Fake "Cannot find server" Web Pages

This is probably old news to many but it might save you some time if you didn't know before.

I've come across this simple trick to simulate having taken down a web server, being used in a real case I was investigating: suppose you find a trojan that steals information and sends it to a central web server; suppose you contact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISP of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server and ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server down; suppose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y respond accepting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request; finally, suppose you try to connect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server using your Internet Explorer and you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following response:


Does that mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server is down? Well, not necessarily. The page you are seeing is just a regular HTML page. It may have been displayed by Internet Explorer itself because it wasn't able to contact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server OR it may have been sent back by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same server that pretends to be down!

Looking at your network traces will leave no doubt of which of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two possibilities you are facing, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is: you need to check your traces. In my case, it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last one.

By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, if you look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page and see this javascript code, don't freak out: it's been copied from an original IE error page. It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code that allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to click in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Detect Network Setttings" link (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot) and have IE autodetect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy settings:

[...]
<[REMOVETHIS]SCRIPT>function doNetDetect() {
saOC.NETDetectNextNavigate();
location.reload();
}
<[REMOVETHIS]/SCRIPT><[REMOVETHIS]body bgcolor="white">
<[REMOVETHIS]object id=saOC CLASSID='clsid:B45FF030-4447-11D2-85DE-00C04FA35C89' HEIGHT=0 width=0><[REMOVETHIS]/object>
[...]

The "object" tag creates an instance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SearchAssistantOC object, represented by that CLSID and contained in shdocvw.dll, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script invokes one of its methods, NETDetectNextNavigate(), that while officially undocumented it is known to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy autoconfiguration I referred to before.

References:

1.- Documentation on DHTML:

http://msdn.microsoft.com/library/default.asp?url=/workshop/author/dhtml/reference/dhtml_reference_entry.asp

2.- Documentation on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "object