Exploits de Shockwave VitalyK June 19, 2008 | 18:15 GMT comment
Hemos descubierto una técnica interesante que los delincuentes utilizan para evitar que los analistas descubran códigos maliciosos.
La infección inicial era una inyección iframe común y corriente en un sitio web. El sitio del iframe cargaba un pequeñísimo archivo Shockwave que sólo pesaba 158 bytes.
El archivo usa una variable global interna ActionScript (“$version”) para obtener datos sobre la versión del sistema operativo de los usuarios y de los complementos (plugin) para manejar archivos Shockwave.
La variable $version se parece a “WIN 9,0,12,0″, que es el nombre, versión y número de revisiones de plataforma del plugin de Adobe Flash Player. Después, 4561.SWF intenta descargar y ejecutar otro archivo .SWF basado en esta serie. En el caso de arriba, trató de descargar el archivo “WIN 9,0,12,0i.swf”. El servidor respondió con el conocido ERROR 404: “No se encontró el archivo”. Pero esto fue hecho a propósito. Si el archivo 4561.swf se hubiese probado en una zona segura (sandbox), tal vez un analista no habría notado que el segundo archivo .SWF no estaba disponible; no porque el servidor no tuviera código malicioso, sino porque el complemento de Adobe Flash Player que se usó en el sandbox era diferente.
Revisé todas las versiones posibles y encontré 6 exploits .SWF diferentes.
Aquí está la lista de archivos que encontré:
WIN 9,0,115,0i.swf
WIN 9,0,16,0i.swf
WIN 9,0,28,0i.swf
WIN 9,0,45,0i.swf
WIN 9,0,47,0i.swf
WIN 9,0,64,0i.swf
Aunque ya detectábamos algunos archivos como Exploit.SWF.Downloader.c, las nuevas modificaciones todavía no estaban en nuestra colección de malware. Detectamos el primer ejemplar de Exploit.SWF.Downloader.c el 27 de mayo de 2008.
El exploit usa una vulnerabilidad de Adobe Flash Player basada en el manejo incorrecto del tamaño de la imagen. Descubrí datos adjuntos jpeg con tamaños de imagen errados.
Por lo tanto, para aclarar las cosas, quisiera recalcar que esta técnica permite descargar con cuidado exploits específicos para versiones específicas del complemento de Adobe Flash Player y, al mismo tiempo, permite esconder el código malicioso real de analistas curiosos.
Exploits para Shockwave