Снова о WMF-уязвимости

31 Дек 2005

мин. на чтение

Авторы

Прошло несколько дней после обнаружения WMF-уязвимости, и в сети появился первый распространяющийся посредством этой дыры IM-Worm.

Согласно сообщениям, полученным от голландских пользователей, червь распространяется через сеть MSN Messenger в виде следующей ссылки:

http://[удалено]/xmas-2006 FUNNY.jpg

Это может закончиться локальной (голландской) эпидемией, но пока что эффект от распространения червя невелик (меньше 1000 ботов на момент публикации постинга).

JPG-файл по ссылке на самом деле является HTML-страницей, на которой находится вредоносный WMF-файл, детектируемый Антивирусом Касперского как Exploit.Win32.IMG-WMF.

Этот WMF-файл скачивает на компьютер и запускает VBS-файл (детектируется как Trojan-Downloader.VBS.Psyme.br), который, в свою очередь, скачивает на компьютер одну из версий Sdbot (детектируется Антивирусом Касперского как Backdoor.Win32.SdBot.gen).

В момент публикации этот SdBot загружал на компьютер одну из версий червя IM-Worm.Win32.Kelvir. Именно Kelvir отвечает за дальнейшее распространение червя через MSN.

Если судить по функционалу этого IRC-бота, то он с высокой вероятностью был сделан для киберпреступников.

Несколько слов в дополнение предыдущего постинга о WMF-уязвимости: мы отмечаем частые упоминания на множестве сайтов, что уязвимым файлом является библиотека shimgvw.dll.

Судя по всему, это не так, поскольку эксплойт срабатывает и на системах, из которых эта библиотека была удалена. Видимо, уязвимость находится в файле gdi32.dll.

Так что хоть удаление shimgvw.dll и позволяет снизить риск срабатывания эксплойта, нам в голову приходит несколько иных сценариев атаки, для которых подобная система будет по-прежнему уязвима.

Стоит, впрочем, отметить, что в случае удаления этой библиотеки основной вектор атаки смещается с веб-браузеров на «Проводник» и сторонние утилиты-просмотрщики.

Боюсь, что в завершение года нам придется предупредить пользователей быть аккуратнее с любыми файлами изображений. С растущим потоком электронных поздравительных новогодних открыток ситуация может быстро выйти из-под контроля.

Авторы

Снова о WMF-уязвимости

Последние публикации

Отчеты

“Лаборатория Касперского” выявила новую кампанию EastWind, нацеленную на российские организации и использующую CloudSourcerer и инструменты APT31 и APT27.

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

Продолжаем рассказывать об APT-группе ToddyCat. В этой статье поговорим о туннелировании трафика, сохранении доступа к скомпрометированной инфраструктуре и краже данных.

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Снова о WMF-уязвимости

Ymir атакует: изучаем новый шифровальщик

Новый троянец SteelFox крадет конфиденциальные данные и криптовалюту

Непослушные нейросети и ленивые мошенники

Насущность снижения рисков: как оценка компрометации помогает укрепить киберзащиту

Lumma/Amadey: запусти шелл-код, чтобы доказать, что ты не робот

Найти «Триангуляцию»: утилита triangle_check

Как приручить Ghidra

GReAT рекомендует: полезные плагины IDA Pro

Обнаружены свежие образцы имплантов FinSpy для мобильных ОС iOS и Android

Stalkerware: средства повседневного шпионажа

Последние публикации

Насущность снижения рисков: как оценка компрометации помогает укрепить киберзащиту

Lumma/Amadey: запусти шелл-код, чтобы доказать, что ты не робот

Криптовалютная игра от APT Lazarus: инвесторы против уязвимостей нулевого дня

Стилер там, стилер здесь, стилеры везде!

Отчеты

Кампания EastWind: новые атаки CloudSorcerer на госорганизации в России

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

ToddyCat роет норы в вашей инфраструктуре и крадет секреты

StripedFly: двуликий и незаметный

Подпишитесь на еженедельную рассылку