Программное обеспечение

Снова о WMF-уязвимости

Прошло несколько дней после обнаружения WMF-уязвимости, и в сети появился первый распространяющийся посредством этой дыры IM-Worm.

Согласно сообщениям, полученным от голландских пользователей, червь распространяется через сеть MSN Messenger в виде следующей ссылки:

http://[удалено]/xmas-2006 FUNNY.jpg

Это может закончиться локальной (голландской) эпидемией, но пока что эффект от распространения червя невелик (меньше 1000 ботов на момент публикации постинга).

JPG-файл по ссылке на самом деле является HTML-страницей, на которой находится вредоносный WMF-файл, детектируемый Антивирусом Касперского как Exploit.Win32.IMG-WMF.

Этот WMF-файл скачивает на компьютер и запускает VBS-файл (детектируется как Trojan-Downloader.VBS.Psyme.br), который, в свою очередь, скачивает на компьютер одну из версий Sdbot (детектируется Антивирусом Касперского как Backdoor.Win32.SdBot.gen).

В момент публикации этот SdBot загружал на компьютер одну из версий червя IM-Worm.Win32.Kelvir. Именно Kelvir отвечает за дальнейшее распространение червя через MSN.

Если судить по функционалу этого IRC-бота, то он с высокой вероятностью был сделан для киберпреступников.

Несколько слов в дополнение предыдущего постинга о WMF-уязвимости: мы отмечаем частые упоминания на множестве сайтов, что уязвимым файлом является библиотека shimgvw.dll.

Судя по всему, это не так, поскольку эксплойт срабатывает и на системах, из которых эта библиотека была удалена. Видимо, уязвимость находится в файле gdi32.dll.

Так что хоть удаление shimgvw.dll и позволяет снизить риск срабатывания эксплойта, нам в голову приходит несколько иных сценариев атаки, для которых подобная система будет по-прежнему уязвима.

Стоит, впрочем, отметить, что в случае удаления этой библиотеки основной вектор атаки смещается с веб-браузеров на «Проводник» и сторонние утилиты-просмотрщики.

Боюсь, что в завершение года нам придется предупредить пользователей быть аккуратнее с любыми файлами изображений. С растущим потоком электронных поздравительных новогодних открыток ситуация может быстро выйти из-под контроля.

Снова о WMF-уязвимости

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике