Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Czyżby infekcja po odwiedzeniu zhakowanej strony z exploitem?

pkolasa

Przez pkolasa
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

pkolasa

pkolasa

Opublikowano
Opublikowano

Witam,

 

Być może wszczynam fałszywy alarm, ale chyba lepiej to, niż coś zaniedbać. Dzisiaj znajoma powiedziała mi, że jej ulubione forum (http://www.therasmusfc.com) zostało zhakowane. Tak gdyby to było ważne, to zajrzałem tam z Firefoxa z NoScriptem i efekt (wtedy, teraz już normalnie, po ok. godzinie) był taki:

therasmusfccom.th.png

 

Uważnie się przyglądając, widać że na dole NoScript zablokował jakiegoś Flasha. Sprawdziłem źródło i ten Flash kierował do strony hxxp://www.xp10.com/images/xp10.swf. Ale podejrzane było to, że Flash ten wstawiony był tam techniką iframe o wymiarach 0 pikseli na 0 pikseli. Sprawdzałem ten plik na VirusTotal i wyszło mi wykryć dokładnie 0/43, nie łapało tego nic. Jednak znajoma nie ma Firefoxa z NoScript, a zwykłego Google Chrome. Zastanawiam się czy to nie jest jakiś 0-day i czy coś jej do kompa nie wpłynęło po cichu. Ma zainstalowanego AVG, ale ten milczy. Sprawdziłem jej system tak na szybko przez TDSSKiller (jedna podejrzana rzecz, log dołączam) i Hitmanem Pro 3.6 - log dostępny TUTAJ. I właśnie w sumie to skanowanie mnie lekko zdziwiło. Oprócz wielu plików Tracking Cookie, które wywalił, znalazł on także kilka według niego podejrzanych modyfikacji, wskazujących na pliki:

  • C:\Windows\system32\Shell32.dll (opis - niestety, w logu tego nie ma - wskazywał, jakoby ten plik znalazł się na komputerze 18 dni temu),
  • C:\Windows\System32\ieframe.dll (jak wyżej, według Hitmana plik ten znalazł się na komputerze jakoby 6 dni temu),
  • C:\Windows\SysWOW64\ieframe.dll (także według Hitmana znalazł się on 6 dni temu).

To, co mnie zastanawia - czy to faktycznie coś, czym warto się zająć? Standardowe logi z OTL (bo to Windows 7 Ultimate 64-bit) dołączam do posta.

OTL.Txt

Extras.Txt

TDSSKiller.2.6.24.0_22.12.2011_22.45.11_log.txt

Odnośnik do komentarza
  • 2 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

W raportach brak niepokojących objawów / wpisów świadczących o ingerencji infekcji. System zresztą uzbrojony.

 

 

Uważnie się przyglądając, widać że na dole NoScript zablokował jakiegoś Flasha. Sprawdziłem źródło i ten Flash kierował do strony hxxp://www.xp10.com/images/xp10.swf. Ale podejrzane było to, że Flash ten wstawiony był tam techniką iframe o wymiarach 0 pikseli na 0 pikseli. Sprawdzałem ten plik na VirusTotal i wyszło mi wykryć dokładnie 0/43, nie łapało tego nic.

 

Bardziej specjalizowany pod akcję skaner Wepawet również nie notuje nic ciekawego.

 

 

Hitmanem Pro 3.6 (...) znalazł on także kilka według niego podejrzanych modyfikacji, wskazujących na pliki:
  • C:\Windows\system32\Shell32.dll (opis - niestety, w logu tego nie ma - wskazywał, jakoby ten plik znalazł się na komputerze 18 dni temu),
  • C:\Windows\System32\ieframe.dll (jak wyżej, według Hitmana plik ten znalazł się na komputerze jakoby 6 dni temu),
  • C:\Windows\SysWOW64\ieframe.dll (także według Hitmana znalazł się on 6 dni temu).

 

Te wyniki w Hitman to typ EWS (Early Warning Scoring), nieoczywisty = wymaga ekspertyzy ręcznej. Biorąc jako punkt zaczepienia sumy kontrolne SHA-256 obliczone przez Hitmana:

 

<file path="C:\Windows\SysWOW64\ieframe.dll" hash="E6889926F9409F72744B844456EF1D230A6B07087B0AA9296136292D8A53E6EE">
<file path="C:\Windows\System32\ieframe.dll" hash="D761C613C8BD1B6001EB5A23ABD136F3C3CB3EC7BFA0722343CCFA96FF0E7175">
<file path="C:\Windows\system32\SHELL32.dll" hash="C9C327D879E1C867CA66901AEBEE484D79FAB13E01CDFE373B8803D2303E49D4">

 

Na mojej wirtualnej maszynie x64 przeliczenia SHA-256 (wykonane za pomocą Febooti) są identyczne dla obu wystąpień ieframe.dll. Plik shell32.dll ma u mnie inną sumę, ale uznaję tę z Hitmana za prawdopodobną, gdyż wg wyszukanego raportu Nortona na Google (KLIK) takie SHA-256 pasuje do sygnowanego przez MS pliku w wersji 6.1.7601.17678 (ja mam wersję 6.1.7601.17514).

 

febooti1.th.png

 

Klucze zarejestrowanych bibliotek są prawidłowe. Nie widzę tu nic niepokojącego. Pliki "świeże" = może nastąpiła aktualizacja Windows. W OTL więcej plików MS utworzonych na dniach.

 

 

.

Edytowane przez picasso
13.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...