Vulnerabilità in Windows Meta File: Il primo trojan La fake email ricevuta ha come mittente Robert Gordens (docente della Yale University?), e fa riferimento ad alcuni atti vandalici compiuti dagli studenti dopo l'inizio del nuovo anno. Di seguito riportiamo una copia della suddetta email: ------------------------------------------------------------------------------------------ From: Robert Gordons [r.gordons@yale.edu] To: admin@zone-h.org Oggetto: Vandalism Over the New Year Hello, We are very sad to say that over the New Year the Campus was subjected to several acts of mindless vandalism. As well as bricks being thrown through windows, several members of staff have reported their cars as being the subject of practical jokes. Some of these cars were filled with water whilst others had graffiti daubed across them. We have uploaded the pictures of the graffiti here http://playtimepiano.home.comcast.net/ in the hope that someone may recognise the culprits work. If anyone can shed any light on this unfortunate incident could they please contact the main office as soon as they have time. Many Thanks & Best Regards, Professor Robert Gordens Yale ----------------------------------------------------------------------------------------- Il sito linkato nella mail, che al momento sembra essere stato rimosso, causava gli utilizzatori di Internet Explorer a scaricare automaticamente un file WMF (chiamato video.wmf) il cui payload è stato preso da Metasploit (http://metasploit.com/). Il file WMF appena scaricato infetta il sistema, provocando in alcuni casi il crash di rundll32.exe. Le azioni eseguite dal codice malevolo cominciano con il download, attraverso tftp, di un file dall'indirizzo IP 86.135.149.130. Prima che il download cominci, viene verificato se il firewall di Windows è attivo, in tal caso vengono aggiunte delle regole nel registro di sistema in modo da bypassare il firewall e permettere il download del file. Una volta terminato il download, la macchina infettata avrà nel filesystem un file chiamato smsbvl32.exe ( in genere localizzato in c:\windows\system32), il quale una volta eseguito proverà a connettersi ad uno dei seguenti IRC server: 140.198.35.85:8080 24.116.12.59:8080 140.198.165.185:8080 129.93.51.80:8080 70.136.88.76:8080 Ciò permetterà all'attaccante di poter controllare a distanza la macchina infettata. Sebbene al momento Microsoft non abbia rilasciato alcuna patch, è disponibile un fix messo a disposizione qualche giorno fa da Ilfak Guilfanov. E' possibile scaricare il fix dal seguente indirizzo: E' inoltre raccomandato eseguire il seguente workaround: REGSVR32 /u shimgvw.dll Gli utenti che abbiano ricevuto una email simile e avessero seguito il link tramite Internet Explorer, è probabile che siano stati infettati. E' possibile rimuovere il trojan eliminando le seguenti chiavi dal registro di sistema: Key: HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Value Name: ApplicationProtocolRun Value Data: smsbvl32.exe Key: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Value Name: ApplicationProtocolRun Value Data: smsbvl32.exe Key:HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/ StandardProfile/AuthorizedApplications/List Value Name: C:/WINDOWS/system32/smsbvl32.exe Value Data: C:/WINDOWS/system32/smsbvl32.exe:*:Enabled:Unknown Suggeriamo inoltre agli amministratori di rete di bloccare il traffico in uscita verso i seguenti IP: IRC - 140.198.35.85:8080 IRC - 24.116.12.59:8080 IRC - 140.198.165.185:8080 IRC - 129.93.51.80:8080 IRC - 70.136.88.76:8080 tftp - 86.135.149.130 http - playtimepiano.home.comcast.net
|