Emails con virus en ZIPs

[Reboot]

Hola amiguitos.

Hoy he recibido uno de tantos de esos emails que dicen que te envían una factura y en realidad es un virus porque canta la traviata sólo de verlo. Pero hoy ha sido especial (insertar imagen de Ralph) y me he arriesgado a olerle las entrañas a esos ZIPs misteriosos.

He guardado el adjunto y lo he abierto con el Bandizip.

En su interior, un PNG y un JS con el mismo nombre del ZIP.

He descomprimido el JS (si es que me gusta el riesgo) y lo he abierto con el editplus. En su interior un par de invocaciones a unos ActiveX que hacen que te descargues un fichero temporal de un sitio polaco, un certificado de dicho otro sitio, también polaco, y finalmente la orden de ejecución.

No contento con el riesgo ya asumido, me he bajado el fichero al que invoca el JS, de la web polaca... y no he podido  ver mucho más porque en el preciso momento en el que el Firefox trataba de bajarlo, el MSSECES  bloqueaba la descarga y lo metía directamente en cuarentena.

Mi gran pregunta es... ¿Sólo con el hecho de tener un JS en el disco, el Windows lo ejecuta? Si le haces un click, sin ejecutar, solo para señalar, ¿Windows ejecuta el JS?

Y otra pregunta, ¿qué sentido tiene meter un JS en un ZIP? ¿Quién en su sano juicio abriría un JS? ¿O acaso es que el PNG que trae también el ZIP puede usar alguna argucia del sistema para ejecutar el JS por su cuenta? ¿O es que el WinZip que trae incorporado el explorador de windows ejecutaría ese JS al abrir el ZIP?

Lo digo porque hace una semana que he reinstalado el sistema (y ahora va de lujo) y me jodería tener que volver a formatear.

[Niyu]

Yo he visto por ahí triquiñuelas con caracteres de cntrol para esconder la extensión de verdad de un archivo, el PNG podría ser en realidad un ejecutable. Es o unico que se me ocurre, pero no soy un experto en el tema, desde luego.

[Orestes]

Si es una vulnerabilidad del explorador de Windows claro que lo ejecuta. Mira lo que pasó con Stagefright en Android, el usuario no tenía ni que aceptar el MMS ya que la configuración por defecto es que se descarguen y la vulnerabilidad en el rover que recopila los archivos multimedia hacía el resto.

O las consolas. Muchas de ellas sólo necesitaban un juego vulnerable y una partida modificada de la forma necesaria para cargarse sus protecciones.

[Yumichan]

¿No has probado a cambiar el código para que te haga un hola mundo en vez de pedir el fichero ese por remoto?
Por saber si tu win era vulnerable o iba contra una versión concreta.

[Reboot]

(04-08-2017, 08:37 PM)Yumichan escribió: ¿No has probado a cambiar el código para que te haga un hola mundo en vez de pedir el fichero ese por remoto?
Por saber si tu win era vulnerable o iba contra una versión concreta.

Coño, es verdad. Haré que se baje un archivo de mi blog, porque hacer un hola mundo a través de JS con el explorer sistema no tengo ni idea de cómo hacerlo, si fuera un navegador de internet, haría un alert("XXXX") y ya.

---

Bueno, he estado haciendo pruebecillas haciendo al script descargar un activador de windows desde mi web a ver si lo interceptaba el MS security essentials, puesto que los ficheros que se descargaba el script original, bajados con el navegador sí los interceptaba bien, pero no sabía si bajándolos con el JS se iba a dar cuenta.

El caso es que lo descarga, pero cuando lo va a ejecutar salta un aviso de que "la operación requiere elevación" y salta el antivirus. Lo que no sé es si la elevación es porque está saltando el antivirus que ha interceptado el fichero o si es porque el KMS necesita de permisos de administrador para ejecutarse y después, salta el antivirus.

Esto es como las cartas de Magic, ¿es un interrupt o o un instant?

El caso es que el PNG chungo no se puede ver con el visor de archivos y photoshop se niega a reconocerlo y abriéndolo con el editplus se ve que es una imagen de verdad, pero luego lleva un churro de números al final que claramente no es el típico patrón de datos de imagen, sino algo distinto, puede que algún exploit de algún visor de ficheros, que sea el que haga ejecutar el JS.

Pero lo he intentado de todas las maneras posibles y en ningún caso el JS (modificado para ser inocuo, claro) se llega a ejecutar, salvo si le haces doble click.

Así que tema solucionado. Al menos respiro tranquilo ^_^

[Yumichan]

(04-08-2017, 09:46 PM)Reboot escribió:

(04-08-2017, 08:37 PM)Yumichan escribió: ¿No has probado a cambiar el código para que te haga un hola mundo en vez de pedir el fichero ese por remoto?
Por saber si tu win era vulnerable o iba contra una versión concreta.

[...]
El caso es que lo descarga, pero  cuando lo va a ejecutar salta un aviso de que "la operación requiere elevación" y salta el antivirus. Lo que no sé es si la elevación es porque está saltando el antivirus que ha interceptado el fichero o si es porque el KMS necesita de permisos de administrador para ejecutarse y después, salta el antivirus.
[...]

Sube el buscaminas y que se lo baje... u otro exe chorra.

Lo que no me ha quedado claro es lo que has hecho ¿ejecutado el JS, o bien lo has metido en un zip para probar si el visualizador de zips de win tiene una vulnerabilidad que permite aue ejecute el js con el mismo nombre (tipo el fichero de texto ascii art de algunas "medisinas" que vienen en rar/zip)?

[Reboot]

He ejecutado el JS haciendo doble click. Ten en cuenta que una de las primeras cosas que hago al instalar windows es instalar el Bandizip, nada de usar el winzip interno del windows, y éste, por lo menos, ignora por completo el contenido del zip.

Lo de subir un KMS era para comprobar que saltaba el antivirus.