神秘Web攻擊綁架剪貼簿之分析
2008 年 08 月 18 日 – 10:27:27The Register最近報導一則新聞「Mystery web attack hijacks your clipboard」,標題蠻聳動的。另外,阿碼科技的部落格也有一篇文章是關於此種攻擊的說明,請參考「The Register:神秘Web攻擊綁架剪貼簿!」。結論是想騙使用者安裝假的防毒軟體,然後,顯示假的中毒訊息,藉以要使用者購買進階版本的防毒軟體(當然也是假的囉),以詐騙使用者的錢財。至於攻擊手法,大家猜測是利用Adobe Flash的安全漏洞。
如果點擊上述報導中的連結(如下所示),會發生下列一連串的反應:
當執行上述連結後,下載的檔案,如下圖所示:
Google Search 查詢結果(未發現異狀),如下圖所示:
McAfee SiteAdvisor 查詢結果(未發現異狀),如下圖所示:
趨勢科技網頁信譽評等查詢結果(未發現異狀),如下圖所示:
finjan 網頁信譽評等查詢結果(發現異狀),如下圖所示:
Dr.Web 網頁信譽評等查詢結果(未發現異狀),如下圖所示:
Exploit Prevention Labs 網頁信譽評等查詢結果(未發現異狀),如下圖所示:
賽門鐵克 Safe Web 查詢結果(未發現異狀),如下圖所示:
執行之後,有下面的行為:
[Added process]
C:\Program Files\AV9\av2009.exe
[Modified service]
NAME: srservice
DISPLAY: System Restore Service (將系統還原功能關閉)
STATUS: SERVICE_STOPPED
FILE: C:\WINDOWS\System32\svchost.exe-1 -k netsvcs
[Added file]
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk
C:\Documents and Settings\Administrator\Desktop\Antivirus 2009.lnk
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\_freescan[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\winsystem[2].dll
C:\Documents and Settings\Administrator\Start Menu\Antivirus 2009\Antivirus 2009.lnk
C:\Documents and Settings\Administrator\Start Menu\Antivirus 2009\Uninstall Antivirus 2009.lnk
C:\Program Files\AV9\av2009.exe
C:\RECYCLER\S-1-5-21-515967899-583907252-839522115-500\Dc11.exe
C:\WINDOWS\system32\ieupdates.exe
C:\WINDOWS\system32\scui.cpl
C:\WINDOWS\system32\winsrc.dll
[Added COM/BHO](瀏覽器外掛)
{037C7B8A-151A-49E6-BAED-CC05FCB50328}-C:\WINDOWS\system32\winsrc.dll
[Added egistry]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Value=67760428610125642112784689834240
Data=C:\Program Files\AV9\av2009.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Value=ieupdate
Data="C:\WINDOWS\system32\ieupdates.exe"
HKU\S-1-5-21-515967899-583907252-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run
Value=67760428610125642112784689834240
Data=C:\Program Files\AV9\av2009.exe
HKU\S-1-5-21-515967899-583907252-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run
Value=ieupdate
Data="C:\WINDOWS\system32\ieupdates.exe"
下列是 VirusTotal 掃描結果 (僅提供參考):
File AV2009Install_77011807.exe received on 08.17.2008 09:39:49 (CET)
Result: 8/36 (22.22%)
Antivirus Version Last Update Result
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 -
Authentium 5.1.0.4 2008.08.16 -
Avast 4.8.1195.0 2008.08.15 -
AVG 8.0.0.161 2008.08.16 Downloader.FraudLoad.E
BitDefender 7.2 2008.08.17 Trojan.FakeAlert.Gen.1
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.17 -
eSafe 7.0.17.0 2008.08.14 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.16 -
F-Prot 4.4.4.56 2008.08.16 -
F-Secure 7.60.13501.0 2008.08.17 Trojan-Downloader.Win32.FraudLoad.vbef
Fortinet 3.14.0.0 2008.08.17 -
GData 2.0.7306.1023 2008.08.16 Trojan-Downloader.Win32.FraudLoad.vbef
Ikarus T3.1.1.34.0 2008.08.17 -
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.17 Trojan-Downloader.Win32.FraudLoad.vbef
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.17 -
NOD32v2 3361 2008.08.16 a variant of Win32/Adware.XPAntivirus
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.16 -
PCTools 4.4.2.0 2008.08.16 -
Prevx1 V2 2008.08.17 Fraudulent Security Program
Rising 20.57.61.00 2008.08.17 -
Sophos 4.32.0 2008.08.17 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.16 AntiVirus2009
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.16 -
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.16 -
Webwasher-Gateway 6.6.2 2008.08.17 -
Additional information
File size: 123904 bytes
MD5…: 978e985fc9f6e206fe9622ba42dc3d56
SHA1..: a8b20d587d62e34865814053c8f87574e1ffe790
SHA256: a53458279fa483236a453d7abdc718de69c361198f09a74a9a1b44d259f573ad
SHA512: 392bd1b0fe6b93a7df153e0faf25e0dd0ac68b38bae642a8061e459b2942d26a
d168fcb8ddf6d5d3e09437d539f476aab5809a2745f617ff7b6ee30e23e22e4a
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0×401210
timedatestamp…..: 0x45beb2d0 (Tue Jan 30 02:52:00 2007)
machinetype…….: 0x14c (I386)
( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0×1000 0x57af 0×5800 5.19 922e2eb51ad64e063aa3d5aa5876de09
.data 0×7000 0×11557 0×11600 7.59 49b48fe56d5a4dcb86a792659875b88a
.tls 0×19000 0xdd 0×200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rdata 0x1a000 0×18 0×200 0.23 735b48446022cb7f0d9c4163b238a9be
.idata 0x1b000 0x5a0 0×600 3.29 97c93ffb47f18bb84d88652306581d5e
.rsrc 0x1c000 0xf4a3 0×6600 5.76 0d0781c1bba73476a7428d3a1667a138
( 2 imports )
> KERNEL32.DLL: CreateProcessA, GetCommandLineA, DeleteAtom, GetFileSize, GetCPInfo, GetComputerNameA, ReadConsoleA, Sleep, WriteFile, OpenFile, GlobalFree, GetFileTime, DeleteFileW, ExitThread, FindFirstFileA, GetConsoleMode, DeleteFileA, SetLastError, OpenFileMappingA, FindAtomA, ReadFile, GetLastError
> USER32.DLL: LoadCursorA, GetCursor, DrawIconEx, CreateIcon, GetFocus, DialogBoxParamW, CopyRect, InsertMenuA, GetWindowTextA, DrawIcon
“神秘Web攻擊綁架剪貼簿之分析” 目前有 9 迴響
這個AntiVirus 2009本身就是病毒
誘騙一般使用者執行=.=
By calvin on 2008 年 08 月 18 日 - 17:17:26
這網頁還模仿GOOGLE
但是網址是錯的www.gcogle.com.tw
By 大頭 on 2008 年 08 月 18 日 - 17:33:38
這個病毒很囉唆,我刪了很多東西,才把它移除掉!
By Victor on 2008 年 08 月 19 日 - 11:30:48
尼個病毒的介面不錯!
他咁多惡意行為,HIPS一定防到,不過d人以為他是防毒,so好多人都會放行,這類病毒實在難應付!
By 天光仔 on 2008 年 08 月 19 日 - 12:47:39
HIPS不見得可以偵測到,要看HIPS怎麼做,如果HIPS攔截所有的行為,要使用者決定,我想一般使用者是無法接受的。
By Roger on 2008 年 08 月 19 日 - 21:52:37
http://www.gcogle.com.tw找不到勒,有打錯嗎?
By Roger on 2008 年 08 月 19 日 - 21:53:42
請問我中了 av9 要如何消滅呢謝謝
By joyce on 2008 年 08 月 27 日 - 00:46:25
根據「執行之後,有下面的行為」, 利用Process Explorer、GMER、IceSword等工具,即可清除此惡意軟體。
By Roger on 2008 年 08 月 27 日 - 11:05:33
我購買了AV2009… 好嘔, 和信用卡公司聯繫要求對方對款有用嗎?
By bowling girl on 2008 年 11 月 8 日 - 15:56:20