Суббота
20.01.2018, 22:04

Приветствую Вас Гость | RSS


Главная Вирус - Exploit - Форум решения ваших проблем Регистрация Вход

Каталог статей

[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: slavik, Аспиринка 
Форум решения ваших проблем » Компьютеры. » Проблемы с вирусами » Вирус - Exploit (детали, активность, рекомендации)
Вирус - Exploit
АспиринкаДата: Четверг, 11.03.2010, 01:29 | Сообщение # 1
VIP Platinum
Группа: Супермодераторы
Сообщений: 2454
Репутация: 356
Статус: Offline
Exploit.OSX.Smid.c

Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в Sun Microsystems Java (CVE-2009-3867). Является Java-классом (class-файл). Имеет размер 2483 байта.

Деструктивная активность

При запуске эксплоит проверяет версию установленной операционной системы. Данная версия эксплоита работает в ОС семейств Windows, MacOS и *nix.

Далее в зависимости от операционной системы эксплоит формирует ссылку, имеющую следующий вид:
file://<Slashes>Z%Z%Z%Z%Z%Z%

Где <Slashes> - определённое количество символов "/" (в зависимости от операционной системы).

Далее в памяти распыляется шелкод и вызывается уязвимая функция "getSoundbank", которой в качестве параметра передается полученная ссылка. В результате это происходит переполнение буфера и выполнение шелкода.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.
Установить обновление для Sun Microsystems Java

============================================================================================

Exploit.JS.Agent.avl

Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в компонентах Microsoft Data Access (MDAC). Представляет собой HTML документ, который содержит в себе сценарии языка Java Script. Имеет размер 14507 байт.

Деструктивная активность

После запуска вредонос, используя ActiveX объекты со следующими уникальными идентификаторами:
{BD96C556-65A3-11D0-983A-00C04FC29E30}
{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{ 0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}
{6414512B-B978-451D-A 0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43C8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{ BA018599-1DB3-44F9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496B-B050-6C07C962476B}

а также используя уязвимости в ActiveX компонентах "MSXML2.XMLHTTP", "Microsoft.XMLHTTP" и "MSXML2.ServerXMLHTTP" (CVE-2006-0003), пытается загрузить файл, расположенный по следующей ссылке:
http://www.cs***sb.edu/~marco/jsan/zcv.gif

и при помощи ActiveX объекта "ADODB.Stream" сохраняет полученный файл под именем:
c:\sys<rnd>.exe

Где <rnd>- 4 случайные буквы латинского алфавита, например "sysgmde" или "sysipns". Затем данный файл запускается на выполнение. Также, для загрузки и запуска данного файла, вредонос использует уязвимость в ActiveX объекте "OWC10.Spreadsheet", которая возникает при обработке метода "msDataSourceObject()" (CVE-2009-1136). Загруженный файл сохраняется в каталог хранения временных файлов текущего пользователя под случайным именем:
%Temp%\<rnd2>.exe

Где <rnd2>- случайная цифробуквенная последовательность. В случае успешной загрузки, файл запускается на выполнение. На момент создания описания ссылка на работала.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
c:\sys<rnd>.exe
Очистить каталог хранения временных файлов текущего пользователя:
%Temp % \
Установить обновления:
http://www.microsoft.com/technet/security/bulletin/ms06-057.mspx
Отключить уязвимые ActiveX объекты.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.

============================================================================================

Exploit.OSX.Smid.b

Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в Sun Microsystems Java (CVE-2009-3867). Является Java-классом (class-файл). Имеет размер 2328 байт.

Деструктивная активность

При запуске эксплоит проверяет версию установленной операционной системы. Данная версия эксплоита работает в ОС семейств Windows, MacOS и *nix.

Далее в зависимости от операционной системы эксплоит формирует ссылку, имеющую следующий вид:
file://<Slashes>Z%Z%Z%Z%Z%Z%

Где <Slashes> - определённое количество символов "/" (в зависимости от операционной системы).

Далее в памяти распыляется шелкод и вызывается уязвимая функция "getSoundbank", которой в качестве параметра передается полученная ссылка. В результате это происходит переполнение буфера и выполнение шелкода.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.
Установить обновление для Sun Microsystems Java

==========================================================================================

Exploit.OSX.Smid.a

Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в Sun Microsystems Java (CVE-2009-3867). Является Java-классом (class-файл). Имеет размер 2521 байт.

Деструктивная активность

При запуске эксплоит проверяет версию установленной операционной системы. Данная версия эксплоита работает только в ОС семейств Windows или MacOS.

Далее в зависимости от операционной системы эксплоит формирует ссылку, имеющую следующий вид:
file://<Slashes><Shellcode>

Где <Slashes> - определённое количество символов "/" (в зависимости от операционной системы), а <Shellcode> выполняемый на компьютере жертвы шелкод.

Далее вызывается уязвимая функция "getSoundbank" и в качестве параметра передается полученная ссылка. В результате это происходит переполнение буфера и выполнение шелкода.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.
Установить обновление для Sun Microsystems Java.

Если в перечисленных Exploit'ах вашего нет - отписывайте, постараемся помочь! smile


Как вставить картинку в пост?

Если Вы новичок первым делом Вам сюда!

За флуд жёстко наказываю!!!

 
У вас
Форум решения ваших проблем » Компьютеры. » Проблемы с вирусами » Вирус - Exploit (детали, активность, рекомендации)
Страница 1 из 11
Поиск:


Copyright by Shel © 2018