[ 安全通報 ] 28 八月, 2012 17:31
   這兩天各資安網站(如下)對 Java 0-day 的報導非常火紅,細節我們就不多說了。我們要提的是 ok.aa24.net (圖一) 這網站以前就有前科了,Google SafeBrowsing 之前就列為可疑網站,而且根據我們的追查它的 IP 還是中華電信的(圖二)。

 

圖 1:  連上 http://ok.aa24.net 會導向 http://ok.aa24.net/mail/

 

圖 2:  IP 屬於中華電信

 

目前 ok.aa24.net 已經查不到消失了。接下來駭客應該不會放過這個 Java 0-day(CVE-2012-4681),沒多久還會有變種出現,請拭目以待 :)

 

By AegisLab

 

[ 安全通報 ] 24 八月, 2012 16:57

    近來 AegisLab 在 FB 上看到人家分享的訊息時發現說有新病毒出現,我們本著追根究底的精神就給它一路查下去了...XD



我們發現受害者會在塗鴉牆上自動散佈這條訊息: .Eu .mudei a .cor do .facebook .Timeline http://www.facebook.com/pages/"+Math.floor((Math.random()*100)+1)+"/336365023048498?sk=app_509972785685751

所以在 Google 上搜尋"eu mudei a cor do facebook timeline"可以看到很多災情,自動貼了一堆訊息!




進入這連結頁面看到這 app 宣稱可以改變 facebook 版面顏色:

http://www.facebook.com/pages/7/336365023048498?sk=app_509972785685751


本著大無畏的精神就給它按下去,接著會出現以下頁面,如果再按分享則會自動下載瀏覽器的 Plugin:



如果是你用的瀏覽器是 Google Chrome 則下載 chrome.crx若是Firefox 則下載一個 firefox.xpi

chrome.crx 解開後的文件如下:



alegria.htm 內容如下:



hxxp://br-touch.com/visita/oi.js 
內容如下: 



hxxp://br-touch.com/visita/oi.txt 內容如下: 


原來
自動在塗鴉牆上發佈訊息的程式長的這樣。此外,還會在這些頁面自動按"讚":

like("346607755425333");
like("263967210350375");
like("302316926470464");
like("291482970896237");
like("144959538949554");
like("293564460700308");
like("146558812114479");
like("183923538371533");
like("173305189472512");
like("350954691650875");
like("286242448082575");
like("324499690897974");
like("223169597756133");
like("112216302259569");

www.facebook.com/346607755425333,www.facebook.com/263967210350375,www.facebook.com/302316926470464.........

關於這個URL:http://www.facebook.com/pages/"+Math.floor((Math.random()*100)+1)+"/336365023048498?sk=app_509972785685751
紅色這2個數字有好幾組,pages 後則是隨便亂打皆可,並不一定要像它的規則一樣。

各位讀者一定覺得很奇怪,自動發文的目的看來只是想賺取"讚"而已,但其實以後這些粉絲團所發佈的一些訊息,受害者因為有按讚所以都會看到,我們懷疑是否想透過這些頁面散佈一些有問題的連結或是其他惡意程式,這部分我們會持續觀察!

目前解決的方法就是把有問題的Plug-in移除(網路上也已經有人提供解決方法如下),建議按讚的那些頁面也取消按讚!

 

By AegisLab

 

[ 安全通報 ] 10 八月, 2012 09:24

    根據 Fox-IT International blog 的技術報告指出,XDocCrypt/Dorifel 病毒會尋找 MS Word 檔以 RC4 方式加密(圖1),讓受害者無法解開,但此軟體又不像是 Ransomware ,因為沒有看到任何勒索訊息。目前受害者最多的是荷蘭政府單位(圖2)。

圖1: 以RC4方式加密 (資料來源 Fox-IT International Blog)

 

 圖2: NL荷蘭受害最深,其次是 DK丹麥 (資料來源 Fox-IT International Blog)

目前 AegisLab 收集到 18 個 XDocCrypt/Dorifel 病毒樣本如下,在 VT 的偵測率大概介於 25%-30% 之間,其中還有3個檔案是 VT 沒有的: 


AegisLab 會隨時注意最新的發展情況。 

-------------------------------------------------------- 

8/10更新: 這病毒專門搜尋網路磁碟或是USB磁碟上的 WORD/EXCEL 檔案以加快感染速度,並將原始檔案加殼包裝成一個 .SCR 檔( 並利用 RTLO (right-to-left-override)弱點 ) ,但 icon 看起來還是 WORD//EXCEL 檔(如下圖),誘騙無知者開啟。

[ 安全通報 ] 07 八月, 2012 16:50

    AegisLab 近來發現大量的 mail.htm 網頁被掛馬,目前已經發現 311 個網站有問題。

 

這次被掛的網頁會出現以下訊息(其實背後被嵌入一段 iframe code),如果沒有 referer,它會把你導回 Google 。

受害網站之一: 

 

受害網站之二: 

 

受害網站之三:  

 

連上被掛馬的網頁,之後可能被導向以下幾個網站:

  • hxxp://online-cammunity.ru:8080/forum/w.php?f=182b5&e=2
  • hxxp://zenedin-zidane.ru:8080/forum/w.php?f=5e91c&e=4 
  • hxxp://spb-koalitia.ru:8080/forum/w.php?f=182b5&e=2
  • (還有更多...)
其實變化型就是:{hostname}.ru:8080/forum/w.php?f=...
 
目前 onerussiaboard.ruonline- cammunity.ru、mysqlfordummys.ru 這幾個 domain 都已經失效,但是最新的 hxxp://spb-koalitia.ru:8080/forum/w.php?f=182b5&e=2 還是存在,而且 Google Safe Browsing 還未將它加入黑名單(下圖)

 

 

此外,除了 mail.htm 被掛以外,我們還發現 upload.htm 也同樣在增加當中(如下圖),根據判斷應該是網站使用的平台有問題,如果真是的話,那受害網站數量將相當多!

 

幾個受害網站的使用平台:

  • hxxp://www.r-toto.com.cn/mail.htm -> Metinfo 4.0
  • hxxp://www.tiyidi.com/mail.htm -> Discuz X2
  • hxxp://www.kshaoye.com/mail.htm -> WordPress 3.4.1

  

最後下載的惡意程式在 VT 的偵測率:


目前 AegisLab WebGuard 已經將所有惡意的網站封鎖。