17 January 2010

InetGuards

Information Security
Несколько минут назад был взломан мой пароль ICQ, написано от моего имени:«Посмотри что у тебя с системой, постоянно от тебя получаю вирусы. на вот просканируй компьютер, все лечит быстро inetguards.com и там же можно сделать, чтоб аккаунт не могли взломать».

Прошел по ссылке, посмотрел исходник
Ага, скрипт расшифровывает что-то
Видимо, ему и этого мало и он еще расшифровывает:'/'+hex_md5('b2eb45d8838702e4f8483cb70a6d2f81')
Что после выполнения должно перевести нас на inetguards.com/f4e50176f7b4297adb3776ed25706ac8.

Зашел туда — получил такую же страницу… Обновил — блок по IP, сайт не отвечает на запросы.

Расследование продолжается
whois говорит, что домен зарегистрирован на Андрея Лученко.
Кстати, ip для домена уже сменился, а был: 78.140.152.146 (есть предположение, что он и сейчас рабочий).

Свежие новости:


Будем искать другие методы. Пока я расшифровываю время сессии на сайте истекает, не успеваем… Поставлю сниффер и рискну!

Еще более свежие новости:


Если пройти по ссылке браузером — сервер выдает ошибку 403…

Ну что ж, рассмотрим по порядку, что же он делает.

Первое

hstr — это строка, которую генерирует сервер.
Расшифровывается так:
for(i = 0;i < 358;i++)document.write(String.fromCharCode(hstr.charCodeAt(i) + 1));
Берем ascii код каждого символа, добавляем единицу и снова переводим в символ.
Второе

Получился новый скрипт, который дописался в документ.
Что же там? Конечно же новая расшифровка. На этот раз все проще, просто urlencode. Делаем unescape и получаем…
Третье

Получаем еще один скрипт, который считает md5 от какой-то строки
(например, вот так:hex_md5('b2eb45d8838702e4f8483cb70a6d2f81')
И добавляем его через слэш к нашему текущему url'у.
Что будет ждать нас на том конце — я не знаю, если кто-то из вас добрался все-таки до конца — напишите обязательно, буду очень признателен.

Мое предположение: сервер генерирует пару ключей, одну в зашифрованном виде (сначала urlencode+javascript, потом вычитание из charcode + javascript) передает клиенту. Тот довольно быстро расшифровывает, генерирует md5 хэш и переходит по ссылке. Что находится там — мне неизвестно…

Ну самые последние новости


Попал на сайт.
Заголовок: White PC, защити свой компьютер.
По центру: Флэш, изображает проверку на вирусы. Покликав внутри получаем выводи лиц. соглашения.

После лицензионного соглашения предложение отправить смс на номер: 3858 (Стоимость на сайте 2 рубля, стоимость в реальности 300-360 рублей)

Данные whois:


Administrative Contact:
Lucenko Andrey
Email: phonecontroller@bk.ru
Organization: Private person
Address: ul. Profsouznaya, 22, kv.340
City: Moscow
State: Moscow obl.
ZIP: 345768
Country: RU
Phone: +7.4345234567
Fax: +7.4934524567

И, напоследок

Отправил письмо компании, зарегистрировавшей этот номер.
Как только получу ответ — сразу опубликую.

Спасибо всем огромное за терпение, ложусь спать.
Tags:icqвзломjavascriptуязвимость
Hubs: Information Security
+43
1.4k 6
Comments 72