Аналіз уразливості “нульового дня” в Microsoft Internet Explorer, Windows, Операційні системи, статті


Якщо браузер відповідає цим вимогам, створюється XML тег. Потім відбувається звернення до Web-серверу, розташованому в Китаї, і на систему скачується файл ko.exe, який починає установку компонентів руткіта.


В даний момент експлоїт завантажує файл ko.exe з IP адреси 59.34.216.222.


За даними VirusTotal файл ko.exe виявляється наступними антивірусами:







































































































































































































Антивірус

Версія

Останнє оновлення

Результат


AhnLab-V3


2008.12.10.0


2008.12.10



AntiVir


7.9.0.43


2008.12.09


TR/Spy.Gen


Authentium


5.1.0.4


2008.12.10


W32/Busky.B.gen!Eldorado


Avast


4.8.1281.0


2008.12.10


Win32:Runner-Z


AVG


8.0.0.199


2008.12.09



BitDefender


7.2


2008.12.10


Rootkit.Agent.AIWN


CAT-QuickHeal


10.00


2008.12.09



ClamAV


0.94.1


2008.12.10



Comodo


713


2008.12.09



DrWeb


4.44.0.09170


2008.12.10


DLOADER.Trojan


eSafe


7.0.17.0


2008.12.09


Suspicious File


eTrust-Vet


31.6.6253


2008.12.10



Ewido


4.0


2008.12.09



F-Prot


4.4.4.56


2008.12.09


W32/Busky.B.gen!Eldorado


F-Secure


8.0.14332.0


2008.12.10


Suspicious:W32/Malware!Gemini


Fortinet


3.117.0.0


2008.12.10



GData


19


2008.12.10


Rootkit.Agent.AIWN


Ikarus


T3.1.1.45.0


2008.12.10


Trojan-Dropper.Win32.Agent


K7AntiVirus


7.10.549


2008.12.09



Kaspersky


7.0.0.125


2008.12.10



McAfee


5459


2008.12.09


Downloader-BLE


McAfee+Artemis


5459


2008.12.09


Generic!Artemis


Microsoft


1.4205


2008.12.09


TrojanDownloader:Win32/Small.gen!AO


NOD32


3680


2008.12.10


probably a variant of Win32/TrojanDownloader.Agent.ONB


Norman


5.80.02


2008.12.09



Panda


9.0.0.4


2008.12.09


Suspicious file


PCTools


4.4.2.0


2008.12.09



Prevx1


V2


2008.12.10



Rising


21.07.20.00


2008.12.10


Trojan.Win32.Edog.bh


SecureWeb-Gateway


6.7.6


2008.12.10


Trojan.Spy.Gen


Sophos


4.36.0


2008.12.10


Mal/Behav-009


Sunbelt


3.1.1832.2


2008.12.01



Symantec


10


2008.12.10


Trojan.Dropper


TheHacker


6.3.1.2.182


2008.12.10



TrendMicro


8.700.0.1004


2008.12.10


PAK_Generic.001


VBA32


3.12.8.10


2008.12.09



ViRobot


2008.12.9.1509


2008.12.09



VirusBuster


4.5.11.0


2008.12.09


Trojan.Runner.Gen


Коротко про фото ko.exe

























Додаткові дані про файлі  

розмір: 33280 байт


MD5…: a4f025331518f4ae96915fc55a4f2d38


SHA1..: f67d4f685cf0c4dc968ef514c99f42e6fc17817b


SHA256: d190115e7d289c3691c0108071504fd197efc7dacc26678219844fc687a383a4


SHA512: 08bf105108ac90f08e110f8adcbb4260b523d5a86020faadf9942f47e2c8fefe
34af705e69fa9a80160a46d9b8f7a8239497b941e81cc16b13b14af1d73298cf


ssdeep: 768:q6UvFrkRmnfYNSxE+WpJhUjkeDRmMK2ftkqt/n4X0Gyr:qNgQfYA2+cJqjvN
t+W/1Gyr


PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser


TrID..: File type identification
Win64 Executable Generic (52.5%)
UPX compressed Win32 Executable (18.7%)
Win32 EXE Yoda”s Crypter (16.3%)
Win32 Executable Generic (5.2%)
Win32 Dynamic Link Library (generic) (4.6%)


PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x416540
timedatestamp…..: 0x493e7d0a (Tue Dec 09 14:13:30 2008)
machinetype…….: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xf000 0x8000 0x7800 7.89 736f42ec6ac402b4124df48ed7b7ed89
.rsrc 0x17000 0x1000 0x600 3.14 2223c904b9b1cb84ee9651276f59a40c

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> MSVCRT.dll: atoi
> NETAPI32.dll: Netbios
> PSAPI.DLL: EnumProcessModules
> SHELL32.dll: ShellExecuteA
> SHLWAPI.dll: SHDeleteKeyA
> USER32.dll: wsprintfA


Яким чином захиститися?


В якості тимчасового рішення SecurityLab рекомендує відключити в браузері Active Scripting. Також рекомендуємо заборонити доступ до IP адресою 59.34.216.222, з якого в даний момент відбувається завантаження файлу.


Використання коштів фільтрації вмісту рівня підприємства представляється малоефективною, оскільки висока ймовірність використання методів кодування екплойта за допомогою Javascript. Але нехтувати цією можливістю не варто. Рекомендується зв’язатися з постачальником використовуваних засобів захисту рівня вузла (антивірусу, end-point security) для уточнення наявності у продукті методів запобігання використанню даної уразливості.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*