[Announcement] Người ta lợi dụng cách hiển thị .lnk của windows để phát tán mã độc |
30/07/2010 13:00:56 (+0700) | #1 | 216900 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Hôm kia, ngồi đọc tin trên mạng, thấy báo chí đăng tin virus shortcut, và bkav.com.vn cũng có đăng tin về "lỗ hổng" định dạng shortcut.
Lỗi này được phát hiện từ ngày 10/7/2010 và đến nay vẫn chưa có bản vá (lỗ hổng zero-day).
Theo đó, chỉ cần người dùng mở USB có chứa file Shortcut bị lỗ hổng, virus sẽ tự động thâm nhập vào máy tính ngay cả khi chức năng Autorun đã bị vô hiệu hóa. Từ đó, hacker có thể chiếm toàn quyền điều khiển máy tính để thực hiện hành vi ăn cắp thông tin, phá hủy dữ liệu...
và thông tin từ trang mạng của một vài hảng viết phần mềm , ví dụ như trang sophos
The security community was buzzing today about a potential new zero-day vulnerability in Windows. The attack that exploits the vulnerability was originally discovered by VirusBlokAda in Belarus. It contains several components and is still being analyzed by SophosLabs.
It starts with a yet unexplained flaw in Windows that allows a Windows shortcut file (.lnk) placed on a USB device to run a DLL simply by being viewed. This means that, even with AutoRun and AutoPlay disabled, you can open a removable media device (USB) and execute malicious code without user interaction. The danger associated with this attack is large considering how many computers were infected through USB devices by Conficker using the AutoPlay functionality. If you can execute malware even when AutoPlay is disabled, the risk is very high. Sophos detects these malicious .lnk files as W32/Stuxnet-B.
Although analysis is not complete, it would appear that the flaw is in how Windows Explorer loads the image to display when showing a shortcut. This feature is being used to exploit a vulnerability and execute a DLL to load the malware on the system.
The DLL that is loaded in this case is a rootkit dressed up as a device driver. It is able to load undetected into the system because it is digitally signed by RealTek Semiconductors, a legitimate hardware vendor. Why RealTek would digitally sign a driver that is in fact a rootkit, or whether their systems were compromised has yet to be determined. The rootkit, once loaded, disguises the malicious files on the USB device, making further investigation difficult.
The .lnk files used to spread the infection via USB are specific to each USB key infected. The malware dynamically generates the .lnk file for each device it infects. At this time it is unclear whether this is necessary for the exploit to work, or whether it is a control mechanism for the perpetrators of this attack.
Brian Krebs reported on his blog that the payload appears to be looking for content specific to Siemens SCADA software. SCADA systems control much of our nations' critical infrastructure. If this is the case, it's a disturbing turn of events. The implication would be that the samples that we are looking at are part of a true "Advanced Persistent Threat" attack against specific targets. Knowledge of this exploit could also lead to widespread adoption by opportunistic malware writers similar to what happened in the Google Aurora attacks.
This is why we need to be careful not to call every data-stealing piece of malware an Advanced Persistent Threat. We need to be sure that when a wolf really does come along -- when our adversaries target critical infrastructure providers with malware designed to steal information or disrupt their operations -- our cries don't go unheeded.
Và thông tin từ trang web này.
http://ssj100.fullsubject.com/security-f7/vulnerability-in-windows-shell-could-allow-remote-code-execution-t187.htm
Vì vậy nên dùng ngay 1 trình duyệt có cập nhật để phòng bị. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Announcement] Người ta lợi dụng cách hiển thị .lnk của windows để phát tán mã độc |
30/07/2010 14:07:09 (+0700) | #2 | 216908 |
|
louisnguyen27
Member
|
0 |
|
|
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
|
|
http://blog.trendmicro.com/exploits-for-windows-shortcut-vulnerability-in-the-wild/
According to Threat Research Manager Ivan Macalintal, the usage of .LNK files is really more of an abuse of a flaw, rather than a vulnerability. “While most of the industry is still referencing this as being a vulnerability, really, it’s a flaw – an abused flaw in the strictest sense” commented Macalintal, “and this is one of the reasons delivering a patch is proving a challenge for Microsoft.”
Đọc lại phần quote Bờ kờ a vờ của TMD thấy nhức cả đầu. |
|
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!! |
|
|
|
[Announcement] Người ta lợi dụng cách hiển thị .lnk của windows để phát tán mã độc |
30/07/2010 14:16:04 (+0700) | #3 | 216910 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Để hạn chế hành vi này, nên dùng firewall để ra cảnh báo mỗi khi windows muốn thực thi cái gì đó nằm trên USB, như theo hướng dẫn trong cái link
http://ssj100.fullsubject.com/security-f7/vulnerability-in-windows-shell-could-allow-remote-code-execution-t187.htm
Trong cái file shortcut có một dòng mã gọi file rundll32.exe để thực thi lệnh trong file .dll mã độc, để chạy cái gì đó tiếp theo. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Announcement] Người ta lợi dụng cách hiển thị .lnk của windows để phát tán mã độc |
30/07/2010 14:19:54 (+0700) | #4 | 216911 |
huyannet
Member
|
0 |
|
|
Joined: 21/07/2008 00:42:51
Messages: 83
Offline
|
|
Cái này thấy hay đấy, có ai biết sử dụng lỗi này thì hướng dẫn cho anh em học hỏi với nhé,
Không thì gửi link lên đây cũng dc. |
|
|
|
|
[Announcement] Người ta lợi dụng cách hiển thị .lnk của windows để phát tán mã độc |
30/07/2010 14:39:33 (+0700) | #5 | 216913 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Anh em muốn nick mình locked thì cứ gửi. Đọc nội quy đi.HỌc hỏi cái gì từ hành động hướng dẫn sử dụng để phá hoại.
PS: BKIS thì tung hoả mù thôi, không đưa thông tin kỹ thuật nhiều. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Announcement] Người ta lợi dụng cách hiển thị .lnk của windows để phát tán mã độc |
31/07/2010 08:28:57 (+0700) | #6 | 216976 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Lỗi do coder của MS dùng LoadLibrary, load file dll lên để extract icon. Chỉ cần # 1 flag hay 1 chử Ex gõ thêm mà mang hoạ. |
|
|
[Announcement] Người ta lợi dụng cách hiển thị .lnk của windows để phát tán mã độc |
31/07/2010 13:50:18 (+0700) | #7 | 217009 |
|
freeze_love
Member
|
0 |
|
|
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
|
|
Mấy hôm trước đút usb vào 1 tiệm net ở Cần Thơ và bị con này. Nó đặt tên là dlhbqd.pif và có biểu tượng shorcut (shorcut to Ms-Dos programs), nặng 167 KB (171,519 bytes).
|
|
do{
học đến điên;
}while (sống); |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|