Quantcast
Channel: CSIS Security Group
Viewing all articles
Browse latest Browse all 247

CSIS Nyheder: Vobfus orm snor sig

$
0
0

CSIS har modtaget flere rapporter fra mellemstore og store firmaer, som indenfor de seneste dage har oplevet at deres netværk er blevet ramt af en gammel orm i ny indpakning. Der er tale om den trussel som hedder "Vobfus" og som har tilsyneladende har kinesisk oprindelse.

Ormen hedder "Vobfus" eller "Silly", og kan sprede sig automatisk i et Microsoft Windows netværk, hvor den vil kopiere sig til delte drev, USB enheder og flytbare medier med spændende filnavne som f.eks.: "sexy.exe", "porn.exe", "secret.exe", "runme.exe", "google.com", "WINEPDATER.EXE" og "password.exe".

Den pågældende kode er polymorfisk. Det betyder at den konstant ændrer dele af dens binære struktur for bl.a. at besværliggøre antivirus detektion. På den måde vil dens MD5/SHA-1 værdi konstant ændre sig for hver gang en ny variant droppes eller kopieres til delte mapper. Det er illustreret herunder, hvor værdien i højre kolonne er MD5 sum:


Ved kørsel vil koden kopiere sig til mappen:
c:Documents and Settings[%bruger konto%]rxray.exe

Den tilføjer samtidig denne sti til registreringsdatabasen med en "runas" værdi, som sikrer at den skadelige kode køres automatisk ved en genstart af systemet:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun=
c:Documents and Settings[%bruger konto%]rxray.exe /z

En del af denne orms egenskaber er at ringe hjem til flere domæner (C&C servere) hvorfra der modtages opdateringer og lækkes data til. Den vil også installere andre uønskede programmer på systemet der bl.a. kan generere med diverse pop-ups.

At den kommunikerer med central C&C server ses bl.a. herunder:

GET /xUrjkFzsuF?f HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)
Host: 30162.ddns1.eu:443

C&C domænet oversættes til en server i Kina:

netname:    CHINANET-JS
descr:    CHINANET jiangsu province network
descr:    China Telecom
descr:    A12,Xin-Jie-Kou-Wai Street
descr:    Beijing 100088
country:    CN
admin-c:    CH93-AP
tech-c:    CJ186-AP
mnt-by:    APNIC-HM
mnt-lower:    MAINT-CHINANET-JS
mnt-routes:    MAINT-CHINANET-JS

Programegenskaberne for den binære kode er statiske og refererer bl.a. til "saffisso" og "sporalood":

CompanyName
Camass
ProductName
sporalood
FileVersion
5.53
ProductVersion
5.53
InternalName
saffisso
OriginalFilename
saffisso.exe

Koden er udviklet i Visual Basic og kompileret med følgende tids- og datostempel: "[Mon Nov 26 19:22:54 2012 UTC]".

Vi har naturligvis allerede blokeret disse domæner i CSIS Secure DNS og Heimdal PRO og corporate.

Den skadelige kode opnår i følge Virustotal.com følgende antivirus detektion:

Agnitum     -     20121127
AhnLab-V3     Worm/Win32.VBNA     20121127
AntiVir     TR/Dropper.Gen     20121128
Antiy-AVL     -     20121127
Avast     -     20121128
AVG     -     20121128
BitDefender     Trojan.VB.Agent.OL     20121128
ByteHero     -     20121116
CAT-QuickHeal     -     20121128
ClamAV     -     20121128
Commtouch     W32/VB.HC.gen!Eldorado     20121128
Comodo     -     20121128
DrWeb     Trojan.DownLoader7.31207     20121128
Emsisoft     -     20121128
eSafe     -     20121126
ESET-NOD32     Win32/Pronny.IJ     20121128
F-Prot     W32/VB.HC.gen!Eldorado     20121128
F-Secure     Trojan.VB.Agent.OL     20121128
Fortinet     -     20121128
GData     Trojan.VB.Agent.OL     20121128
Ikarus     Worm.Win32.Vobfus     20121128
Jiangmin     -     20121127
K7AntiVirus     Riskware     20121127
Kaspersky     Trojan.Win32.Agent.uxpi     20121128
Kingsoft     Win32.Troj.Agent.ux.(kcloud)     20121119
McAfee     W32/Autorun.worm.aaeb     20121128
McAfee-GW-Edition     Artemis!648CE4173E4B     20121128
Microsoft     Worm:Win32/Vobfus.MB     20121128
MicroWorld-eScan     -     20121128
Norman     -     20121127
nProtect     Trojan.VB.Agent.OL     20121128
Panda     Trj/CI.A     20121128
PCTools     Malware.Changeup     20121128
Rising     -     20121128
Sophos     Troj/Agent-ZAT     20121128
SUPERAntiSpyware     Trojan.Agent/Gen-Vobfus     20121128
Symantec     W32.Changeup     20121128
TheHacker     -     20121127
TotalDefense     -     20121128
TrendMicro     WORM_VOBFUS.SMRR     20121128
TrendMicro-HouseCall     -     20121128
VBA32     -     20121127
VIPRE     Trojan.Win32.Generic!BT     20121128
ViRobot     Trojan.Win32.A.Agent.155648.TD     20121128


Viewing all articles
Browse latest Browse all 247

Trending Articles


Grand galla med gull og glitter


Psykiater Tonny Westergaard


Jav Uncensored - Tokyo-Hot n1002 Miyu Kitagawa


Moriya Suwako (Touhou)


BRODERET KLOKKESTRENG MED ORDSPROG 14 X 135 CM.


Naruto Shippuden Episode 471 Subtitle Indonesia


Fin gl. teske i sølv - 2 tårnet - stemplet


Kaffefilterholder fra Knabstrup


Anders Agger i Herstedvester


Onkel Joakims Lykkemønt *3 stk* *** Perfekt Stand ***


Sælges: Coral Beta/Flat (Højttaler-enheder)


Starwars landspeeder 7110


NMB48 – Durian Shounen (Dance Version) [2015.07.15]


Le bonheur | question de l'autre


Scope.dk som agent?


Akemi Homura & Kaname Madoka (Puella Magi Madoka Magica)


Tidemands taffel-marmelade julen1934+julen 1937+julen 1938.


Re: KZUBR MIG/MMA 300 zamena tranzistora


Analyse 0 mundtlig eksamen


DIY - Hæklet bil og flyvemaskine