CVE-2008-2551ウイルス感染攻撃C6 Messenger DownloaderActiveX for Internet Explorer脆弱性
どういうシロモノか分からんけどイタリア発のインスタントメッセンジャー
C6 Messenger
にかつて含まれてた ActiveXコントロール の脆弱性を悪用したウイルス感染攻撃が確認されてます。 



■ C6 Messenger - Wikipedia
Icona の SpA C6 Messenger の DownloaderActiveX コントロール (DownloaderActiveX.ocx) には、任意のファイルのダウンロードおよび実行を強制される脆弱性が存在します。
第三者により、"run" への propPostDownloadAction パラメータセットを伴う propDownloadUrl パラメータ内の URL を介して、任意のファイルのダウンロードおよび実行を強制される可能性があります。
■ JVNDB-2008-004501 - JVN iPedia - 脆弱性対策情報データベース
http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-004501.html
Internet Explorerブラウザ経由でドライブバイ・ダウンロードを仕掛けるウイルス感染攻撃のコードがコチラ!
<特に中華系ハッカーが愛用してる感じ



C6 Messenger 用ActiveXコントロール の動作をユーザーが許可してしまうと、指定された任意のWindows向け実行ファイル(拡張子 *.exe)を強制ダウンロードして起動する仕組みになってます。


【ウイルス検出名】
AVG JS/Downloader.Small.S
Avira EXP/CVE-2008-2551.O EXP/CVE-2008-2551.S EXP/CVE-2008-2551.K
avast! JS:Agent-CIU [Expl] HTML:Downloader-FB [Expl]
BitDefender Exploit.CVE-2008-2551.Gen
Kaspersky HEUR:Exploit.Script.Generic
Microsoft Exploit:HTML/CVE-2008-2551.gen!A
ウイルス感染攻撃を喰らってみた!

セキュリティの警告 で[インストールする]ボタンをポチッとな
(名前 InstallerC6 / 発行元 Telecom Italia Media S.p.A.)
↓ ↓ ↓ ↓ ↓

iexplorer.exe プロセス下に実行ファイルの起動が確認でき感染成功!
◆ 悪用時に使われるActiveXコントロール

DownloaderActiveX1 CLSID:c1b7e532-3ecb-4e9e-bb3a-2951ffe67c61
[任意の名前].cab → DownloaderActiveX.ocx
[任意の名前].cab → DownloaderActiveX.ocx
Windowsパソコンのウイルス感染経路... 定番4系統
Windowsパソコンのヴィルス感染経路として悪用されてる4系統は? 



- Java / JRE
- Adobe Reader
- Adobe Flash Player
- Windows Update (Windows OS、Internet Explorer、Microsoft Silverlight、Windows Media Player、Microsoft Office など)
コメント