Die Asus Webseite asus.com wurde laut dem ISC gehackt und ein iFrame zu http://www.ipqwe.com/app/helptop.do?id=ad003 hinzugefügt.
Dieser Link enthält ein JavaScript (http://www.ipqwe.com/app/top/top.js) mit dem ANI exploit.
Nach der Ausführung des Exploits wird die Seite http://www.ipqwe.com/app/cc.do?id=ad003 aufgerufen.
Danach wird das PIG file http://www.ipqwe.com/app/bmw3.pig herunter geladen welches dem Browser den Befehl gibt, Malware unter http://www.yyc8.com/bm/bm3.exe herunter zu laden. Nachdem die Malware installiert wurde, werden die anzustehenden Tasks unter http://208.101.56.102/synctl/tasks/2/task2.413 heruntergeladen und ausgeführt. In meinem Labor versuch wurde meine Testmaschine als Spambot missbraucht um Werbung für OEM Raubkopien zu machen:
220 mi.bfifurniture.com SMTP; Sat, 07 Apr 2007 07:02:38 -0300
HELO static-212-101-19-xxx.adsl.solnet.ch
250 mi.bfifurniture.com Hello
MAIL FROM:
250
RCPT TO:
250
Return-path:
X-Original-To: davelotus@bfifurniture.com
Delivered-To: davelotus@bfifurniture.com
Received: from [212.101.19.xxx] (port=40112 helo=static-212-101-19-xxx.adsl.solnet.ch)
by mi.bfifurniture.com with esmtp
id 168388-168388-56
for davelotus@bfifurniture.com; Sat, 07 Apr 2007 12:02:42 +0100 (EET)
Message-ID: <001d01c7790c$01c7790c$b21365d4@bfifurniture.com>
From: “Tanner”
To: “Chang”
Subject: pc programs
Date: Sat, 07 Apr 2007 12:02:42 +0100 (EET)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_001_001D_01C778FB.E1A43CF0″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
——=_NextPart_001_001D_01C778FB.E1A43CF0
Content-Type: text/plain;
charset=”us-ascii”
Content-Transfer-Encoding: quoted-printable
oh Chang,
——=_NextPart_001_001D_01C778FB.E1A43CF0
Content-Type: text/html;
charset=”us-ascii”
Content-Transfer-Encoding: quoted-printable
——=_NextPart_001_001D_01C778FB.E1A43CF0–
.
