Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 15. juli 2008

Malvertising fra 247mediadirect

Enkelte bannerannonser er mer uønsket enn andre - og bannere fra 247mediadirect er definitivt en av disse.

Ondsinnede reklameannonser (malvertising) har vært en økende trend dette året, og de siste tilfellene vi har observert har forsøkt å utnytte svakheter i sårbare Flash-installasjoner for å installere trojanere.

Gjennom en annonsedistributør, Zedo, ble det nylig vist en tilsynelatende normal annonse på en Facebook-applikasjon, opprinnelig fra 247mediadirect. Ved nærmere undersøkelse viste det seg at denne annonsen også inneholdt en iframe som pekte videre til en Flash-exploit. Under vises HTML-koden for annonsen som dukket opp hos brukeren:



Her ser vi at det i starten av koden vises et bilde med link, men like etter ser vi en iframe med størrelse 1x1 piksler. Denne iframe'en laster et obfuskert javaskript i bakgrunnen som sjekker hvilken versjon av Flash som er installert, og bruker dette for å videresende deg til en exploit som er skreddersydd for akkurat din nettleser.

Like etter at den skreddersydde exploiten blir lastet ned i bakgrunnen blir payloaden eksekvert, og en trojaner lastes ned og kjøres på systemet.

Disse exploitene er bekreftet å fungere på Windows XP SP2 med Flash 9.0.115 med Internet Explorer 7.0 og Firefox 2.0. Versjon 9.0.124 av Flash var ikke sårbar for dette angrepet.

Hva gjør den
Trojaneren som blir lastet ned og eksekvert på systemet har forholdsvis god antivirus-dekning (oppdaget av 25/33) og blir gjenkjent som Firu og Bohmini.A.

Når trojaneren kjøres kopieres den til \Windows\System32\06sf8UHq.exe (filnavnet er tilfeldig), og det legges til 24 nye oppgaver i "Scheduled Tasks" som gjør at trojaneren blir kjørt rutinemessig. Oppgavene som blir lagt til blir navngitt At1, At2, At3, ..., At24. Se under for eksempel:



Denne trojaneren forsøker også å kontakte følgende IP på port 80/tcp for å C&C-kommunikasjon:

194.126.193.157

Anbefalinger
Det anbefales å sjekke hvilken versjon av Flash man har installert, og sørge for at siste versjon er installert.

For å sjekke hvilken versjon av Flash du har installert kan du besøke denne siden.

Ellers anbefales det å blokkere all tilgang til 247mediadirect.com (202.75.35.72) samt blokkere/logge aktivitet mot 194.126.193.157 for å finne eventuelle infisert klienter.

Lagt inn av Morten Kråkvik kl. 01:10

Ingen kommentarer:

Legg inn en kommentar

Abonner på: Legg inn kommentarer (Atom)
 
>