6 Мая, 2011

Подробности RTF эксплоита Laden's Death.doc

Валерий Марчук

Поскольку на этой неделе весьма популярной темой для СМИ оказалось убийство Усами бин Ладена, вирусописатели не оставили без внимания такое событие. Для достижения своей цели была избрана уязвимость при обработке RTF файлов в Microsoft Office, исправленная в ноябре 2010 года в бюллетене безопасности MS01-087 (CVE-2010-3333). Атака проводилась целенаправленно в виде именной email рассылки. Полученное письмо содержало вредоносный файл Laden's Death.doc.

Характеристика файла Laden's Death.doc

Имя: Laden's Death.doc
Размер: 163065 bytes
MD5: dad4f2a0f79db83f8976809a88d260c5
SHA1: d563029a2dfe3cfcddc7326b1b486213095e58e5
SHA256: 4cec9ef7f39d43c7a137d0422c8e6568a2d9e18320d1b376086bcc7327ea1342
Расширение:.doc
Метод доставки на систему: email
Рейтинг обнаружения согласно VirusTotal: 16 из 41

Согласно VirusTotal этот файл считается вредоносным 16 из 41 антивирусных систем ( http://www.virustotal.com/file-scan/report.html?id=4cec9ef7f39d43c7a137d0422c8e6568a2d9e18320d1b376086bcc7327ea1342-1304649567 ).

Вредоносное email сообщение рассылалось с IP адреса 220.228.120.6. Это судя по всему скомпрометированный почтовый сервер под управлением Lotus Notes.

Тело письма

Tue, 03 May 2011 11:34:06 -0400 (EDT)
Source-IP: 220.228.120.62 
Message-ID: <000c01cc0998$15c8ec70$0201a8c0@protech.com.tw>
From: XXXXXXXXXXXXXXXXXXX
To: XXXXXXXXXXXXXXXXXXX
Subject: FW: Courier who led U.S. to Osama bin Laden's hideout identified
Date: Tue, 3 May 2011 21:43:28 +0800
X-ASG-Orig-Subj: FW: Courier who led U.S. to Osama bin Laden's hideout identified
MIME-Version: 1.0
Content-Type: multipart/mixed;
       boundary="----=_NextPart_000_0009_01CC09DB.23A97E20"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.3790.2929
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.3168


This is a multi-part message in MIME format.

------=_NextPart_000_0009_01CC09DB.23A97E20
Content-Type: text/plain;
       format=flowed;
       charset="big5";
       reply-type=original
Content-Transfer-Encoding: 7bit

To whom it may concern.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXX Signature spoofed XXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX


------=_NextPart_000_0009_01CC09DB.23A97E20
Content-Type: application/octet-stream;
       name="Laden's Death.doc"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
       filename="Laden's Death.doc"

Общее описание работы эксплоита

После открытия файла с помощью Microsoft Office, на системе выполняется шелкод, который создает и выполняет файл file C:/RECYCLER/server.exe. Этот файл производит на системе следующие действия:

  • Создает файл vmm2.tmp  во временной системной пакет
  • Переименовывает файл vmm2.tmp в dhcpsrv.dll и переносит его в каталог c:windowssystem32
  • Вносит изменения в системный реестр относительно поддельной DHCP службы.

Характеристика файла c:windowssystem32dhcpsrv.dll

Имя: dhcpsrv.dll
Размер: 44504 bytes
MD5: 06ddf39bc4b5c7a8950f1e8d11c44446
SHA1: b8c11c68f3e92b60cc4b208bd5905c0365f28978
SHA256: bb854e8e5a3799d0c1dac65a4cc963265034a04007862aabf281e0f31dbc386a
Расширение:.dll
Метод доставки на систему: загружается с помощью вредоносного ПО Exploit:W32/Cve-2010-3333.G
Рейтинг обнаружения согласно VirusTotal: 13 of 42
После успешного запуска на системе троянское приложение обращается к следующим доменным именам:

Домен

Порт/ Протикол

checkerror.ucparlnet.com

80/TCP

ssi.ucparlnet.com

80/TCP

www.dnswatch.info

 

picture.ucparlnet.com

443/TCP

Я рекомендую всем пользователям установить исправление безопасности MS10-087. Подробное описание уязвимости и ссылки на исправления безопасности можно найти по адресу: http://www.securitylab.ru/vulnerability/399363.php

или введите имя

CAPTCHA