Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 26. august 2008

Malvertising på no.msn.com

Da har vi dessverre fått nok et gjensyn med ondsinnede reklameannonser, og denne gangen blir de servert fra hovedsiden på no.msn.com - et nettsted som svært mange Internet Explorer-brukere har som sin startside.

Oppdatering 2008.08.27 13:30:
Den ondsinnede banner-annonsen har nå blitt fjernet fra nettstedet.



Disse banner-annonsene har forsøkt å utnytte sårbarheter i eldre versjoner av Adobe Flash, og på den måten forsøkt å spre en trojaner kjent som Virtumonde/Vundo.

NB: Vi gjør oppmerksom på at brukeren ikke trenger å klikke på annonsen for å bli infisert!

De sårbare versjonene av Flash er som følger:

Adobe Flash 9.0.16
Adobe Flash 9.0.28
Adobe Flash 9.0.45
Adobe Flash 9.0.47
Adobe Flash 9.0.115

Siste versjon, 9.0.124, ser ikke ut til å være sårbar for dette angrepet.

Vi har skrevet om tilsvarende angrep tidligere, og dette angrepet utnytter de samme svakhetene. Vi vil oppfordre alle om å sjekke hvilken versjon av Flash som er installert, og sørge for å holde denne oppdatert.

Se Version test for Adobe Flash Player for å sjekke din versjon.

De ondsinnede banner-annonsene blir servert fra bannersrotator.com (82.98.193.165) med en redirect innom stl.0ups.com (82.98.193.166).

Ved vellykket eksekvering av exploit blir det lastet ned trojaner fra 92.62.101.13.

Når trojaneren (41aa2979669cf968802bfcffb5ea9fc0) kjøres vil den forsøke å kontakte C&C på:

x1.usawindowsupdates.com (85.17.143.213), port 80/tcp.

En tidligere versjon (77520ac004598bf5f22b41623fd54816) forsøker å kontakte C&C på:

x1.mswindowsupdates.com (82.98.193.167), port 80/tcp.

Anbefalinger:
Sørg for å oppdatere til siste versjon av Adobe Flash.
Logg og blokker trafikk mot 82.98.193.167 og 85.17.143.213, da aktivitet mot disse er tegn på infiserte klienter.
I tillegg bør det blokkeres trafikk mot bannersrotator.com (82.98.193.165) og 92.62.101.13.

1 kommentar:

Mysse sa...

Lurer på om det er mulig å blokkere de IP-adressene fra mac os leopard. Hvilke programmer kan blokkere ip adressene i så fall?

Ny på Mac.

 
>