Verdächtige .jar Datei

#0
08.11.2010, 23:09
Member

Beiträge: 14
#1 edit: DIE LINKS NICHT EINFACH ANKLICKEN!


Ich bekam gerade über ICQ von einem unbekannten diesen Link:

hxxp:/ /tinyurl.com/003foto

Der löst auf nach:

hxxp:// kissyou.ws/x/max/1026/name.jar

Das interessante ist, wenn man mit einem User-Agent-String wie von Firefox 3.6 oder 4.0 sowie dem IE 6, 7 oder 8 sowie Opera, usw die Seite aufruft, wird man mittels einem 302 auf ein normales JPG umgeleitet (getestet mit web-sniffer.net).

Schaltet man aber auf "kein User-Agent", dann bekommt man die JAR Datei. Vielleicht soll so verhindert werden, dass die Datei an neue Browser ausgeliefert wird, die die vermutlich auszunutzende Schwachstelle nicht aufweisen. Ich frage mich aber, welche Browser das sein sollen. wenn IE 6-8 sowie Firefox 3/4 und Opera nicht darunter fallen.

Ich habe die Datei nicht runtergeladen, aber vielleicht möchte sich die mal wer angucken... ich fands recht interessant, dass nur bestimmte Browser die Datei auch angeboten kriegen.
Seitenanfang Seitenende
09.11.2010, 00:41
Member
Avatar Xeper

Beiträge: 5291
#2 Scheint irgendein drive-by exploit zu sein, mit autorun und 3 classes + irgendwelchen anderen Dateien, aber bin Faul und werd das jetz net rev-engeneering mäßig dran nehmen.

Schick das doch mal zu nem AV Hersteller.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
09.11.2010, 08:13
Member

Themenstarter

Beiträge: 14
#3 Ja, werd ich später mal versuchen. Nur kommt man gar nicht so einfach an die Datei ran, wegen des Browsertests. Mit wget sollte es aber gehen.
Seitenanfang Seitenende
09.11.2010, 11:33
Member
Avatar Xeper

Beiträge: 5291
#4 So hab ich das au gezogen... ;)
Ich denke mal nicht das es eine Weiterleitung ist, sondern einfach die selbe Datei aber umbenannt - vermutlich wird hier der Browser ausgenutzt ja nach dem mit was für ne Lücke er behaftet ist.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
09.11.2010, 18:53
Member

Themenstarter

Beiträge: 14
#5 Doch, ist eine Weiterleitung, sieht man im HTTP-Header. 302 -> Temporarily removed oder so. Und das verweist dann auf dieses Bild: hxxp://pipca.2bb.ru/uploads/0000/2b/69/130248-1-f.jpg (achtung, nicht im Büro angucken ;)).

Hab die Datei mal mittels Jotti.org geprüft und einige Scanner melden einen Trojaner, der wohl auf Smart Phones oder Handies läuft: Jifake. Ich denke deswegen wird nach User-Agent unterschieden, damit nur Handy-Browser die Schadsoftware kriegen.

Mir ist zwar nicht ganz klar wieso, aber vielleicht will man verhindern dass die URL zu schnell gemeldet wird.


edit: Hab die Datei mit kurzer Erklärung mal an Kaspersky geschickt, deren Scanner erkennt das Virus nicht. Vielleicht auch gewollt, da kein PC-Schädling.
Dieser Beitrag wurde am 09.11.2010 um 19:03 Uhr von buren editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »