查看文章 |
Exploit.MSWord.b病毒利用了MS07-014漏洞。该病毒是个word文件,包含有非法数据,打开此文件时word程序显示错误,并执行恶意代码,最终释放病毒程序。病毒不自动传播,一般做为邮件附件。 至于什么内容的数据会导致word程序异常,可以参考naveedafzal的文章:http://www.securiteam.com/exploits/5UP0C0AJ5U.html,其原理和一些漏洞类似,非法数据导致某个dll的某个函数执行异常,EIP指针指向了某个地方,这个地方存放恶意代码。
几个月前,国内出现了病毒“ILOVEYOU.doc”,根据其内容可基本断定为“2007最新DOC捆绑器”制作。 病毒样本包含4部分:1Table、WordDocument、SummaryInformation、DocumentSummaryInformation。四部分基本以固定形式存放于生成器中,之后添加捆绑文件形成一个word病毒。 其中1Table包含非法数据,引导异常;DocumentSummaryInformation中包含解压代码,释放出病毒,代码如下: seg000:00000134 90 nop seg000:00000135 90 nop seg000:00000136 seg000: …… seg000:0000025Bj seg000:00000257 80 33 92 xor byte ptr [ebx], 92h ; 异或解码 seg000: seg000:0000025B E2 FA loop loc_257 ...... 病毒文件和0x92异或后,分离两个PE,后者为盗取QQ秘码的病毒Trojan/PSW.GamePass.ev。
AVP报Trojan-Dropper.MSWord.1Table.ea,特征码取1Table处;Mcafee报Exploit-MSWord.b,特征码取DocumentSummaryInformation中代码处,两者皆好。 |
