Szkodnik wykorzystuje niedawno ujawnioną podatność 0-day w Internet Explorer 6 i 7 wykorzystującą błąd obsługi metody JavaScriptu getElementsByTagName(). Sam trojan może zostać pobrany z obcego serwera przez inne malware lub zostać nieświadomie pobrany podczas wizyty na specjalnie spreparowanej stronie web. Jeśli wykonanie ładunku trojana się powiedzie, szkodnik może uzyskać dostęp do samego systemu i uruchomić tam swój kod, który uniezależniając się, przejmie kontrolę nad podatnym systemem.   Źródło: www.infoprof.pl

Original post by stefe stefe@poczta.fm and software by Elliott Back

Szkodnik może być pobrany ze szkodliwego adresu http://{zablokowane}d.ru/cbd/stom.exe. Upuszcza swoją kopię o nazwie sdra64.exe do domyślnego katalogu systemowego. Plik szkodnika zawiera w sobie nadmiarowy kod utrudniający jego identyfikację. Trojan tworzy w domyślnym katalogu systemowym katalog o nazwie lowsec do którego upuszcza dwa pliki local.ds - będący zaszyfrowaną kopią pobranego pliku oraz user.ds w którym będzie składował skradzione dane. Katalog utworzony przez szkodnika ma atrybuty ukryty oraz systemowy - w celu utrudnienia ich wykrycia. Następnie modyfikuje rejestr wyłączając w nim Firewall Windows. Wstrzykuje się także do procesów SVCHOST.EXE i WINLOGON.EXE. Później Zbot stara się uzyskać dostęp do stron, z których pobierze swoje aktualizacje oraz zaszyfrowane dane dotyczące miejsca w które powinien wysyłać skradzione dane. Pobierze także plik zawierający listę stron będących celami napastników. Lista ta jest stale modyfikowana i zmienia się praktycznie cały czas. Na liście tej znajdują się przede wszystkim strony instytucji bankowych takich jak: www.businessonlineaccess.web-cashplus.com, www.citibank.com i inne a [...]

Original post by stefe stefe@poczta.fm and software by Elliott Back

Bloodhound.Exploit.312 jest oznaczeniem heurystycznej detekcji plików wskazujących na wykorzystywanie luki w konwerterach Microsoft WordPad / Office Word 97 (BID 37216). Dzięki luce, podłożenie i próba otwarcia spreparowanego pliku DOC w podatnej wersji Office lub WordPad`a (Windows 2003 i starsze wersje), może doprowadzić do zdalnego wykonania kodu i przejęcia kontroli nad systemem. Błąd został opisany w grudniowych biuletynach bezpieczeństwa Microsoft. W sieci występuje w postaci pliku dokumentu DOC. W przypadku skutecznego ataku, pozwala przejąć kontrolę nad systemem ofiary.   Źródło: www.infoprof.pl

Original post by stefe stefe@poczta.fm and software by Elliott Back

Eksploit Bloodhound.Exploit.288 wykorzystuje lukę w oprogramowaniu Adobe (Dokumenty PDF z ładunkiem - nowy błąd w produktach Adobe) do przejmowania kontroli nad systemami gdzie działa jedna z podatnych wersji oprogramowania Adobe (np. Adobe Acrobat Reader). Eksploit występuje w sieci w postaci pliku PDF i odpowiada opisowi podatności Adobe Reader and Acrobat (CVE-2009-4324) Remote Code Execution Vulnerability (BID 37331).   Źródło: www.infoprof.pl

Original post by stefe stefe@poczta.fm and software by Elliott Back

Eksploit występujący w sieci, wykorzystując lukę w Microsoft Project stara się przejąć kontrolę nad jak największą liczbą komputerów. Przejęcie może nastąpić w chwili próby otwarcia odpowiednio przygotowanego pliku dokumentu Microsoft Project pobranego z sieci. Podatność którą wykorzystuje eksploit dotyczy następujących wersji programu: # Microsoft Project 2000, Microsoft Project 2000 SR1, Microsoft Project 2002, 2002 SP1, Microsoft Project 2003, 2003 SP1, 2003 SP2 i 2003 SP3. Luka jest opisana w bazie bugtraq pod ID: 37211.   Źródło: www.infoprof.pl

Original post by stefe stefe@poczta.fm and software by Elliott Back

Robak rozprzestrzeniający się za pośrednictwem sieci wymiany plików eMule. W trakcie instalacji szkodnik odszyfrowuje plik pobrany ze zdalnego host a następnie zapisuje go w katalogu Temp w podkatalogu o nazwie NOO[losowe znaki], który tworzy na dysku. Następnie kopiuje systemowy plik ctfmon.exe i zapisuje go jako ctfmon.dll. Kolejnym posunięciem, jest zainfekowanie wszystkich plików o rozszerzeniu .exe oraz.scr na skompromitowanej maszynie. Następnie szkodni usuwa jeden z rodzajów plików: .avi, .xls, .jpg, .doc. Wybór rozszerzenia następuje losowo. Worm wyłącza usługę ochrony plików Windows poprzez zmodyfikowanie plików SFC_OS.dll znajdujących się w domyślnym katalogu systemowym oraz w podkatalogu dllcache. Także w tym celu modyfikuje klucz:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”SFCDisable” = “1″   Źródło: www.infoprof.pl

Original post by stefe stefe@poczta.fm and software by Elliott Back

Szkodnik rozprzestrzenia się za pośrednictwem sieci wymiany plików oraz jako załącznik do spamowego maila. Może być także pobierany ze specjalnie utworzonej złośliwej strony, rozprzestrzenia się także przez wszytskie napędy wymienialne. Upuszcza swoją kopię do domyślnego katalogu systemowego jako plik o nazwie wmimngr.exe. Modyfikuje rejestr wyłączając w nim m.in. konieczność autoryzacji oprogramowania w firewallu Windows, a także kontrolę systemu nad włączanymi usługami. Worm modyfikuje także plik HOSTS starając się uniemożliwić użytkownikowi połączenie ze stronami producentów oprogramowania antywirusowego i skorzystanie ze skanera online, lub wysłanie pliku szkodnika do analizy. Robak wykorzystuje silnik własny pocztowy Simple Mail Transfer Protocol (SMTP) do rozsyłania spamowych maili zawierających w załączniku kopię szkodnika. Mail rozsyłany przez worma podszywa się pod e-kartkę ze świątecznymi życzeniami. Adresów do wysyłki poszukuje natomiast w plikach o następujących rozszerzeniach: .doc, .htm, .pdf, .chm, .txt. Robak nie wysyła jednakże maili pod adresy, które mogłyby zagrozić jego egzystencji - omija adresy producentów oprogramowania ochronnego, [...]

Original post by stefe stefe@poczta.fm and software by Elliott Back

Program z założenia ochronny, którego działanie jednak wykracza poza działania typowe dla tzw. security tool. Po uruchomieniu, szkodnik tworzy w domyślnym katalogu systemowym dwa pliki orec32.exe oraz keys32.dll. Następnie nagrywa wszystkie komunikaty komunikatorów Yahoo oraz AOL, adresy wpisywane wyszukiwarki oraz używa keyloggera. Zdobyte informacje zapisuje do plików, które tworzy w domyślnym katalogu systemowym. Pliki te mogą mieć na stępujące nazwy: acndex.rec, aindex.rec, apndex.rec, cindex.rec, custom.rec, iindex.rec, kindex.rec, mindex.rec, mpndex.rec, opndex.rec, p1.rec, rindex.rec, sindex.rec, time.rec, uindex.rec, wi1.rec, windex.rec, wit1.rec, yindex.rec, ypndex.rec. Domyślny katalog systemowy jest domyślną lokalizacją plików szkodnika, możliwe jest jednak jego takie skonfigurowanie aby zapisywał swoje pliki także w innych lokalizacjach. Szkodnik chroni dostęp do siebie za pomocą hasła.
  Źródło: www.infoprof.pl

Original post by stefe stefe@poczta.fm and software by Elliott Back

Jest to określenie dla plików i komponentów mogących występować w sieci, które noszą znamiona szkodliwego działania. Dzięki nietypowym mechanizmom szyfrowania, dane prawdziwe zawarte w pliku są ukryte. Specjaliści z Symantec`a ustalili jednak że są to szkodliwe programy lub ich elementy. Rozpoznane malware: Backdoor.Tidserv oraz riskware: WindowsAntivirusPro.   Źródło: www.infoprof.pl

Original post by stefe stefe@poczta.fm and software by Elliott Back

Szkodnik rozprzestrzenia się za pośrednictwem dysków wymienialnych oraz komunikatorów sieciowych. Po uruchomieniu, kopiuje swój plik do domyślnego katalogu systemowego i nadaje mu nazwę msnwm.exe oraz atrybuty `ukryty, systemowy`. Do podkatalogu drivers upuszcza plik o nazwie kernelx86.sys rozpoznawany jako Hacktool.Rootkit. Następnie modyfikuje klucze rejestru m.in. dodając swoje pliki do listy autoryzowanych programów Firewall`a Windows. Robak otwiera backdoora na skompromitowanej maszynie poprzez połączenie z predefiniowanym serwerem IRC. Szkodnik łączy się z siecią, sprawdzając czy są dostępne jego aktualizacje, a także sprawdza maszyny w tej samej sieci poszukując tych, które są podatne na dalsze eksploitowanie. Robak modyfikuje plik HOSTS przekierowując połączenia do stron firm antywirusowych na IP 209.85.225.99. Na koniec wyłącza także narzędzia administracyjne oraz oprogramowanie ochronne.   Źródło: www.infoprof.pl

Original post by stefe stefe@poczta.fm and software by Elliott Back