siti che distribuiscono malware [era: Incredibile]

[CopyMaster]

Salve ragazzi,
stavo cercando informazioni sulle caldaie della tata http://www.google.it/search?hl=it&q=...nG=Cerca&meta=
quando mi sono accorto che numerosi siti presenti anche in prima pagina nei risultati di ricerca contengono uno script "escape" che ridirigi il "browser" e tramite l'exploit

Codice PHP:

    set obj_RDS = document.createElement("object")
    obj_RDS.setAttribute "id", "obj_RDS"
    obj_RDS.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" 


scarica un file e lo esegue.

es. tata-caldaie.bv-z.lebork.pl/

Quello che mi stupisce è l'elevato numero di "siti" presenti all'unico scopo di inviare .exe maligni. Sono forse un ingenuo che ha dormito fino ad ora?

Consiglio di evitare test con IE visto che lo script è fatto proprio per lui.

Saluti

[BilloKenobi]

quell'exploit si riferisce al Linkoptimizer, stranoto e diffuso in italia (una volta era solo sui siti porno... ora è dappertutto)

leggi qua per saperne di più

http://www.pcalsicuro.com/gromozon.pdf

[Habanero]

quelli sono siti civetta che cercano di catturare i click degli utenti su ricerche per particolari parole chiave... ovviamente lo scopo non è troppo lecito... Ne ho provati un paio e come di ha già detto BilloKenobi cercano di farti scaricare malware vario tra cui il famigerato linkoptimizer.
Uno di quelli che ho provato si collega direttamente a td8eau9td.com uno dei siti noti per diffondere tale malware.... il risultato è il download di un file dal nome www.google.com, uno dei possibili vettori del malware...


dimenticavo... la prossima volta un titolo più significativo per favore...

[CopyMaster]

Ops... pensavo fosse qualcosa di nuovo perchè Avast non mi aveva informato di nulla. Ora ho messo AntiVir ed in effetti lo riconosce.

Tanto per capire ho stampato la versione in chiaro del codice maligno e da quello che vedo (scusate ma sono un vecchio programmatore che ha visto l'ultimo virus in assembler) è sufficiente provocare un errore non gestito dall'interprete di IE per eseguire "cio che si vuole".

Dal documento proposto da BilloKenobi leggo che l'autore cicla nel tentativo di trovare l'oggetto che genera l'errore.
Quindi scusate la domanda "banale" ma quando si legge in giro "Una vulnerabilità permette l'esecuzione di codice" si tratta di questo?
Scusate la curiosità ma non mi era mai capitato un "sorgente" tra le mani.

Grazie per la pazienza.
p.s. so che questo codice serve solo a scaricare il "vero" virus.

[Habanero]

vulnerabilità che permette l'esecuzione di codice... la più classica è il Buffer Overflow (BoF)... se programmi in assembler o C i concetti dovrebbero esserti vagamente familiari... Se il programmatore alloca un buffer di memoria ma nel riempirlo con i dati non testa che la lunghezza dei dati sia inferiore o uguale a quella dell'area di memoria allocata si ha una tracimazione del buffer (buffer overflow). I dati in eccesso vanno quindi a sovrascrivere la zona di memoria che sta dopo il buffer stesso. In genere questi dati vengono allocati nello stack, si ha quindi una tracimazione dei dati all'interno dello stack. Un attaccante può sfruttare questa vulnerabilità per sovrascrivere ad hoc zone di memoria di interesse. Quello che spesso viene fatto è l'iniezione di codice dopo il buffer presente nello stack e la sovrascrittura di un indirizzo di ritorno di una procedura precedentemente chiamata. Se si fa in modo che l'indirizzo di ritorno punti al codice che ho iniettato tramite BoF, allora ho raggiunto il mio scopo.
Tutto questo detto in due parole e senza la pretesa di essere stato esaustivo. L'argomento è vasto ma molto interessante. Di metodi comunque ne esistono molti altri, questo è solo un esempio dei più classici.


Per dettagli sulla tecnica:
http://sicurezza.html.it/articoli/le...ffer-overflow/

[CopyMaster]

Ok, per il BoF suppongo sia necessaria una programmazione a più basso livello, conoscere il segmento e puntate all'offset giusto.
Ma nel caso dello script per scaricare linkoptimizer non mi sembra di vedere nulla di particolarmente complesso.
Ho l'impressione che l'errore "inaspettato" "non gestito" permetta di eseguire senza alcun controllo tutto cio che segue. A me sembra una back door ..

Magari mi sbaglio.

Comunque vi ringrazio, darò un'occhiata ai post e link presenti sul forum per entrare più in profondità sull'argomento.

[Habanero]

quel malware usa molti metodi diversi per cercare di installarsi... no so a cosa tu ti riferisca esattamente...