| RSS



Меню

Bookmark and Share


Календарь
«  Декабрь 2008  »
Пн Вт Ср Чт Пт Сб Вс
1234567
891011121314
15161718192021
22232425262728
293031

Статистика
Ваш IP: 216.73.217.19
Вы используете: v





Сейчас на сайте:

Тех поддержка ->

Облако тэгов
ОС видио сторона Обратная Tor Грузи антенна php а mt_rand() эксплоит обзор популярных связок эксплоиту рознь Windows Server 2008 PPTP VoIP-телефония QIP Virtual chroot openvz sysctl Tune kernel proc freeBSD GEO Bluetooth game Wine emulator Shell Python поколения спама червь Conficker вирус троян лаборатория касперского пиратство Apple iPhone Microsoft twitter социальная сеть анонимность лицензия Open Source уязвимость MySQL база данных Закон Франция Пират Skype мобильный Deutsche Telekom хакер trend micro кибератака Германия робот Персональные данные Ноутбук Интернет китай цензура windows vista Linux патент браузер Firefox Internet Explorer Opera Safari Intel патч Oracle Банкомат IBM США прокси-сервер Dell MAC контроль кибербезопасность приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 взлом Пентагон Украина Facebook Cisco Cloud Windows XP нетбук торрент музыка Биометрический обама Nokia ФБР IP-адрес sms RSA java Google Captcha Symantec Спам подросток Антивирус тест Anti-Malware Windows 7 операционная система windows провайдер tele2 авторское право rapidshare UNIX свиной грипп шантаж Дети копирайт McAfee HTTPS icann студент WebMoney Норвегия New York Times YouTube Warner Music КНДР Ubuntu касперский Россия РФ сервер хостинг Wi-Fi суд пароль блог фишинг одноклассники Медведев контрафакт зарплата мошенник sony Gps по JavaScript Хакеры видеохостинг Yahoo фас компьютер софт Минкомсвязи Сбой мошенничество Доктор ВЕб Вконтакте исходный код Прослушка МВД фильтр порнография свобода слова казахстан онлайн игры сисадмин Autodesk Gmail кредитная карта LiveJournal шифрование банк Нанотехнологии wikipedia выборы DNS bind Android атака Mac OS X домен ФСБ прокуратура уголовное дело ICQ Sophos ошибка DARPA военные сайт Runescape турция конференция спамер Полиция фоторобот Алгоритм Koobface Великобритания IRC белоруссия Грузия Европа биржа Linux Mint Билл Гейтс спецслужбы терроризм Royal Bank of Scotland смартфон F-Secure Symbian фильм милиция ГАИ Новая Зеландия Adobe PDF Австралия вымогатель IDC Internet Explorer 9 iPad Ирландия поиск МТС Реклама слежка патриотизм Zeus личные данные eset Будущее защита виртуализация МСЭ Черный список BlackBerry система защиты индия Москва социальные сети flash player paypal BitDefender сертификат VoIP MasterCard Anonymous технологии OpenOffice Ассанж передача данных Оптоволокно арест Samsung Иск учетная запись Timeline оператор Seagate исследование угрозы счетчик Санкт-Петербург мошенники климат вандализм SOPA PIPA кража Азербайджан Megaupload отчет приложение паспорт Интернет-магазин Инвестиции ГЛОНАСС релиз платформа версия санаторий DDoS-атака роскомнадзор КНР

Главная » 2008 » Декабрь » 17 » Анализ уязвимости «нулевого дня» в Microsoft Internet Explorer
08:57
Анализ уязвимости «нулевого дня» в Microsoft Internet Explorer

Эта неделя выдалась для компании Microsoft сложной. Помимо выпуска 8 плановых бюллетеней безопасности, которые устранили 28 уязвимостей, стало известно еще о 3-х уязвимостях, исправления к которым отсутствуют на настоящий момент.

В этой статье мы рассмотрим полученный нами образец вредоносного кода, эксплуатирующий уязвимость «нулевого дня» (0-day) при обработке XML тегов в Microsoft Internet Explorer.

Речь идет о новой уязвимости, которая не была устранена в вышедшем вчера исправлении MS08-073. Корректная работа эксплоита подтверждена на системах Windows XP и Windows Server 2003 с установленными последними обновлениями. В связи со спецификой экплойта, вероятность успешной экплуатции составляет 1 к 3.

Каковы последствия?

Поскольку иформация об уязвимости и о методах её экплутации широко известна, высока вероятность использования её в ближайшее время для массового заражения компьютеров. Наиболее вероятными векторами является размещение экплойта на взломанных сайтах, а также массовая рассылка писем со ссылкой на уязвимый код с использованием СПАМа.

В результате возможно массовое заражение компьютеров агентами бот-сетей и руткитами домашних пользователей, а также рабочих станций в корпоративных сетях, использующих Internet Explorer 7.

Как работает эксплоит?

Уязвимость существует из-за переполнения динамической памяти в обработчике XML. Эксплоит, после приведения в порядок динамической памяти, выделяет 159 массивов, содержащих исполняемый код. Перед выполнением кода, эксплоит осуществляет проверку на наличие Internet Explorer 7 и Windows XP или Windows 2003.

Пример кода, осуществляющего проверку:

ie0day-code.gif

Если браузер соответствует этим требованиям, создается XML тег. Затем происходит обращение к Web серверу, расположенному в Китае, и на систему скачивается файл ko.exe, который начинает установку компонентов руткита.

В данный момент эксплоит скачивает файл ko.exe с IP адреса 59.34.216.222.

По данным VirusTotal файл ko.exe обнаруживается следующими антивирусами:

Антивирус

Версия

Последнее обновление

Результат

AhnLab-V3

2008.12.10.0

2008.12.10

-

AntiVir

7.9.0.43

2008.12.09

TR/Spy.Gen

Authentium

5.1.0.4

2008.12.10

W32/Busky.B.gen!Eldorado

Avast

4.8.1281.0

2008.12.10

Win32:Runner-Z

AVG

8.0.0.199

2008.12.09

-

BitDefender

7.2

2008.12.10

Rootkit.Agent.AIWN

CAT-QuickHeal

10.00

2008.12.09

-

ClamAV

0.94.1

2008.12.10

-

Comodo

713

2008.12.09

-

DrWeb

4.44.0.09170

2008.12.10

DLOADER.Trojan

eSafe

7.0.17.0

2008.12.09

Suspicious File

eTrust-Vet

31.6.6253

2008.12.10

-

Ewido

4.0

2008.12.09

-

F-Prot

4.4.4.56

2008.12.09

W32/Busky.B.gen!Eldorado

F-Secure

8.0.14332.0

2008.12.10

Suspicious:W32/Malware!Gemini

Fortinet

3.117.0.0

2008.12.10

-

GData

19

2008.12.10

Rootkit.Agent.AIWN

Ikarus

T3.1.1.45.0

2008.12.10

Trojan-Dropper.Win32.Agent

K7AntiVirus

7.10.549

2008.12.09

-

Kaspersky

7.0.0.125

2008.12.10

-

McAfee

5459

2008.12.09

Downloader-BLE

McAfee+Artemis

5459

2008.12.09

Generic!Artemis

Microsoft

1.4205

2008.12.09

TrojanDownloader:Win32/Small.gen!AO

NOD32

3680

2008.12.10

probably a variant of Win32/TrojanDownloader.Agent.ONB

Norman

5.80.02

2008.12.09

-

Panda

9.0.0.4

2008.12.09

Suspicious file

PCTools

4.4.2.0

2008.12.09

-

Prevx1

V2

2008.12.10

-

Rising

21.07.20.00

2008.12.10

Trojan.Win32.Edog.bh

SecureWeb-Gateway

6.7.6

2008.12.10

Trojan.Spy.Gen

Sophos

4.36.0

2008.12.10

Mal/Behav-009

Sunbelt

3.1.1832.2

2008.12.01

-

Symantec

10

2008.12.10

Trojan.Dropper

TheHacker

6.3.1.2.182

2008.12.10

-

TrendMicro

8.700.0.1004

2008.12.10

PAK_Generic.001

VBA32

3.12.8.10

2008.12.09

-

ViRobot

2008.12.9.1509

2008.12.09

-

VirusBuster

4.5.11.0

2008.12.09

Trojan.Runner.Gen

Кратко о файле ko.exe


Дополнительные данные о файле

размер: 33280 байт

MD5...: a4f025331518f4ae96915fc55a4f2d38

SHA1..: f67d4f685cf0c4dc968ef514c99f42e6fc17817b

SHA256: d190115e7d289c3691c0108071504fd197efc7dacc26678219844fc687a383a4

SHA512: 08bf105108ac90f08e110f8adcbb4260b523d5a86020faadf9942f47e2c8fefe
34af705e69fa9a80160a46d9b8f7a8239497b941e81cc16b13b14af1d73298cf

ssdeep: 768:q6UvFrkRmnfYNSxE+WpJhUjkeDRmMK2ftkqt/n4X0Gyr:qNgQfYA2+cJqjvN
t+W/1Gyr

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

TrID..: File type identification
Win64 Executable Generic (52.5%)
UPX compressed Win32 Executable (18.7%)
Win32 EXE Yoda's Crypter (16.3%)
Win32 Executable Generic (5.2%)
Win32 Dynamic Link Library (generic) (4.6%)

PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x416540
timedatestamp.....: 0x493e7d0a (Tue Dec 09 14:13:30 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xf000 0x8000 0x7800 7.89 736f42ec6ac402b4124df48ed7b7ed89
.rsrc 0x17000 0x1000 0x600 3.14 2223c904b9b1cb84ee9651276f59a40c

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> MSVCRT.dll: atoi
> NETAPI32.dll: Netbios
> PSAPI.DLL: EnumProcessModules
> SHELL32.dll: ShellExecuteA
> SHLWAPI.dll: SHDeleteKeyA
> USER32.dll: wsprintfA

Каким образом защититься?

В качестве временного решения SecurityLab рекомендует отключить в браузере Active Scripting. Также рекомендуем запретить доступ к IP адресу 59.34.216.222, с которого в настоящий момент происходит загрузка файла.

Использование средств фильтрации содержимого уровня предприятия представляется малоэффективной, поскольку высока вероятность использования методов кодирования экплойта с помощью Javascript. Но пренебрегать этой возможностью не стоит. Рекомендуется связаться с поставщиком используемых средств защиты уровня узла (антивируса, end-point security) для уточнения наличия в продукте методов предотвращения использования данной уязвимости.

Категория: | Просмотров: 2204 | Добавил: aka_kludge | Теги: | Рейтинг: 0.0/0
Всего комментариев: 1

1 aka_kludge пишет:

(17.12.2008 08:57)

замечательно то как cool

0



Главная
...
На службе : дней

10:47
Обновить


Пользователи
aka_kludge
qwerty
LeadyTOR
aka_Atlantis
AdHErENt
mAss
Sissutr
hiss
DrBio
tHick

Поиск

Архив записей


Copyright tHR - TeAM 2026 г. admin: aka_kludge (ICQ:334449009) Moderator's: LeadyTOR, ... Яндекс.Метрика