Νέος ιός με στόχο Τραπεζικά Συστήματα

[Anonymous]

Παραθέτω μήνυμα σχετικό, όπως το έλαβα:
Σε συνέχεια του από 28 Ιουνίου σχετικό ενημερωτικό (Ιός για το MS IIS) και με αφορμή πιθανό περιστατικό που αναφέρθηκε από πελάτη του Internet Banking σας ενημερώνουμε με τα παρακάτω:

** Η τελευταία επίθεση στοχεύει σε 50 χρηματοδοτικούς οργανισμούς και κυρίως πελάτες Τραπεζών

Σε μία προσπάθεια με στόχο τους πελάτες των χρηματοδοτικών οργανισμών, οι άγνωστοι επιτιθέμενοι έχουν χακεύσει  διάφορους κεντρικούς υπολογιστές δικτύου (web servers) με Microsoft ISS, χρησιμοποιώντας μια γνωστή ευπάθεια (Microsoft Patch 835732) προσθέτοντας κώδικα στους web server.  

ΠΛΗΡΟΦΟΡΙΕΣ για τον ιό που προσβάλει τον Web Server.

http://www.f-secure.com/v-descs/scob.shtml

JS.Scob.Trojan, JS/Scob, JS.Toofer, JS/Exploit-DialogArg.b, Download.Ject or Scob is a trojan downloader written in JavaScript. It has been found from a number of web sites on late June 24th, 2004.

The trojan has been found to be appended to existing files at those web servers, for example pictures such as jpeg and gif files. According to reports, the script has not been appended by modifying the actual files on the server but using the footer feature from Microsoft's Internet Information Server.

Κάθε επισκέπτης του χακευμένου site που χρησιμοποιεί τον Internet Explorer είναι ευάλωτος. Ο κώδικας εκμεταλλεύεται μια γνωστή ευπάθεια στον Internet Explorer (που εξετάζεται από το δελτίο ασφάλειας MS04-013 της Microsoft) και μια άγνωστη ευπάθεια που είναι εκμεταλλεύσιμη ακόμη και σε μια πλήρως ενημερωμένη έκδοση του Internet Explorer.

Ο επιβλαβής κώδικας  στους χακευμένους servers κατεβάζει έναν δούρειο ίππο στον επισκέπτη του site. Αυτός ο ιδιαίτερος δούρειος ίππος ψάχνει τις συνδέσεις HTTPS στους διάφορους χρηματοδοτικούς οργανισμούς και όταν παρατηρείται μια τέτοια σύνδεση όλα τα αιτήματα που στέλνονται από τον πελάτη συλλαμβάνονται από τον δούρειο ίππο. Σημειώστε ότι επειδή δεν πρόκειται για key logger υποκλέπτει ακόμη και δεδομένα που εισάγονται μέσω εικονικού πληκτρολογίου (το εφαρμόζουν ορισμένες τράπεζες για πρόσθετη ασφάλεια απέναντι σε ιούς τύπου key logger). Τα  αιτήματα λαμβάνονται προτού να σταλούν κρυπτογραφημένα με SSL Έτσι όλα τα τραπεζικά πιστοποιητικά υποκλέπτονται από τον δούρειο ίππο.

Όπως φαίνεται παρακάτω στην περιγραφή του ιού όταν το "θύμα"  συνδεθεί με τραπεζικό site υποκλέπτει User name. password, και εμφανίζει ένα παραποιημένο παράθυρο στο οποίο ζητά πληροφορίες her full name, credit card number, expiration date, CVV2 code and ATM PIN..

Απαραίτητες Ενέργειες

1.       Οι web administrators πρέπει να ελέγξουν το περιεχόμενο των web server αλλά και τις σελίδες που τυχόν σερβίρονται μέσω αυτών από άλλους web server της Τράπεζας, του Ομίλου ή συνεργατών (αφορά και τους administrator του Apatche).  

2.      Οι system administrators πρέπει να ελέγξουν

·            εάν ο server είναι ενημερωμένος (fully patched)

·            εάν ο server έχει κολλήσει τον συγκεκριμένο ιό και να τον καθαρίσουν

περισσότερες πληροφορίες στο:

http://support.microsoft.com/?kbid=871277

(In addition Microsoft has released a new KB (871277) on the Download.Ject Detection and Recovery Advisory)

3.      Οι χρήστες του Internet Banking πρέπει:

·         Να ελέγξουν τον υπολογιστή τους με ενημερωμένο antivirus (σήμερα ο ιός ανιχνεύεται από όλα τα antivirus)

·         Να ενημερώσουν τον Internet Explorer με το τελευταίο patch σύμφωνα με τις οδηγίες της Microsoft: http://www.microsoft.com/security/incident/download_ject.mspx

·         Nα μην συνδέoνται στα site κάνοντας κλικ σε link που τους στέλνουν με E-mail ή μέσω άλλων sites. Είναι προτιμότερο να πληκτρολογούν τη διεύθυνση.

 
Είναι επιβεβλημένη πλέον η χρήση Personal Firewall από όλους τους χρήστες του Internet που συνδέονται από το σπίτι τους ή από την εταιρία τους εάν δεν αυτή δεν εφαρμόζει κεντρικό έλεγχο Firewalling.

 

Αξίζει τον κόπο να διαβάσετε τον τρόπο δράσης του συγκεκριμένου ιού όπως περιγράφεται αναλυτικά στο site της F-Secure.

http://www.f-secure.com/v-descs/padodorw.shtml

 
 
Από όλα τα παράνω προκύπτει ότι ο πελάτης έχει προσβληθεί από τον συγκεκριμένο ιό. Η διαπίστωση είναι εύκολη και μπορεί να γίνει με:
ενημερωμένο virus scan
έλεγχο της registry του υπολογιστή του
Then the trojan creates a few Registry keys:


 [HKCRCLSID{79FEACFF-FFCE-815E-A900-316290B5B738}InProcServer32]
 @ = "%WinSysDir%<random>.dll"
 "ThreadingModel" = "Apartment"
Also the trojan creates the following Registry key value:  [HKLMSoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
 "Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"




ΠΡΟΣΟΧΗ ΙΟΣ για το MS IIS

H McAfee, εκτάκτως την Παρασκευή, εξέδωσε νέο .DAT για την ανίχνευση ενός ιού που προσβάλλει IIS Server.

Ενημερώστε το antivirus και ελέγξτε εάν έχετε περάσει το patch που συνιστά η Microsoft.

-- Update June 24, 2004--
It has recently been made known that some IIS servers have been remotely hacked. Code containing this exploit gets appended to several files in the webfolder of the compromised IIS server (eg: .html, .txt, .gif) causing unsolicited files to be downloaded and executed. Users get infected by accessing these infected webpages through their web browser.

Certain downloaded files are detected as BackDoor-AXJ.dll , Exploit-MhtRedir.gen , and VBS/Psyme  with the current DAT files, while others are new variants of these threats and require the DAILY DAT files for detection to occur.

Please see the BackDoor-AXJ.gen description for a link to EXTRA.DAT packages.

For further details concerning this threat, and details of available Microsoft patches see:
http://www.microsoft.com/security/incident/download_ject.mspx

Ο ιός ανιχνεύεται με το .DAT 4370 ως Scob.

This trojan drops a VBScript file named ads.vbs, which is an IIS web server utility script.  The trojan has been found to be used in a recent attack against multiple IIS servers, to configure those servers to add a footer to all documents severed.  This footer contains code that directs visitors to a remote web server that contained malicious JavaScript as described here:
http://vil.nai.com/vil/content/v_126241.htm

This trojan is believed to have been execute on system vulnerable to a MS04-011 vulnerability .

 

ΣΧΕΤΙΚΑ ΝΕΑ:

What You Should Know About Download.Ject

Published: June 24, 2004 | Updated June 26, 2004 8:45 P.M. Pacific Time

http://www.microsoft.com/security/incident/download_ject.mspx

25/6/2004 CHICAGO - Government and industry experts warned yesterday of a mysterious, large-scale Internet attack on thousands of popular Web sites. The viruslike infection tries to implant hacker software onto the computers of all Web site visitors. http://www.tucsoncitizen.com/index.php?page=business&story_id=062504d1_net

"Users should be aware that any Web site ... may be affected," the government warned in an Internet alert.

One target of the infection appeared to be Microsoft Internet Information Service, Microsoft software that runs Web sites.

Major Internet Attack Under Way June 25, 2004 http://www.informationweek.com/story/showArticle.jhtml?articleID=22102052

Security experts say Russian hackers are using a sophisticated attack to compromise major E-commerce Web sites, which then infect visitors with hacker tools designed to steal passwords and financial data, and possibly spew spam.
 Internet security organizations are warning that dozens of major Internet sites, and potentially thousands of Web sites across the Internet, are currently under attack.

Several Web administrators from major companies said their Windows-based Web servers were compromised despite being up to date on security patches, security analysts reported.                                                          

 

Mysterious Computer Infection Spreading Through Web Sites
 June 25, 2004 5:46PM
The Internet is under siege again -- this time by a mysterious trojan virus that allows hackers to break into individual computer systems via popular Web sites. Security experts believe Russian organized crime might be behind the attack, which is designed to steal passwords and important financial information.

A mysterious computer infection is spreading on the Internet, with visitors to some popular Web sites unwittingly downloading programs that could allow hackers to steal sensitive data, experts said Friday.

Unlike viruses that spread by e-mail, this infection is propagated simply by visiting an infected site, which can install a so-called "trojan" or keystroke logger that allows hackers access to the PCs.

Various security experts labeled the malicious program "Scob," "Download.Ject," "Toofer" or "Webber.P."

"Users should be aware that any Web site, even those that may be trusted by the user, may be affected by this activity and thus contain potentially malicious code," said the government funded Computer Emergency Readiness Team (CERT) in a warning posted late Thursday.

The trojan affects Web sites running IIS 5.0 program for Web servers, experts said.

"If users of Internet Explorer visit Web pages infected by Scob, their computer may attempt to download a file from a Russian Web site," the security firm Sophos said Friday.

Patrick Hinojosa, chief technology officer at Panda Software, said the number of infected computers was not known, but that experts hoped to have a better idea of the spread in coming days.

"It's a troublesome development," he said by telephone.

"This is one of the first times we're seeing large Web sites having been hacked to have this type of code that affects the user ... a large amount of Internet traffic hits these sites."

Panda Software added that the danger in this threat is that it "is difficult to recognize, as it does not display any messages or warnings that indicate it has reached the computer."

But because of the apparent financial motive and the link to Russian servers, Hinojosa said, "We suspect there is Russian organized crime or something like it behind this."