[ 安全通報 ] 13 元月, 2012 18:33

     義集思實驗室最近發現一個叫做 Stevens Creek Software 的軟體公司企圖魚目混珠,偽裝成EA, Gameloft 等知名遊戲公司的軟體,大量的在 Google Market 官方網站上上架,企圖誘騙消費者下載,安裝後會出現一個按鈕,按下後會導向幾個廣告性質的網站。

 

就是這些知名遊戲軟體,正常版本應該是 EA 或 Gameloft 開發的,不是 Stevens Creek Software!

 

 

安裝後出現以下這個按鈕: 

  

 

最後可能會導向這幾個廣告網站: 

  • http://datatkr.info/and30  
  • http://datatkr.info/and37  
  • http://datatkr.info/and52  
  • http://datatkr.info/and53  
  • http://datatkr.info/and73  
  • http://datatkr.info/and74  
  • http://datatkr.info/and84  
  • http://datatkr.info/and86  
  • http://datatkr.info/and88  
  • http://datatkr.info/and89  
  • http://datatkr.info/and91  
  • http://datatkr.info/and55
  • http://datatkr.info/and66  
  • http://datatkr.info/and67   

 

 

目前在 VirusTotal 的偵測結果為: 2/43(4.7%)

AegisLab  提醒您小心做好防護並安裝 AegisLab Antivirus Scanner。

 

[ 安全通報 ] 12 元月, 2012 14:07
    
    義集思實驗室再次分析 go.js 的行為後發現,緊接著 hxxp://bbpeonf.info/script.js 之後會導向到:
  • hxxp://50.56.234.67/s.js 

  • hxxp://50.56.234.68/s.js
    這邊會檢查 user agent 是否為 google chrome, 不是的話回404; 是的話就會回一個 gzip 壓縮的的 javascript 檔案,解開之後是共10093行,絕大部分的內容是空白行。
第一行的內容是註解,可能是藉此想躲過分析。
 
/* ERROR: 511 Network Authentication Required  */  
 
只有第5048行有內容。
 
 
 

解析以後可以得到另一段javascript code, 如下圖。這裡可以看到加入一段 javascript code 和一個個 iframe。

 

 

接下來我們分析上圖紅框框裡面的兩個連結: 

  • javascript code (hxxp://50.56.234.70/e.js) 

這段程式碼會檢查 FB 變數是否存在,如果有的話會傳回下一段散播的 js code 如下圖(e.js), 解開以後可以我們可以得到(解碼後的 e.js):

         

  (e.js)

        

   (解碼後的 e.js)

這裡利用 Facebook API 取得好友名單,再將新的網址 post 出去,目前 post 的 link 為:

        hxxp://bit.ly/zfoynZ 點選後會導向 hxxp://bbpeonf41.blogspot.com/?ref=1 

 

  • iframe (hxxp://50.56.234.70/a.html)
這個檔案大部分也都是空白行,第5064行的內容如下圖,裡面包含7個 iframe,皆是指向疑似廣告網站 hxxp://ads.lfstmedia.com,最後一段 javacript 將使用者導向 google。
        

 

By AegisLab 

[ 安全通報 ] 11 元月, 2012 17:03

    記得上禮拜才跟你說看見周韋彤不要亂點,這次臉書病毒又有新的變種了,多了三個新的惡意網址:

  

  • hxxp://bbpeonf03.blogspot.com 
  • hxxp://bbpeonf12.blogspot.com
  • hxxp://bbpeonf22.blogspot.com

  

以上三個網址都會叫你下載這兩個瀏覽器擴充套件,目前已被 AegisLab WebGuard 阻擋:
  • hxxp://bbpeonf.info/youtube_player.crx 
  • hxxp://bbpeonf.info/youtube_player.xpi

 

解開並分析 youtube_player.crx  可看到以下五個檔案:

 


  • manifest.json: content_scripts 指定把go.js inject到所有的網站

  • go.js: 第一次分析時是未經混淆的 js 檔. 經過解析後可以得到以下資訊:


    
    但是第二次分析時已經變成包含 UTF-8 字串的混淆 js 檔:

  

 

    經過解碼後得到以下資訊,這個 js 檔會 inject  hxxp://bbpeonf.info/script.js 到目前網頁,想要進一步連到這網址時,會得到 302 並導向到 hxxp://50.56.234.70/s.js,實際上目前並不存在(請見2012-01-12 更新)。

 

 

    用 new VirusTotal 掃瞄可得知這些惡意網址和瀏覽器擴充套件都還沒被防毒軟體偵測到:

  • hxxp://bbpeonf12.blogspot.com/:  (0/19)
  • hxxp://bbpeonf.info/youtube_player.crx: (0/18)
         

義集思實驗室 WebGuard 從 2012-01-10 已開始阻擋上列惡意網址。 

 

[ 一般 ] 11 元月, 2012 16:34

    上一篇是統計「惡意網址」,這篇是說明「惡意軟體」:)

    2011 年義集思實驗室收集超過全新的1千四百萬個惡意軟體(不重複),其中又以 Trojan 佔最多數超過6成,第二名是"加殼式"(packed)的惡意軟體,第三名為色情類的惡意軟體,有關細節請看下列圖表:

 

 

                               圖一: 依類別分佈

 

              

      表一: 詳細數據

 

義集思實驗室 

[ 一般 ] 11 元月, 2012 16:13

     跟各位朋友報告,2011 年義集思實驗室發現163,769個全新的惡意網址,其中38.05%是 download sites(Drive-by-Download, Fake-AV等等),而另外61.95%是 hopping sites(包括BlackHat SEO)。若以國家類別來區分,美國佔大多數,其次是南韓、中國大陸...

細節請看以下圖表:

 

   

                 圖一: 依地區分佈

 

        

                                         圖二: 依類別分佈

 

                    

                                       表一: 詳細資料

 

義集思實驗室 

[ 安全通報 ] 05 元月, 2012 18:07

    根據義集思實驗室的觀察,最近在 Facebook 上面流竄一堆有關「周韋彤」和「全智賢」視迅的短網址連結(如下),社群網站已經變成駭客的新戰場了:

  • 全智賢撕裙性感廣告: hxxxp://bit.ly/yNabBZ
  • 周韋彤 ~ Mystique of Asia: hxxp://bit.ly/sQtisQ
全部都會導引到下列假的 YouTube 網站:
  •  hxxp://youtubehd15.blogspot.com/
  •  hxxp://youtubehd03.blogspot.com/
 
你會看到以下的畫面,叫你下載一個 YouTube HD 播放器:
 
  
 
實際上這是一個瀏覽器外掛,會主動在你的 FB 塗鴉牆上留言,吸引你的朋友也去點擊,目前 FB 上已經一堆人都「中獎」了。
 
   
義集思實驗室提醒您千萬不要點擊來路不明的連結,也不要安裝不明的外掛。
 
AegisLab Web Guard 在 2012/1/3 已經將以下兩個惡意外掛的連結阻擋:
  • hxxp://fbaaa1.zapto.org/youtube.xpi 
  • hxxp://fbaaa1.zapto.org/youtube.crx
 
By AegisLab 
 

 

[ 安全通報 ] 03 元月, 2012 14:04

    新的一年又開始了,大家好!今年是與眾不同的一年,不管會不會世界末日?大家都要能開開心心、安安全全的上網,盡情享受50M快感?(編按:何時才能有100M...)

    在去年的預測中,我們告訴大家手機病毒會很猖獗,也告訴大家對於工業控制系統的目標式攻擊會越來越多(例如伊朗的核能控制系統),上述兩點從本站部落格和新聞媒體的相關報導也的確得到印證。同樣的今年2012我們也做了以下預測,請大家小心防範:

  1. 手機病毒的猖獗
  2. HTML 5 的影響和網站弱點
  3. 社群網路是駭客的最愛
  4. 工業控制系統的安全隱憂
  5. 雲端夠安全嗎?
  6. 針對 Non-PC 裝置的攻擊
  7. APT 有組織且目標式的攻擊

 詳細內容請參閱: 英文版 PDF中文版 PDF 

By AegisLab

 

[ 安全通報 ] 03 元月, 2012 13:28

    

     去年(2011)年終的28C3最有新聞性的演講大概就屬 Hash DoS 攻擊,詳細資料可參考以下連結: 


    目前發現 php, ruby, python, asp.net 和 java 的 Hash table 實作都有這個漏洞(perl是安全的),微軟也緊急出OOB patch。這個攻擊原理其實在2003 的usenix security 就提出只是當時只有沒有引起太大的注意。簡單說就是產生大量的 Hash collision 的 key,就會塞到同一個 bucket,讓 hash搜尋時間變成 O(n^2),很快就可以把 CPU 資源吃完。 

 

    請注意對貴公司網站的攻擊,只要是上述程式語言設計的網站在接收 GET 或是 POST 資料時,一般都會用array來處理,攻擊者只要能找到能產生collision 的hash key 字串就可能造成DoS的攻擊。請有網站的公司行號、政府組織及其他相關單位儘速上 patch 或改寫!

   

By AegisLab

 

[ 安全通報 ] 02 元月, 2012 11:52

    上個月我們發佈"安全通報 2011-12-02: SQL Injection 攻擊再度來襲!", 當初只有2千多個網頁被入侵,但一個月過後已經高達2百萬個網頁有問題了!

請注意你的網頁是否有被入侵,可以利用Google查詢你的網站並配合關鍵字(<script src="hxxp://lilupophilupop.com/sl.php">)即可得知。

 

  上個月: 

 

by AegisLab