Exploit Prevention Labs опубликовал очередной рейтинг эксплоитов, распространяющихся через злонамеренные web сайты
Exploit Prevention Labs опубликовал очередной рейтинг эксплоитов, распространяющихся через злонамеренные web сайты
Alexander Antipov
В декабре 2006 года более 70% всех Web атак использовали хакерский набор эксплоитов “Q406 Roll-up package” .
В декабре 2006 года более 70% всех Web атак использовали хакерский набор эксплоитов “Q406 Roll-up package” . Неизвестно точное количество используемых инструментом уязвимостей, так как он зашифрован, достоверно известно что он эксплуатирует уязвимости setSlice, VML, XML, и (IE COM) Createcomobject Cod.
Предыдущая версия Q406 Roll-up содержала набор эксплоитов для различных уязвимостей ActiveX, позволяющих получить полный контроль над зараженным компьютером.
Злоумышленники перестали использовать ранее популярный набор эксплоитов Webattacker, написанный российскими хакерами, так как новый инструмент Q406 Roll-up значительно более универсальный и многофункциональный. Большинство вариантов Webattacker имели низкую эффективность, так как просто закрывали браузер, не заражая при этом компьютер жертвы.
| Эксплоит | % | Описание |
| Q406 Roll-up package | 70.90% | Эксплуатирует множество уязвимостей, включая setSlice, VML, XML, и (IE COM) Createcomobject Code. Пакет зашифрован и трудно поддается анализу чтобы выявить все используемые эксплоиты. |
| MDAC | 5.70% | Устанавливает ActiveX компоненты, которые могут использоваться для получения полного контроля над уязвимой системой. |
| IE Com CreateObject | 4.50% | Уязвимость существует из-за ошибок при инициализации COM объектов, которые не должны быть инициализированы в браузере. Удаленный пользователь может с помощью специально сформированной страницы выполнить произвольный код на целевой системе. |
| Iframers launcher script | 3.60% | Распространяется российской криминальной группировкой, которая ответственна за распространение трояна CoolWebSearch. Используя простейший iframe внедренный в хакерский Web сайт или взломанный Web сайт, Web браузер пользователя перенаправляется на эксплуатируемый сервер, который пытается заразить систему жертвы используя восемь различных эксплоитов. |
| WMF (CVE-2005-2124) | 2.70% | Уязвимость существует в "Windows Picture and Fax Viewer" при обработке Windows метафайлов (".wmf"), содержащих специально сформированные SETABORTPROC "Escape" записи. Эти записи позволяют выполнить произвольные функции, если процесс генерации WMF файла заканчивается неудачно. Удаленный пользователь может с помощью специально сформированного WMF файла выполнить произвольный код на целевой системе с привилегиями пользователя, открывшего злонамеренный файл. |
Далее идут Webattacker, другие версии WMF, quicktime href worm, IE VML и другие.
Домашний Wi-Fi – ваша крепость или картонный домик?