| RSS



Меню

Bookmark and Share


Календарь
«  Декабрь 2008  »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
293031

Статистика
Ваш IP: 35.168.113.41
Вы используете: v





Сейчас на сайте:

Тех поддержка ->

Облако тэгов
ОС видио Tor Обратная сторона антенна 4.6 PHP Эксплоит Windows Server 2008 qip Virtual chroot kernel proc sysctl tune FreeBSD bridge Boot Disk Bluetooth GEO game directx Emulator Python Shell DDoS червь Conficker вирус троян Лаборатория Касперского пиратство apple iPhone ИТ-отрасль Щеголев Microsoft экономический кризис Twitter социальная сеть анонимность Лицензия Open Source ASP.NET MVC уязвимость MySQL база данных файлообмен закон франция пират Skype мобильный Deutsche Telekom Хакер киберпреступник Trend Micro кибератака Германия робот утечка данных персональные данные ноутбук интернет Китай цензура ядро Linux Торвальдс Windows Vista Acer Linux патент браузер Firefox Internet Explorer Opera Net Applications Safari Intel Linux Foundation Moblin Oracle патч банкомат кардер HSM IBM X-Force Cofee сша кибервойна Эстония Dell ИТ-специалист хакерские атаки Pirate Bay контроль кибербезопасность язык программирования The Pirate Bay Пиратская партия утечка информации приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 Баллмер взлом Пентагон ботнет Украина Facebook Cisco cloud Windows XP нетбук торрент музыка биометрический nokia ФБР IP-адрес CIPAV Comcast sms RSA java Google CAPTCHA Symantec спам конфиденциальная информация инсайдер Perimetrix антивирус тест Anti-Malware Windows 7 операционная система Windows провайдер авторское право RapidShare UNIX свиной грипп шантаж дети EFF BluWiki копирайт экстремизм Panda Security cloud computing McAfee Cybercrime Response Unit Bottle Domains HTTPS ICANN студент шпионское ПО Норвегия школьник New York Times XSS YouTube Warner Music кибершпионаж КНДР Ubuntu свободное ПО AMD ATI касперский Россия РФ сервер хостинг фальшивый антивирус Comodo CA Wi-Fi D-Link суд пароль блог фишинг Одноклассники медведев контрафакт мошенник штраф Sony GPS по Gumblar JAVASCRIPT хакеры вредоносное ПО Yahoo ФАС компьютер Софт MPAA кибероружие PandaLabs Red Hat Минкомсвязи сбой ASUSTeK Computer мошенничество Доктор Веб ВКонтакте Cyber-Arc исходный код PCI DSS МВД фильтр порнография BREIN свобода слова Казахстан GEMA Autodesk сисадмин Gmail кредитная карта кибермошенник LiveJournal шифрование криптография Deep Purple банк нанотехнологии Wikipedia zero-day ColdFusion выборы кража данных DNS BIND Android BASIC атака Black Hat Mac OS X Click Forensics Clampi домен фсб Прокуратура Уголовное дело icq Barrelfish киберпреступность Sophos AT&T ошибка Electa Gamma Knife OpenBSD DARPA военные Сайт Visual Studio 2010 .NET Framework 4 Chrome OS электронная почта турция конференция спамер FTC полиция российская ОС Koobface Великобритания БЕЛОРУССИЯ грузия BSA Bittorrent облачные вычисления Azure Европа Dr.Web Билл Гейтс спецслужбы Cryzip Живой Журнал Royal Bank of Scotland смартфон Canonical Pwn2Own F-Secure Symbian Hotmail фильм

Главная » 2008 » Декабрь » 17 » Анализ уязвимости «нулевого дня» в Microsoft Internet Explorer
08:57
Анализ уязвимости «нулевого дня» в Microsoft Internet Explorer

Эта неделя выдалась для компании Microsoft сложной. Помимо выпуска 8 плановых бюллетеней безопасности, которые устранили 28 уязвимостей, стало известно еще о 3-х уязвимостях, исправления к которым отсутствуют на настоящий момент.

В этой статье мы рассмотрим полученный нами образец вредоносного кода, эксплуатирующий уязвимость «нулевого дня» (0-day) при обработке XML тегов в Microsoft Internet Explorer.

Речь идет о новой уязвимости, которая не была устранена в вышедшем вчера исправлении MS08-073. Корректная работа эксплоита подтверждена на системах Windows XP и Windows Server 2003 с установленными последними обновлениями. В связи со спецификой экплойта, вероятность успешной экплуатции составляет 1 к 3.

Каковы последствия?

Поскольку иформация об уязвимости и о методах её экплутации широко известна, высока вероятность использования её в ближайшее время для массового заражения компьютеров. Наиболее вероятными векторами является размещение экплойта на взломанных сайтах, а также массовая рассылка писем со ссылкой на уязвимый код с использованием СПАМа.

В результате возможно массовое заражение компьютеров агентами бот-сетей и руткитами домашних пользователей, а также рабочих станций в корпоративных сетях, использующих Internet Explorer 7.

Как работает эксплоит?

Уязвимость существует из-за переполнения динамической памяти в обработчике XML. Эксплоит, после приведения в порядок динамической памяти, выделяет 159 массивов, содержащих исполняемый код. Перед выполнением кода, эксплоит осуществляет проверку на наличие Internet Explorer 7 и Windows XP или Windows 2003.

Пример кода, осуществляющего проверку:

ie0day-code.gif

Если браузер соответствует этим требованиям, создается XML тег. Затем происходит обращение к Web серверу, расположенному в Китае, и на систему скачивается файл ko.exe, который начинает установку компонентов руткита.

В данный момент эксплоит скачивает файл ko.exe с IP адреса 59.34.216.222.

По данным VirusTotal файл ko.exe обнаруживается следующими антивирусами:

Антивирус

Версия

Последнее обновление

Результат

AhnLab-V3

2008.12.10.0

2008.12.10

-

AntiVir

7.9.0.43

2008.12.09

TR/Spy.Gen

Authentium

5.1.0.4

2008.12.10

W32/Busky.B.gen!Eldorado

Avast

4.8.1281.0

2008.12.10

Win32:Runner-Z

AVG

8.0.0.199

2008.12.09

-

BitDefender

7.2

2008.12.10

Rootkit.Agent.AIWN

CAT-QuickHeal

10.00

2008.12.09

-

ClamAV

0.94.1

2008.12.10

-

Comodo

713

2008.12.09

-

DrWeb

4.44.0.09170

2008.12.10

DLOADER.Trojan

eSafe

7.0.17.0

2008.12.09

Suspicious File

eTrust-Vet

31.6.6253

2008.12.10

-

Ewido

4.0

2008.12.09

-

F-Prot

4.4.4.56

2008.12.09

W32/Busky.B.gen!Eldorado

F-Secure

8.0.14332.0

2008.12.10

Suspicious:W32/Malware!Gemini

Fortinet

3.117.0.0

2008.12.10

-

GData

19

2008.12.10

Rootkit.Agent.AIWN

Ikarus

T3.1.1.45.0

2008.12.10

Trojan-Dropper.Win32.Agent

K7AntiVirus

7.10.549

2008.12.09

-

Kaspersky

7.0.0.125

2008.12.10

-

McAfee

5459

2008.12.09

Downloader-BLE

McAfee+Artemis

5459

2008.12.09

Generic!Artemis

Microsoft

1.4205

2008.12.09

TrojanDownloader:Win32/Small.gen!AO

NOD32

3680

2008.12.10

probably a variant of Win32/TrojanDownloader.Agent.ONB

Norman

5.80.02

2008.12.09

-

Panda

9.0.0.4

2008.12.09

Suspicious file

PCTools

4.4.2.0

2008.12.09

-

Prevx1

V2

2008.12.10

-

Rising

21.07.20.00

2008.12.10

Trojan.Win32.Edog.bh

SecureWeb-Gateway

6.7.6

2008.12.10

Trojan.Spy.Gen

Sophos

4.36.0

2008.12.10

Mal/Behav-009

Sunbelt

3.1.1832.2

2008.12.01

-

Symantec

10

2008.12.10

Trojan.Dropper

TheHacker

6.3.1.2.182

2008.12.10

-

TrendMicro

8.700.0.1004

2008.12.10

PAK_Generic.001

VBA32

3.12.8.10

2008.12.09

-

ViRobot

2008.12.9.1509

2008.12.09

-

VirusBuster

4.5.11.0

2008.12.09

Trojan.Runner.Gen

Кратко о файле ko.exe


Дополнительные данные о файле

размер: 33280 байт

MD5...: a4f025331518f4ae96915fc55a4f2d38

SHA1..: f67d4f685cf0c4dc968ef514c99f42e6fc17817b

SHA256: d190115e7d289c3691c0108071504fd197efc7dacc26678219844fc687a383a4

SHA512: 08bf105108ac90f08e110f8adcbb4260b523d5a86020faadf9942f47e2c8fefe
34af705e69fa9a80160a46d9b8f7a8239497b941e81cc16b13b14af1d73298cf

ssdeep: 768:q6UvFrkRmnfYNSxE+WpJhUjkeDRmMK2ftkqt/n4X0Gyr:qNgQfYA2+cJqjvN
t+W/1Gyr

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

TrID..: File type identification
Win64 Executable Generic (52.5%)
UPX compressed Win32 Executable (18.7%)
Win32 EXE Yoda's Crypter (16.3%)
Win32 Executable Generic (5.2%)
Win32 Dynamic Link Library (generic) (4.6%)

PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x416540
timedatestamp.....: 0x493e7d0a (Tue Dec 09 14:13:30 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xf000 0x8000 0x7800 7.89 736f42ec6ac402b4124df48ed7b7ed89
.rsrc 0x17000 0x1000 0x600 3.14 2223c904b9b1cb84ee9651276f59a40c

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> MSVCRT.dll: atoi
> NETAPI32.dll: Netbios
> PSAPI.DLL: EnumProcessModules
> SHELL32.dll: ShellExecuteA
> SHLWAPI.dll: SHDeleteKeyA
> USER32.dll: wsprintfA

Каким образом защититься?

В качестве временного решения SecurityLab рекомендует отключить в браузере Active Scripting. Также рекомендуем запретить доступ к IP адресу 59.34.216.222, с которого в настоящий момент происходит загрузка файла.

Использование средств фильтрации содержимого уровня предприятия представляется малоэффективной, поскольку высока вероятность использования методов кодирования экплойта с помощью Javascript. Но пренебрегать этой возможностью не стоит. Рекомендуется связаться с поставщиком используемых средств защиты уровня узла (антивируса, end-point security) для уточнения наличия в продукте методов предотвращения использования данной уязвимости.

Категория: | Просмотров: 1935 | Добавил: aka_kludge | Теги: | Рейтинг: 0.0/0
Всего комментариев: 1

1 aka_kludge пишет:

(17.12.2008 08:57)

замечательно то как cool

0



Главная
...
На службе : дней

14:40
Обновить


Пользователи
aka_kludge
qwerty
LeadyTOR
aka_Atlantis
AdHErENt
mAss
Sissutr
hiss
DrBio
tHick

Поиск

Архив записей


Copyright tHR - TeAM 2024 г. admin: aka_kludge (ICQ:334449009) Moderator's: LeadyTOR, ... Яндекс.Метрика