Voor het WINS lek, beschreven in Microsoft Security Bulletin MS04-045, is al enige tijd een exploit beschikbaar. Dat niet elke beheerder zijn of haar machines heeft geupdate blijkt wel uit het feit dat het lek actief misbruikt wordt. Een van de tools die door aanvallers wordt gebruikt is de Troj/Winser-A malware. Dit Trojaanse paard zorgt ervoor dat als een nieuwe machine wordt overgenomen, de geinfecteerde machine "contact opneemt" met de machine van de aanvaller, waarna er een command shell verschijnt die wacht op input. De machine van de aanvaller stuurt dan een bestand dat een FTP programma start, dat ook verbinding met de aanvallende machine maakt. Steve Friedl besloot de "Troj/Winser-A malware" te reverse engineeren, met deze analyse als resultaat. (ISC)
Deze posting is gelocked. Reageren is niet meer mogelijk.