[NEWS] MS08-067: Primo Worm "In-the-Wild"

[c.m.g]

4 novembre 2008 alle 16.22 di netquik



Un primo codice "worm" programmato per sfruttare la vulnerabilità critica del servizio Server di Windows, corretta recentemente da Microsoft con rilascio straordinario del bollettino MS08-067, è stato isolato "in-the-wild"; lo hanno segnalato varie aziende di sicurezza e l'US-CERT.

Una settimana fa, Microsoft aveva pubblicato il Security Advisory 958963 per informare i clienti della disponibilità di un codice exploit dettagliato che dimostrava l'esecuzione di codice sfruttando la vulnerabilità corretta dall'aggiornamento di protezione critico incluso in MS08-067. L'azienda aveva anche avvertito: "Sebbene non ci siano attacchi su vasta scala a partire da questo nuovo codice exploit pubblico, prevediamo che entro i prossimi giorni e settimane questo codice exploit sia utilizzato probabilmente da nuove versioni del malware sfruttabile per attacchi su vasta scala, ed eventualmente da worm auto-replicanti".

Nella giornata di ieri, l'azienda di sicurezza F-Secure ha ricevuto segnalazioni della diffusione di un worm capace di sfruttare la vulnerabilità in questione. Dal blog di F-Secure: "Abbiamo ricevuto le prime segnalazioni di un worm capace di sfruttare la vulnerabilità MS08-067 … il payload dell'exploit scarica un dropper che rileviamo come Trojan-Dropper.Win32.Agent.yhi. La componente rilasciata include un DDOS-bot kernel mode che attualmente ha una selezione di target cinesi nella sua configurazione". F-Secure identifica anche la componente worm come Exploit.Win32.MS08-067.g e la componente kernel come Rootkit.Win32.KernelBot.dg. Altri vendor antivirus hanno scelto differenti nomi per rilevare questa nuova minaccia: Exploit.Win32.MS08-067.g (Kaspersky Lab), Exploit:Win32/MS08067.gen!A (Microsoft), Mal/Generic-A (Sophos).

Secondo gli ultimi aggiornamenti pubblicati dal SANS Internet Storm Center, il worm sembra propagarsi sulla la rete locale tramite la porta 445.


Anche PrevX (tramite Marco Giuliani malware analyst dell'azienda) ha analizzato la nuova minaccia "worm". Giuliani scrive: "Era questione di tempo, un arco di tempo più o meno breve, per vedere un vero e proprio worm che sfruttasse la vulnerabilità MS08-067. In queste ore è stato isolato un nuovo malware, denominato KernelBot, di origine molto probabilmente asiatica. Il malware sfrutta la vulnerabilità della quale si parla spesso in questi giorni e alla quale avevo dedicato un articolo precedentemente. I primi sample di questo malware risalgono allo scorso 28 Ottobre. Il worm arriva sottoforma del file 6767.exe o, in alternativa, KernekDbg.exe". Un'analisi dettagliata è disponibile nel blog post su PC al Sicuro.

Link per approfondimenti:

US-CERT
F-Secure Blog
Analisi @ PC al Sicuro



Fonti:varie via Tweakness

[c.m.g]

ripreso da pcalsicuro.com:

http://www.pcalsicuro.com/main/2008/...falla-ms08-067

[Lazza84]

13/11/2008 - A cura di ste_95.


Dopo il Gimmiv.a, arriva KernelBot: un nuovo worm che sfrutta la falla chiusa dall'aggiornamento extra del mese scorso. Molti file creati, e una falsa versione di eMule per diffondere i file infetti. Analisi e rimozione.


Avevamo già accennato a un nuovo worm di origine asiatica che, come il già analizzato Gimmiv.a, sfrutta la falla di Windows per diffondersi.

Si presenta come un eseguibile con il nome 6767.exe o KernelDbg.exe e, al momento in cui scrivo, pochi antivirus mancano all'appello.

Allo stesso modo del Gimmiv.a, cerca nel sistema determinati processi appartenenti a software di sicurezza, in particolare di 360safe, di cui modifica le chiavi di registro anche se il software non è installato in modo da disattivarne preventivamente la protezione, eliminandolo anche all'avvio automatico.

A questo punto, crea in C:\Windows\System32 un file di nome compbatc a cui verranno assegnate diverse estensioni: exe, zip, ocx, ini, dll e sys.


Continua su MegaLab...