Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 26. oktober 2010

nobelpeaceprize.org kompromittert

Nettstedet nobelpeaceprize.org har blitt kompromittert og benyttet til å spre ondsinnet programvare til besøkende.

Vellykket utnyttelse av svakheten fører til at en bakdør, scvhost.txt, blir lastet ned og eksekvert. Til forskjell fra typisk malware som rapporterer tilbake til C&C over HTTP oppretter denne trojaneren en bakdør ved hjelp av et cmd.exe-shell som kobles tilbake til angriperen.

Bakdøren kopierer seg selv til c:\windows\temp\symantec.exe, legger seg inn i Windows Registry som 'Microsoft Windows Update' og forsøker deretter å koble opp bakdøren mot l-3com.dyndns-work.com (eller l-3com.dyndns.tv som nr. 2), på port 443/tcp.

l-3com.dyndns-work.com 60   IN A  140.113.40.206
l-3com.dyndns.tv       60   IN A  140.113.40.206

AS      | IP               | CC | AS Name
9916    | 140.113.40.206   | TW | NCTU-TW National Chiao Tung University


Observert aktivitet over denne bakdøren har vært sporadisk, og med innslag av skrivefeil er det mye som tyder på at den videre infeksjonen ikke er automatisert.

Den pågåtte aktiviteten har vært innsamling av informasjon rundt kjørende prosesser, ip-adresser og brukere på systemet.



scvhost.txt har svært dårlig antivirus-deteksjon; ingen av de 41 antivirus-produktene hos VirusTotal reagerte på trojaneren.



Det anbefales å sjekke brannmurlogger for tilkoblinger mot 140.113.40.206 port 443/tcp, da dette er en god indikasjon på vellykket infisering. Trafikk mot samme IP, men kun på port 80/tcp, er en indikasjon på at klient-PC'er kun har blitt forsøkt utnyttet.

Ingen kommentarer:

 
>