2 июля 2009 Никакой Комментарий 2 July 2009 No Comment

Ранее сегодня, Тенденция, Микро Технический Менеджер по работе с заказчиками Файорэвэйнт Суза в Бразилии определил (потенциально вредный) URL, который переадресовывает пользователей от места области Наиболее выгодной покупки.Earlier today, Trend Micro Technical Account Manager Fioravante Souza in Brazil spotted a (potentially harmful) URL that redirects users from the Best Buy domain site.

Пользователи, которые посещают www.bestbuy.com, как это оказывается, переадресованы к URL, hxxp://pics.bubbled.cn/gallery/hardcore/? 23c4f60c1b9f604d6ffb21cba599301f. Поставившая под угрозу страница в области, как находят, является целевой страницей, где посетители могут выбрать язык, который будет использоваться, поскольку они рассматривают в месте. Научный руководитель угрозы Иван Макалинтал далее идентифицирует это, гео-IP проверка происходит до показа упомянутой целевой страницы. Users who visit www.bestbuy.com, as it turns out, are redirected to the URL, hxxp:// pics.bubbled.cn/gallery/hardcore/?23c4f60c1b9f604d6ffb21cba599301f. The compromised page in the domain is found to be the landing page where visitors can choose the language to be used as they browse within the site. Threat Research Manager Ivan Macalintal further identifies that a GEO-IP check happens prior to displaying the said landing page.

“Если IP требования из области Латинской Америки (LAR), пользователи переадресованы к, 'выбирают английскую или испанскую’ страницу — и затем лото!” Макэлинтэл говорит.“If (the) requesting IP is from the Latin America Region (LAR), users are redirected to the ‘choose English or Spanish’ page—and then bingo!” Macalintal says.

Ниже скриншот целевой страницы и ее исходного кода:Below is a screenshot of the landing page and its source code:

Рисунок 1: “языковая целевая страница” выбора в месте области Наиболее выгодной покупки. Эта страница, как находят, показывает, только если требование IPwww.bestbuy.com от LAR. Figure 1: The “language option” landing page in the Best Buy domain site. This page is found to display only if the requesting IPwww.bestbuy.com is from LAR.

Рисунок 2: исходный код целевой страницы. Это показывает искаженный набор кодекса, найденного у основания подлинника, ясного признака кодовой путаницы. Ниже путаницы с 3 слоями iframe переадресовывает пользователя к Luckysploit-загруженному месту. Веб-комплект деяния Luckysploit и замеченная путаница напоминают о найденном в Gumblar. Figure 2: The source code of the landing page. It shows a garbled set of code found at the bottom of the script, a clear sign of code obfuscation. Beneath a 3-layer obfuscation, an iframe redirects the user to a Luckysploit-laden site. The Luckysploit web exploit kit and the obfuscation seen is reminiscent of that found in Gumblar.

Рисунок 3: скриншот WHOIS.CN места, заявляя, что это было создано только последнее 4 июня 2009. Figure 3: WHOIS screenshot of the .CN site stating that it has been created just last June 4, 2009.

Те же самые старые преступникиSame old criminals

Рисунок 4: Дальнейшее исследование показывает, что первый.CN сайт фактически расположен в Германии и использован нападавшими в Украине. Будьте достаточны, чтобы сказать, Russkranians - преступники еще раз. Figure 4: Further investigation shows that the first .CN site is actually located in Germany and is used by attackers in Ukraine. Suffice to say, the Russkranians are the culprits once again.

Наиболее выгодной покупке сообщили об упомянутых переназначениях URL и решает вопрос с этого письма. Best Buy has been informed of the said URL redirections and is resolving the matter as of this writing.

Больше информации, чтобы следовать.More information to follow.

Наконечник шляпы Продвинутому Исследователю Угрозы Полу Фергюсону для того, чтобы предоставить больше информации.Hat tip to Advanced Threat Researcher Paul Ferguson for providing more information.

Почта от: TrendLabs | Блог Malware - Микро ТенденциейPost from: TrendLabs | Malware Blog - by Trend Micro

Gumblar Вторгается в Наиболее выгодную покупкуGumblar Invades Best Buy