|
I forlængelse af onsdagens advarsel om flere danske websider udsat for defacement, udsendt til den lukkede CSIS platinum alert liste (CSIS Security Alert: Stribevis af usikre danske websider udsat for injektion angreb [Medium]) , advarer vi nu åbent mod en informations-tyv, som forsøges plantet igennem dårligt sikrede websider. De automatiserede scanninger udføres fra en central Command & Control server som styres af Kinesiske it-kriminelle.
Vi observerer en fortsat truende stigning i forekomsten af kompromitterede websider, som spænder fra private brugeres hjemmeside til websider for små og mellemstore virksomheder. De legitime og normalt uskadelige sider kompromitteres enten via SQL injektion, simpel HTML injektion, eller Remote File Include sårbarheder. Hvis websiden, eller serveren er sårbar, vil der blive injektet et script, som peger på et domæne (mellemrum indlagt af CSIS) "nihaor r1.com" (219.153.46.28). Denne server befinder sig fysisk i Beijing, Kina.
Fra den skadelige webside forsøges et javascript "1.js" indlæst. Dette script forsøger at køre adskillige exploits rettet mod browser og operativ system og vil, hvis systemet er sårbart, køre shellkode i hukommelsen som kalder og kører filen "test.exe".
Denne skadelige kode er en informationstyv i "banker" (online games) familien. Koden er pakket med NSpack og indeholder en intern kryptering, som beskytter mod læsning af bl.a. tekststrenge med en hexeditor. Når koden køres, vil den oprette sig som et BHO (Browser Helper Object) i Internet Explorer. Den registrerer BHO'en med en reference til donp32drv.dll som droppes til windows systemmappen. Denne fil er skadelig og er kodens hovedkomponent.
Den modificerer registreringsdatabasen med følgende værdi:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellExecuteHooks]
{D60A0B68-EF3A-A1D2-FD09-3A81A121D2B1} = ""
For at beskytte sig selv injekter den en DLL (som er binær) sig ind i flere legitime processer herunder, men ikke begrænset til: explorer.exe, msmsgs.exe, dllhost.exe, IEXPLORE.EXE etc.
I baggrunden kører den en batch fil (das.bat) som rydder op på systemet efter infektionen:
das.bat
:try
del "C:\Documents and Settings\user\test.exe"
if exist "C:\Documents and Settings\user\test.exe" goto try del %0 exit
Koden ligger dernæst i dvale indtil bestemte funktioner, eller URLS kaldes i IE. Når en særlig "trigger" rammes vil koden aktivere en keylogger som gemmer data lokalt og bagefter transporterer dem over TCP port 2034 til en anden server (C&C) og blinddrop, som også befinder sig i Kina. Den sidder på IP adressen 61.188.39.214. Fra samme server kan der i en krypteret tunnel udstedes kommandoer mod inficerede maskiner.
Den skadelige kode opnår følgende antivirus detektion:
Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - TR/PSW.Online.wkg.1
Authentium - - Possibly a new variant of W32/PWStealer1!Generic
Avast - - -
AVG - - Generic10.OFA
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - Trojan.PWS.Gamania.9663
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
F-Prot - - W32/PWStealer1!Generic
F-Secure - - Trojan-PSW.Win32.OnLineGames.abuc
FileAdvisor - - -
Fortinet - - -
Ikarus - - Packed.Win32.Klone.af
Kaspersky - - Trojan-PSW.Win32.OnLineGames.abuc
McAfee - - New Malware.aq
NOD32v2 - - probably a variant of Win32/Genetik
Norman - - W32/Suspicious_N.gen
Panda - - Suspicious file
Prevx1 - - Heuristic: Suspicious File Which Interferes With Vulnerable
Files Like The HostsFile
Rising - - Trojan.PSW.Win32.Lineage.gcn
Sophos - - Troj/Cabat-Gen
Sunbelt - - -
Symantec - - Infostealer.Gampass
TheHacker - - W32/Behav-Heuristic-063
VBA32 - - -
VirusBuster - - Packed/NSPack
Webwasher-Gateway - - Trojan.PSW.Online.wkg.1
CSIS har "drive-by" siden blacklistet i CSIS Sec-DNS. Vores kunder er således proaktivt beskyttet.
|
