sobota 26. května 2012

bsnes v0.87 Local Denial Of Service



SocialEngine 4.2.2 Multiple Vulnerabilities



RabidHamster R4 Log Entry sprintf() Buffer Overflow



Technická analýza Flash Player CVE-2012-0779


Microsoft Malware Protection Center (MMPC) zaslali technickou analýzu malwaru cílení Adobe Flash Player (CVE-2012-0779), zranitelnosti, které Adobe vydala opravu kritické aktualizace na začátku tohoto měsíce (deník zveřejněny zde ). Technická analýza ukazuje, jak proces infekce dochází při nebezpečný dokument otevřen.Technická analýza je zveřejněn zde . Získejte nejnovější verzi Flash Player zde (Flash Player 11.2.202.233 a starší je zranitelný).
[1] http://isc.sans.edu/diary/Adobe+Security+Flash+Update/13129
[2]
http://get.adobe.com/flashplayer/

pátek 25. května 2012

Metasploit: Low Level View


Metasploit: Low Level View

[Portuguese] Return Oriented Programming na unha!


  [Portuguese] Return Oriented Programming na unha!

Introduction to Reverse Engineering


Introduction to Reverse Engineering

printf() tricks


printf() tricks

Address Space Layout Randomization


Address Space Layout Randomization

MS11-046 - Dissecting a 0 day


MS11-046 - Dissecting a 0 day

Bypassing tolower() filters in buffer overflows


Bypassing tolower() filters in buffer overflows

Analyzing WordPress Themes


Analyzing WordPress Themes

Deep Dive Into OS Internals with Windbg


Deep Dive Into OS Internals with Windbg

XSS worm writeup


XSS worm writeup

Hacktool.Mimikatz

Hacktool.Mimikatz je nástroj, který umožňuje útočníkovi získat přístup k počítači ohrožení určité funkce v operačním systému. 
Při spuštění programu se vytvoří následující soubor: 
  • CurrentFolder%% / Mimikatz.exe
  • CurrentFolder%% / serkurlsa.dll


Nástroj umožňuje útočníkovi provést následující akce na počítači:
  • Povolit, zakázat a odstranit privilegia.
  • Export bezpečnostní certifikáty.
  • Obejít některá nastavení zásad skupiny.
  • Zakázat určitou míru zabezpečení a protokolování služby.
  • Dll injekci do libovolných procesů.
  • Obnovení systému Windows hesla ve formátu prostého textu (pokud je knihovna DLL vstříknut do lsass.exe).
  • Podvádět v Hledání min.

W32.SillyFDC.BDQ

W32.SillyFDC.BDQ je červ, který se pokouší šíří kopírováním sebe k namapované disky a vyměnitelná. 
Když červ spustí, zkopíruje se na následujících místech: 
  • % System% \ systemio.exe
  • SystemDrive%% \ Mixa_I.exe
  • % Windir% \ Mixa.exe

Vytváří také následující soubory:
  • % System% \ mui \ 0416 \ log.wma
  • % System% \ restart.scf

Dále červ vytvoří následující položku registru tak, že spustí vždy, když se spustí systém Windows:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "Virus" = "% Windir% \ Mixa.exe" Mění také následující položky registru, takže že se provádí vždy, když se spustí systém Windows: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ "Userinit" = "% System% \ systemio.exe" Červ pak upravuje následující položky registru změnit nastavení programu Průzkumník Windows:





  • = "0"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ "WebView" = "1"

Dále červ pokouší šířit tím, že vytvoří následující soubor na všech mapovaných pohony:
DriveLetter%% \ Mixa_I.exe Červ vytváří následující soubor na všech vyměnitelných převodovky: DriveLetter%% \ mixa_i.exe Poté vytvoří následující soubory tak, že se provádí vždy, když jsou dostupné pohony:





  • DriveLetter%% \ autorun.inf
  • SystemDrive%% \ Autorun.inf

Backdoor.Herpybot

Backdoor.Herpybot je trojský kůň, který otevře zadní dveře a krade informace z počítače ohrožena. 
Při spuštění Trojan, vytvoří následující soubory: 
  • % USERPROFILE% \ Application Data \ gpresultl.exe
  • % USERPROFILE% \ Application Data \ log.err

Dále Trojan vytvoří následující položku registru tak, že spustí vždy, když se spustí systém Windows:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "gpresultl" = "C: \ Documents and Settings \ Administrator \ Data aplikací \ gpresultl.exe" Mění také následující položky registru:


  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ "ProxyEnable" = "ProxyEnable"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Shell Folders \ "AppData" = "C: \ Documents and Settings \ Administrator \ Data aplikací"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Shell Folders \ "Common AppData" = "C: \ Documents and Settings \ All Users \ Data aplikací"

. Trojan pak může aplikovat sám do několika procesů Windows Dále Trojan zaznamenává všechny stisky kláves a ukládá je v následujícím souboru: % USERPROFILE% \ Application Data \ system.lho Poté se pokusí o přístup k příkazové servery k přidávání odcizení informace:





  • [Http://] dd.zeroxcode.net / jí [ODSTRANIT]
  • [Http://] frk7.mine.nu/her [ODSTRANIT]
  • [Http://] upload@zeroxcode.net
  • [Http://] www.zeroxcode.net / jí [ODSTRANIT]

Trojský kůň poté otevře zadní dveře a umožňuje vzdálenému útočníkovi získat přístup k počítači ohrožena. Vzdálený útočník může pak proveďte jednu z následujících akcí:
  • Spouštět libovolné soubory
  • Spouštět příkazy
  • Změnit vlastnosti systému
  • Provádět distribuované denial-of-Service (DDoS) útok
  • Načíst informace o stisknutí kláves
  • Načíst informace o procesu

Google Publikování Zpráva o průhlednosti


Google právě vydal svou zprávu o transparentnosti zpřístupnění dat z července 2011. Jako příklad zpráva uvádí počet žádostí obdržených v průběhu posledního měsíce, počet požádá URL odebrání (1255402), podle cílových domén 24374) autorskými právy vlastníků v 1314) a podávání zpráv organizací v 1099). Úplná zpráva je k dispozici zde . Blog napsal Fred von Lohmann Google, Senior Copyright poradce je k dispozici zde .
[1] http://www.google.com/transparencyreport/removals/copyright/
[2] http://googleblog.blogspot.ca/2012/05/transparency-for-copyright-removals-in.html

BKDR_VISEL.FO


Tento backdoor může být vložen jiným malwarem.
Provede příkazy ze vzdáleného uživatele se zlými úmysly, účinně ohrožení postiženého systému. To se připojí na webové stránky, odesílat a přijímat informace.
Načte konkrétní informace z postiženého systému.
Příjezd Detaily
Tento backdoor může být zrušen následující malware:
  • TROJ_MDROP.ZD
Instalace
Tento backdoor přidává následující složky:
  • c: \
Klesne následující komponenty soubor (y):
  • % Uživatel TEMP% \ print32.dll - také rozpoznán jako BKDR_VISEL.FO
  • % Program Files% \ Common Files \ odbc.nls - zjistit také jako BKDR_VISEL.FO
(Poznámka: Uživatel% Temp% je aktuálního uživatele Temp, který je obvykle C: \ Documents and Settings \ {uživatelské jméno} \ Local Settings \ Temp na Windows 2000, XP a Server 2003 .. % Program Files% je Výchozí Program Files, obvykle C: \ Program Files).
Klesne tyto kopie sebe sama do postiženého systému:
  • % Windows% \ Temp \ y {} náhodná čísla. DAT
(Poznámka: % Windows% je složka systému Windows, který je obvykle C: \ Windows nebo C: \. WINNT)
Jeho DLL komponenta je aplikován na následující proces (y):
  • spoolsv.exe
Další systémové změny
Tento backdoor odstraní následující soubory:
  • % Program Files% \ Common Files \ odbc_dmc.nls
  • % Program Files% \ Common Files \ odbc_orp.nls
  • % Program Files% \ Common Files \ odbc_res.nls
  • % Program Files% \ Common Files \ odbc_lif.nls
  • % Program Files% \ Common Files \ odbc_ger.nls
  • % Program Files% \ Common Files \ odbc_rcs.nls
  • % Program Files% \ Common Files \ odbc_div.nls
  • % Program Files% \ Common Files \ odbc_dua.nls
  • % Program Files% \ Common Files \ odbc_rehto.nls
  • % Program Files% \ Common Files \ dumpodbc.exe
  • % Program Files% \ Common Files \ odbc_txe.nls
  • % Program Files% \ Common Files \ odbc_gpj.nls
  • % Program Files% \ Common Files \ odbc_yek.nls
(Poznámka: % Program Files% je výchozí Program Files, obvykle C:. \ Program Files)
To změní následující položky registru:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ 
Services \ Zařazování 
FailureActions = {} HEX hodnoty
(Poznámka: Údaje Výchozí hodnota těchto položku registru je výchozí hodnota {} ).
Rutinní backdoor
Tento backdoor provede následující příkazy ze vzdáleného uživatele se zlými úmysly:
  • Změna portu se používá pro připojení k jejich serveru C & C
  • Zkontrolujte, zda obsah%% Program Files \ Common Files
  • Připojte se k nové C & C IP adresy
  • Připojení k webu přes HTTP
  • Vytvořit / Manipulace témata
  • Stáhnout a spouštět soubory
  • Vložte / volné knihovny
  • Přihlášení uživatele úhozů
(Poznámka: % Program Files% je výchozí Program Files, obvykle C:. \ Program Files)
To se připojí na těchto internetových stránkách odesílat a přijímat informace:
  • {BLOKOVÁNA}.} {BLOKOVÁNA .9.132
Ukončení procesu
Tento backdoor končí následující služby, pokud je uveden na postiženém systému:
  • Zařazování
  • stisvc
  • wuauserv
  • Norton Internet Security
  • Norton 360
  • Norton AntiVirus
Informace o krádeži
Tento backdoor načte následující informace od postiženého systému:
  • Název počítače
  • IP adresa
  • Informace o operačním systému
Informace o odcizení
Tento backdoor uloží ukradené informace v následujícím souboru:
  • c: \ \ b.txt


TROJ_MDROP.ZD


Tento trojský kůň přijde jako přílohu k e-mailové zprávy přicházejí nevyžádaná jiným malwarem / grayware nebo uživatelé se zlými úmysly.
Vykonává soubory, kapky, pobízet, že postižený systém vykazovat škodlivé rutiny, které obsahují.
Příjezd Detaily
Tento trojský kůň přijde jako přílohu k e-mailové zprávy přicházejí nevyžádaná jiným malwarem / grayware nebo uživatelé se zlými úmysly.
Instalace
Tento Trojan klesne následující non-škodlivý soubor:
  • Uživatel% TEMP% \ AAAA
(Poznámka: Uživatel% Temp% je aktuálního uživatele Temp, což je obvykle C:. \ Documents and Settings \ {uživatelské jméno} \ Local Settings \ Temp na Windows 2000, XP a Server 2003)
Pád rutiny
Tento trojský kůň klesne následující soubory:
  • .% Windows% \ Temp \ y {} náhodných dat - detekován jako BKDR_VISEL.FO
(Poznámka: % Windows% je složka systému Windows, který je obvykle C: \ Windows nebo C: \. WINNT)
Vykonává soubory, kapky, pobízet, že postižený systém vykazovat škodlivé rutiny, které obsahují.
Poznámky: 
Po spuštění, tento trojský otevírá své klesla non-škodlivý. HWP soubor % uživatel TEMP% \ záznamy typu AAAA , aby skryla své škodlivé rutiny od uživatele.

Speciálně vytvořený. HWP soubor používaný pro korejské kampaně cílené


Před několika týdny jsme byli upozorněni našimi kolegy z Koreje do speciálně vytvořeného dokumentu aplikace Word Processor Hangul písm. HWP), která využívá aplikace chybu zabezpečení v aplikaci Office Hancom software zpracování textu. . Příponu souboru HWP je populární korejský textový procesor, formát souboru - ten správný formát pro cílení korejské potenciální oběti, což může být případ.
Detekován jako TROJ_MDROP.ZD tento speciálně vytvořený dokument přišel jako přílohu e-mailu, který používal v poslední době případ vraždy v Koreji jako sociální inženýrství trik. E-mail byl odeslán k četným zaměstnancům prominentní korejské společnosti.
Po otevření škodlivý přílohu, TROJ_MDROP.ZD využívá stále neznámé zranitelnosti s cílem odstranit a provést backdoor BKDR_VISEL.FO na pozadí. Tento backdoor poskytuje vzdálený přístup k potenciálním útočníkem, který může provádět škodlivé rutiny na infikovaný počítač. Na základě naší analýzy, BKDR_VISEL.FO také ukončí procesy spojené s konkrétními antivirových programů, takže jeho detekce a odstranění obtížné. Backdoor také stahuje a spouští další škodlivé soubory, takže ohrožena systém citlivý na další infekci a odcizení dat.
Po popravě, TROJ_MDROP.ZD nahradí se s non-škodlivý. Dokumentu HWP, aby se uživateli zabránit podezření z jakékoli škodlivou činnost. Tento dokument obsahuje následující vějička korejský text:
Recon pro budoucí útoky
Soudě podle profilu cílové společnosti, může být úspěšný infekce vést k masové krádeže osobních údajů svých zákazníků. Přidejte k tomu, že. HWP je korejský vlády de facto standard wordprocessor formát, co lze vidět nyní je průzkumná fáze budoucnosti, větší, regionální útok.
Díky tomuto incidentu, můžeme být svědky útočníky postupně využívajících chyb v místní aplikace. Hancom úřad také není první svého druhu, aby mohly být zneužívány útočníky. Již dříve jsme ohlásil případ kde uživatelé se zlými úmysly zneužíval zranitelných míst nalezené v japonském jazyce textový procesor Ichitaro . Úspěšném zneužití vedou k instalaci backdoor. Oba případy dokazují, že použití regionální software nezaručuje nepřítomnost malware útoků. V tomto případě Textový procesor prodejce, který přijal zvláštní modul třetí strany, které mohou být obsažené zranitelnosti, musí věnovat pozornost informacím CVE průmyslu příliš a připravte se na aktualizaci.
To vyzdvihuje význam bezpečnosti, speciálně pro organizace, jejichž služby patří ukládání informací o zákaznících.Úspěšný kompromis, na organizaci nejen staví své zákazníky v ohrožení, ale také snadno zakalí jejich pověst.Naštěstí v tomto případě byly správné kroky ke zmírnění vykonán okamžitě. Musíme však zůstat ostražití, neboť to není naposledy, co budeme svědky hrozeb tohoto druhu.
Trend Micro chrání uživatele před touto hrozbou pomocí Trend Micro Smart Protection Network ™, který detekuje a odstraňuje související malware. Je také blokuje související zprávy a brání i dosažení schránek uživatelů.
Budeme aktualizovat blogu jakmile dostaneme další podrobnosti o uvedené zranitelnosti.
S dalšími poznatky z Thomas Park
Aktualizace v květnu 25, 2012 3:23 am PST
Na základě naší analýzy, TROJ_MDROP.ZD spouští přetečení vyrovnávací paměti, která vychází z plug-in souboru HNCTextArt.hplg, který HWP.EXE používá pro zpracování souborů HWP. HNCTextArt.hplg obsahuje kód, který zkopíruje celou řetězec znaků, včetně nulové ukončení charakteru, od zdroje k cíli. Zdrojový řetězec musí obsahovat nulový znak ukončena. V případě tohoto škodlivého souboru HWP, široká řetězec znaků kopírování neobsahuje řekl null ukončen charakter, což v nekonečné smyčce.
Z tohoto důvodu HNCTestArt.hplg zkopíruje data, dokud výjimce. To spustí škodlivý kód shell uvnitř škodlivého souboru HWP. Řekl kód dešifruje, kapky, a provede soubor PE a non-škodlivý HWP soubor, který slouží jako návnada.

Trojan.Win32.FakeAV.doq


Technické detaily

Tento trojský kůň simuluje antivirový program, aby si kompenzoval uživatelem pro detekci a odstranění falešných hrozeb. Je to aplikace Windows (PE EXE soubor). To je 1 039 872 bytů. Je napsán v C + +.

Instalace

Jakmile trh, Trojan přesune svůj původní soubor a uloží ho jako
% USERPROFILE% \ Local Settings \ Application Data \ <rnd>. Exe
<rnd> kde je náhodné desetinné číslo.
Pokaždé, když zahajoval, Trojan vytvoří následující klíč registru systému:
[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce]
"<jméno Původní Trojan <soubor_obsahující_index>" = "% USERPROFILE% \ Local Settings \ Application Data \ <rnd>. Exe"
To zajišťuje, že Trojan bude automaticky spustí při každém restartování systému.
Trojan také vytvoří následující zkratky:
% USERPROFILE% \ Nabídka Start \ Programy \ Security Tool.lnk
Místní poukazuje na objektu:
% USERPROFILE% \ Local Settings \ Application Data \ <rnd>. Exe

Užitečná

Jakmile trh, Trojan simuluje počítačovou kontrolu systému souborů a zobrazuje informace o falešných hrozeb:
Při pokusu o odstranění hrozby zobrazené Trojan, bude uživatel vyzván k aktivaci programu:
Tyto stránky pak bude zobrazeno, kde je uživatel vyzván k zadání informací o kreditní kartě zakoupit licenci:
OBRANNÁ *** tgate.com
bezpeč *** soft.com
Během své činnosti, Trojan brání nové procesy od svého zrodu. Když Trojan objeví spuštěn proces, že ukončí ji a zobrazí se následující okno:
Například:
Během svého působení Trojan zobrazí následující hlášení v oznamovací oblasti:
Trojan může zobrazit zpráva, že aktualizace programu jsou k dispozici:
Během svého působení Trojan odešle požadavek na adresu:
212. *** .107.202

Odstranění návod

Pokud váš počítač není vybaven antivirovou ochranu a byl napaden tímto škodlivým programem, postupujte podle pokynů jej odstranit:
  1. Restartujte počítač v nouzovém režimu (na začátku zavádění systému, stiskněte a podržte klávesu F8, vyberte možnost Nouzový režim z nabídky spouštění Windows).
  2. Odstraňte následující soubory:
    % USERPROFILE% \ Local Settings \ Application Data \. Exe
    % USERPROFILE% \ Nabídka Start \ Programy \ Security Tool.lnk
    
  3. Odstraňte následující klíč registru systému (viz Co je to systémový registr a jak se používá? )
    [HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce]
    ""="% USERPROFILE% \ Local Settings \ Application Data \. Exe "

Trojan-Ransom.Win32.PornoBlocker.bdi


Technické detaily

Tento trojský kůň zastaví počítač z fungování s cílem získat výkupné pro jeho obnovení. Je to aplikace Windows (PE EXE soubor). To je 46 080 bytů. To je psáno v Delphi.

Instalace

Aby bylo zajištěno, že se spustí automaticky při každém restartování systému, Trojan přidá odkaz na své spustitelného souboru v klíči registru systému automatického spuštění:
[HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
"Shell" = "<cesta k původní Trojan soubor <"

Užitečná

Tento Trojan přiřadí "skrytý" a "systém" atributy jeho spis. To pak provede následující akce:
  • Dodává tyto údaje do klíče systémového registru:
    [HKLM \ Software \ Microsoft \ Outlook Express]
    "Palo" = "<rnd1>"
    "Num" = "<rnd2>"
    
    <rnd1> kde je aktuální datum a čas v zašifrované podobě, která se skládá z 10 číslic, například: "1092554318"
    <rnd2> je číslo naplnit účet, zobrazí uživateli. To je náhodně vybrané ze seznamu:
    896 *** 29451
    898 *** 36548
    898 *** 36585
    898 *** 32746
    898 *** 36591
    898 *** 36528
    
  • To zakáže Správce úloh systému Windows tím, že vytvoří následující systémové klíče registru:
    [HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System]
    "DisableTaskMgr" = "1"
    
  • Trojan se zobrazí jeho okno a v nekonečném cyklu umístí vstupní fokus v tomto okně:
Tímto způsobem Trojan blokuje přístup do jiných aplikací a jediné, co může uživatel udělat, je zadat odblokovací kód do příslušného okna tohoto Trojana.
V nekonečném cyklu rovněž získá aktuální čas a odpovídá to proti klíče systémového registru hodnoty:
[HKLM \ Software \ Microsoft \ Outlook Express]
"Palo" = "<rnd1>"
Tímto způsobem Trojan přestane běží 48 hodin od jeho prvního uvedení na trh.

Odstranění návod

Pokud váš počítač není vybaven antivirovou ochranu a byl napaden tímto škodlivým programem, postupujte podle pokynů jej odstranit:
  1. Zadat následující kód odblokování:
    BENOLIMA1
  2. Vyprázdněte Temporary Internet Files adresáře:
    % Temporary Internet Files%

Anatomie Flashfake. Část 2


V první části naší analýzy jsme se zaměřili na distribuci a infekce mechanismů používaných Flashfake (aka Flashback) škodlivý program, který do konce dubna 2012 bylo infikováno přes 748,000 počítačů Mac OS X. V této druhé části se podíváme na jeho další funkce a jak se počítačoví zločinci za Flashfake se zpeněží na botnet, které byly vytvořeny.

Dynamická knihovna

Flashfake škodlivý program se skládá z několika modulů, stejně jako dynamické knihovny, které se vstříkne do prohlížeče procesů. Tato dynamická knihovna je implementována jako modul do vstřikovače na výskyt škodlivého kódu - viz obrázek níže.
  
Flashfake provozní vývojový diagram
Naše databáze aktuálně obsahuje podpis dvě modifikace této knihovny, více obyčejně známý jako libmbot.dylib. Tato dynamická knihovna je standardní Mach-O balíček pro 32-bitové a 64-bitové verze systému a je přibližně 400 kB.
Knihovní provoz začíná standardní _dylibmain funkci, která přijímá celé číslo jako jeho vstup. Ve výchozím nastavení je pro užitečné zatížení být aktivovány, by měly mít hodnotu celé číslo 7.

Pseudokód zahájit dynamické knihovny je původní funkce
Po kontrole vstupní parametr, knihovna začne dekódování konfigurace blok definuje všechny škodlivý užitečné zatížení do knihovny. Dešifrování se provádí pomocí algoritmu RC4 s base64 dekódování.Konfigurační blok je tabulka s každou položku, která sestává z ID, typu záznamu a vstup na hodnotě.Veškerá další činnost, které knihovna pochází z příslušného pokynu k ID položky v tomto bloku.
  
Ukázka konfiguračního bloku škodlivého Flashfake dynamické knihovny
Tento oddíl obsahuje následující typy záznamů, které definují funkčnost:
  1. Funkce pro aktualizaci a infikování prohlížečů přes DYLD_INSERT_LIBRARIES (popsáno v části 1 naší analýzy);
  2. Původní seznam domén, které působí jako C & C serverech pro dynamické knihovny;
  3. Funkce pro tvorbu doménových jmen v "org", "com", "co.uk", "KN", a "ve skupině zónách pro vyhledání C & C serverů;
  4. funkce pro generování třetí level domén pro domény ". PassingGas.net ','. MyRedirect.us ','. rr.nu ','. Kwik.To ','. myfw.us ','. OnTheWeb.nu "atd.;
  5. funkce pro hledání C & C serverů generování hledání žádosti o mobilní verzi Twitter ;
  6. Funkce pro vstřikování externí kód do kontextu stránek navštívených tímto uživatelem.

Vstřikovací mechanismus

Ve výchozím nastavení knihovna, jakmile se nachází v rámci prohlížeče provedení, sleduje všechny uživatelovy požadavky od zavěšení odeslat, recv a CFReadStreamRead a CFWriteStreamWrite funkce.Když zjistí, že místo uvedené v konfiguračním bloku je zobrazena, knihovna vstřikuje následující JavaScript ze serveru do prohlížeče kontextu.

JavaScript vstříkne do kontextu prohlížeče provedení
Hodnota {domena} pole ze seznamu počátečních C & C serverech, např.:
googlesindication.com, gotredirect.com, dotheredirect.com, adfreefeed.com, googlesindications.cn, googlesindications.in, instasearchmod.com, jsseachupdates.cn.
Ve výchozím nastavení je tato JavaScript vždy provádějí, pokud prohlížeč přistupuje Google.com.Nicméně, konfigurace blok obsahuje seznam 321 domén, pro které je JavaScript není dovoleno provádět, pokud jsou uvedeny v vyhledávacích dotazů. Stejně jako vyhledávače, seznam zahrnuje sociální sítě, zpravodajské weby a online obchody a banky. Tyto domény jsou s největší pravděpodobností na seznamu, aby se minimalizovala provoz k serveru zločinci ".
  
Seznam domén, které jsou vyloučeny z injekce JavaScript

Verze audit

Dynamické knihovny funkčnost obsahuje self-aktualizace mechanismus. Tvůrci se také mechanismus, který ověří, C & C serverů a aktualizaci signatur pomocí RSA algoritmu. V současné době existují dvě hlavní verze škodlivého knihovny. Bohužel, je propojení datum pro všechny škodlivé soubory nastavena na 1. ledna 1970, která nám brání vytvářet přesný časový plán pro uvolnění knihoven. Přesto může rozdíly ve funkcích obsažených v knihovnách nám umožní určit, kdy se objevil.
Na základě naší analýzy, charakteristické rysy verze 1.0odst. MD50x8ACFEBD614C5A9D4FBC65EDDB1444C58) , který byl aktivní až do března 2012, jsou náhodné knihovna jména, zaháknout o CFReadStreamRead a CFWriteStreamWrite funkcí a instalace v / Users / shared / .svcdmp. Škodlivý JavaScript je také zahrnuta v těle skutečné škodlivého programu.Jediné rozdíly ve verzi 1.1 jsou změny původního seznamu C & C serverů a algoritmus pro generování svých nových doménových jmen.
Ve verzi 2.0 (MD5 434C675B67AB088C87C27C7B0BC8ECC2) - aktivní v březnu 2012 - C & C Server vyhledávací algoritmus, který funguje přes twitter.com byl přidán. Škodlivý JavaScript byla přesunuta do konfiguračního bloku, a podpora byla přidána k odesílání a recv funkcí pro dopravní odposlechu a falešnou identifikaci. Pevná název škodlivého knihovny - libmbot.dylib - byl také přidán ve verzi 2.0, stejně jako další nakladače a další kontrola na vstupní parametr pro aktivaci hlavní část škodlivého programu. Verze 2.1 obsahuje nový algoritmus pro hledání C & C serverů přes Twitter. Nejnovější verze knihovny, která v současné době známe - verze 2.2 - je zajímavé především kvůli jeho prohlížeči Firefox add-on.

Firefox add-on

V této verzi dynamické knihovny všechny machinace s požadavky uživatelů pro vyhledávání v Google jsou standardně provedené zavěšení odeslat, recv a CFReadStreamRead a CFWriteStreamWrite funkce. Toto je univerzální postup pro všechny prohlížeče na Mac OS X, ale to vyžaduje spoustu další práce při tvorbě kód pro dekódování provozu uživatelů. Proto vypadá jako doplněk pro Firefox s názvem AdobeFlashPlayer 11.1 se objevil v konfiguračním bloku s cílem minimalizovat změny na verzi 2.2.
  
Škodlivý add-on pro Firefox se tváří jako Adobe Flash Player add-na
  
Originální Adobe Flash add-on
Tento škodlivý add-on má stejné funkce, tj., zachycení uživatelských dat z Google a nahradil provoz s použitím dat z C & C serverů.

Závěr

Flashfake je v současné době nejrozšířenější škodlivý program pro počítače Mac OS X. Tato skutečnost je až nedbalosti společnosti Apple, pokud jde o aktualizaci svého operačního systému, stejně jako schopnost počítačovým pirátům přinést všechny nejnovější malware technologie do hry: nula-day zranitelnosti, kontrola na přítomnost antivirového řešení na systému, self- ochranná opatření, kryptograficky silné algoritmy pro komunikaci s C & C serverů s využitím veřejně dostupných služeb pro správu botnety. A všechny tyto technologie jsou schopny zaměřit i Mac a Windows. Zásahem do činnosti uživatelů na Google, se Flashfake autoři vytvořili stabilní zdroj příjmů, který je schopen generovat tisíce dolarů za den. Zůstává nejasné, které partnerský program poskytuje rozcestník na falešných výsledků vyhledávání a kdo přesně je pomáhat zločinci šířit program.
To znamená, že budeme zpět s více na toto téma ...