التحذير من شفرة خبيثة في خدمة "رتّب" الإحصائية
نُشر يوم 15 جويلية 2012 بواسطة Xacker
لاحظت اليوم انتشار شفرة خبيثة من خلال أحد الملفات المستوردة من موقع رتّب لتصنيف وترتيب المواقع الالكترونية.
الملف الذي يتم استيراده، هو: hxxp://ratteb.com/js.js
ويحتوي في بدايته على السطر الخبيث التالي:
هل تلاحظ الجزء المظلل باللون الأصفر في بدايته؟
مهمّة هذا الجزء، تنفيذ الشفرة الخبيثة فقط عندما يتم الحصول على العدد 1 من خلال توليد رقم عشوائي و ضربه مع 4 ومن ثم أخذ الجزء الصحيح فقط من الناتج، مثلاً: 0.35 * 4 = 1.4
أي أن الشفرة الخبيثة لن يتم تنفيذها دائماً، وبالتالي يقلل هذا من مسألة اكتشافها من بعض مكافحات الفيروسات التي تقوم بفحص ما يتم تنفيذه فعلاً، وليس كامل الشفرة الموجودة في ملف ما.
إن تنفيذ الشفرة السابقة يؤدي إلى إدراج iframe مخفي داخل الصفحة، فيما يلي تحليل للجزء الخبيث المرمّز في الصورة السابقة:
يقوم الـ iframe بعرض صفحة من عدة روابط يتم توليدها ضمن شروط معينة (يرجى عدم فتحه في المتصفح)، منها:
* [hxxp://hippononens.co.uk/forum/?t=4ff763bcaeaa4](hxxp://hippononens.co.uk/forum/?t=4ff763bcaeaa4)
* [hxxp://microsoft-rcp.co.uk/forum/?t=4ff763bcaeaa4](hxxp://microsoft-rcp.co.uk/forum/?t=4ff763bcaeaa4)
* ...
كلا الموقعين يقوم بعرض الصفحة الخبيثة التالية:
والتي سنقوم بموافاتكم بتحليل لها لاحقاً، لكن مبدئياً يمكن القول بأنه استغلال لبعض الثغرات في Java و Flash.
ننصح جميع مدراء المواقع بالمسارعة إلى إيقاف شفرة رتّب الإعلانية في مواقعهم ريثما تقوم إدارة رتّب باتخاذ التدابير اللازمة لإيقاف انتشار هذه الشفرة الخبيثة من خلالهم.
تحديث:
قمت بتحليل الشفرة الخبيثة التي بُدأ اليوم نشرها عبر خدمة موقع “رتّب”، وفيما يلي أبين ما توصلت إليه:
تتكون قائمة المواقع التي تم استضافة الشفرة الخبيثة الأساسية عليها من:
* hxxp://hippononens.co.uk/forum/?t=4ff763bcaeaa4
* hxxp://microsoft-apt.co.uk/forum/?t=4ff763bcaeaa4
* hxxp://microsoft-tgw.co.uk/forum/?t=4ff763bcaeaa4
* hxxp://microsoft-ocr.co.uk/forum/?t=4ff763bcaeaa4
* hxxp://microsoft-rcp.co.uk/forum/?t=4ff763bcaeaa4
وتم الوصول إليها بعد تبسيط الشفرة والتخلص من الأجزاء الثانوية.
يتم في الشفرة الخبيثة الأساسية تحميل ملف تنفيذي غير معروف وتنفيذه من خلال Runtime.exec(). تتم العملية من خلال 3 ملفات JAR، يتم تنفيذها بالترتيب وتمرير مسار الملف التنفيذي لها كبارامتر.
بعد تحليل هذا الجزء توصّلت إلى أنه متعلق بالثغرة الأمنية التي تحمل الرقم: CVE-2012-0507
وفيما يلي ملخّص جيد لقراءة المزيد من التفاصيل عن آلية عملها.
أغلب الظن أن الملف الذي تم تحميله وتنفيذه عبارة عن Trojan horse، ولمن يود التأكد يمكنه وضعه تحت IDA أو منقّحه المفضّل :)
الجزء الخبيث الآخر، يقوم بالاعتماد على PluginDetect.js وهو class مكتوب لتحديد فيما إذا كان الزائر يملك AdobeReader, Flash, QuickTime, … etc مع تحديد الإصدار.
يجري استغلال ثغرات مختلفة في AdobeReader, Flash, QuickTime, Shockwave لإصابة جهاز الزائر، ويتم إرسال إحصائيات حول الإصابات إلى صفحة: hxxp://traff-hits4322.in/log.php مع بضعة بارامترات مختلفة لتحديد الإصدارات الموجودة لدى الزائر الذي تمت إصابته.
لن أقوم بنشر روابط الملفات الخبيثة التي تحاول استغلال هذه الثغرات كي لا يتعرض أحد ما للأذى بطريق الخطأ.
أدعو جميع من يشعر بأن جهازه قد تعرّض للإصابة، أو يود أن يتق شر الإصابة، إلى القيام بتثبيت آخر إصدارات من مشغلات الملتميديا آنفة الذكر، Flash player, QuickTime player, Shockwave player وبالطبع آخر إصدار من Adobe Reader أو استبداله بقارئ PDF آخر مثل Foxit Reader; ولا ننسى آخر إصدار من Java Runtime Environment.
طبعاً بالإضافة إلى ما سبق، يجب المسارعة لتثبيت وتحديث مضاد فيروسات تثقون به، وإجراء عملية فحص كامل للقرص الذي يحمل ملفات النظام.