De siste dagene har det vært en økning i spam som har forsøkt å spre en trojaner ved filnavnet "get_flash_update.exe". Angriperne forsøker å friste brukere til å følge lenker i e-post relatert til sjokkerende nyheter og videosnutter, og en av de siste variantene av denne e-posten utgir seg for å være en daglig oppdatering av de siste nyhetene fra CNN:
Følger man en av disse lenkene kommer man til et nettsted som viser en tom "video-boks", samt en beskjed om at ny versjon av Flash må lastes ned og installeres - get_flash_update.exe. Dette er selvsagt ikke Flash!
Exploitpakke:
I tillegg til den overbevisende meldingen vil det bli kjørt flere exploits mot nettleseren i bakgrunnen. Det vil bli forsøkt utnyttet svakheter i følgende komponenter:
Microsoft Office Snapshot Viewer ActiveX
Real Player rmoc3260.dll ActiveX Control
WebViewFolderIcon
Microsoft Internet Explorer Msdds.dll (IE 6)
GOM Player 2.1.6.3499 GomWeb Control
Internet Explorer MDAC MS06-014
NCTAudioFile2 SetFormatLikeSample ActiveX
America Online SuperBuddy ActiveX Control
Hva gjør get_flash_update.exe?
Den siste varianten vi har sett på (MD5: dabb5a9b431c88c77281bcf1158a9879), har dessverre ikke god dekning på VirusTotal (detektert av 19/36), men trojaneren blir gjenkjent som Trojan-Downloader.Win32.Exchanger.jt av enkelte AV-produkter.
Når get_flash_update.exe blir eksekvert vil det bli droppet en fil ved navn CbEvtSvc.exe under %System32%-katalogen på systemet. I tillegg vil det bli opprettet en ny service ved navnet CbEvtSvc som vil bli startet automatisk ved boot. CbEvtSvc-servicen er ikke spesielt godt skjult på systemet, og kan enkelt finnes igjen ved å sjekke Control Panel -> Administrative Tools -> Services. I tillegg vil CbEvtSvc-prosessen være synlig i Windows Task Manager.
Kommunikasjon mot C&C:
Litt mer interessant er det å se på hvordan CbEvtSvc kommuniserer med sin C&C-node. Tidligere versjoner av denne trojaneren (MD5: 826d8bf46dae92264827c27886cc619a) har kommunisert mot 72.9.98.234 port 80/tcp (EZZI.NET), med forspørsler som "POST /ldrctl/ldrctl.php". Det typiske svaret på disse forespørslene er en liste over filer som skal lastes ned og eksekveres. Disse filene har blitt hentet ned fra 78.109.19.50 port 80/tcp (sasha, UA).
Den siste varianten vi har sett kommuniserer med C&C på 66.199.231.178 port 443/tcp (EZZI.NET), over HTTPS. Ved å bruke verktøy som oSpy kan vi bekrefte at kommunikasjonen mot C&C er den samme, og at listen over filer som skal hentes ned og eksekveres tilsvarer det vi har sett med tidligere varianter av denne trojaneren.
Hva blir lastet ned og eksekvert?
For øyeblikket blir det lastet ned to filer; install.exe og 04scan.exe.
04scan.exe er en installer for Antivirus XP 2008 - et falskt antivirus-produkt som forsøker å lure brukeren til å kjøpe produktet ved å vise falske meldinger om infiserte filer. Vi har skrevet om tilsvarende "produkter" i tidligere innlegg. Denne typen malware blir for tiden, mer eller mindre, alltid installert på infiserte PC'er, i tillegg til andre malware-komponenter.
install.exe (MD5: 831e11da49fee6b692d009b8f71822cf) derimot er en mer interessant fil. Deteksjonen på denne filen er heller ikke god (detektert av 15/36), men blir gjenkjent som en Rustock-variant.
Rustock er et svært avansert rootkit og spambot, og kan være vanskelig å oppdage på et kompromittert system. Rustock injecter sin "usermode"-del (spambot'en) i services.exe og kommuniserer kryptert mot følgende C&C på port 80/tcp:
208.72.168.191
davis-service.org
davis-service.asia
invtoworld.info
invtoworld.biz
satisfiedinvestors.com
Samtlige av disse domenene resolver for øyeblikket til 208.72.168.191 (McColo Corporation, US).
Verktøy som GMER kan benyttes for å oppdage og fjerne denne typen rootkit.
Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.
tirsdag 5. august 2008
Malware spam
Abonner på:
Legg inn kommentarer (Atom)
Ingen kommentarer:
Legg inn en kommentar