Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zbot i luka CVE2010-0188

Wiaczesław Zakorzewski
Kaspersky Lab Expert
Dodany 28 lipca 2010, 11:09 CEST
Tagi:

Właśnie natrafiłem na podejrzany plik PDF, postanowiłem więc przyjrzeć mu się uważniej. Po rozpakowaniu uzyskałem plik xml z obrazem TIFF. Jednak cała sprawa wyglądała bardzo podejrzanie, a na koniec okazało się, że plik xml zawierał exploita wykorzystujący lukę CVE-2010-0188.

Zdziwiło mnie, że nie natknęliśmy się na te pliki wcześniej, więc postanowiłem przyjrzeć się statystykom dotyczącym luki CVE-2010-0188.

Statystyki dla exploita wykorzystującego lukę CVE-2010-0188 dla 2010 r.

Z wykresu wynika, że szkodliwe oprogramowanie wykorzystujące lukę CVE=2010-0188 zaczęło się aktywnie rozprzestrzeniać pod koniec czerwca. Do tego czasu było raczej mało rozpowszechnione. Być może twórcy wirusów potrzebowali kilku miesięcy, aby stworzyć exploity dla nowej luki w produkcie Adobe – kto wie?

Po bliższym przyjrzeniu się okazało się, że głównym celem PDF-a było pobranie i uruchomienie kolejnego pliku - Trojan-Dropper.Win32.Zbot.cm - którego celem było ukradkowe instalowanie w systemie Zbota (ZeuSa) i zwalczanie oprogramowania antywirusowego.

Zdołałem uzyskać ostateczny przykład Zbota, okazało się jednak, że był zaszyfrowany i zaciemniony. Następnie uzyskałem jego zrzut i odszyfrowane ciągi, które zawierały wyraźny odsyłacz do atakowanej strony banku, żądania http bota oraz niektóre polecenia wykorzystywane przez centrum kontroli botnetu:

Część odszyfrowanego pliku Zbota

Jest to pierwszy przykład zaszyfrowanego warianta Zbota rozprzestrzeniającego się za pośrednictwem luki CVE-2010-0188. Najwyraźniej osoby stojące za tym programem nie spoczęły na laurach i pracują nad nowymi metodami dostarczania swojego szkodnika użytkownikom.