Am 2. Juli 2009 Keine Anmerkung 2 July 2009 No Comment

Früher heute Kauft Tendenz der Technische Mikrokontobetriebsleiter Fioravante Souza in Brasilien entdeckte eine (potenziell schädliche) URL-ADRESSE, die Benutzer vom Besten umadressiert, Bereichsseite.Earlier today, Trend Micro Technical Account Manager Fioravante Souza in Brazil spotted a (potentially harmful) URL that redirects users from the Best Buy domain site.

Benutzer die besuchen www.bestbuy.com, wie es sich herausstellt, werden zur URL-ADRESSE, hxxp://pics.bubbled.cn/gallery/hardcore / umadressiert? 23c4f60c1b9f604d6ffb21cba599301f. Wie man findet, ist die in Verlegenheit gebrachte Seite im Gebiet die Landungsseite, wo Besucher die zu verwendende Sprache wählen können, weil sie innerhalb der Seite durchsuchen. Drohungsforschungsbetriebsleiter Ivan Macalintal identifiziert weiter das eine GEO-IP-Kontrolle geschieht vor dem Anzeigen vorerwähnter landender Seite. Users who visit www.bestbuy.com, as it turns out, are redirected to the URL, hxxp:// pics.bubbled.cn/gallery/hardcore/?23c4f60c1b9f604d6ffb21cba599301f. The compromised page in the domain is found to be the landing page where visitors can choose the language to be used as they browse within the site. Threat Research Manager Ivan Macalintal further identifies that a GEO-IP check happens prior to displaying the said landing page.

"Wenn (die) Frage, die IP vom Gebiet von Lateinamerika (LAR), Benutzer ist, zu umadressiert wird, 'wählen englische oder spanische' Seite - und dann Bingo!" Macalintal sagt.“If (the) requesting IP is from the Latin America Region (LAR), users are redirected to the ‘choose English or Spanish’ page—and then bingo!” Macalintal says.

Unten ist ein Screenshot der Landungsseite und seines Quellcodes:Below is a screenshot of the landing page and its source code:

Abbildung 1: Die "Sprachauswahl" Landung der Seite im Besten Kauft Bereichsseite. Wie man findet, zeigt diese Seite nur, wenn die Frage IPwww.bestbuy.com von LAR ist. Figure 1: The “language option” landing page in the Best Buy domain site. This page is found to display only if the requesting IPwww.bestbuy.com is from LAR.

Abbildung 2: Der Quellcode der Landungsseite. Es zeigt einen wirren Satz des Codes, der an der Unterseite von der Schrift, einem klaren Zeichen der Codeverfinsterung gefunden ist. Unter einer 3-Schichten-Verfinsterung adressiert ein iframe den Benutzer zu einer GeLuckysploit-ladeten Seite um. Der Luckysploit Webgroßtat-Bastelsatz und die gesehene Verfinsterung sind daran erinnernd, das in Gumblar gefunden ist. Figure 2: The source code of the landing page. It shows a garbled set of code found at the bottom of the script, a clear sign of code obfuscation. Beneath a 3-layer obfuscation, an iframe redirects the user to a Luckysploit-laden site. The Luckysploit web exploit kit and the obfuscation seen is reminiscent of that found in Gumblar.

Abbildung 3: Der WHOIS Screenshot der.CN Seite feststellend, dass es gerade letzt am 4. Juni 2009 geschaffen worden ist. Figure 3: WHOIS screenshot of the .CN site stating that it has been created just last June 4, 2009.

Dieselben alten VerbrecherSame old criminals

Abbildung 4: Weitere Untersuchung zeigt, dass die erste.CN Seite wirklich in Deutschland gelegen wird und von Angreifern in der Ukraine verwendet wird. Genügen Sie, um zu sagen, die Russkranians sind die Schuldigen wieder. Figure 4: Further investigation shows that the first .CN site is actually located in Germany and is used by attackers in Ukraine. Suffice to say, the Russkranians are the culprits once again.

Kaufen Sie am besten ist über vorerwähnte URL-ADRESSE-Wiederrichtungen informiert worden und löst die Sache bezüglich dieses Schreibens auf. Best Buy has been informed of the said URL redirections and is resolving the matter as of this writing.

Mehr Information, um zu folgen.More information to follow.

Hut-Tipp dem Fortgeschrittenen Drohungsforscher Paul Ferguson, um mehr Auskunft zu geben.Hat tip to Advanced Threat Researcher Paul Ferguson for providing more information.

Posten von: TrendLabs | Malware Blog - durch die Mikro-TendenzPost from: TrendLabs | Malware Blog - by Trend Micro

Gumblar fällt Ein Am besten KaufenGumblar Invades Best Buy