Quantcast
Channel: CSIS Security Group
Viewing all articles
Browse latest Browse all 247

CSIS Nyheder: Ny orm spreder sig på Facebook

$
0
0

CSIS har i dag opdaget en ny orm som spreder sig via det sociale netværk, Facebook.

Der er tale om en klassisk orm der ved infektion af et system samtidig logger ind som den pågældende bruger, mens den spammer beskeder ud til venner og bekendte.

Beskeden består udelukkende af et link eksempelvis (mellemrum indlagt af CSIS):
http://www.offi sense.co.il/lang/images.php?facebookimage=...2119

Hvis dette link klikkes på, og brugeren herefter kan lokkes til at åbne hvad kunne syntes at være en pauseskærm (se skærmdump herunder), så droppes skadelig kode til systemet.


Koden er udviklet i Visual Basic 6.0 og indeholder talrige Anti-VM tricks rettet mod VMware, SandboxIE, Virtual Box osv.

Den skadelige kode nedhenter dernæst (mellemrum indlagt af CSIS):
http://www.offi sense.co.il/lang/b.exe

Hvorefter følgende fil forsøges kopieret til systemet:
c:users[%bruger profil%]m-1-52-5782-8752-5245winsvc.exe

Ormen bærer en cocktail af malware ind på maskinen, herunder også en Zbot/ZeuS variant, som er en alvorlig trussel og som stjæler følsomme oplysninger fra den inficerede maskine.

Ormen har allerede kapret et utal af domæner, hvorfra den spreder sig aktivt (mellemrum indlagt af CSIS):

http://www.vinam ost.net
http://www.ferry .coza
http://www.maxim ilian-adam.com
http://www.bacol odhouseandlot.com/
http://www.servi ceuwant.com
http://www.centr alimoveisbonitoms.com.br
http://www.werea d.in.th
http://www.villa matildabb.com
http://www.fiona gh-bennet-music.co.uk
http://www.uksei katsu.com
http://www.bzoe- salzkammergut.at
http://www.delic escolres.com
http://www.dekie viten.nl

De forskellige kompromitterede servere tjener også et andet formål. De indsamler data omkring de inficerede maskiner, mens de samtidig tilbyder den supplerende malware. Indholdet fra en server kan se ud som følgende:

Index of /images

Parent Directory
GeoIP.dat
PIC96477.JPG.scr
b.exe
count.txt
f.exe
geoip.inc
images.php
util.php

De mange skadelige domæner er naturligvis allerede blokeret i CSIS Secure DNS.

Den skadelige kode opnår i følge Virustotal følgende mangelfulde antivirus detektion:

Antivirus Version Last Update Result
AhnLab-V3 2011.11.28.00 2011.11.28 -
AntiVir 7.11.18.107 2011.11.28 -
Antiy-AVL 2.0.3.7 2011.11.28 -
Avast 6.0.1289.0 2011.11.28 -
AVG 10.0.0.1190 2011.11.28 -
BitDefender 7.2 2011.11.28 -
ByteHero 1.0.0.1 2011.11.14 -
CAT-QuickHeal 12.00 2011.11.28 -
ClamAV 0.97.3.0 2011.11.28 -
Commtouch 5.3.2.6 2011.11.28 -
Comodo 10791 2011.11.27 -
DrWeb 5.0.2.03300 2011.11.28 Win32.HLLW.Autoruner.52856
Emsisoft 5.1.0.11 2011.11.28 -
eSafe 7.0.17.0 2011.11.28 -
eTrust-Vet 37.0.9590 2011.11.28 -
F-Prot 4.6.5.141 2011.11.28 -
F-Secure 9.0.16440.0 2011.11.28 -
Fortinet 4.3.370.0 2011.11.27 -
GData 22 2011.11.28 -
Ikarus T3.1.1.109.0 2011.11.28 -
Jiangmin 13.0.900 2011.11.28 -
K7AntiVirus 9.119.5542 2011.11.25 -
Kaspersky 9.0.0.837 2011.11.28 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.11.28 -
McAfee-GW-Edition 2010.1D 2011.11.28 -
Microsoft 1.7801 2011.11.28 -
NOD32 6666 2011.11.28 -
Norman 6.07.13 2011.11.28 -
nProtect 2011-11-28.02 2011.11.28 -
Panda 10.0.3.5 2011.11.27 -
PCTools 8.0.0.5 2011.11.28 -
Prevx 3.0 2011.11.28 -
Rising 23.86.00.01 2011.11.28 -
Sophos 4.71.0 2011.11.28 -
SUPERAntiSpyware 4.40.0.1006 2011.11.26 -
Symantec 20111.2.0.82 2011.11.28 -
TheHacker 6.7.0.1.350 2011.11.27 -
TrendMicro 9.500.0.1008 2011.11.28 -
TrendMicro-HouseCall 9.500.0.1008 2011.11.28 -
VBA32 3.12.16.4 2011.11.28 -
VIPRE 11170 2011.11.28 -
ViRobot 2011.11.28.4797 2011.11.28 -
VirusBuster 14.1.88.0 2011.11.28 -


Viewing all articles
Browse latest Browse all 247

Trending Articles


Grand galla med gull og glitter


Psykiater Tonny Westergaard


Jav Uncensored - Tokyo-Hot n1002 Miyu Kitagawa


Moriya Suwako (Touhou)


BRODERET KLOKKESTRENG MED ORDSPROG 14 X 135 CM.


Naruto Shippuden Episode 471 Subtitle Indonesia


Fin gl. teske i sølv - 2 tårnet - stemplet


Kaffefilterholder fra Knabstrup


Anders Agger i Herstedvester


Onkel Joakims Lykkemønt *3 stk* *** Perfekt Stand ***


Sælges: Coral Beta/Flat (Højttaler-enheder)


Starwars landspeeder 7110


NMB48 – Durian Shounen (Dance Version) [2015.07.15]


Le bonheur | question de l'autre


Scope.dk som agent?


Akemi Homura & Kaname Madoka (Puella Magi Madoka Magica)


Tidemands taffel-marmelade julen1934+julen 1937+julen 1938.


Re: KZUBR MIG/MMA 300 zamena tranzistora


Analyse 0 mundtlig eksamen


DIY - Hæklet bil og flyvemaskine