Published: 2006-03-26,
:2006-03 - 26を発表しました、
Last Updated: 2006-03-26 14:24:42 UTC by Patrick Nolan (Version: 1)
最新アップデート:2006-03-26 パトリック・ノーランによっての14:24:42の UTC (バージョン:1)
:2006-03 - 26を発表しました、
Last Updated: 2006-03-26 14:24:42 UTC by Patrick Nolan (Version: 1)
最新アップデート:2006-03-26 パトリック・ノーランによっての14:24:42の UTC (バージョン:1)
Do You Want To Open This File?
あなたはこのファイルを開くことを望みますか?
Just for the sake of clarity, there is an email attachment vector for this exploit that's not widely reported. I have not seen any reports of it being used at this time. MS's bulletin , in the FAQ's, in "Could this vulnerability be exploited through e-mail?", says it can be exploited if one "open(s) an attachment that could exploit the vulnerability." ISS obliquely says attacks may occur by "...simply embedding the required logic in specially crafted HTML emails.".
ただ明快さのために、広く報告されないこの偉業のために電子メールのアタッチメントベクトルがあります。 私はそれの報告が今使われているのを見ませんでした。 MS のブレティンは、「よく尋ねられる質問」ので、「この弱点は電子メールを通して利用されることができましたか?」で、もし1が「(s) 弱点を利用することができたアタッチメントを開きます」なら、それが利用されることができると言います。 ISSは、「・・・ただ必要とされるロジックを特別に作りあげられた HTML 電子メールに埋め込む」ことによって、斜めに攻撃が起こるかもしれないと言います。
MS doesn't have a bulletin description specific to malicious email attachments, but one of their global workarounds includes prompting or disabling active scripting in the Local intranet security zone, which addresses a malicious attachment exploit in this situation. In addition, keeping gateway email AV sigs up to date is advisable. Drop us a note if you notice attacks coming at you via email. Thanks!
MS は悪意がある電子メールアタッチメントに特殊なブレティン記述を持ちません、しかし(彼・それ)らのグローバルな回避策の1つがこの状況で悪意があるアタッチメント偉業を扱う支部イントラネットセキュリティーゾーンに能動態を書くことを引き起こすか、あるいは停止することを含みます。 加えるに、ゲートウェイ電子メールAV sigs に最新情報を伝えることは賢明です。 もしあなたが攻撃が電子メールによってあなたに来ているのに気付くなら、我々ノートを落としてください。 ありがとうございます!
あなたはこのファイルを開くことを望みますか?
Just for the sake of clarity, there is an email attachment vector for this exploit that's not widely reported. I have not seen any reports of it being used at this time. MS's bulletin , in the FAQ's, in "Could this vulnerability be exploited through e-mail?", says it can be exploited if one "open(s) an attachment that could exploit the vulnerability." ISS obliquely says attacks may occur by "...simply embedding the required logic in specially crafted HTML emails.".
ただ明快さのために、広く報告されないこの偉業のために電子メールのアタッチメントベクトルがあります。 私はそれの報告が今使われているのを見ませんでした。 MS のブレティンは、「よく尋ねられる質問」ので、「この弱点は電子メールを通して利用されることができましたか?」で、もし1が「(s) 弱点を利用することができたアタッチメントを開きます」なら、それが利用されることができると言います。 ISSは、「・・・ただ必要とされるロジックを特別に作りあげられた HTML 電子メールに埋め込む」ことによって、斜めに攻撃が起こるかもしれないと言います。
MS doesn't have a bulletin description specific to malicious email attachments, but one of their global workarounds includes prompting or disabling active scripting in the Local intranet security zone, which addresses a malicious attachment exploit in this situation. In addition, keeping gateway email AV sigs up to date is advisable. Drop us a note if you notice attacks coming at you via email. Thanks!
MS は悪意がある電子メールアタッチメントに特殊なブレティン記述を持ちません、しかし(彼・それ)らのグローバルな回避策の1つがこの状況で悪意があるアタッチメント偉業を扱う支部イントラネットセキュリティーゾーンに能動態を書くことを引き起こすか、あるいは停止することを含みます。 加えるに、ゲートウェイ電子メールAV sigs に最新情報を伝えることは賢明です。 もしあなたが攻撃が電子メールによってあなたに来ているのに気付くなら、我々ノートを落としてください。 ありがとうございます!
Modified Malware for the IE Expoit
IE Expoit のために悪性ソフトを修正しました
Published: 2006-03-26,
:2006-03 - 26を発表しました、
Last Updated: 2006-03-26 02:35:18 UTC by Lorna Hutcheson (Version: 1)
最新アップデート:2006-03-26 ローナ・ハッチソンによっての02:35:18の UTC (バージョン:1)
:2006-03 - 26を発表しました、
Last Updated: 2006-03-26 02:35:18 UTC by Lorna Hutcheson (Version: 1)
最新アップデート:2006-03-26 ローナ・ハッチソンによっての02:35:18の UTC (バージョン:1)
Its always interesting around the ISC and you'll never know what you'll be handed on any given day. Its even more interesting when there is an unpatched IE vulnerability and an exploit available for it. That is where we find ourselves now. There are several sites that have been compromised and now contain the exploit code. These sites all run the exploit code and get a file called ca.exe which in turn gets a file called calc.exe and installs it. It is calc.exe that we want to focus on briefly.
そ ISC とあなたが決してあなたがどの日をとっても何を手渡されるであろうか知らないであろうことは周りに常に面白いです. そこのそのさらにいっそう面白いいつは unpatchedな IE 弱点とそれのために利用可能な exploit です。 それは我々が今我々自身を見いだすところです。 危うくされて、そして今偉業を含むサイトがコードするいくつかがあります。 これらのサイトはすべて exploit にコードの負担を強いて、そして順番に calc.exe と呼ばれるファイルを受けとって、そしてそれをインストールする ca.exe と呼ばれるファイルを受けとります。 我々が短い間焦点を合わせることを望むのは calc.exe です。
This malware installs a dll that is used as a Browser Helper Object (BHO) and also runscopies itself to directory you see below as nm32.exe and runs as a process. The malware creates the following on install:
この悪性ソフトはブラウザヘルパーオブジェクトとして使用される dll (BHO)をインストールして、そしてあなたが下に nm32.exe として見るディレクトリに同じくそれ自身を runscopies して、そしてプロセスとして作動します。 悪性ソフトはインストールの上に次のことを作ります:
C:\WINNT\fyt\mn32.dll
C:\WINNT\fyt\mn32.dll
C:\WINNT\fyt\nm32.exe
C:\WINNT\fyt\nm32.exe
C:\WINNT\fyt\~ipcfg636
C:\ WINNT \ fyt \~ ipcfg636
C:\WINNT\fyt\~start636
C:\ WINNT \ fyt \~ start636
C:\WINNT\fyt\~tmp636
C:\ WINNT \ fyt \~ tmp636
C:\WINNT\fyt\~view636
C:\ WINNT \ fyt \~ view636
It also creates one called sub.txt when you surf the internet and records everything that it can about where you surf and do and any information it can get from the Let's look at what is in the files. The information I'm about to show is from my VM box, so it won't get you anywhere:>)
それは同じく sub.txt と呼ばれる1を作成するあなたがいつからあなたがサーフして、そしてすることがどこ(で・に)かについてそうすることができるすべてとそれがそうすることができるインフォメーションが得るインターネットとレコードをサーフしますか ましょうファイルにあるものを見る. 私が示そうとしているインフォメーションは私のVMボックスからです、それでそれはどこ(で・に)もあなたを手に入れないでしょう:>)
File: ipcfg636
ファイル: ipcfg636
Windows 2000 IP Configuration
ウィンドウズ2000 IP 形状
Host Name . . . . . . . . . . . . : vmwindows2k
ホスト Name ・・・: vmwindows2k
Primary DNS Suffix . . . . . . . :
主要な DNS 接尾辞 ・・・:
Node Type . . . . . . . . . . . . : Broadcast
ノードタイプ・・・:ブロードキャスト
IP Routing Enabled. . . . . . . . : No
IP ルーティング使用可能・・・:ノー
WINS Proxy Enabled. . . . . . . . : No
WINS プロクシ使用可能・・・:ノー
Ethernet adapter Local Area Connection:
イーサネットアダプターのローカルエリアの接続:
Connection-specific DNS Suffix . :
接続に特定された DNS Suffix :
Description . . . . . . . . . . . : AMD PCNET Family PCI Ethernet Adapter
記述・・・: AMD PCNET ファミリー PCI イーサネットアダプター
Physical Address. . . . . . . . . : 00-0C-29-16-36-AB
物理アドレス・・・: 00-0C-29-16-36-AB
DHCP Enabled. . . . . . . . . . . : No
DHCP 使用可能・・・:ノー
IP Address. . . . . . . . . . . . : 192.168.227.128
IP アドレス・・・:192.168.227.128
Subnet Mask . . . . . . . . . . . : 255.255.255.0
サブネットマスク・・・:255.255.255.0
Default Gateway . . . . . . . . . :
デフォルトゲートウェイ・・・:
DNS Servers . . . . . . . . . . . :
DNS サーバー・・・:
File: start636
ファイル: start636
Active Connections
アクティブな接続
Proto Local Address Foreign Address State
Proto 支部アドレス 外国のアドレス 国家
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 聞きます
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 聞きます
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 聞きます
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 聞きます
TCP 192.168.227.128:139 0.0.0.0:0 LISTENING
TCP 192.168.227.128:139 0.0.0.0:0 聞きます
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 0.0.0.0:1026 *:*
UDP 192.168.227.128:137 *:*
UDP 192.168.227.128:137 *:*
UDP 192.168.227.128:138 *:*
UDP 192.168.227.128:138 *:*
UDP 192.168.227.128:500 *:*
UDP 192.168.227.128:500 *:*
File: tmp636
ファイル: tmp636
Protected Storage settings / PWL:
保護された記憶装置設定 / PWL :
InfoDelivery
InfoDelivery
IdentityMgr
IdentityMgr
IdentitiesPass ::::€:Ï»b[
IdentitiesPass : ::: ?:I ≫b[
HASH values:
ハッシュ料理値:
Administrator:500:AF6E956C6F6836C4F3F9505A2D0958A7:0B14980C258F0D7178186CE65030A4A6:Built-in account for administering the computer/domain::
アドミニストレーター:500: AF6E956C6F6836C4F3F9505A2D0958A7 : 0B14980C258F0D7178186CE65030A4A6 : コンピュータ / ドメインを執行するための組み込みのアカウント: :
Guest:501:********************************:********************************:Built-in account for guest access to the computer/domain::
Guest:501 :********************************:********************************コンピュータ / ドメインに:ゲストアクセスのためのアカウントの中の - :構築しました
RAS:
RAS :
Total 0 entries
0の項目を合計してください
Network settings:
設定をネットワークで結んでください:
File: view636
ファイル: view636
Server Name Remark
サーバー名 注目
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
\\VMWINDOWS2K
\\ VMWINDOWS2K
The command completed successfully.
コマンドは成功裏に完了しました。
File: Sub.txt
ファイル: Sub.txt
res://C:\WINNT\system32\shdoclc.dll/dnserror.htm#http://www.msn.com/
res://C:\WINNT\system32\shdoclc.dll/dnserror.htm#http://www.msn.com/
http://winxphome/index.html
http://winxphome/index.html
http://winxphome/index.html
http://winxphome/index.html
http://winxphome/index.html
http://winxphome/index.html
email=lorna.hutcheson@somewhere.com
email=lorna.hutcheson@somewhere.com
pw=password
pw = パスワード
pw-conf=password
pw - conf = パスワード
The malware FTP's all the information out to a location. It also has email capability. The location given by McAfee in their writeup found here was as follows: "The trojan attempts to upload harvested information to an FTP server (66.242.129.251)." However, when I downloaded the malware and looked at it that was not the location I found in the strings. I found:
悪性ソフトは場所に向かってすべてのインフォメーションを FTP 転送します。 それは同じく電子メール能力を持っています。 ここで見いだされた(彼・それ)らの writeup で McAfee によって与えられた場所は次の通りでした: 「 アップロードする trojan の試みは FTP サーバー(66.242.129.251)にインフォメーションを収獲しました。」 しかしながら私が悪性ソフトをダウンロードして、そしてそれを見たとき、それは私がストリングで見いだした場所ではありませんでした。 私は気付きました:
0040F530 ASCII "200.182.57.13",0
0040F530 ASCII 「200.182.57.13」、0
0040F630 ASCII "21",0
0040F630 ASCII 「21」、0
So its seems that the malware has been swamped for a new version with the FTP server portion being changed. I have not observed it attempting to FTP yet, still waiting with a sniffer running. The strings also contained the username and password for the new site. The file on the new IP is now encrypted and the file wasn't before on the first FTP site. So the individual seems to realize that folks are on to them. I'm pretty sure that the malware has just been changed since its easier to modify the malware and where it FTPs to than to go back to all the hacked sites.
そうそ悪性ソフトが(今まで) FTP サーバー部が変えられるという状態で、新しいバージョンのために手に余っていたように思われる. 私はそれがにおい嗅ぎが走るという状態で、 FTP にまだ、まだ待つことを試みているのに気付きませんでした。 ストリングは新しいサイトのために同じくユーザ名とパスワードを含んでいました。 新しい IP に関するファイルは 今暗号化されます、そしてファイルは前に最初の FTP サイトにありませんでした。 それで個人は人々が(彼・それ)らの上であることを悟るように思われます。 私は悪性ソフトがちょうどすべての不法アクセスされたサイトにその行くことより悪性ソフトとそれがどこを FTP 転送するか修正することがより容易なバックから変えられたところであるとかなり確信しています。
Anyway, please keep your eyes and ears open for any new sites exploiting this vulnerability! As always, be careful its a jungle out there!
とにかく、どうかこの弱点を利用しているどんな新しいサイトのためにでもあなたの目と耳を開いているようにしておいてください! いつもの通り、注意深いそそこ(に・で)ジャングル !
Lorna J. Hutcheson
ローナ・J・ハッチソン
CACI
CACI
そ ISC とあなたが決してあなたがどの日をとっても何を手渡されるであろうか知らないであろうことは周りに常に面白いです. そこのそのさらにいっそう面白いいつは unpatchedな IE 弱点とそれのために利用可能な exploit です。 それは我々が今我々自身を見いだすところです。 危うくされて、そして今偉業を含むサイトがコードするいくつかがあります。 これらのサイトはすべて exploit にコードの負担を強いて、そして順番に calc.exe と呼ばれるファイルを受けとって、そしてそれをインストールする ca.exe と呼ばれるファイルを受けとります。 我々が短い間焦点を合わせることを望むのは calc.exe です。
This malware installs a dll that is used as a Browser Helper Object (BHO) and also runscopies itself to directory you see below as nm32.exe and runs as a process. The malware creates the following on install:
この悪性ソフトはブラウザヘルパーオブジェクトとして使用される dll (BHO)をインストールして、そしてあなたが下に nm32.exe として見るディレクトリに同じくそれ自身を runscopies して、そしてプロセスとして作動します。 悪性ソフトはインストールの上に次のことを作ります:
C:\WINNT\fyt\mn32.dll
C:\WINNT\fyt\mn32.dll
C:\WINNT\fyt\nm32.exe
C:\WINNT\fyt\nm32.exe
C:\WINNT\fyt\~ipcfg636
C:\ WINNT \ fyt \~ ipcfg636
C:\WINNT\fyt\~start636
C:\ WINNT \ fyt \~ start636
C:\WINNT\fyt\~tmp636
C:\ WINNT \ fyt \~ tmp636
C:\WINNT\fyt\~view636
C:\ WINNT \ fyt \~ view636
It also creates one called sub.txt when you surf the internet and records everything that it can about where you surf and do and any information it can get from the Let's look at what is in the files. The information I'm about to show is from my VM box, so it won't get you anywhere:>)
それは同じく sub.txt と呼ばれる1を作成するあなたがいつからあなたがサーフして、そしてすることがどこ(で・に)かについてそうすることができるすべてとそれがそうすることができるインフォメーションが得るインターネットとレコードをサーフしますか ましょうファイルにあるものを見る. 私が示そうとしているインフォメーションは私のVMボックスからです、それでそれはどこ(で・に)もあなたを手に入れないでしょう:>)
File: ipcfg636
ファイル: ipcfg636
Windows 2000 IP Configuration
ウィンドウズ2000 IP 形状
Host Name . . . . . . . . . . . . : vmwindows2k
ホスト Name ・・・: vmwindows2k
Primary DNS Suffix . . . . . . . :
主要な DNS 接尾辞 ・・・:
Node Type . . . . . . . . . . . . : Broadcast
ノードタイプ・・・:ブロードキャスト
IP Routing Enabled. . . . . . . . : No
IP ルーティング使用可能・・・:ノー
WINS Proxy Enabled. . . . . . . . : No
WINS プロクシ使用可能・・・:ノー
Ethernet adapter Local Area Connection:
イーサネットアダプターのローカルエリアの接続:
Connection-specific DNS Suffix . :
接続に特定された DNS Suffix :
Description . . . . . . . . . . . : AMD PCNET Family PCI Ethernet Adapter
記述・・・: AMD PCNET ファミリー PCI イーサネットアダプター
Physical Address. . . . . . . . . : 00-0C-29-16-36-AB
物理アドレス・・・: 00-0C-29-16-36-AB
DHCP Enabled. . . . . . . . . . . : No
DHCP 使用可能・・・:ノー
IP Address. . . . . . . . . . . . : 192.168.227.128
IP アドレス・・・:192.168.227.128
Subnet Mask . . . . . . . . . . . : 255.255.255.0
サブネットマスク・・・:255.255.255.0
Default Gateway . . . . . . . . . :
デフォルトゲートウェイ・・・:
DNS Servers . . . . . . . . . . . :
DNS サーバー・・・:
File: start636
ファイル: start636
Active Connections
アクティブな接続
Proto Local Address Foreign Address State
Proto 支部アドレス 外国のアドレス 国家
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 聞きます
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 聞きます
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 聞きます
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 聞きます
TCP 192.168.227.128:139 0.0.0.0:0 LISTENING
TCP 192.168.227.128:139 0.0.0.0:0 聞きます
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 0.0.0.0:1026 *:*
UDP 192.168.227.128:137 *:*
UDP 192.168.227.128:137 *:*
UDP 192.168.227.128:138 *:*
UDP 192.168.227.128:138 *:*
UDP 192.168.227.128:500 *:*
UDP 192.168.227.128:500 *:*
File: tmp636
ファイル: tmp636
Protected Storage settings / PWL:
保護された記憶装置設定 / PWL :
InfoDelivery
InfoDelivery
IdentityMgr
IdentityMgr
IdentitiesPass ::::€:Ï»b[
IdentitiesPass : ::: ?:I ≫b[
HASH values:
ハッシュ料理値:
Administrator:500:AF6E956C6F6836C4F3F9505A2D0958A7:0B14980C258F0D7178186CE65030A4A6:Built-in account for administering the computer/domain::
アドミニストレーター:500: AF6E956C6F6836C4F3F9505A2D0958A7 : 0B14980C258F0D7178186CE65030A4A6 : コンピュータ / ドメインを執行するための組み込みのアカウント: :
Guest:501:********************************:********************************:Built-in account for guest access to the computer/domain::
Guest:501 :********************************:********************************コンピュータ / ドメインに:ゲストアクセスのためのアカウントの中の - :構築しました
RAS:
RAS :
Total 0 entries
0の項目を合計してください
Network settings:
設定をネットワークで結んでください:
File: view636
ファイル: view636
Server Name Remark
サーバー名 注目
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
\\VMWINDOWS2K
\\ VMWINDOWS2K
The command completed successfully.
コマンドは成功裏に完了しました。
File: Sub.txt
ファイル: Sub.txt
res://C:\WINNT\system32\shdoclc.dll/dnserror.htm#http://www.msn.com/
res://C:\WINNT\system32\shdoclc.dll/dnserror.htm#http://www.msn.com/
http://winxphome/index.html
http://winxphome/index.html
http://winxphome/index.html
http://winxphome/index.html
http://winxphome/index.html
http://winxphome/index.html
email=lorna.hutcheson@somewhere.com
email=lorna.hutcheson@somewhere.com
pw=password
pw = パスワード
pw-conf=password
pw - conf = パスワード
The malware FTP's all the information out to a location. It also has email capability. The location given by McAfee in their writeup found here was as follows: "The trojan attempts to upload harvested information to an FTP server (66.242.129.251)." However, when I downloaded the malware and looked at it that was not the location I found in the strings. I found:
悪性ソフトは場所に向かってすべてのインフォメーションを FTP 転送します。 それは同じく電子メール能力を持っています。 ここで見いだされた(彼・それ)らの writeup で McAfee によって与えられた場所は次の通りでした: 「 アップロードする trojan の試みは FTP サーバー(66.242.129.251)にインフォメーションを収獲しました。」 しかしながら私が悪性ソフトをダウンロードして、そしてそれを見たとき、それは私がストリングで見いだした場所ではありませんでした。 私は気付きました:
0040F530 ASCII "200.182.57.13",0
0040F530 ASCII 「200.182.57.13」、0
0040F630 ASCII "21",0
0040F630 ASCII 「21」、0
So its seems that the malware has been swamped for a new version with the FTP server portion being changed. I have not observed it attempting to FTP yet, still waiting with a sniffer running. The strings also contained the username and password for the new site. The file on the new IP is now encrypted and the file wasn't before on the first FTP site. So the individual seems to realize that folks are on to them. I'm pretty sure that the malware has just been changed since its easier to modify the malware and where it FTPs to than to go back to all the hacked sites.
そうそ悪性ソフトが(今まで) FTP サーバー部が変えられるという状態で、新しいバージョンのために手に余っていたように思われる. 私はそれがにおい嗅ぎが走るという状態で、 FTP にまだ、まだ待つことを試みているのに気付きませんでした。 ストリングは新しいサイトのために同じくユーザ名とパスワードを含んでいました。 新しい IP に関するファイルは 今暗号化されます、そしてファイルは前に最初の FTP サイトにありませんでした。 それで個人は人々が(彼・それ)らの上であることを悟るように思われます。 私は悪性ソフトがちょうどすべての不法アクセスされたサイトにその行くことより悪性ソフトとそれがどこを FTP 転送するか修正することがより容易なバックから変えられたところであるとかなり確信しています。
Anyway, please keep your eyes and ears open for any new sites exploiting this vulnerability! As always, be careful its a jungle out there!
とにかく、どうかこの弱点を利用しているどんな新しいサイトのためにでもあなたの目と耳を開いているようにしておいてください! いつもの通り、注意深いそそこ(に・で)ジャングル !
Lorna J. Hutcheson
ローナ・J・ハッチソン
CACI
CACI
(出展:SANS)