A Pidief trójai készítői továbbra is gyorsan követik az Adobe alkalmazásai kapcsán felmerülő sebezhetőségeket, hiszen a kártevő legújabb variánsa már képes kihasználni a múlt hét végén napvilágra került, kritikus veszélyességű Flash hibát.
A Biztonságportálon tegnap számoltunk be arról, hogy az Adobe Flash Player, Reader és Acrobat alkalmazásai egy kritikus veszélyességű sebezhetőséget rejtenek, amelynek kihasználásához szükséges kódok már megjelentek az interneten. Mivel a hibajavítás még nem érhető el, ezért nem csoda, hogy a vírusírók tempósan láttak neki a súlyos sérülékenység kihasználására is alkalmas számítógépes kártevőik elkészítéséhez, illetve terjesztéséhez. Az sem igazán meglepő, hogy a hibában rejlő lehetőségek kihasználására elsőként a Pidief trójai vált alkalmassá, hiszen ez a kártékony program mindig is azzal hívta fel magára a figyelmet, hogy az Adobe PDF-kezelő alkalmazásaiban feltárt sérülékenységek révén terjedt.
Az Isidor Biztonsági Központ jelentése szerint a Pidief legújabb, "J" betűjelű variánsa egy BMP állománynak álcázott fájl formájában terjed, amelyet a fertőzött számítógépen kitömörít, majd exe valamint dll kiterjesztésű állományokat másol fel a rendszerre. Ezt követően csatlakozik előre meghatározott távoli szerverekhez, amelyekről további fájlokat tölt le. Mindeközben igyekszik kihasználni az Acrobat, illetve a Reader alkalmazásokhoz tartozó, authplay.dll nevű állományban rejlő sérülékenységet.
Noha a Pidief.J jelenleg inkább "csak" fájlok letöltögetésével foglalatoskodik azt már így is bebizonyította, hogy az Adobe szoftvereiben rejlő biztonsági rés kihasználására alkalmas. Tapasztalatok szerint az pedig csak idő kérdése, hogy a trójainak mikor jelenik meg egy olyan újabb variánsa, amely már komolyabb károkat is képes lesz okozni. Ezért a vírusvédelmi alkalmazások naprakészen tartására, valamint a remélhetőleg nemsokára megjelenő Adobe frissítések mielőbbi telepítésére célszerű figyelmet fordítani.
Amikor a Pidief.J trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Letölt egy BMP-állományt egy előre meghatározott távoli szerverről. Ez a fájl a trójaihoz tartozó kódokat is tartalmazza.
2. A letöltött állományt kibontja az alábbiak szerint
%Temp%\upt.exe
3. Elindítja az upt.exe fájlt.
4. Létrehozza a következő fájlokat:
%Windir%\EventSystem.dll
%System%\qmgr.dll
%System%\dllcache\qmgr.dll
%System%\es.ini
5. A %System%\qmgr.dll nevű állomány másolásával létrehozza az alábbi fájlt:
%System%\kernel64.dll.
6. Csatlakozik egy előre meghatározott távoli szerverhez, illetve megjelenít egy kártékony weboldalt.
2 hozzászólás
Jó lett volna, ha elárulják, hogy vajon az egyéb PDF-olvasók (Nitro PDF Reader, Foxit Reader) ugyanúgy tartalmazzák-e ezt a sérülékenységet ! ! ! Vagy legalább azt, hogy a jelenlegi vírusirtók / spyware-ek védettséget biztosítanak-e a rendszereinknek a Pidief "J"-vel szemben. Pusztán a "kórisme" nem túl sok egy betegség kezelésében. (Igaz a semminél ez is messze több, s ezek alapján detektálható és - igaz kissé fapadosan, de - akár védhető is a probléma, de azért egy ilyen régi IT-motorostól, mint a ComputerWorld Biztonságportálja ez talán nem lett volna akkora kunszt, sőt ! Üdvözlettel: Gammadeus (alias Kovács L. Tibor)
Ez a tegnapi cikk, én már le is cseréltem a Flash Player 10.1 RC-re (béta) az Adobe Flash Player 10.0.45.2-t. Ez az előző cikk: Veszélyes hiba található a Flash-ben Kristóf Csaba 2010. június 7., 08:06 Az Adobe egy figyelemfelhívó közleményt adott ki, amelyben arról számolt be, hogy a Flash, a Reader és az Acrobat alkalmazásainak esetében egy veszélyes biztonsági résre derült fény, melynek kihasználását már el is kezdték a támadók. Hibajavítás viszont még nincs. Az Adobe Flash eddig is igencsak kedvelt alkalmazása volt az internetes bűnözőknek, hiszen számtalan módszer révén próbálták kihasználni a széles körben elterjedt alkalmazás biztonsági réseit. Az Adobe legújabb közleményéből kiderül, hogy a támadók számára egy újabb, gyenge pontot tartogat a Flash, ezért érdemes résen lenni. Különösen azért, mert a sérülékenység kihasználása már elkezdődött, igaz egyelőre nem jelentős mértékben. Az Adobe a hétvégéig mindössze két olyan online támadásról kapott bejelentést, amelyek során a napokban napvilágra került sebezhetőségekben rejlő lehetőségeket aknázták ki a támadók. Paul Ferguson, a Trend Micro biztonsági kutatója is megerősítette, hogy egy új támadási módszerről van szó, amely egyelőre nem okoz széles körben problémákat. A szakember szerint azonban mindez a közeljövőben megváltozhat. A hivatalos biztonsági közlemény tanúsága szerint a hiba az Adobe Flash Player 10.0.45.2-es verziójában biztosan megtalálható, és az a Windows, a Macintosh, a Linux valamint a Solaris operációs rendszerekkel kompatibilis kiadásokat is érinti. A problémát tovább fokozza, hogy a sebezhetőség abban az "authplay.dll" állományban is kimutatható, amely az Adobe Reader és Acrobat 9.x alkalmazások részét képezi, ezért e PDF-kezelő szoftverek Windows, Macintosh és UNIX kompatibilis változatai is sérülékenyek. A biztonsági rés kihasználásával a támadók teljes mértékben átvehetik az érintett rendszerek feletti irányítást, valamint a számítógépek összeomlását idézhetik elő. Az Adobe néhány kockázatcsökkentő lehetőséget is felvázolt, azonban ezek kivitelezése - különösen vállalati környezetekben - nem minden esetben megvalósítható. A cég szerint a Flash Player 10.1 RC (Release Candidate) az eddigi vizsgálatok alapján nem tartalmazza a hibát, ezért annak feltelepítése segíthet a megelőzésben. A Reader valamint az Acrobat szoftverek kapcsán pedig az Adobe úgy véli, hogy az authplay.dll állomány kitörlésével, átnevezésével vagy más könyvtárba való átmozgatásával lehet védekezni. Ez esetben azonban számolni kell azzal, hogy a Flash (SWF) tartalmakat is magukban foglaló PDF-állományok megnyitásakor hibaüzenetek jelenhetnek meg. A fájl alapértelmezett elérési útvonalai: C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll vagy C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll Az Adobe egyelőre nem kívánta elárulni, hogy a hibajavítások mikor válnak elérhetővé.