Снова о WMF-уязвимости

31 Дек 2005

мин. на чтение

Авторы

Прошло несколько дней после обнаружения WMF-уязвимости, и в сети появился первый распространяющийся посредством этой дыры IM-Worm.

Согласно сообщениям, полученным от голландских пользователей, червь распространяется через сеть MSN Messenger в виде следующей ссылки:

http://[удалено]/xmas-2006 FUNNY.jpg

Это может закончиться локальной (голландской) эпидемией, но пока что эффект от распространения червя невелик (меньше 1000 ботов на момент публикации постинга).

JPG-файл по ссылке на самом деле является HTML-страницей, на которой находится вредоносный WMF-файл, детектируемый Антивирусом Касперского как Exploit.Win32.IMG-WMF.

Этот WMF-файл скачивает на компьютер и запускает VBS-файл (детектируется как Trojan-Downloader.VBS.Psyme.br), который, в свою очередь, скачивает на компьютер одну из версий Sdbot (детектируется Антивирусом Касперского как Backdoor.Win32.SdBot.gen).

В момент публикации этот SdBot загружал на компьютер одну из версий червя IM-Worm.Win32.Kelvir. Именно Kelvir отвечает за дальнейшее распространение червя через MSN.

Если судить по функционалу этого IRC-бота, то он с высокой вероятностью был сделан для киберпреступников.

Несколько слов в дополнение предыдущего постинга о WMF-уязвимости: мы отмечаем частые упоминания на множестве сайтов, что уязвимым файлом является библиотека shimgvw.dll.

Судя по всему, это не так, поскольку эксплойт срабатывает и на системах, из которых эта библиотека была удалена. Видимо, уязвимость находится в файле gdi32.dll.

Так что хоть удаление shimgvw.dll и позволяет снизить риск срабатывания эксплойта, нам в голову приходит несколько иных сценариев атаки, для которых подобная система будет по-прежнему уязвима.

Стоит, впрочем, отметить, что в случае удаления этой библиотеки основной вектор атаки смещается с веб-браузеров на «Проводник» и сторонние утилиты-просмотрщики.

Боюсь, что в завершение года нам придется предупредить пользователей быть аккуратнее с любыми файлами изображений. С растущим потоком электронных поздравительных новогодних открыток ситуация может быстро выйти из-под контроля.

Авторы

Снова о WMF-уязвимости

Последние публикации

Отчеты

Продолжаем рассказывать об APT-группе ToddyCat. В этой статье поговорим о туннелировании трафика, сохранении доступа к скомпрометированной инфраструктуре и краже данных.

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Снова о WMF-уязвимости

ToddyCat роет норы в вашей инфраструктуре и крадет секреты

Managed Detection and Response — отчет за 2023 год

Реагирование на инциденты: аналитический отчет за 2023 год

История с бэкдором в XZ — первоначальный анализ

SoumniBot: уникальные техники нового банкера для Android

Найти «Триангуляцию»: утилита triangle_check

Как приручить Ghidra

GReAT рекомендует: полезные плагины IDA Pro

Обнаружены свежие образцы имплантов FinSpy для мобильных ОС iOS и Android

Stalkerware: средства повседневного шпионажа

Последние публикации

История с бэкдором в XZ — первоначальный анализ

SoumniBot: уникальные техники нового банкера для Android

Билдер LockBit и целевые шифровальщики

Зловреды для Android на любой вкус

Отчеты

ToddyCat роет норы в вашей инфраструктуре и крадет секреты

StripedFly: двуликий и незаметный

Азиатские APT-группировки: тактики, техники и процедуры

Как поймать «Триангуляцию»

Подпишитесь на еженедельную рассылку