Forsiden    Om os    Den Digitale Vægter    Rådgivning    Artikler    Referencer    Omtale    Nyheder    Kunde login   
   << Nyhedsoversigt
   
 
  Vidensdeling
  - Dialog skaber resultater
 
  Nyheder

Banner-injektion på flere mediesider i Danmark

CSIS har nu analyseret den skadelige kode, som til morges og senere i dag, er blevet leveret igennem en banner leverandør, som bl.a. leverer materiale til eb.dk og andre danske online medier. Den tekniske analyse findes i det følgende. Vi har inkluderet et "standalone" fix som deteker og fjerner den skadelige kode. Se i bunden af denne artikel for link til det gratis værktøj.

Ved kørsel vil den skadelige kode (ved at udnytte sårbarheder i populære browsere) droppe følgende filer til det inficerede system (igennem hovedkomponenten "ntdeIect.com"):

[%windows systemmappen%]\kavo.exe
[%windows systemmappen%]\kavo0.dll
[%windows systemmappen%]\kavo1.dll (Pinch - netbank tyv!) [%windows systemmappen%]\wincab.sys [%Temp%]\sx.dll

samt en autorun.inf fil med følgende indhold:

[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdeIect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdeIect.com

Denne funktion er medtaget fordi den skadelige kode er i stand til at sprede sig via delte netværksresourcer og flytbare drev i et netværk. Autorun funktionen bevirker at koden køres automatisk såfremt windows er indstillet til afspille mediet automatisk når det indsættes.

Fra den inficerede maskine (også de der installeres igennem shares og flytbare medier) ringer denne kode hjem til en C&C server på følgende adresse (mellemrum indlagt af CSIS):

ht tp://60. 169.1.92/pp/aa.rar
ht tp://60. 169.1.92/ pp/aa.exe
ht tp://www.tw 7890.com/ pp/aa.rar
ht tp://www.tw 7890.com/ pp/aa.exe

Herfra henter den diverse ledsager komponenter og opdateringer. Der er tydeligvis tale om en datatyv.

Samme C&C server har tidligere været misbrugt som datatyv af bl.a. adgangskoder og passwords til bl.a. "World of Warcraft". Denne cocktail ser dog ud (med bl.a. Pinch og Hacktool inkluderet i pakken) at have et bredere og mere modbydeligt formål.

Koden modificerer registreringsdatabasen, så den aktiveres efter en genstart af systemet:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
kava = "[%windows system mappen%]\kavo.exe"

Desuden ændres:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advances Hidden = "2"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advances ShowSupperHidden = "0"

Alt imens den injekter komponenten "kavo0.dll" i explorer processen i adresserummet 0x18E0000 - 0x18FE000. Den anvender et rootkit, som ser ud til at stamme fra AVAST antivirus. Denne rutine skal vi undersøge nærmere.

Faktum er at denne komponent er yderst alsidig. En såkaldt cocktail med mange forskellige funktioner.

Find og fjern den skadelige kode!
CSIS har sammen med Norman stillet et gratis removal tool til rådighed som kan hentes fra følgende URL:
http://www.csis.dk/dk/media/norman-eb.exe

 
 
  



CSIS Alert Service
Tilmeld dig vores populære alert
service. Vi giver dig 1
måneds prøve på relevante og
rettidige nyheder om it-sikkerhed.
 
 
     
 

© 2008 CSIS Security Group