All posts by GJvManen

(onofficiele) update voor Adobe Acrobat Reader (0-day)

Deze onofficiele update van Lurene Grenier (SourceFire) zou de kwetsbaarheid in Adobe’s Acrobat Reader moeten verhelpen. Helaas wordt deze kwetsbaarheid door Adobe pas op 11 maart voor versie 9 en nog later voor eerdere versies verholpen met een update. Hier alvast de onofficiele ‘workaround’ :

  • Download deze zip file.
  • Unzip hem in de volgende directory: C:\Program Files\Adobe\Reader 9.0\Reader\
  • Overschrijf de vorige versie.


Disablen Javascript & Automatisch tonen in Internet Explorer:

1. Open Adobe Acrobat Reader.
2. Open het Preferences menu.
3. Kies de JavaScript optie.
4. Haal het vinkje weg voor: “Enable Acrobat JavaScript

Zorg ervoor dat (ook) internet explorer de gevaarlijke PDF documenten automatisch opent. Dit doe je door de volgende register sleutel aan te passen:

[HKEY_CLASSES_ROOT\AcroExch.Document.7]
“EditFlags”=hex:00,00,00,00

Daarnaast moeten de volgende settings (ook nog) uitgezet worden :

1. Open Adobe Acrobat Reader.
2. Open het Edit menu.
3. Kies de preferences optie.
4. Kies de Internet sectie.
5. Haal het vinkje weg voor: “Display PDF in browser

Microsoft Excel 'Zero-day' kwetsbaarheden

Naast de recent gevonden kwetsbaarheden in Adobe Acrobat is het nu weer de tijd voor Microsoft Excel. Symantec heeft een nieuw zero-day lek in Microsoft Excel ontdekt, dat hackers actief misbruiken om systemen met een Trojaanse paard (Trojan.Mdropper.AC) te infecteren.

De kwetsbaarheid bevindt zich in Microsoft Excel 2007 en de versie met Service Pack 1. Aangezien er nog geen update beschikbaar is, krijgen gebruikers het advies om geen Excel documenten te openen van bronnen die men niet kent en heeft geverifieerd.

(webbased) PDF Aanvallen!

Donderdag liet Adobe weten dat er zich een kritieke kwetsbaarheid bevind in de Adobe Acrobat Reader. Helaas wordt deze kwetsbaarheid pas op 11 maart voor versie 9 en nog later voor eerdere versies verholpen met een update. Zoals te voorspellen, wordt dit lek inmiddels op het internet misbruikt door diversen soorten malware. Gebruikers wordt aangeraden JAVASCRIPT uit te schakelen voor Adobe Reader. Daarnaast wil ik gebruikers adviseren om Windows ‘Data Execution Prevention‘ aan te zetten voor Adobe Reader.

Het gebruik van een embedded object, veroorzaakt de kwetsbaarheid en laat aanvallers een backdoor op het systeem openen. Volgens Symantec gaat het voorlopig nog om gerichte en beperkte aanvallen, maar deze analyse is inmiddels achterhaald, gezien de publicaties van Milw0rm en Metasploit. Bij recente varianten, wordt namelijk ook het recente lek MS09-002 misbruikt, om de gevaarlijke PDF documenten te laden. Bij de aanvallen die Symantec beschrijft zijn meestal bedrijfsnetwerken en overheidsinstanties het doelwit. De gebruikte “GH0ST backdoor” is modulair van opzet en laat aanvallers de desktop bekijken, toetsaanslagen opslaan en geeft feitelijk volledige toegang tot de computer.

Meer informatie en technische details zijn te vinden op DEZE WEBSITE

Gratis malware bij uw zoekopdracht

Hier wat interessante google resultaten. Ik kwam ze tegen door wat te graven in een ander stukje malware en plots kreeg ik het “Ooh.. Shiney Object..” gevoel… (je kent het wel).

Ik heb de resultaten highlighted. Zoals je ziet zitten er best wat ‘grote jongens’ bij..  en owja.. klikken op eigen risico 🙂

In de Microsoft link bovenaan (net als de anderen) wordt je geredirect naar: (URLs disabled)

hxxp://00119922. com/in.php?&n=837&t=Free+Xxx+Movies+Sharing

Die je vervolgens redirect naar:
hxxp://all-porn-tubes-here. com/xplay.php?id=1555

En dan de beruchte:  “You must download Video ActiveX Object to play this video file” die het volgende voor je wil installeren: “exclusivemovie.1555.exe” … van “codecdownload.downloadexenow. com” welke goed herkend wordt door [VirusTotal results]

00119922. com en 098765. com worden gehost op:
[Starnet S.r.l][AS31252][87.248.163.0 – 87.248.163.255]

all-porn-tubes-here. com wordt gehost op:
[Noc4hosts][AS29802][74.50.96.0 – 74.50.127.255]

Google Diagnostic : Site is listed as suspicious-visiting this web site may harm your computer.
Malicious software includes 220 scripting exploit(s), 21 trojan(s).

codecdownload.downloadexenow. com is hosted at:
[Eu-zz][AS12553][94.247.2.0 – 94.247.3.255]

Google Diagnostic: Site is listed as suspicious – visiting this web site may harm your computer.
Malicious software includes 23 trojan(s).

Google; Hier begint de schoonmaak.. 🙂

W32/Virut 'on the loose'

Verschillende anti-virusbedrijven waarschuwen voor een nieuwe variant van het (polymorfische) Virut-virus. Dit virus infecteert verschillende bestanden en omzeilt de Windows firewall, wat detectie en schoonmaak erg lastig maakt. Om een gebruiker te infecteren, gebruikt Virut verschillende aanvalstechnieken. Zo maakt dit stukje malware o.a. gebruik van meerdere lagen encryptie ( iets wat we helaas steeds vaker tegen komen) en infecteert het .EXE .SRC .HTM .HTML .PHP en .ASP bestanden.

Deze laatste(n) worden geïnfecteerd met een IFRAME-aanval. Zodra het slachtoffer die bestanden op het internet zet, probeert het via verschillende exploits bezoekers te besmetten. Hierbij wordt gebruik gemaakt van het volgende (infectie) schema:

Zodra een slachtoffer geïnfecteerd is, zal er een backdoor worden gestart, die naar een IRC server (proxima.ircgalaxy.pl) connect. Hierbij kunt u de volgende (Antivirus) detecties aantreffen: