Multiple Browsers DoS by evil javascript code

Sunday, April 06, 2008

Multiple Browsers DoS by Lostmon


Tested in windows with IE7,IE8,Mozilla Firefox,Avant browser,
Flock Browser,Safari browser, Opera Browser aparently is
not vulnerable.

In all cases the browser become slow & unresponsive and
aplication is hang, resulting in a recoverable DoS issue.
The code play with the document.href ,window.open.

I decide to ofuscate the code to dificult others to look.

Internet Explorer:
Aplicación que no responde: iexplore.exe, versión 8.0.6001.17184,
módulo que no responde hungapp, versión 0.0.0.0, dirección
que no responde 0x00000000.

In ie 8 i have surprised, because if we open the exploit localy
from the desktop for example ... and we allow the activex warnnig
and allow popups , iexplorer opens a window with the contentcof c:\

I have surprised because the url(location.href) relative in the
exploit wen we open from desktop is C:\documents and
settings\YOUR_USER\desktop\browser_die.html

so why explorer opens a window with c:\ .. this is a incorrect
location.href location....

Flock Browser:

Aplicación que no responde: flock.exe, versión 1.1.1.0,
módulo que no responde hungapp, versión 0.0.0.0, dirección
que no responde 0x00000000.

Mozilla Firefox:
Aplicación que no responde: firefox.exe, versión 1.8.20080.31114,
módulo que no responde hungapp, versión 0.0.0.0, dirección que
no responde 0x00000000.


Avant Browser:
Aplicación que no responde: avant.exe, versión 11.5.0.0,
módulo que no responde hungapp, versión 0.0.0.0,
dirección que no responde 0x00000000.

In avant browser if we have on the popups blocker the browser
become unresposive in a few seconds , if wen don´t have on,
the browser detect that this is a slow script, but become hang too.

Safari For windows:

In safari for windows ,if we have open a window with google
for example,and open the exploit in a new safari window with
the exploit an click in the button,safari opens a few popups,
and aftter close all popups and close of other windows.
too the first window what open with google :O

Demo of exploit:



Thnx to imydes from www.imydes.com for his support.

Atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://Lostmon.blogspot.com
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente...

Gusanito.exe descarga troyano bancario y conecta a irc

Wednesday, March 12, 2008
########################################################
Gusanito.exe descarga troyano bancario y conecta a irc
Articulo original:http://lostmon.blogspot.com/2008/03/
gusanitoexe-descarga-troyano-bancario-y.html
########################################################

Hoy me llego un nuevo intento de pishing disfrazado
con una targeta de gusanito.com.

Despues de un leve estudio sobre el mismo descubro que
el link de la targeta lleva a la descarga directa de
un archivo llamado "gusanito.exe".

##########################
imagen del mail
##########################


Me descargo el ejecutable y despues de analizar el
archivo , me sorprendo por lo poco escondido que
esta en si el intento de fraude.

###########################
Imagen cabeceras mail
###########################


Si el usuario incauto descargo y ejecuto, ya que
se esconde bajo el incono de un dibujo, el archivo
esconde un troyano bancario llamado winmedia.exe
el troyano es Trojan-Spy.Win32.Banker.anv o alguna
de sus variantes su informacion puede consultarse aqui:

http://www.viruslist.com/en/viruses/encyclopedia?virusid=105552


Si observamos el codigo en hexa del ejecutable "gusanito.exe"
encontramos varias cosas curiosas:

La ruta donde el el atacante a compilado su proyecto asi
como el nombre de usuario con el que se haya logeado en su
maquina.

C : \ D o c u m e n t s a n d S e t t i n g s \ h u g o \
E s c r i t o r i o \ H u g o T o o l s F I N A L I S I M O
3 . 0 \ H u g o T o o l s \ D R O N E S \ P r o y e c t o 1 . v b p

Entre el codigo tambien se ve que interactua con MSN ,obteniendo
la lista de contactos y mandando in mensage a los contactos con varios
mensages distintos, imitando alguna de los tipicos virus de msn
con los mensages , mira estas fotos o mira este video hermoso hermoso
hermoso entre otras (en el archivo hexa pueden verse claramente)

lanzando asi la url para el usuario victima junto con la frase.

#########################################
imagen clave msn y imagen frases msn
#########################################




#############################################
Imagen link descarga y clave registro windows
###############################################


Ademas , se establece una conexion al servidor ccpower.com.mx
por irc con un nick Drone??? donde ??? son numeros aleatorios
y entrando al canal #banamex donde de los casi 400 usuarios
del canal ,el 90% son victimas infectadas.

#############################
conexion irc
#############################


Es desde este canal desde donde se manejan a los usuarios
victima ,pasando por el canal las direcciones de email
de los contanctos de las victimas y obteniendo los datos
que hayan podido ser capturados por el atacante , bien sea
por el troyano o bien sea por las funciones de keyloger
que posee el ejecutable.

############################################
Imagen vista irc
############################################



ni que decir tiene que fuy baneado de su irc ...
creo que no tienen sentido del humor XDDDD

La proteccion es la misma de siempre, no descargar
archivos desde fuentes no fidelignas,

Tener el antivirus actualizado

Y NO EJECUTAR NADA SIN SABER QUE ES Y SIN HABERLE
PASADO ANTES UN ANTIVIRUS !!!!!!!

################################
Analisis automatico del archivo
(gracias a Jose luis)
################################

Un examen automático da esto:

Intenta replicarse a través de una red.

Se copia en la carpeta de Windows:

C:\Windows\WinMedia.exe

Crea o modifica las siguientes entradas del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IpInIp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\IASSDO
EnableFileTracing = 0x00000000
EnableConsoleTracing = 0x00000000
FileTracingMask = 0xFFFF0000
ConsoleTracingMask = 0xFFFF0000
MaxFileSize = 0x00100000
FileDirectory = "%windir%\tracing"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SystemMigration = "%Windir%\WinMedia.exe"

Se intenta conectar a la siguiente dirección:

irc.ccpower.com.mx

Se conecta y envía los siguientes datos:

USER nomail@nomail.com localhost9195 irc.ccpower.com.mx :botitooo
NICK Drone-919-5
JOIN :#banamex
PONG :response
PONG ::+i
PONG :list.
PONG ::.VERSION.
PONG ::.status
PONG ::.id
PONG ::.stats
PONG ::.uptime
PONG :PROCESS_NAME_TO_TERMINATE
PONG ::.ident
PONG ::.keylog
PONG ::.httpserver
PONG :50
PONG :-r
PONG :60
USER nomail@nomail.com localhost11606 irc.ccpower.com.mx :botitooo
NICK Drone-1160-6


#################€nd#####################

Thnx to Jose Luis from http://www.vsantivirus.com
por el analisis automatico, su paciencia y ayuda :)

Thnx to estrella to be my ligth
Thnx To FalconDeOro for his support
Thnx To Imydes From http://www.imydes.com

--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....

bcoos /mysections/ratefile.php lid variable SQL injection

Thursday, February 07, 2008
############################################
bcoos /mysections/ratefile.php lid variable SQL injection
vendor url: http://www.bcoops.net
Advisore: http://lostmon.blogspot.com/2008/02/
bcoos-mysectionsratefilephp-lid.html
vendor notify:NO exploits available: YES
############################################

bcoos is content-community management system written in PHP-MySQL.

bcoops contains a flaw that may allow an attacker to carry out
an SQL injection attack. The issue is due to the script not
properly sanitizing user-supplied input to the 'lid' variable,
and adresses/ratefile.php script.This may allow an attacker to
inject or manipulate SQL queries in the backend database.



#################
Versions:
#################

bcoops =< 1.0.11 vulnerable

#################
Solution:
#################

No solution at this time !!!
Also you can try to edit the source code and
put this code to mitigate 'union' injection:

open modules/mysections/ratefile.php

arround line 76 found this code:

exit();
} else {

you can change for:

exit();
}
if (eregi("%20union%20", $lid) ||eregi(" union ", $lid) || eregi("\*union\*", $lid) || eregi("\+union\+", $lid) || eregi("\*", $lid))
{
echo "<br /><br /><div style=\"text-align: center;\"><big>This SQL injection is patched Now !!!</big></div><br /><br />";
redirect_header("index.php");
die();
}
else {

And now this union sql attack is patched :D

#################
Timeline:
#################

Discovered:31-01-2008
vendor notify:--------
vendor response:-------
disclosure:07-02-2008


#################
SQL intection:
#################


http://localhost/modules/mysections/ratefile.php?lid=
-99%20UNION%20SELECT%20pass%20FROM%20bcoops_users%20LIMIT%201



#######################€nd##############################



Thnx to estrella to be my ligth
Thnx To FalconDeOro for his support
Thnx To Imydes From http://www.imydes.com

--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....

bcoos & E-xoops DevTracker module two variables XSS

Monday, February 04, 2008
############################################
bcoos& E-xoops DevTracker module two variables XSS
vendor url: http://www.bcoos.net
Vendor url: http://www.e-xoops.com
Advisore: http://lostmon.blogspot.com/2008/02/
bcoos-and-e-xoops-devtracker-module-two.html
vendor notify:yes exploits available: YES
############################################



bcoos and E-xoops are two content-community management
system written in PHP-MySQL.

bcoos and E-xoops contains a flaw that allows a remote
cross site scripting attack.This flaw exists because the
application does not validate 'order_by' & 'direction'
variables upon submission to 'index.php' script in
DevTracker module.This could allow a user to create a
specially crafted URL that would execute arbitrary code
in a user's browser within the trust relationship
between the browser and the server,leading loss ofintegrity



#################
Versions:
#################

bcoos =< 1.1.11 DevTracker (¿ 3.0 ?)
E-xoops =< 1.0.8 DevTracker v0.20

And posible early versions with this module instaled.

Here you have a src reference for
E-xoops 1.0.8 http://phpxref.com/xref/exoops/nav.html


#################
Solution:
#################

No solution available at this time
Try to edit the source code.


#################
Timeline:
#################

Discovered:01-02-2008
vendor notify:03-02-2008
vendor response:-------
disclosure:04-02-2007

#############
Examples
#############

http://[victim]/modules/devtracker/index.php?proj_id=1&order_by=
priority&direction=ASCquot;><script>alert()</script>

http://[Victim]/modules/devtracker/index.php?proj_id=1
&order_by=priorityquot;><script>alert()</script>
&direction=ASC


#######################€nd###################



Thnx to estrella to be my ligth
Thnx To FalconDeOro for his support
Thnx To Imydes From http://www.imydes.com

Atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
 

Browse

About:Me

My blog:http://lostmon.blogspot.com
Mail:Lostmon@gmail.com
Lostmon Google group
Lostmon@googlegroups.com

La curiosidad es lo que hace
mover la mente...

Friends