suceda lo anterior? El sistema operativo usado debe ser Windows NT, 2000 y XP. El sistema, además debe ser vulnerable al agujero de seguridad para ADODB.STREAM. Además, el código javascript tiene que ser abierto con Internet Explorer. 3. ¿Qué objeto es utilizado en este script? Mencionar lo que se crea conveniente de este objeto. El objeto principal es ADODB.STREAM. Presenta una vulnerabilidad para Internet Explorer que permite la ejecucion de ficheros .EXE remotos que pueden ser descargados localmente en la máquina y reemplazar otros .EXE legítimos y de uso común (ej: NOTEPAD.EXE, VMPLAYER.EXE). Existen dos actualizaciones de Microsoft para evitar esta vulnerabilidad: - MS03-032 Actualización acumulativa para IE (822925) - MS03-040 Actualización acumulativa para IE (828750) 4. Procedimiento detallado utilizado para llegar a las respuestas anteriores. - Desofuscación del código: a) Meter los saltos de línea oportunos a partir de los signos “;” y los corchetes { y } hasta separar las líneas, indentarlas y darle forma legible al código. b) Hacer las sustituciones que se indican mediante “.replace” hasta dejar un código limpio de caracteres innecesarios. c) Renombrar todas las variables para una mejor comprensión del código - Buscar en google sobre vulnerabilidades de ADODB.STREAM. - Ejecutar el código con el antivirus activo en una máquina virtual y comprobar que lo detecta como un código malicioso (JS/Psyme). Buscar en Google información sobre este malware. 1. ¿Qué sucede al ejecutarlo? El código JavaScript aprovecha un exploit conocido para la vulnerabilidad del componente ActiveX ADODB.STREAM que permite descargar de Internet un archivo ejecutable (en nuestro caso HOLA.EXE). Este archivo una vez ejecutado simplemente muestra un popup en pantalla con el mensaje “Chau”. Al principio, el código reemplaza el nombre del fichero HTML en el que se incluya el script (supuestamente hola.html) por caracteres en blanco, dejándolo inaccesible para no poder ser editado. 2. ¿Qué condiciones deben darse para que suceda lo anterior? El sistema operativo usado debe ser Windows NT, 2000 y XP. El sistema, además debe ser vulnerable al agujero de seguridad para ADODB.STREAM. Además, el código javascript tiene que ser abierto con Internet Explorer. 3. ¿Qué objeto es utilizado en este script? Mencionar lo que se crea conveniente de este objeto. El objeto principal es ADODB.STREAM. Presenta una vulnerabilidad para Internet Explorer que permite la ejecucion de ficheros .EXE remotos que pueden ser descargados localmente en la máquina y reemplazar otros .EXE legítimos y de uso común (ej: NOTEPAD.EXE, VMPLAYER.EXE). Existen dos actualizaciones de Microsoft para evitar esta vulnerabilidad: – MS03-032 Actualización acumulativa para IE (822925) – MS03-040 Actualización acumulativa para IE (828750) 4. Procedimiento detallado utilizado para llegar a las respuestas anteriores. – Desofuscación del código: a) Meter los saltos de línea oportunos a partir de los signos “;” y los corchetes { y } hasta separar las líneas, indentarlas y darle forma legible al código. b) Hacer las sustituciones que se indican mediante “.replace” hasta dejar un código limpio de caracteres innecesarios. c) Renombrar todas las variables para una mejor comprensión del código – Buscar en google sobre vulnerabilidades de ADODB.STREAM. – Ejecutar el código con el antivirus activo en una máquina virtual y comprobar que lo detecta como un código malicioso (JS/Psyme). Buscar en Google información sobre este malware.

]]> Por: Cristian Borghello http://blogs.eset-la.com/laboratorio/2008/09/19/desafio-y-premio-de-eset-latinoamerica/comment-page-2/#comment-2155 Cristian Borghello Wed, 28 Jan 2009 00:00:35 +0000 http://blogs.eset-la.com/laboratorio/?p=469#comment-2155 Hola Cristian Efectivamente es la respuesta correcta. Cristian Hola Cristian

Efectivamente es la respuesta correcta.

Cristian

]]> Por: cristian http://blogs.eset-la.com/laboratorio/2008/09/19/desafio-y-premio-de-eset-latinoamerica/comment-page-2/#comment-2148 cristian Tue, 27 Jan 2009 20:09:14 +0000 http://blogs.eset-la.com/laboratorio/?p=469#comment-2148 es la respuesta correcta es la respuesta correcta

]]> Por: cristian http://blogs.eset-la.com/laboratorio/2008/09/19/desafio-y-premio-de-eset-latinoamerica/comment-page-2/#comment-2147 cristian Tue, 27 Jan 2009 20:08:15 +0000 http://blogs.eset-la.com/laboratorio/?p=469#comment-2147 Responderé una a una las preguntas: 1 ¿Qué sucede al ejecutarlo? Cuando ejecutamos el archivo, se abre una consola de comandos, por breves segundos, luego podemos ver el mensaje: “…chau” También se aprecia, un archivo de nombre hola.exe en la carpeta: %userprofile% En mi caso fue: C:\Documents and Settings\Anthony El archivo hola.exe, tiene como contenido: 2 ¿Qué condiciones deben darse para que suceda lo anterior? El archivo debe ser ejecutado como Javascript, por lo mismo debe ser llamado desde un archivo HTML con el código: (el mismo del EXE generado despues) Debe ser ejecutado en Internet Explorer. 3 ¿Qué objeto es utilizado en este script? Mencionar lo que se crea conveniente de este objeto. El objeto adodb.stream, es un control ActiveX, ese objeto contiene varios métodos para leer y escribir archivos binarios y archivos de texto. 4 Procedimiento detallado utilizado para llegar a las respuestas anteriores. 1.- Renombramos desafio.txt a desafio.js 2.- Creamos index.html (cualquier archivo HTML o HTM) 3.- Ejecutamos index.html desde Internet Explorer 4.- Esperamos breves segundos, veremos el mensaje “…chau” 5.- Vemos también que en la ruta %userprofile% se encuentra el archivo hola.exe Responderé una a una las preguntas:

1 ¿Qué sucede al ejecutarlo?

Cuando ejecutamos el archivo, se abre una consola de comandos, por breves segundos, luego podemos ver el mensaje:

“…chau”

También se aprecia, un archivo de nombre hola.exe en la carpeta:
%userprofile%

En mi caso fue:
C:\Documents and Settings\Anthony

El archivo hola.exe, tiene como contenido:

2 ¿Qué condiciones deben darse para que suceda lo anterior?

El archivo debe ser ejecutado como Javascript, por lo mismo debe ser llamado desde un archivo HTML con el código:
(el mismo del EXE generado despues)

Debe ser ejecutado en Internet Explorer.

3 ¿Qué objeto es utilizado en este script? Mencionar lo que se crea conveniente de este objeto.

El objeto adodb.stream, es un control ActiveX, ese objeto contiene varios métodos para leer y escribir archivos binarios y archivos de texto.

4 Procedimiento detallado utilizado para llegar a las respuestas anteriores.

1.- Renombramos desafio.txt a desafio.js
2.- Creamos index.html (cualquier archivo HTML o HTM)
3.- Ejecutamos index.html desde Internet Explorer
4.- Esperamos breves segundos, veremos el mensaje “…chau”
5.- Vemos también que en la ruta %userprofile% se encuentra el archivo hola.exe

]]> Por: ricardo http://blogs.eset-la.com/laboratorio/2008/09/19/desafio-y-premio-de-eset-latinoamerica/comment-page-2/#comment-1850 ricardo Thu, 22 Jan 2009 19:20:19 +0000 http://blogs.eset-la.com/laboratorio/?p=469#comment-1850 respuesta de la pregunta 1: pide q la actualicemos 2 que no tenga ningun antivirus instalado 3 El objeto adodb.stream, es un control ActiveX, ese objeto contiene varios métodos para leer y escribir archivos binarios y archivos de texto. 4 no se respuesta de la pregunta 1:
pide q la actualicemos
2
que no tenga ningun antivirus instalado

3
El objeto adodb.stream, es un control ActiveX, ese objeto contiene varios métodos para leer y escribir archivos binarios y archivos de texto.

4 no se

]]> Por: Licencia de por vida del antivirus NOD32 http://blogs.eset-la.com/laboratorio/2008/09/19/desafio-y-premio-de-eset-latinoamerica/comment-page-2/#comment-781 Licencia de por vida del antivirus NOD32 Thu, 25 Sep 2008 04:35:21 +0000 http://blogs.eset-la.com/laboratorio/?p=469#comment-781 [...] detallado utilizado para llegar a las respuestas anteriores. Más información en el Blog de ESET Latinoamérica. Archivado en Actualidad, Miniblog Deja aquí tu comentario ↓ Etiquetas antivirus, [...] [...] detallado utilizado para llegar a las respuestas anteriores. Más información en el Blog de ESET Latinoamérica. Archivado en Actualidad, Miniblog Deja aquí tu comentario ↓ Etiquetas antivirus, [...]

]]> Por: LM http://blogs.eset-la.com/laboratorio/2008/09/19/desafio-y-premio-de-eset-latinoamerica/comment-page-2/#comment-780 LM Thu, 25 Sep 2008 03:54:13 +0000 http://blogs.eset-la.com/laboratorio/?p=469#comment-780 ta chido... a ver si lo supero... ta chido… a ver si lo supero…

]]> Por: Pedro A. López http://blogs.eset-la.com/laboratorio/2008/09/19/desafio-y-premio-de-eset-latinoamerica/comment-page-2/#comment-775 Pedro A. López Wed, 24 Sep 2008 14:41:24 +0000 http://blogs.eset-la.com/laboratorio/?p=469#comment-775 1. ¿Qué sucede al ejecutarlo? El código JavaScript aprovecha un exploit conocido para la vulnerabilidad del componente ActiveX ADODB.STREAM que permite descargar de Internet un archivo ejecutable (en nuestro caso HOLA.EXE). Este archivo una vez ejecutado simplemente muestra un popup en pantalla con el mensaje "Chau". Al principio, el código reemplaza el nombre del fichero HTML en el que se incluya el script (supuestamente hola.html) por caracteres en blanco, dejándolo inaccesible para no poder ser editado. 2. ¿Qué condiciones deben darse para que suceda lo anterior? El sistema operativo usado debe ser Windows NT, 2000 y XP. El sistema, además debe ser vulnerable al agujero de seguridad para ADODB.STREAM. Además, el código javascript tiene que ser abierto con Internet Explorer. 3. ¿Qué objeto es utilizado en este script? Mencionar lo que se crea conveniente de este objeto. El objeto principal es ADODB.STREAM. Presenta una vulnerabilidad para Internet Explorer que permite la ejecucion de ficheros .EXE remotos que pueden ser descargados localmente en la máquina y reemplazar otros .EXE legítimos y de uso común (ej: NOTEPAD.EXE, VMPLAYER.EXE). Existen dos actualizaciones de Microsoft para evitar esta vulnerabilidad: - MS03-032 Actualización acumulativa para IE (822925) - MS03-040 Actualización acumulativa para IE (828750) 4. Procedimiento detallado utilizado para llegar a las respuestas anteriores. - Desofuscación del código: a) Meter los saltos de línea oportunos a partir de los signos ";" y los corchetes { y } hasta separar las líneas, indentarlas y darle forma legible al código. b) Hacer las sustituciones que se indican mediante ".replace" hasta dejar un código limpio de caracteres innecesarios. c) Renombrar todas las variables para una mejor comprensión del código - Buscar en google sobre vulnerabilidades de ADODB.STREAM. - Ejecutar el código con el antivirus activo en una máquina virtual y comprobar que lo detecta como un código malicioso (JS/Psyme). Buscar en Google información sobre este malware. 1. ¿Qué sucede al ejecutarlo?

El código JavaScript aprovecha un exploit conocido para la vulnerabilidad del componente ActiveX ADODB.STREAM que permite descargar de Internet un archivo ejecutable (en nuestro caso HOLA.EXE). Este archivo una vez ejecutado simplemente muestra un popup en pantalla con el mensaje “Chau”.

Al principio, el código reemplaza el nombre del fichero HTML en el que se incluya el script (supuestamente hola.html) por caracteres en blanco, dejándolo inaccesible para no poder ser editado.

2. ¿Qué condiciones deben darse para que suceda lo anterior?

El sistema operativo usado debe ser Windows NT, 2000 y XP. El sistema, además debe ser vulnerable al agujero de seguridad para ADODB.STREAM. Además, el código javascript tiene que ser abierto con Internet Explorer.

3. ¿Qué objeto es utilizado en este script? Mencionar lo que se crea conveniente de este objeto.

El objeto principal es ADODB.STREAM. Presenta una vulnerabilidad para Internet Explorer que permite la ejecucion de ficheros .EXE remotos que pueden ser descargados localmente en la máquina y reemplazar otros .EXE legítimos y de uso común (ej: NOTEPAD.EXE, VMPLAYER.EXE).

Existen dos actualizaciones de Microsoft para evitar esta vulnerabilidad:
- MS03-032 Actualización acumulativa para IE (822925)
- MS03-040 Actualización acumulativa para IE (828750)

4. Procedimiento detallado utilizado para llegar a las respuestas
anteriores.

- Desofuscación del código:

a) Meter los saltos de línea oportunos a partir de los signos “;” y los corchetes { y } hasta separar las líneas, indentarlas y darle forma legible al código.

b) Hacer las sustituciones que se indican mediante “.replace” hasta dejar un código limpio de caracteres innecesarios.

c) Renombrar todas las variables para una mejor comprensión del código

- Buscar en google sobre vulnerabilidades de ADODB.STREAM.

- Ejecutar el código con el antivirus activo en una máquina virtual y comprobar que lo detecta como un código malicioso (JS/Psyme). Buscar en Google información sobre este malware.

]]>