恶意软件行为正如下面的例子所示,木马文件的远程下载地址(hxxp://myflatnet.com/ralph_3/winword.exe)嵌入在恶意Word文档中:
在成功入侵用户电脑之后,该漏洞就会从上述位置中下载可执行文件,并将其保存在以下目录中:C:\Documents and Settings\\Local Settings\Temp\winword.exe。目前,Websense安全专家们检测到的木马文件下载地址分别是:hxxp://myflatnet.com/bruce_2/winword.exe、hxxp://myflatnet.com/new_red/winword.exe以及hxxp://myflatnet.com/ralph_3/winword.exe。
下载的Winword.exe文件实际上是一个包含可执行文件和虚假Word文档的RAR自解压文件。在运行之后,Winword.exe就会将另一个可执行文件(Updates.exe)解压到C:\Documents and Settings\\Updates.exe,然后执行。Updates.exe是一个后门程序,它可以让攻击者成功控制受害者的电脑。
此外,包含在Winword.exe压缩文件中的虚假文档也会保存在同一个文件夹下。在对虚假文件内容的检测过程中,Websense安全专家发现,此次攻击貌似是针对巴基斯坦发起的,但是却在已发送的电子邮件收件人列表中出现了阿联酋、印度以及其他南亚国家金融、制造、软件和旅游等行业的用户。而且,发件人网域主要来自印度和阿联酋(但这些也极有可能是经过伪造的)。
恶意软件域名注册信息托管“winword.exe”可执行文件的域名myflatnet.com于2013年5月28日注册,并在次日进行了更新,该域名的名称服务器是NS1.MYFLATNET.COM和NS2.MYFLATNET.COM,注册地点在乌克兰的利沃夫,注册人邮箱为
arlenlloyd@outlook.com。
两起利用相同漏洞发起的攻击活动2013年10月28日,Websense监测到一起恶意电子邮件攻击活动,攻击使用的电子邮件中包含两个附件,同时利用了微软Word Docx附件中的CVE-2013-3906漏洞以及更为常见的Doc附件中的CVE-2013-0158漏洞。
如下图所示,电子邮件主题为“SWIFT $142,000 $89,000”。Websense ThreatSeeker网络已成功检测出数百个发送至阿联酋某一金融企业的恶意邮件,这些邮件来自罗马尼亚,原始IP地址为83.103.197.180。
邮件中名为“$142,000.docx”的附件利用了CVE-2013-3906漏洞。这个文件中使用到的恶意代码与先前的例子中所使用的并不相同,而是利用了带有相似熵值ActiveX组件。邮件中另一个附件是“$89,000.doc”,此附件中则利用了更早一些的CVE-2012-0158漏洞,此漏洞可以链接至hxxp://switchmaster.co.in/simples/disk.exe中。