|
| PoC Openoffice orm "Badbunny miritdk har modtaget 5 point for dette tip Fra : miritdk | Vist : 616 gange
Dato : 23-05-07 10:29 |
|
Citat Badbunny er den første PoC (Proof of Concept) krydsplatforms orm rettet mod OpenOffice pakken. Koden er ikke "in the wild", men distribueret til udvalgte antivirus producenter af gruppen bag den skadelige kode.
Badbunny er en OpenOffice/StarBasic makroorm skrevet med det formål, at downloade et humoristisk JPEG billede af en kvinde og en mand hvor manden er iklædt et kaninkostume (deraf navnet Badbunny). Men koden indeholder også funktioner der vil indlede et forholdsvist uskadeligt DDoS angreb mod flere antivirus producenters officielle hjemmesider.
Badbunny er en såkaldt kryds-platform virus, som afhængig af, hvilket operativ system den afvikles under, kan køre igennem Staroffice scripting i OpenOffice pakken, og dermed inficere både Linux, MacOSX og Windows maskiner. Ormen tager højde for operativ system og dropper henholdsvis perl og javascript til den inficerede maskine. Dernæst starter replikeringen til andre systemer via IRC.
Under Microsoft windows droppes filen "drop.bad", som flyttes til mIRC mappen på det inficerede system. Den overskriver derved system.ini filen. Endvidere droppes badbunny.js, som er et javascript der replikerer sig til andre filer i mIRC mappen.
Under Linux kopieres filen "badbunny.py" som et XChat script og badbunny.pl som er en Perl baseret filinfektor der hængter sig til andre Perl scripts.
Under MacOSX vil der blive droppet enten "badbunny.rb" eller "badbunnya.rb". Der er tale om Ruby scripts som inficerer andre filer på systemet.
Ormen er designet, så den kan sprede sig via IRC igennem DCC overførsel. Den modtages som en badbunny.odg fil, som hvis den modtages og åbnes af en uforsigtig bruger med OpenOffice pakken installeret vil inficere systemet.
Badbunny er i sig selv ikke nogen nyskabelse, men en kombination af allerede kendte infektionsteknikker, som er blevet klippet/klistret sammen. Det interessante ved Badbunny er, at opmærksomheden er rettet mod OpenOffice, som har vundet en vis popularitet, og samtidig gøre koden "OS aware". |
kilde: Csis Security Group
| |
| Bedømmelse
Fra : me67 |
Dato : 23-05-07 10:54 |
| | |
| Bedømmelse
Fra : tezt |
Dato : 23-05-07 11:05 |
| | |
| Bedømmelse
Fra : chaufrat |
Dato : 23-05-07 12:05 |
| | |
| Du har følgende muligheder | |
|
Eftersom du ikke er logget ind i systemet, kan du ikke lave en bedømmelse til dette tip.
Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
| |
|
|