Vulnerabilità in Windows Meta File: Il primo trojan  
Zone-H Staff
01/05/2006
 
In seguito ad una email pervenutaci qualche giorno fa abbiamo riscontrato una nuova forma di trojan che sfrutta la recente vulnerabilità WMF di Windows ( http://www.zone-h.it/advisories/read/id=1002 ), al momento non ancora patchata da parte di Microsoft.

La fake email ricevuta ha come mittente Robert Gordens (docente della Yale University?), e fa riferimento ad alcuni atti vandalici compiuti dagli studenti dopo l'inizio del nuovo anno.

Di seguito riportiamo una copia della suddetta email:

------------------------------------------------------------------------------------------

From: Robert Gordons [r.gordons@yale.edu]

To: admin@zone-h.org

Oggetto: Vandalism Over the New Year

Hello,

We are very sad to say that over the New Year the Campus was subjected to several acts of mindless vandalism. As well as bricks being thrown through windows, several members of staff have reported their cars as being the subject of practical jokes. Some of these cars were filled with water whilst others had graffiti daubed across them. We have uploaded the pictures of the graffiti here

http://playtimepiano.home.comcast.net/

in the hope that someone may recognise the culprits work. If anyone can shed any light on this unfortunate incident could they please contact the main office as soon as they have time.

Many Thanks & Best Regards,

Professor Robert Gordens

Yale

-----------------------------------------------------------------------------------------

Il sito linkato nella mail, che al momento sembra essere stato rimosso, causava gli utilizzatori di Internet Explorer a scaricare automaticamente un file WMF (chiamato video.wmf) il cui payload è stato preso da Metasploit (http://metasploit.com/). Il file WMF appena scaricato infetta il sistema, provocando in alcuni casi il crash di rundll32.exe. Le azioni eseguite dal codice malevolo cominciano con il download, attraverso tftp, di un file dall'indirizzo IP 86.135.149.130. Prima che il download cominci, viene verificato se il firewall di Windows è attivo, in tal caso vengono aggiunte delle regole nel registro di sistema in modo da bypassare il firewall e permettere il download del file. Una volta terminato il download, la macchina infettata avrà nel filesystem un file chiamato  smsbvl32.exe ( in genere localizzato in c:\windows\system32), il quale una volta eseguito proverà a connettersi ad uno dei seguenti IRC server:

140.198.35.85:8080

24.116.12.59:8080

140.198.165.185:8080

129.93.51.80:8080

70.136.88.76:8080

Ciò permetterà all'attaccante di poter controllare a distanza la macchina infettata.

Sebbene al momento Microsoft non abbia rilasciato alcuna patch, è disponibile un fix messo a disposizione qualche giorno fa da Ilfak Guilfanov. E' possibile scaricare il fix dal seguente indirizzo:

http://www.hexblog.com/

E' inoltre raccomandato eseguire il seguente workaround: REGSVR32 /u shimgvw.dll

Gli utenti che abbiano ricevuto una email simile e avessero seguito il link tramite Internet Explorer, è probabile che siano stati infettati. E' possibile rimuovere il trojan eliminando le seguenti chiavi dal registro di sistema:

Key: HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run

Value Name: ApplicationProtocolRun

Value Data: smsbvl32.exe

Key: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

Value Name: ApplicationProtocolRun

Value Data: smsbvl32.exe

Key:HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/ StandardProfile/AuthorizedApplications/List

Value Name: C:/WINDOWS/system32/smsbvl32.exe

Value Data: C:/WINDOWS/system32/smsbvl32.exe:*:Enabled:Unknown

Suggeriamo inoltre agli amministratori di rete di bloccare il traffico in uscita verso i seguenti IP:

IRC - 140.198.35.85:8080

IRC - 24.116.12.59:8080

IRC - 140.198.165.185:8080

IRC - 129.93.51.80:8080

IRC - 70.136.88.76:8080

tftp - 86.135.149.130

http - playtimepiano.home.comcast.net

Home Page