Niedawno pojawił się kolejny robak przesyłany, między innymi, poprzez popularny komunikator – Gadu Gadu. Wykorzystuje on typowe dla malware techniki. W dalszej części newsa postaram się przybliżyć Państwu działanie robaka.
Robak wykorzystuje JS do wykrycia wersji systemu Windows (znanych jest jego kilka różnych mutacji). Następnie, w zależności od wersji systemu, wykorzystuje popularne exploity. W przypadku Windows XP z dodatkiem SP2 są to exploit wykorzystujący popularne MDAC (Mircosoft Data Access Components), dokładniej komponent RDS Remote Data Service oraz exploit wykorzystujący błąd w kontrolce WebViewFolderIcon.WebViewFolderIcon.1.
W przypadku systemu Windows XP bez dodatku Service Pack 2, wykorzystywane jest także tzw. zmodyfikowane “dynsrc” +”.innerHTML” exploit (download pliku do tymczasowego katalogu (Temporary Internet Files), a następnie przy wykorzystaniu starego nazewnictwa ścieżek (c:\windows\tempor~1\), wykonanie kodu na komputerze ofiary.
Robak wykrada informacje z komputera ofiary, przesyła spam, wysyła wiadomości do użytkowników GG znajdujących się na liście kontaktów ofiary. Nie wykorzystuje luk 0-day, co oznacza, że aktualizacje bezpieczeństwa powinny pomóc. Obecnie robak nie ma możliwości ataku poprzez inne przeglądarki niż IE – wynika to z analizy kodu źródłowego robaka. Poddaliśmy RE kilka plików wykonywalnych wykorzystywanych przez robaka.
Otrzymujemy jednakże informacje o rzekomych atakach na przeglądarki FF oraz Operę, nie możemy jednakże, na podstawie dotychczasowych informacji, tego potwierdzić.
Najpopularniejsza mutacja robaka wykorzystuje pliki konfiguracyjne GG config.dat, smseab.dat) do rozprzestrzeniania się. Kolejna mutacja robaka wykorzystuje także pocztę elektroniczną. Prosimy o raportowanie otrzymanych linków, które są nieznane i/lub wyglądają podejrzanie. Prosimy także o informacje dotyczące pojawienia się (ewentualnego pojawienia się) mutacji wykorzystującej lukę w FF lub Operze. Nasz adres:
labs(at)hack(dot)pl.
News będzie uaktualniany – dzięki Waszej współpracy/pomocy, będziemy mogli
dokładniej opisać wszelakie mutacje:
AKTUALIZACJA 1:
Otrzymaliśmy informację, że jedna z wersji robaka wykorzystuje lukę w pluginie do obsługi WMP w FF. Za informację pragniemy podziękować Panu Piotrowi Kazimierskiemu.
Informacja nie została jeszcze potwierdzona.
AKTUALIZACJA 2:
Oto mniej popularne/znane linki przesyłane za pomocą Gadu-Gadu przesłane nam przez Pana Łukasza Dróżkę. Niektóre z nich mogą prowadzić do innych robaków, linki nie zostały jeszcze zweryfikowane. Apelujemy jednak o nieotwieranie podejrzanych linków.
http://album.e-designweb.com/album13868.php
www.naturallivingmag.net/img12184.jpg
www.yojane.com/img16534.jpg
INFORMACJA 1:
W związku z pytaniami dotyczącymi Google . Link “www.google.pl” nie niesie sam ze sobą zagrożenia. Warto jednak pamiętać o tym, że można odpowiednio spreparować link tak, aby prowadził do innej strony. Poniżej przykład:
http://www.google.com/url?q=%68%74%74%70%3A//%77%77%77%2e%68%61%63%6B%2e%70%6C
