Ferramenta Hacker Segmentação MS08-067 Vulnerabilidade
11.11.2008 - 09:00
Em primeiro lugar, a ferramenta cai e corre um backdoor chamado bycnboy.exe, que se move para a pasta do sistema e é renomeado para windef.exe. Isto significa que os hackers que usaram esta ferramenta foram-se invadido pelo autor do instrumento. Em seguida, um arquivo chamado Project.exe é colocado na pasta temporária e carregado para executar uma vez que o arquivo original tiver terminado o seu trabalho.
O arquivo Project.exe na pasta temporária foi lotado. Após descompactá-lo, descobrimos que coloca quatro arquivos executáveis na pasta Temp, nomeados 123.exe, MS08-067.exe, s.exe, e Project1.exe.
Em seguida, o arquivo project1.exe na pasta Temp é executado para mostrar a GUI principal.
O hacker pode então introduzir o intervalo de rede e Trojan URL de download de arquivo e clique em Iniciar. O arquivo chamado s.exe é carregado na linha de comando para digitalizar a porta 445 no alcance da rede, e retornar a lista IP digitalizada para PROJECT1.EXE:
Em seguida, o arquivo é carregado MS08-067.exe para injetar um arquivo Trojan para esses endereços IP:
Enquanto isso, um arquivo Trojan do site definida pelo usuário pode ser baixado e executado. Todos os IPs vulneráveis são controlados remotamente.
Websense continuará a acompanhar esta ameaça.
Pesquisador de segurança : Hermes (Lei) Li
Nenhum comentário:
Postar um comentário