Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Eksploity shockwave

Witalij Kamliuk
Kaspersky Lab Expert
Dodany 20 czerwca 2008, 10:32 CEST

Wykryliśmy interesującą technikę ukrywania szkodliwego kodu przed badaczami.

Początkowa infekcja polegała na wstrzyknięciu ramki na stronę internetową. Strona z ramką ładowała niewielki plik shockwave o długości zaledwie 158 bajtów.

Plik ten wykorzystuje wewnętrzną globalną zmienną ActionScript ("$version"), aby uzyskać wersję wykorzystywanego przez użytkownika systemu operacyjnego oraz wtyczki w celu obsługi plików Shockwave.

Zmienna $version prowadzi do "WIN 9,0,12,0", na który składa się krótka nazwa platformy, wersja i numery rewizji wtyczki dla programu Adobe Flash Player. Następnie 4561.SWF próbuje pobrać i uruchomić kolejny .SWF bazując na tym ciągu. W opisywanym przypadku próbował pobrać plik "WIN 9,0,12,0i.swf". Serwer odpowiedział słynnym ERROR 404: "File Not Found". Jednak było to celowe. Gdyby plik 4561.swf został przetestowany w automatycznej piaskownicy, badacz mógłby nie zauważyć, że niedostępność drugiego pliku .SWF nie była spowodowana brakiem szkodliwego kodu na serwerze, a tym, że w piaskownicy użyto innej wtyczki dla Adobe Flash Player.

Sprawdziłem wszystkie możliwe wersje i znalazłem 6 różnych eksploitów .SWF.

Oto lista znalezionych przeze mnie plików:

WIN 9,0,115,0i.swf
WIN 9,0,16,0i.swf
WIN 9,0,28,0i.swf
WIN 9,0,45,0i.swf
WIN 9,0,47,0i.swf
WIN 9,0,64,0i.swf

Pliki te zostały już wykryte przez nasz silnik jako Exploit.SWF.Downloader.c. Były to jednak nowe wariacje, które nie zostały zawarte w kolekcji szkodliwwgo oprogramowania. Pierwsza próbka Exploit.SWF.Downloader została wykryta 27-05-2008.

Eksploit ten wykorzystuje lukę w zabezpieczeniach programu Adobe Flash Player opierającą się na niepoprawnej obsłudze rozmiaru obrazu. Wewnątrz odkryłem osadzone dane jpeg z nieprawidłowym rozmiarem obrazu.

Na koniec chciałbym powtórzyć, że technika ta pozwala pobrać określone eksploity dla określonej wersji niezabezpieczonej wtyczki dla programu Adobe Flash Player i jednocześnie umożliwia ukrycie szkodliwego kodu przed ciekawskimi badaczami.