Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 26. august 2008

Malvertising på no.msn.com

Da har vi dessverre fått nok et gjensyn med ondsinnede reklameannonser, og denne gangen blir de servert fra hovedsiden på no.msn.com - et nettsted som svært mange Internet Explorer-brukere har som sin startside.

Oppdatering 2008.08.27 13:30:
Den ondsinnede banner-annonsen har nå blitt fjernet fra nettstedet.



Disse banner-annonsene har forsøkt å utnytte sårbarheter i eldre versjoner av Adobe Flash, og på den måten forsøkt å spre en trojaner kjent som Virtumonde/Vundo.

NB: Vi gjør oppmerksom på at brukeren ikke trenger å klikke på annonsen for å bli infisert!

De sårbare versjonene av Flash er som følger:

Adobe Flash 9.0.16
Adobe Flash 9.0.28
Adobe Flash 9.0.45
Adobe Flash 9.0.47
Adobe Flash 9.0.115

Siste versjon, 9.0.124, ser ikke ut til å være sårbar for dette angrepet.

Vi har skrevet om tilsvarende angrep tidligere, og dette angrepet utnytter de samme svakhetene. Vi vil oppfordre alle om å sjekke hvilken versjon av Flash som er installert, og sørge for å holde denne oppdatert.

Se Version test for Adobe Flash Player for å sjekke din versjon.

De ondsinnede banner-annonsene blir servert fra bannersrotator.com (82.98.193.165) med en redirect innom stl.0ups.com (82.98.193.166).

Ved vellykket eksekvering av exploit blir det lastet ned trojaner fra 92.62.101.13.

Når trojaneren (41aa2979669cf968802bfcffb5ea9fc0) kjøres vil den forsøke å kontakte C&C på:

x1.usawindowsupdates.com (85.17.143.213), port 80/tcp.

En tidligere versjon (77520ac004598bf5f22b41623fd54816) forsøker å kontakte C&C på:

x1.mswindowsupdates.com (82.98.193.167), port 80/tcp.

Anbefalinger:
Sørg for å oppdatere til siste versjon av Adobe Flash.
Logg og blokker trafikk mot 82.98.193.167 og 85.17.143.213, da aktivitet mot disse er tegn på infiserte klienter.
I tillegg bør det blokkeres trafikk mot bannersrotator.com (82.98.193.165) og 92.62.101.13.

tirsdag 5. august 2008

Malware spam

De siste dagene har det vært en økning i spam som har forsøkt å spre en trojaner ved filnavnet "get_flash_update.exe". Angriperne forsøker å friste brukere til å følge lenker i e-post relatert til sjokkerende nyheter og videosnutter, og en av de siste variantene av denne e-posten utgir seg for å være en daglig oppdatering av de siste nyhetene fra CNN:



Følger man en av disse lenkene kommer man til et nettsted som viser en tom "video-boks", samt en beskjed om at ny versjon av Flash må lastes ned og installeres - get_flash_update.exe. Dette er selvsagt ikke Flash!



Exploitpakke:
I tillegg til den overbevisende meldingen vil det bli kjørt flere exploits mot nettleseren i bakgrunnen. Det vil bli forsøkt utnyttet svakheter i følgende komponenter:

Microsoft Office Snapshot Viewer ActiveX
Real Player rmoc3260.dll ActiveX Control
WebViewFolderIcon
Microsoft Internet Explorer Msdds.dll (IE 6)
GOM Player 2.1.6.3499 GomWeb Control
Internet Explorer MDAC MS06-014
NCTAudioFile2 SetFormatLikeSample ActiveX
America Online SuperBuddy ActiveX Control

Hva gjør get_flash_update.exe?
Den siste varianten vi har sett på (MD5: dabb5a9b431c88c77281bcf1158a9879), har dessverre ikke god dekning på VirusTotal (detektert av 19/36), men trojaneren blir gjenkjent som Trojan-Downloader.Win32.Exchanger.jt av enkelte AV-produkter.

Når get_flash_update.exe blir eksekvert vil det bli droppet en fil ved navn CbEvtSvc.exe under %System32%-katalogen på systemet. I tillegg vil det bli opprettet en ny service ved navnet CbEvtSvc som vil bli startet automatisk ved boot. CbEvtSvc-servicen er ikke spesielt godt skjult på systemet, og kan enkelt finnes igjen ved å sjekke Control Panel -> Administrative Tools -> Services. I tillegg vil CbEvtSvc-prosessen være synlig i Windows Task Manager.




Kommunikasjon mot C&C:
Litt mer interessant er det å se på hvordan CbEvtSvc kommuniserer med sin C&C-node. Tidligere versjoner av denne trojaneren (MD5: 826d8bf46dae92264827c27886cc619a) har kommunisert mot 72.9.98.234 port 80/tcp (EZZI.NET), med forspørsler som "POST /ldrctl/ldrctl.php". Det typiske svaret på disse forespørslene er en liste over filer som skal lastes ned og eksekveres. Disse filene har blitt hentet ned fra 78.109.19.50 port 80/tcp (sasha, UA).

Den siste varianten vi har sett kommuniserer med C&C på 66.199.231.178 port 443/tcp (EZZI.NET), over HTTPS. Ved å bruke verktøy som oSpy kan vi bekrefte at kommunikasjonen mot C&C er den samme, og at listen over filer som skal hentes ned og eksekveres tilsvarer det vi har sett med tidligere varianter av denne trojaneren.





Hva blir lastet ned og eksekvert?
For øyeblikket blir det lastet ned to filer; install.exe og 04scan.exe.

04scan.exe er en installer for Antivirus XP 2008 - et falskt antivirus-produkt som forsøker å lure brukeren til å kjøpe produktet ved å vise falske meldinger om infiserte filer. Vi har skrevet om tilsvarende "produkter" i tidligere innlegg. Denne typen malware blir for tiden, mer eller mindre, alltid installert på infiserte PC'er, i tillegg til andre malware-komponenter.



install.exe (MD5: 831e11da49fee6b692d009b8f71822cf) derimot er en mer interessant fil. Deteksjonen på denne filen er heller ikke god (detektert av 15/36), men blir gjenkjent som en Rustock-variant.

Rustock er et svært avansert rootkit og spambot, og kan være vanskelig å oppdage på et kompromittert system. Rustock injecter sin "usermode"-del (spambot'en) i services.exe og kommuniserer kryptert mot følgende C&C på port 80/tcp:

208.72.168.191
davis-service.org
davis-service.asia
invtoworld.info
invtoworld.biz
satisfiedinvestors.com

Samtlige av disse domenene resolver for øyeblikket til 208.72.168.191 (McColo Corporation, US).
Verktøy som GMER kan benyttes for å oppdage og fjerne denne typen rootkit.

 
>