查看文章 |
2007年度,网页木马层数不穷(其实从来也没少过),与以往稍微不同的是,在“黑客”玩烂经典网马漏洞了MS0-014和MS07-017之后,在使用了各种加密,跳转,框架包含之后,随着用户安全意识的提高(稍微高了那么一点点,知道打补丁了),系统漏洞的已经被最大限度地使用了,今年随着WEB讯雷惊暴漏洞之后,雅虎通漏洞,百度搜霸漏洞,PPStream ,暴风影音II,QQ场景,新浪UC ,MSN Messenger 视频漏洞,联众世界游戏大厅,各主流应用软件仿佛赶集似的出现0-Day漏洞,而且都以迅雷不及掩耳盗铃之势被病毒作者利用,往日为我们工资、学习和娱乐带来便捷和快乐的软件,仿佛一夜之间变得青面獠牙,成为病毒传播的快速通道! 百度搜霸ActiveX控件远程代码执行漏洞:08月02被漏洞分析大牛cocoruder发现,漏洞存在于由ActiveX控件"BaiduBar.dll"导出的"DloadDS()"函数中,其控件对应的CLSID:A7F05EE4-0426-454F-8013-C41E3596E9E9 。近期的aaa.369678.cn,851733.cn 等恶意网址就使用了该漏洞进行木马传播。 百度搜霸漏洞CVE漏洞数据库信息:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4105
PPStream 堆栈溢出:我是在09月3号发现利用该漏洞传播的网页木马的,但实际情况可能会更早些。 PPStream 漏洞CVE漏洞数据库信息:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4748
暴风影音2 mps.dll组件多个缓冲区溢出漏洞:近期很热门的漏洞,其控件对应的 近期的 955922.cn,debae.cn,745970.com 等恶意网址就使用了该漏洞进行木马传播。 暴风影音2漏洞CVE漏洞数据库信息:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4816
如暴风影音的: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB}]
-------------------------------------------------------------------------------------------------------------- 2007.11.15 更新: jetAudio 7.x ActiveX DownloadFromMusicStore() Code Execution Exploit 该漏洞在2007年的9月19日由 h07安全组织的Krystian Kloskowski (h07@interia.pl) 发布,我于2007-09-24 日截获,其漏洞攻击代码发布在milw0rm.com 上,文章为 jetAudio 7.x ActiveX DownloadFromMusicStore() Code Execution Exploit 今天就发现了一个利用该漏洞进行挂马的病毒,代码如下: 详细代码请看我以前写的文章《紧急警报!网马漏洞又出新0-Day!汗!》
该漏洞可以将病毒文件*.exe 下载并替换成Program Files\\JetAudio\\JetAudio.exe应用软件,其实这可以替换成任意文件,也可以添加到开机自启动目录中,等待下次开机执行病毒,阴险啊~~~ 该漏洞的CVE数据库信息: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4983
*************************************************************************************************
迅雷5出现0-Day漏洞? 截获日期:2007-09-25 大家看好标题哦,这次是迅雷5,而不是WEB迅雷~ 根据恶意网址检测的线报,发现一恶意网址使用未公开的迅雷50-Day漏洞进行挂马,其EXP代码如下:
详细代码可以看我以前写的文章《惊暴:迅雷5出现0-Day漏洞?》 该代码风格颇相前段时间的《暴风影音II ActiveX栈溢出漏洞》,尾部为%u7468%u7074+此处为需要下载病毒的网址+%u0000"),但其CLSID为:EEDD6FF9-13DE-496B-9A1C-D78B3215E266 经验证,该ActiveX控件文件为:C:\Program Files\Thunder Network\Thunder\Components\DownAndPlay\DownAndPlay\DapPlayer1.0.0.41.dll 我已经将该信息提交给迅雷官方,相信迅雷官方会尽快更新软件, 在此,网络巡警提醒大家,使用迅雷软件请尽量使用最新版本的,最新版本下载地址为: http://pstatic.xunlei.com/about/product/down_xl5.htm 我会进一步关注此漏洞。 最近情况: 从一些信息来看,含有此漏洞的迅雷版本号为Xunlei Web Thunder 5.6.9.344 最新版的迅雷5.7.2.371 应该无此漏洞,请大家更新~ 另外,该漏洞是一个叫做 7jdg 的人挖掘发现的(高手啊)。 -------------------------------- 更新: 该漏洞的CVE数据库信息:CVE-2007-5064 http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5064
******************************************************************************************************************* 利用Yahoo! Messenger 8.1.0.421 CYFT ft60.dll ActiveX控件GetFile方式任意文件上传漏洞挂马的病毒已经出现! 截获日期:2007-09-26 从恶意网址检测的消息,发现了一个恶意网址使用“雅虎通CYFT ft60.dll ActiveX控件GetFile方式任意文件上传漏洞”进行挂马,再次提醒广大用户警惕,请将Yahoo! Messenger 升级到最新版本,目前该软件最新版本为雅虎通8.3正式版。 该恶意网址的EXP代码如下: 详细代码可以看我写的文章《紧急预警:利用Yahoo! Messenger 8.1.0 ActiveX控件漏洞挂马的病毒已经出现!》 雅虎通的CYFT ActiveX控件实现上存在漏洞,远程攻击者可能利用此漏洞向用户系统上传任意文件。CYFT ActiveX控件的GetFile()方式没有对用户提交的参数做充分的检查过滤,远程攻击者可以通过提供畸形参数向用户系统的任意位置上传任意文件,但是相关的控件默认情况下不能远程调用。 该漏洞是由shinnai (shinnai@autistici.org)发现的。 该漏洞的CVE数据库信息CVE-2007-5017:http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5017 该漏洞在milw0rm上的Shellcode代码:Yahoo! Messenger 8.1.0.421 CYFT Object Arbitrary File Download 解决方案: 请下载最新版本的Yahoo! Messenger ,官方下载地址:http://cn.messenger.yahoo.com/ *********************************************************************************************************************************** 联众游戏、超星阅读器0-Day 截获日期:2007-10-19 这两个网马漏洞是虽着ARP病毒传播开来的,相WEB页面中注入<script src=http://rb.vg/1.js></script>恶意网址链接。 其中: 联众游戏有漏洞的组件为:C:\Program Files\GlobalLink\Game\Share\GLChat.ocx, GlobalLink 其 CLSID:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69
超星阅读器有漏洞的组件为:C:\WINDOWS\system32\pdg2.dll 其 CLSID:7F5E27CE-4A5C-11D3-9232-0000B48A05B2 联众游戏GLChat.ocx 2.5.1.32 组件漏洞CVE数据库信息:CVE-2007-5722 超星阅读器SSReader Pdg2 组件漏洞CVE数据库信息:CVE-2007-5892 该恶意网址的EXP代码如下: 详细代码可以看我写的文章《ARP病毒携新应用软件漏洞(联众游戏、超星阅读器 0-Day)大肆传播》 ********************************************************************************************************************************* 迅雷5-迅雷看看(Thunder KanKan)组件漏洞 截获日期:2007-11-14 pplayer.dll 组件版本号:1.2.3.49,CLSID:F3E70CEA-956E-49CC-B444-73AFE593AD7F. 该组件内的一个函数FlvPlayerUrl上,存在边界检查不严格的问题,当向其传递过长参数时,会导致程序溢出。病毒作者可以利用这个缺陷,精心编写Shellcode,溢出,然后可以下载任意恶意病毒文件。 CVE数据库信息:CVE-2007-6144
该恶意网址的EXP代码如下: 详细代码可以看我写的文章《迅雷5又(这次怎么多了一个又字)出现0-Day漏洞?!》 *********************************************************************************************************** RealPlayer 漏洞 截获日期:2007-11-23 这个于今年10月18日批露的漏洞,源于RealPlayer 播放器中的MPAMedia.dll 提供的数据库组件,在处理播放列表名时存在栈溢出漏洞,可以使用ierpplug.dll提供的IERPCtl ActiveX 控件导入一个特殊的播放列表让RealPlayer读取,病毒作者可以通过构造包含此漏洞触发代码的恶意网页,当用户不小心浏览过该网页时,如果电脑中安装的RealPlayer 播放器版本包含此漏洞,就可以触发这个溢出,导致执行任意代码。 影响版本:RealPlayer 11 Beta 该漏洞CVE数据库信息:CVE-2007-5601 该恶意网址的EXP代码如下:《预警:RealPlayer 漏洞挂马已现身江湖》
******************************************************************************************************* McAfee Security Center McSubMgr.DLL ActiveX控件远程溢出漏洞网马 截获日期:2007-12-17 McAfee Security Center McSubMgr.DLL ActiveX控件远程溢出漏洞 一个利用McAfee McAfee Security Center McSubMgr.DLL ActiveX控件远程溢出漏洞编写的网页木马,含有漏洞溢出的控件名称为 MCSUBMGR.DLL, (McAfee Subscription manager module 6.0.0.13),特征的clsid:9BE8D7B2-329C-442A-A4AC-ABA9D7572602 该恶意网址的EXP代码可参考文章:《杀软也疯狂!利用McAfee Security Center McSubMgr.DLL ActiveX控件远程溢出漏洞网马已出现》 网络巡警http://hi.baidu.com/xyz24k 2007年12月底 |
